Posted By ,

ASEC マルウェア週間統計 ( 20220725~20220731 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年7月25日(月)から7月31日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが38.6%と1位を占めており、その次にバックドアマルウェアが38.1%、ダウンローダーが23.3%の順に集計された。

Top 1 – Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は23.8%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server : server27.host[.]bg
    sender : mateev@ema-bg[.]com
    receiver : gonzajohnn@gmail[.]com
    user : sender : mateev@ema-bg[.]com
    pw : 72c******c80ff
  • server : mail.activandalucia[.]com (185.162.171[.]75)
    sender : marketing9@activandalucia[.]com
    receiver : sales9@activandalucia[].com
    user : marketing9@activandalucia[.]com
    pw : iyke****89@$
  • server : od.sin2.secureserver[.]net
    sender : whford@focuzauto[.]com
    receiver : obtxxxtf@gmail[.]com
    user : whford@focuzauto[.]com
    pw : Gdn4*****16

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • SHipping documents.exe
  • ftkbeaep.exe
  • Purchase Order_Request for QUOTE Specs.exe
  • 220077 INVOICE.exe
  • Img-08052020.exe
  • Payment Advice.exe
  • DHL SHIPMENT NOTIFICATION.exe

Top 2 – RedLine

RedLine マルウェアは21.2%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 62.204.41[.]144
  • 31.41.244[.]134
  • trustamsty[.]com
  • 103.89.90[.]61
  • 185.106.92[.]226
  • lunovim957.duckdns[.]org

Top 3 – GuLoader

11.6%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。

  • hxxp://3sixtyd[.]nl/bin_KyNCVEt113.bin
  • hxxp://3sixtyd[.]nl/bin_qvhDx81.bin
  • hxxp://lansol[.]com/shaq_/babaC_ZVbkF201.bin
  • hxxps://401kforce[.]com/myspecailbin_frFgfn5.bin
  • hxxps://drive.google[.]com/uc?export=download&id=1CC0uVUY8fxeHHshjvaB-rsBabBVyNuJm
  • hxxps://drive.google[.]com/uc?export=download&id=1CC0uVUY8fxeHHshjvaB-rsBabBVyNuJm
  • hxxps://drive.google[.]com/uc?export=download&id=1PxiGxacgLs_2PRBMmPOqobz1QQAB-KCC
  • hxxps://onecallitservices.co[.]uk/gumabelt_kZSaaDscx165.bin

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

https://asec.ahnlab.com/jp/32387/

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • Abridgedly hypokinesis.exe
  • adv.._ref_copy_pdf.exe
  • Farmaceut.exe
  • Order#A0-22-039_A0009110234-22-036-pdf.exe
  • PO202202AG7.exe
  • Quote – Compagnie Madecasse _ RN6.exe
  • TNT_AWB_AND_INVOICE_098768.exe

Top 4 – Smoke Loader

Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、11.1%の割合で今週の4位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • rfgsdfhfghdfjdghkj[.]xyz
  • host-file-host6[.]com/
  • rgyui[.]top/dl/
  • acacaca[.]org/files/1/
  • cucumbetuturel4[.]com
  • linislominyt11[.]at
  • susuerulianita1[.]net
  • nusurionuy5ff[.]at
  • nunuslushau[.]com
  • moroitomo4[.]net
  • monsutiur4[.]com
  • ejeana.co[.]ug

Top 5 – Formbook

Formbook マルウェアは9.5%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • Purchase Order Frank Manufact…….er Frank Manufactures.Pdf.exe
  • F22-0000746.pdf.exe
  • Statement (74002425).Pdf.exe
  • Automatic Deluge Pump.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.gutro[.]online/ja25/
  • hxxp://www.caobatins[.]com/vcir/
  • hxxp://www.tecmos[.]xyz/d2s6/
  • hxxp://www.numu882[.]com/6hsc/
  • hxxp://www.chuvop[.]xyz/bg11/
  • hxxp://www.vast-yep[.]xyz/en15/
  • hxxp://www.numu882[.]com/6hsc/
  • hxxp://www.yourpamlano[.]xyz/sn31/
  • hxxp://www.gankotin[.]online/nt19/
  • hxxp://www.yaeting[.]online/f93z/
  • hxxp://www.keropy[.]xyz/s4s9/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments