ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月20日(月)から6月26日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが53.8%と1位を占めており、その次にダウンローダーが25.1%、バックドアが14.8%、バンキングマルウェアが4.9%、ランサムウェアが1.3%の順に集計された。

Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は25.6%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.contrivekota[.]in (184.168.102[.]151)
sender : hokota@contrivekota[.]in
receiver : info1@contrivekota[.]in
user : hokota@contrivekota[.]in
pw : Co****123$ - server : mail.focuzauto[.]com (166.62.10[.]145)
sender : whford@focuzauto[.]com
receiver : obtxxxtf@gmail[.]com
user : whford@focuzauto[.]com
pw : Gdn*016 - server : smtp.jubana[.]cam (208.91.199[.]223)
sender : slimshady@jubana[.]cam
receiver : slimshadyrrr@jubana[.]cam
user : slimshady@jubana[.]cam
pw : el***Mj_
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- DOCUMENTS.exe RFQ_P.O#_AS894_-_SG633.exe
- GBL_QUOT.EXE
- PO_38890.EXE
- new_PO.exe
- Purchase_ORDER.exe
- swift copy.exe
- approved payment copy.exe
- balance_details.exe
- SHIPMENT_DOCUMENT.exe
Top 2 – GuLoader
23.8%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxp://103.170.254[.]140/b2k_PvdBf138.bin
- hxxp://104.168.70[.]22/stevog4_sjjSpuNSu254.bin
- hxxp://192.3.245[.]147/111.bin
- hxxp://192.3.245[.]147/bz.bin
- hxxp://192.3.245[.]147/dodom.bin
- hxxp://193.239.86[.]180/build_CMxTGk211.bin
- hxxps://guiadohomem[.]org/bin_HKglrBl160.bin
- hxxps://lovelifereboot[.]com/MAKS_ywgAq67.bin
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Arrival Notice – Job no. SISGN2206003-01.exe
- Mateso 0620-220078.exe
- JP181222006.exe
- P.O8942378478291-V890-00267.exe
- Purchase order_104121_90778_azBRIGHTOK.exe
- PROFORMAL_INV50004879_Sea_pdf.scr.exe
- Remittance Advice.pdf.exe
- tviste.exe
Top 3 – Formbook
Formbook マルウェアは20.2%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- kosho_f.exe asian enterprise_template.exe
- H4A2-423-EM154-302.exe
- RE_RV_RTQ_REVISED_PO_fo…02749-11-2022.exe
- PAYMENT COPY.exe
- PO-2022THERMAC06772 (Draft).exe
- estimates (forest job power plant) Arrival_notice.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.myqmetrbs[.]com/smwr/
- hxxp://www.smonique[.]com/ssmm/
- hxxp://www.motarasag[.]com/it39/
- hxxp://www.bravesxx[.]com/mwfc/
- hxxp://www.kekenapeps[.]com/g3ws/
- hxxp://www.brasbux[.]com/3u8u/
- hxxp://www.berendsit[.]com/pdrq/
- hxxp://www.mujid24s[.]com/rsea/
- hxxp://www.rabies36[.]com/oedc/
- hxxp://www.click-tokens[.]com/uu0p/
- hxxp://www.tumpiums[.]com/q8io/
- hxxp://www.ginnusgbs[.]com/3qfc/
- hxxp://www.teg432[.]com/k0dn/
- hxxp://www.shipin62[.]com/nmd2/
- hxxp://www.comment2020[.]com/utg6/
- hxxp://www.shermans8[.]com/4cgj/
- hxxp://www.baintsras[.]com/o3t8/
- hxxp://www.peixunses[.]com/f3bq/
- hxxp://www.trups88t[.]com/ttju/
Top 4 – Emotet
Emotet マルウェアは4.9%で4位を記録した。Emotet はバンキングマルウェアであり、スパムメールを通して拡散し続けている。
https://asec.ahnlab.com/jp/30861/
基本的に、インストールされる形態は追加の機能がないダウンローダーであり、システムにインストールされた後、追加でモジュールもしくはマルウェアがダウンロードできる。
追加のモジュールとしては、Web ブラウザ及びメールアカウント情報などの、ユーザー情報を窃取するモジュールと、共有フォルダ等を利用した伝播モジュールがある。ダウンロードされたマルウェアは Qakbot、Trickbot 等、さらに別のバンキングマルウェアがある。
Top 5 – Remcos
今週は Remcos が4.5%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
https://asec.ahnlab.com/jp/17889/
Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。
以下は、確認された Remcos の C&C サーバーアドレスである。
- blackwealth001.duckdns[.]org:2356
- 80.66.75[.]142
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計
[…] https://asec.ahnlab.com/jp/36032/ […]