ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月4日(月)から7月10日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが43.9%と1位を占めており、その次にダウンローダーが27.2%、バックドアが21.1%、バンキングマルウェアが6.1%、ランサムウェアが1.1%、コインマイナーが0.6%の順に集計された。

Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は27.2%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : swlft-transportbd[.]com (193.239.84[.]207)
sender : taher@swlft-transportbd[.]com
receiver : taher@swlft-transportbd[.]com
user : taher@swlft-transportbd[.]com
pw : 2eO****tl - server : filamenthubb[.]com (162.214.73[.]110)
sender : liton.chandra@newgengroupbd[.]com
receiver : marionhuntm@gmail[.]com
user : liton.chandra@newgengroupbd[.]com
pw : LiT****21a - server : smtp.nutiribio[.]com (208.91.199[.]223)
sender : humhum@nutiribio[.]com
receiver : humhum@nutiribio[.]com
user : humhum@nutiribio[.]com
pw : zG****15
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- E700 new order20111209.exe
- Document_PDF.exe
- PO-0911254253364565009_JULY 2022.exe
- DHL AWB-COMMERCIAL INVOICE, BILL OF LADING, ETC DOC.exe
- SwiftMessage INVOICE 198208099.exe
- PAYMENT_.EXE
- Qw34#19317.pdf.exe
- QuotationOrder (SCS).exe
- banco swift104##..exe
Top 2 – GuLoader
20.0%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxp://103.170.254[.]140/slimzsd_csjEg47.bin
- hxxp://64.44.168[.]209/bin_KbsaNijVgq48.bin
- hxxp://www.counturculture[.]com/MAKS_wGOqe159.bin
- hxxps://argentinasincro[.]com/site/wp-content/plugins/vdrkimc/UGOB_TsAZH189.bin
- hxxps://drive.google[.]com/uc?export=download&id=1VnTWt82lWIFZrZNTCU6qmIPWzm4juP5E
- hxxps://newmannaholdings[.]com/mybin_reJhZUkVOw225.bin
- hxxps://ourhealthisfailing[.]com/UGOB_NXCgtfg142.bin
- hxxps://womenrockingitsummit[.]com/mybin_atrnraRM161.bin
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- リクエスト資料リスト_20200429_1.exe
- INQUIRY_#20220704_xxxl.exe
- MV MASTER.exe
- R Order confirmation_20220707_1431_doc456670987640987236793289.xlsx_doc45667098.exe
- Recibo_de_Transferencia_01286402_xls_.(pdf).exe
- Royalistiskes2.com
- SPARE_PARTS_NO_XC7K480T-3FFG1901E_.exe
- Transpalmar5.exe
Top 3 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- TimeSpanPa.exe
- siparis 732022Yvvthilkr.exe
- YYHMSDJBSDJKS.exe
- chrome.exe
- WinRAR.exe
- CompatibilityF.exe
- TTGJSDJKS.exe
- ISectionWithReferenceIdentity.exe
- StaticArrayInitTypeSize.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.amtilo[.]online/c01r/
- hxxp://www.keropy[.]xyz/s4s9/
- hxxp://www.keropy[.]xyz/s4s9/
- hxxp://www.preose[.]xyz/nk6l/
- hxxp://www.dambofe[.]online/ki62/
- hxxp://www.eroptik[.]online/en83/
- hxxp://www.maspow[.]xyz/lt17/
- hxxp://www.quititamorn[.]com/b6qc/
- hxxp://www.detechados[.]com/n6ef/
- hxxp://www.wapiproject[.]xyz/md13/
- hxxp://www.drevom[.]online/p84i/
- hxxp://www.drowan[.]xyz/ae25/
- hxxp://www.keropy[.]xyz/s4s9/
- hxxp://www.ventul[.]online/m56u/
- hxxp://www.whisae[.]xyz/s0w6/
- hxxp://www.quieco[.]xyz/t23s/
- hxxp://www.mujid24s[.]com/a5vu/
- hxxp://www.caerod[.]xyz/e63z/
- hxxp://www.ginnusgbs[.]com/3qfc/
- hxxp://www.quieco[.]xyz/t23s/
Top 4 – Remcos
今週は Remcos が6.7%で4位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
https://asec.ahnlab.com/jp/17889/
Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。
以下は、確認された Remcos の C&C サーバーアドレスである。
- 80.66.75[.]123/Euoiobijb_Uhxtewry.bmp
- 80.66.75[.]123/ldmna_Gtwobgsx.bmp
- blackwealth001.duckdns[.]org
- 112.124.17[.]233:8080
Top 5 – Redline
RedLine マルウェアは6.1%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://185.215.113[.]75:81/
- hxxp://194.36.177[.]77:23795/
- hxxp://176.124.200[.]85:38461/
- hxxp://80.87.192[.]249:16640/
- hxxp://62.204.41[.]141:24758/
- hxxp://80.87.192[.]249:16640/
- hxxp://tsmctracking[.]pro:80/
- hxxp://213.226.123[.]155:2014/
- hxxp://185.215.113[.]83:60722/
- hxxp://77.91.102[.]23:8185/
- hxxp://194.36.177[.]32:40788/
- hxxp://185.106.92[.]221:46298/
- hxxp://185.17.0[.]63:34397/
- hxxp://193.124.22[.]7:35632/
- hxxp://179.43.154[.]136:6001/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計