Posted By ,

ASEC マルウェア週間統計 ( 20220613~20220619 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月13日(月)から6月19日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが63.8%と1位を占めており、その次にバックドアが17.8%、ダウンローダーが8.9%、バンキングマルウェアが7.5%、ランサムウェアが1.9%順に集計された。

Top 1 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は29.1%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server : smtp.yandex[.]com
    sender : frankneymars42@yandex[.]com
    receiver : frankneymars42@yandex[.]com
    user : frankneymars42@yandex[.]com
    pw : jfxb********mone
  • server : mail.dyreco[.]com
    sender : uniformidad@dyreco[.]com
    receiver : salespcbcom@gmail[.]com
    user : uniformidad@dyreco.com
    pw : Dyr********

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • Order Inquiry.exe
  • DHL-AWB 1942022875.exe
  • 09-06-22_PDF.exe
  • RFQ_JUNE 2022_01112272253535.pdf.exe
  • PO20060683385086_PDF.exe
  • 106198202205012020531MES_S Quote.exe
  • SHIPPING DOCUMENT.exe
  • e96d46.exe

Top 2 – Formbook

Formbook マルウェアは17.8%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • PAYMENT COPY.exe
  • INV13-06-2022_0835.exe
  • WHMSHC22060125_SUR.exe
  • Purchase Order #052240.exe
  • Archnext Trading- First Contact Inquiry_#15062022.exe
  • WHMSHC22060125_SUR.exe
  • INV13-06-2022_0835.exe
  • 6ZfDVH36DaKNCMr.exe
  • XLoader_v2.8.exe
  • QUOTE 17062022.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.range4tis[.]com/eaf6/
  • hxxp://www.rabies36[.]com/n8m8/
  • hxxp://www.fxivcama[.]com/be3s/
  • hxxp://www.dambofegroup[.]xyz/fs92/
  • hxxp://www.hertgoodusa[.]xyz/d94e/
  • hxxp://www.keropy[.]xyz/s4s9/
  • hxxp://www.buggy4t[.]com/itq4/
  • hxxp://www.berendsit[.]com/a2es/
  • hxxp://www.ginas4t[.]com/op53/
  • hxxp://www.renaziv[.]online/mh76/
  • hxxp://www.hertgoodusa[.]xyz/d94e/

Top 3 – Lokibot

Lokibot マルウェアは8.0%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • NEW ORDER____XLS.exe
  • vbc.exe
  • 975268.exe
  • COMMERCIAL INVOICE, BILL OF L……., BILL OF LADING, ETC DOC.exe
  • DHL Receipt_AWB#2045829822.exe
  • Payment Slip copy.exe
  • bca3a0.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://sempersim[.]su/gh8/fre.php
  • hxxp://sempersim[.]su/gh7/fre.php
  • hxxp://198.187.30[.]47/p.php?id=19957150644816880
  • hxxp://198.187.30[.]47/p.php?id=53483370875096238
  • hxxp://sempersim[.]su/gh8/fre.php
  • hxxp://45.133.1[.]45/perez1/five/fre.php
  • hxxp://45.133.1[.]45/me/five/fre.php
  • hxxp://45.133.1[.]45/perez1/five/fre.php
  • hxxp://198.187.30[.]47/p.php?id=22583568731095518
  • hxxp://178.128.244[.]245/search.php?key=8d66e77fc413068c4827bb206e1618f5
  • hxxp://198.187.30[.]47/p.php?id=19957150644816880
  • hxxp://secure01-redirect[.]net/gc19/fre.php
  • hxxp://sempersim[.]su/gg23/fre.php
  • hxxp://sempersim[.]su/gh5/fre.php
  • hxxp://45.133.1[.]45/perez1/five/fre.php
  • hxxp://198.187.30[.]47/p.php?id=38763503330434635

Top 4 – Emotet

Emotet マルウェアは7.0%で4位を記録した。Emotet はバンキングマルウェアであり、スパムメールを通して拡散し続けている。

https://asec.ahnlab.com/jp/30861/

基本的に、インストールされる形態は追加の機能がないダウンローダーであり、システムにインストールされた後、追加でモジュールもしくはマルウェアがダウンロードできる。

追加のモジュールとしては、Web ブラウザ及びメールアカウント情報などの、ユーザー情報を窃取するモジュールと、共有フォルダ等を利用した伝播モジュールがある。ダウンロードされたマルウェアは Qakbot、Trickbot 等、さらに別のバンキングマルウェアがある。

Top 5 – SmokeLoader

Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、6.6%の割合で今週の5位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートが確認できる。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • host-file-host6[.]com
  • host-host-file8[.]com
  • monsutiur4[.]com
  • nusurionuy5ff[.]at
  • moroitomo4[.]net
  • susuerulianita1[.]net
  • cucumbetuturel4[.]com
  • nunuslushau[.]com
  • linislominyt11[.]at
  • luxulixionus[.]net
  • lilisjjoer44[.]com
  • nikogminut88[.]at
  • limo00ruling[.]org
  • mini55tunul[.]com
  • samnutu11nuli[.]com
  • nikogkojam[.]org

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments