Posted By ,

ASEC マルウェア週間統計 ( 20220718~20220724 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月18日(月)から7月24日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが44.7%と1位を占めており、その次にバックドアマルウェアが40.3%、ダウンローダーが14.5%、ランサムウェアが0.6%の順に集計された。

Top 1 – Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は27.0%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server : mail.activandalucia[.]com (185.162.171[.]75)
    sender : marketing9@activandalucia[.]com
    receiver : sales9@activandalucia[].com
    user : marketing9@activandalucia[.]com
    pw : iyke****89@$
  • server : mail.irw.com[.]br (200.219.229[.]6)
    sender : sales11@irw.com[.]br
    receiver : purchase@technospeedglobal[.]com
    user : sales11@irw.com[.]br
    pw : Eve****10@
  • server : mail.palumalimited[.]com (174.136.29[.]110)
    sender : francisco@palumalimited[.]com
    receiver : ranjqnupreti3@gmail[.]com
    user : francisco@palumalimited[.]com
    pw : +D&G****4#(M

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • PO – 43387709210_August 2022_06543001111.exe
  • ITEMS LIST AND SPECIFICATION.exe
  • Swift Copy.pdf.Cab.exe
  • DHL_119040 documento de recibo, pdf.exe
  • Purchase Order.PDF(2).CAB
  • Awb – 1666547433_INVOICE AND SHIPPING DOCUMENTS.pdf.exe
  • E700 quotation20111209.exe

Top 2 – RedLine

RedLine マルウェアは22.6%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • hxxp://176.124.200[.]85:38461/
  • hxxp://94.23.190[.]57:25565
  • hxxp://101.99.93[.]104:80/
  • hxxp://193.106.191[.]81:23196/
  • hxxp://185.143.223[.]73:31800
  • hxxp://timenist[.]agency:80/
  • hxxp://45.155.204[.]124:23180/
  • hxxp://nicehash[.]at:1338/
  • hxxp://wayototo.duckdns[.]org:23349/
  • hxxp://synchbrokers[.]asia:80/
  • hxxp://194.36.177[.]32:40788/

Top 3 – Formbook

Formbook マルウェアは10.7%で3位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • PURCHASE.EXE PO_76638800.exe
  • Quotation#Q21Y05754.PDF.exe
  • DHL#NO67898745678.PDF.exe
  • PO_3737390.exe
  • PO0278374554JULY2022.exe
  • Payment#000110011000111.pdf.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.momentums6[.]com/tn61/
  • hxxp://www.banceout3[.]com/ceah/
  • hxxp://www.renaziv[.]online/mh76/
  • hxxp://www.mujid24s[.]com/rsea/
  • hxxp://www.trascrss[.]com/g6k0/
  • hxxp://www.baintsras[.]com/zzun/
  • hxxp://www.drevom[.]online/fs44/
  • hxxp://www.caobatins[.]com/vcir/

Top 4 – GuLoader

8.8%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。

  • hxxp://mailcrononline[.]com/js/CQLBwaYG72.bin
  • hxxp://212.192.246[.]226/droidneworiginwithfilterdroid@keefort_FeuyKnV62.bin
  • hxxps://softteethailand[.]com/myspecailbin_AHFBFmrZqX5.bin
  • hxxps://cihno[.]shop/SFDmIGRZ/bin_dKHDX76.bin
  • hxxps://lemendoza[.]com/xxxx/gumabelt_LXBWuAzBCv16.bin
  • hxxps://njpersonalchefs[.]com/med_ijBQUbYPt220.rP=
  • hxxps://lemendoza[.]com/ccff/gumabelt_FQBBEYYJV212.bqO
  • hxxps://fetchtechsolutions[.]com/myspecailbin_PXmNVAeYoF159.bin

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

https://asec.ahnlab.com/jp/32387/

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • 009facturas y datos bancarios.png.exe
  • inswell.exe
  • Inv_059485_TRTY00947.exe
  • Inv_RUFTY_2374859.exe
  • New order for the month dated 07202022.exe
  • nova narudžba za mjesec 0002466556.exe
  • Richiesta di preventivo ordine nr 001 – AUDIO OHM S.r.l..exe
  • Technical Specifications Requirements_Rev0.exe

Top 5 – NanoCore 

今週は NanoCore が7.5%で5位を占めている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。

  • easy#.exe
  • melon#.exe
  • build.exe
  • a3190c.exe

以下は、確認された NanoCore の C&C サーバードメインである。

  • gandigod.ddns[.]net:54984
  • xp230522.ddns[.]net:1990
  • brewsterchristophe.ddns[.]net:5899
  • derananocore.ddns[.]net:1187
  • 411speed.duckdns[.]org:40111

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments