ASEC マルウェア週間統計 ( 20220801~20220807 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月1日(月)から8月7日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが47.4%と1位を占めており、その次にバックドアマルウェアが22.6%、ダウンローダーが20.0%、ランサムウェアが6.8%、バンキングマルウェアが2.6%、コインマイナーが0.5%の順に集計された。

Top 1 – Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は25.8%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server : mail.activandalucia[.]com (185.162.171[.]75)
    sender : marketing9@activandalucia[.]com
    receiver : sales9@activandalucia[].com
    user : marketing9@activandalucia[.]com
    pw : iyke****89@$
  • server : smtp.dhavaldistilevap[.]cam (208.91.198[.]143)
    sender : sendrc@dhavaldistilevap[.]cam
    receiver : norc2@dhavaldistilevap[.]cam
    user : sendrc@dhavaldistilevap[.]cam
    pw : 0b@****Oi?#e
  • server : mail.enmark.com[.]my (110.4.45[.]145)
    sender : finance@enmark.com[.]my
    receiver : finance@enmark.com[.]my
    user : finance@enmark.com[.]my
    pw : 08J****63

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • URGENT REQUIREMENT.exe
  • AWD 0926317468 DHL SHIPPING DOCUMENTS.exe
  • Doc_6000019430_AUGUST2022.exe
  • Bank Slip #eo0012it90019999prt0001.exe
  • SWIFT TRANSFER-00298760.exe
  • Swift – 21,700 – 060296.exe
  • E700 quotation20111209.exe
  • CR4356789023.PDF.exe
  • DECLARATIE EXPORT UK1RO-0108DSV_0381.exe
  • PO 2220802-031A.exe

Top 2 – Formbook

Formbook マルウェアは15.3%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • Pre Alert Docs.exe
  • ZB_1997e758e3.exe
  • Сатып алуға тапсырыс.exe
  • DEM12GF803.exe
  • PRE-ALERT IOF22-23BLB1399.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.hocseohanoi[.]com/o85a/
  • hxxp://www.ifair[.]ltd/ermr/
  • hxxp://www.holyfamilysports[.]com/nt19/
  • hxxp://www.northpierangling[.]info/mh76/
  • hxxp://www.commandersconclave[.]com/bd26/
  • hxxp://www.holyfamilysports[.]com/nt19/
  • hxxp://www.730me[.]world/qs08/
  • hxxp://www.mpmidea[.]com/be3s/
  • hxxp://www.ruichuo888[.]com/g2i8/
  • hxxp://www.secure-id6793-chase[.]com/zzun/

Top 3 – Guloader

9.5%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。

  • hxxp://185.225.73[.]165/download/01_bxyonnRcE220.bin
  • hxxp://3sixtyd[.]nl/bin_oEaDFVu142.bin
  • hxxp://gamersoffuture[.]com/new_evBbvnIQ97.bin
  • hxxp://lansol[.]com/TX_0/babaC_NYiddsrK143.bin
  • hxxp://3sixtyd[.]nl/bin_oEaDFVu142.bin
  • hxxps://cdn.discordapp[.]com/attachments/963535165500588126/1003939899570917376/WARRANT_EaPxSneLbj229.bin
  • hxxps://cdn.discordapp[.]com/attachments/963535165500588126/1004107105533448263/WARRANT_Eqawb254.bin

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • ANVA-BL-PMURLV1.2/b1.exe
  • DHL_229140 documento de recebimento,pdf.exe
  • Hexes.exe
  • INV#0011009230011008766998_PDF.exe
  • Lithoprint.exe
  • order samples.bat
  • Purchase Order – 12994-.exe
  • SKM_20220108.exe

Top 4 – RedLine

RedLine マルウェアは9.5%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • hxxp://77.73.132[.]84
  • hxxp://185.106.92[.]128:16509
  • hxxp://62.204.41[.]139:25190
  • hxxp://62.204.41[.]144:14096
  • hxxp://163.123.143[.]229:50230
  • hxxp://193.43.147[.]242
  • hxxp://195.54.170[.]157:16525

Top 5 – Stop Ransomware

最後に6.8%で5位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。最近拡散しているサンプルは、情報窃取型のマルウェアである Vidar マルウェアをインストールしてから、ランサムウェアの振る舞いを実行する。

以下は Stop Ransomware の C&C サーバーアドレスである。

  • hxxp://rgyui[.]top/dl/build2.exe
  • hxxp://acacaca[.]org/files/1/build3.exe
  • hxxp://acacaca[.]org/fhsgtsspen6/get.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments