Posted By Hansoyoung , 2022年 June 29日

ASEC マルウェア週間統計 ( 20220620～20220626 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月20日(月)から6月26日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが53.8%と1位を占めており、その次にダウンローダーが25.1%、バックドアが14.8%、バンキングマルウェアが4.9%、ランサムウェアが1.3%の順に集計された。

Top 1 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は25.6%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

server : mail.contrivekota[.]in (184.168.102[.]151)
sender : hokota@contrivekota[.]in
receiver : info1@contrivekota[.]in
user : hokota@contrivekota[.]in
pw : Co****123$
server : mail.focuzauto[.]com (166.62.10[.]145)
sender : whford@focuzauto[.]com
receiver : obtxxxtf@gmail[.]com
user : whford@focuzauto[.]com
pw : Gdn*016
server : smtp.jubana[.]cam (208.91.199[.]223)
sender : slimshady@jubana[.]cam
receiver : slimshadyrrr@jubana[.]cam
user : slimshady@jubana[.]cam
pw : el***Mj_

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

DOCUMENTS.exe RFQ_P.O#_AS894_-_SG633.exe
GBL_QUOT.EXE
PO_38890.EXE
new_PO.exe
Purchase_ORDER.exe
swift copy.exe
approved payment copy.exe
balance_details.exe
SHIPMENT_DOCUMENT.exe

Top 2 – GuLoader

23.8%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。

hxxp://103.170.254[.]140/b2k_PvdBf138.bin
hxxp://104.168.70[.]22/stevog4_sjjSpuNSu254.bin
hxxp://192.3.245[.]147/111.bin
hxxp://192.3.245[.]147/bz.bin
hxxp://192.3.245[.]147/dodom.bin
hxxp://193.239.86[.]180/build_CMxTGk211.bin
hxxps://guiadohomem[.]org/bin_HKglrBl160.bin
hxxps://lovelifereboot[.]com/MAKS_ywgAq67.bin

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

https://asec.ahnlab.com/jp/32387/

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

Arrival Notice – Job no. SISGN2206003-01.exe
Mateso 0620-220078.exe
JP181222006.exe
P.O8942378478291-V890-00267.exe
Purchase order_104121_90778_azBRIGHTOK.exe
PROFORMAL_INV50004879_Sea_pdf.scr.exe
Remittance Advice.pdf.exe
tviste.exe

Top 3 – Formbook

Formbook マルウェアは20.2%で3位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

kosho_f.exe asian enterprise_template.exe
H4A2-423-EM154-302.exe
RE_RV_RTQ_REVISED_PO_fo…02749-11-2022.exe
PAYMENT COPY.exe
PO-2022THERMAC06772 (Draft).exe
estimates (forest job power plant) Arrival_notice.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。