ASEC マルウェア週間統計 ( 20220815～20220821 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月15日(月)から8月21日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが57.8%と1位を占めており、その次にバックドアマルウェアが24.2%、ダウンローダーが13.7%、ランサムウェアが3.7%、コインマイナーマルウェアが0.6%の順に集計された。

Top 1 –  Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は38.5%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• server : mail.realforceshipping[.]com (65.254.34[.]162)
  sender : info@realforceshipping[.]com
  receiver : info@sialkotinstrumentsco[.]com
  user : info@realforceshipping[.]com
  pw : W*******018
• server : posta.ni.net[.]tr (89.252.128[.]115)
  sender : vize@apareia.com[.]tr
  receiver : saleseuropower@yandex[.]com
  user : vize@apareia.com[.]tr
  pw : nil****57
• server : mail.activandalucia[.]com (185.162.171[.]75)
  sender : marketing9@activandalucia[.]com
  receiver : sales9@activandalucia[.]com
  user : marketing9@activandalucia[.]com
  pw : iy*******6789@$

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• JULY SOA.exe
• INVOICE17082020_pdf.exe
• wire Transfers.exe
• Demand List.exe
• Oferta XL-PO5847_pdf.exe
• New Order.exe

Top 2 – Formbook

Formbook マルウェアは9.3%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• Purchase Order 2070121 SN-WS.Pdf.exe
• 6605701.xls .exe
• Payment Advice_pdf.exe
• 226621.exe
• mt1033_pdf.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• http://www.maposhie[.]com/unjh/
• http://www.gektolicompany[.]xyz/s0s2/
• http://www.lastsummercog[.]com/ermr/
• http://www.brateix[.]info/gno4/
• http://www.mimikis[.]info/u86g/
• http://www.mage-cart[.]info/u4xn/
• http://www.nxgills[.]com/usgi/
• http://www.artes[.]express/zu0g/

Top 2 – RedLine

RedLine マルウェアは9.3%で Formbook と同率2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

• 62.204.41[.]144
• 45.95.11[.]158
• 45.159.248[.]53
• 193.56.146[.]177
• 31.41.244[.]134

Top 4 – GuLoader

6.8%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。

• hxxp://basarbasmaz[.]com/kz.psd
• hxxp://casser-ar[.]com/admin/TcYEAAFNX27.deploy
• hxxp://blexknad.dd-dns[.]de/JjjZTqQlaJOBRm37.hhp
• hxxp://casser-ar[.]com/admin/MueqiL158.dwp
• https://onedrive.live[.]com/download?cid=31EC16743204A94D&resid=31EC16743204A94D%211341&authkey=AHaKriMF6qwTOQ4
• https://indepfin[.]com/believe/louayJZkpnm230.dsp
• https://drive.google[.]com/uc?export=download&id=1OU0m0N-gPsXpptBL6PpJbeLVO1h5imjH

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• Seguimiento de Fedex.exe
• Orden de compra #20220510CO.exe
• Swift.exe
• PO#2022CTV05-47.exe
• Bairnliest Tabslisters.exe
• Afgiftsudvalgs Matrones.exe
• Invoice – PL.exe

Top 5 – AveMaria

今週は AveMaria が6.2%を占めており、5位に名が上がった。AveMaria は遠隔操作機能のRAT(Remote Administration Tool)マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。

https://asec.ahnlab.com/jp/16911/

AveMaria マルウェアは AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって配布されている。また、検知を回避するために上記のマルウェアと類似している .NET アウトラインのパッカーによりパッキングされて配布されている。したがって、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。

• ScanDocument-pdf.exe
• PAYMENT SWIFT COPY.exe
• SCANN RFQ_887UHJ BASCO .INT.L.exe
• MV_HO****ENG_7__PDA.exe
• machining_RA85773987_AD_5_ETZ_001.exe

以下は確認された AveMaria の C&C サーバーである。

• 51.75.209[.]232:5200
• 37.120.206[.]69:5200
• 103.231.91[.]59:56128

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。