ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月27日(月)から7月3日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが48.0%と1位を占めており、その次に バンキングマルウェアが26.5%、RAT が12.5%、ダウンローダーが8.2%、CoinMiner が1.8%、バックドアが0.7%の順に集計された。

Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は29.7%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.nec-eg[.]com (23.235.222[.]9)
sender : sales5@nec-eg[.]com
receiver : nelsonpacavira01@gmail[.]com
user : sales5@nec-eg[.]com
pw : i!N****12 - server : mail.anora-il.com (66.85.132[.]138)
sender : sales@anora-il.com
receiver : origin4wding1@gmail.com
user : sales@anora-il.com
pw : ikec***89@@$$ - server : mail.mpr4u.my (103.6.198[.]52)
sender : admin@mpr4u.my
receiver : johnsolution12@yandex.com
user : admin@mpr4u.my
pw : mpr*****456
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- RL_QUOTA.EXE
- 28-06-2022.exe
- confirm order.exe
- 2022 Amortization PDF.exe
- QUOTATIO.EXE
- Payment Confirmation – 16326978.exe
- PAYMENT_.EXE
- JULY PRODUCTION PLAN.exe
- DRAFT DOCUMENTS.exe
- QUOTATIO.EXE
Top 2 – Formbook
Formbook マルウェアは20.3%で2位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- BL & jpg.exe
- Copy656287HG PDF.exe
- PO_87910219.exe
- RFQ_Forms.exe
- Payment slip.exe
- INV No. SMEPL03122-23 & PL.pdf.exe
- Statement of Accoun 2022 06 29.exe
- MV.WHITE TOKIO (TWEEN DECK).exe
- PURCHASE ORDER 87910219.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.kekenapeps[.]com/g3ws/
- hxxp://www.seontra[.]xyz/ba17/
- hxxp://www.trups88t[.]com/gfv7/
- hxxp://www.gedloty[.]online/sd28/
- hxxp://www.saknuf[.]online/ir93/
- hxxp://www.grocits[.]com/uf61/
- hxxp://www.sticklum[.]xyz/p07y/
- hxxp://www.shipin62[.]com/nmd2/
- hxxp://www.hand-oo[.]xyz/w21s/
- hxxp://www.jak-omi[.]xyz/oi28/
- hxxp://www.oneipoyce[.]xyz/wy35/
- hxxp://www.grocits[.]com/n9e0/
- hxxp://www.shipin62[.]com/5srr/
- hxxp://www.grocits[.]com/nxmu/
- hxxp://www.detechados[.]com/auh4/
- hxxp://www.dambofe[.]online/ki62/
- hxxp://www.shermans8[.]com/4cgj/
- hxxp://www.adusmo[.]xyz/kp07/
- hxxp://www.teklcin[.]online/s3s3/
- hxxp://www.cibuq[.]online/co25/
- hxxp://www.gektolicompany[.]xyz/s0s2/
- hxxp://www.dambofegroup[.]xyz/fs92/
- hxxp://www.yandepusa[.]online/al36/
- hxxp://www.gektoli[.]online/f02e/
- hxxp://www.chisalan[.]com/t65q/
- hxxp://www.jak-omi[.]xyz/jr04/
- hxxp://www.fxivcama[.]com/ip4t/
- hxxp://www.yandepusa[.]xyz/al24/
- hxxp://www.shermans8[.]com/9q2j/
- hxxp://www.fxivcama[.]com/be3s/
Top 3 – Emotet
Emotet マルウェアは12.3%で3位を記録した。Emotet はバンキングマルウェアであり、スパムメールを通して拡散し続けている。
https://asec.ahnlab.com/jp/30861/
基本的に、インストールされる形態は追加の機能がないダウンローダーであり、システムにインストールされた後、追加でモジュールもしくはマルウェアがダウンロードできる。
追加のモジュールとしては、Web ブラウザ及びメールアカウント情報などの、ユーザー情報を窃取するモジュールと、共有フォルダ等を利用した伝播モジュールがある。ダウンロードされたマルウェアは Qakbot、Trickbot 等、さらに別のバンキングマルウェアがある。
Top 4 – GuLoader
10.4%で23.8%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxp://103.170.254[.]140/build_yzJSLRD62.bin
- hxxp://192.3.245[.]147/llk.bin
- hxxp://www.aortisrg[.]tk/MAKS_CLrYPFakGO54.bin
- hxxps://wewsz[.]cf/bin_xGwxH137.bin
- hxxps://microoffshore[.]com/UGOB_BAWprZ184.bin
- hxxp://192.3.245[.]147/do.bin
- hxxps://drive.google[.]com/uc?export=download&id=10MDTWjxFbgKy9SVlIRdiflqiuoGkuEzU
- hxxp://103.170.254[.]140/slimzsd_CYxFDSjD253.bin
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- V & W Ventures Order_pdf.exe
- Hp_090976745G4_docs.bat
- Requisition.com
- ADNOC RFQ 97571784_pdf.exe
- KOMMUNIKATIONSFORMS.com
- Over Due SOA.pdf.exe
- transfer copy pdf.exe
- DRAWING1,2,3,4.EXE
Top 5 – Lokibot
Lokibot マルウェアは6.6%で5位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- SOA_May.exe
- Vessel_RFQ.exe
- RE-ORDER RFQ.exe
- DHL Receipt_AWB811470484778.exe
- RFQ_MATERIALS_JAYA20220626_PDF.exe
- WIRA_BAJA_MAKMUR
- MANDIRI_Dp_Full_PO_2201090_REVISED_PI_LPE20220616.pdf.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://45.133.1[.]20/health12/five/fre.php
- hxxp://62.197.136[.]176/health4/five/fre.php
- hxxp://85.202.169[.]172/kelly/five/fre.php
- hxxp://85.202.169[.]172/health3/five/fre.php
- hxxp://185.102.170[.]20/demo/fre.php
- hxxp://198.187.30[.]47/p.php?id=53483370875096238
- hxxp://sempersim[.]su/gh13/fre.php
- hxxp://sempersim[.]su/gf19/fre.php
- hxxp://sempersim[.]su/gf20/fre.php
- hxxp://sempersim[.]su/fo/fre.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計