ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月8日(月)から8月14日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが41.9%と1位を占めており、その次にバックドアマルウェアが38.4%、ダウンローダーが16.8%、ランサムウェアが2.2%、コインマイナーマルウェアが0.6%の順に集計された。
Top 1 – Agent Tesla
インフォスティーラー型マルウェアである AgentTesla は23.1%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.dyreco[.]com (185.161.97[.]12)
sender : uniformidad@dyreco.com
receiver : salespcbcom@gmail.com
user : uniformidad@dyreco.com
pw : Dy*******11 - server :mail.pioneerentp.com (66.117.3[.]103)
sender : admin1@pioneerentp.com
receiver : ohazurumeignatius6@gmail.com
user : admin1@pioneerentp.com
pw : Ran******Mb - server :mail.activandalucia.com (185.162.171[.]75)
sender : marketing9@activandalucia.com
receiver : sales9@activandalucia.com
user : marketing9@activandalucia.com
pw : iy*******6789@$
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- 9823581_pdf.exe
- EPDA.exe
- PO-151.exe
- revised order_pdf.exe
- documents.exe
- INQUIRY 6000912781_PDF.exe
- KW-289-2022-Oil immertsion Heater.exe
- Image $95,934.55.exe
- WMp2DHcMCHOfAYS.exe
Top 2 – Remcos
今週は Remcos が14.9%で2位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
https://asec.ahnlab.com/jp/17889/
Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。
以下は、確認された Remcos の C&C サーバーアドレスである。
- 55440.duckdns[.]org
- 55441r.duckdns[.]org
- lab-project[.]in
- 62.204.41[.]69
- 172.111.234[.]100
- skygroupt6.zapto[.]org
- keyrat.ddnsp[.]net
- kklink.duckdns[.]org
Top 3 – Smoke Loader
Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、10.6%の割合で今週の3位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- hxxps://rfgsdfhfghdfjdghkj[.]xyz
- hxxps://monsutiur4[.]com
- hxxps://nusurionuy5ff[.]at
- hxxps://cucumbetuturel4[.]com
- hxxps://lilisjjoer44[.]com
- hxxps://nikogminut88[.]at
Top 4 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- REQUEST FOR QUOTATION #586545……. QUOTATION #58654528. PDF.exe
- MV. SPRING HONOR_SHIP_PARTICULAR.exe
- InternalPartitionEnumera.exe
- Consiste.exe
- rEIjm.exe
- F22_000786.exe
- ISafeSerializationD.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.blemchi[.]xyz/ng04/
- hxxp://www.gankotin[.]online/nt19/
- hxxp://www.febmaklstudio[.]xyz/g2i8/
- hxxp://www.renaziv[.]online/mh76/
- hxxp://www.baintsras[.]com/zzun/
- hxxp://www.gektolicompany[.]xyz/s0s2/
- hxxp://www.haxtrldesign[.]xyz/iw01/
- hxxp://www.ganyropusa[.]xyz/bn19/
- hxxp://www.migstrip[.]online/d27e/
- hxxp://www.vetlomec[.]xyz/b30i/
- hxxp://www.cropmet[.]online/d1s6/
- hxxp://www.gatiropinc[.]xyz/m27e/
Top 5 – RedLine
RedLine マルウェアは8.2%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://65.108.69[.]168:13293/
- hxxp://62.204.41[.]144:14096/
- hxxp://185.200.191[.]18:80/
- hxxp://135.181.129[.]119:4805/
- hxxp://103.89.90[.]61:18728/
- hxxp://80.87.192[.]249:16640/
- hxxp://15.235.171[.]56:30730/
- hxxp://185.106.92[.]226:40788/
- hxxp://193.106.191[.]106:26883/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計