ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月11日(月)から7月17日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが52.2%と1位を占めており、その次にバックドアマルウェアが26.8%、ダウンローダーが19.7%、バンキングマルウェアが0.6%、ランサムウェアが0.6%の順に集計された。

Top 1 – Agent Tesla
インフォスティーラー型マルウェアである AgentTesla は29.9%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : nbvqa[.]cam (192.185.37[.]183)
sender : logs@nbvqa[.]cam
receiver : asset@nbvqa[.]cam
user : logs@nbvqa[.]cam
pw : Wo******ce1 - server : activandalucia[.]com(185.162.171[.]75)
sender : marketing9@activandalucia[.]com
receiver : sales9@activandalucia[.]com
user : marketing9@activandalucia[.]com
pw : i***123456789@$ - server : alpitour[.]ro (195.24.236[.]35)
sender : office@alpitour[.]ro
receiver : salespcbcom@gmail[.]com
user : office@alpitour[.]ro
pw : R*****2004
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- DFDocumentsB2F.exe
- E700 quotation20111209.exe
- INVOICE30843221.PDF.exe
- Order-0003388657344498755655645.exe
- Payment Confirmation 409991_pdf.exe
- presupuesto20111209_xls.exe
- Proof of funds.exe
- Scan_0100000008192-07-13-2022.Pdf.exe
- SM – 00060 pdf.exe
- Swift – 70,990.00 – 220070.exe
- WSL_0398763543563-334536.exe
Top 2 – GuLoader
17.2%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxp://103.170.254[.]140/ori4_uZwAB92.bin
- hxxp://37.0.8[.]96/ori4_BbyzQsh88.bin
- hxxp://64.44.168[.]209/bin_eQRRH224.bin
- hxxps://alex5jewelry[.]com/UGOB_shEAWmYFg144.bin
- hxxps://drive.google[.]com/uc?export=download&id=1boB-fQiskxlObFjquuzE6RGT4R3me8M5
- hxxps://drive.google[.]com/uc?export=download&id=1E6uppfq60DUD1gKiTUXeaA7fjCL_DztZ
- hxxps://drive.google[.]com/uc?export=download&id=1zLnu1oI79DQnLFU9Smc2U9ROLws-QWyD
- hxxps://toucklock[.]com/FRANCIS_gOVmkcYIun138.bin
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- リクエスト資料リスト_20200429_1 .exe
- Order Request Wardrey Premise.exe
- Comprobante_de_pago_4PO873516721_pdf.exe
- BBVA-Confirming Factura.exe
- Norske Antagonismers.exe
- Oktavers.com
- PRUEBA DE PAGO.exe
- Skewers9.exe
Top 3 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Packing list.exe
- bc3.exe
- PO-15402-GEMILANGEO_13072022.exe
- RE CPIC ABAHSAIN FIBERGLASS.exe
- PAYMENT ADVICE.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.hand-oo[.]xyz/w21s/
- hxxp://www.sueaho24[.]xyz/ksy2/
- hxxp://www.nusires[.]com/mt88/
- hxxp://www.shermans8[.]com/4cgj/
- hxxp://www.momentums6[.]com/tn61/
- hxxp://www.fixthecosts[.]com/mnhg/
- hxxp://www.ninoxins[.]com/9j9n/
- hxxp://www.bestselectrics[.]com/h9t0/
Top 4 – NanoCore
今週は NanoCore が7.6%で4位を占めている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。
- J9oGg3o0PDx1GFc.exe
- 7fvPPAUC8dibneE.exe
- aff7c3.exe
- B79LCfym03BACbW.exe
以下は、確認された NanoCore の C&C サーバードメインである。
- fastspeed.ddnsfree[.]com
- lowaspeed.ddnsfree[.]com
- 411speed.duckdns[.]org
Top 5 – Lokibot
Lokibot マルウェアは6.4%で5位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。
- MSBuild.exe
- cvtres.exe
- svchost.exe
- notepad++.exe
大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。
- 98.187.30[.]47/p.php?id=16543535265942912
- 198.187.30[.]47/p.php?id=48782731967809308
- 45.133.1[.]45/perez1/five/fre.php
- 198.187.30[.]47/p.php?id=10316882234268616
- sempersim[.]su/gh20/fre.php
- sempersim[.]su/gh23/fre.php
- indrageet[.]top/five/fre.php
- sempersim[.]su/gf20/fre.php
- 198.187.30[.]47/p.php?id=19957150644816880
- ttloki[.]us/xz/ee/ttf.php
- sempersim[.]su/gh20/fre.php
- 198.187.30[.]47/p.php?id=22289002125658625
- 198.187.30[.]47/p.php?id=16543535265942912
- 198.187.30[.]47/p.php?id=6280950461217531
- 185.102.170[.]20/demo/fre.php
- 45.133.1[.]45/health5/five/fre.php
- 198.187.30[.]47/p.php?id=17414649419491256
- 62.197.136[.]176/health4/five/fre.php
- 185.102.170[.]20/demo/fre.php
- qtd8gcdoplav737wretjqmaiy[.]tk/pato/fre.php
- pvcfloorco[.]com/Panel/five/fre.php
- sempersim[.]su/gh20/fre.php
- 198.187.30[.]47/p.php?id=22289002125658625
- gracetime[.]tech/cyber/tech/coded/fre.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計