ASEC マルウェア週間統計 ( 20220822～20220828 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月22日(月)から8月28日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが41.0%と1位を占めており、その次にバックドアマルウェアが31.8%、ダウンローダーが21.4%、ランサムウェアが5.8%の順に集計された。

Top 1 –  Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は23.7%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• server : mail.absheron-sharab[.]az (162.241.217[.]198)
  sender : emin.gasimov@absheron-sharab[.]az
  receiver : zakirrome@ostdubai[.]com
  user : emin.gasimov@absheron-sharab[.]az
  pw : e******7
• server : mail.spjsv[.]ro (89.43.174[.]45)
  sender : neurologie@spjsv[.]ro
  receiver : daniel.yiletech.com.cn@asinsan[.]com
  user : neurologie@spjsv[.]ro
  pw : N3u****@!
• server : mail.deanlogistics[.]org (192.185.147[.]82)
  sender : dennis@deanlogistics[.]org
  receiver : godwingodwin397@gmail[.]com
  user : dennis@deanlogistics[.]org
  pw : m******a2

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• Company profile and quotation p01234.exe
• BANK LETTER.pdf.exe
• Debit Advice.exe
• Credit_Details1692214923080022.exe
• SWZ~123456789-0987654323456789-9876-.exe
• 2022 Q2 SIEMENS Energy -PO- 216238068.exe
• BALANCE PAYMENT.exe
• DHL Delivery Invoice.pdf.exe
• dhl intraship form.exe
• PO.exe
• PURCHASE ORDER.exe
• Emirates NBD Bank Slip.exe
• Invoice Detailed_____pdf.exe
• Inquiry-ICMES-JIF-10-022 GI.exe
• payment advice.exe

Top 2 – RedLine

RedLine マルウェアは12.1%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

• 193.106.191[.]106:26883
• 194.36.177[.]60:81
• 77.73.131[.]38:19955
• 185.106.92[.]139:16578
• 193.124.22[.]27:8362
• 195.201.97[.]204:5502
• please.c0nnect2me[.]ru:7777
• morewallet[.]org:81
• serverdataorg[.]xyz:81
• komiernnene[.]xyz:80
• janolavave[.]xyz:80
• deutwell[.]net:80

Top 3 – Formbook

Formbook マルウェアは11.6%で3位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• AHMR 4036.exe
• Quotation #24.08.2022.PDF.exe
• Shipping documents.exe
• SOA for July & August 2022.exe
• Purchase Order #08.22.2022.Pdf.exe
• AWB_NO_#9284730932.exe
• INV_009847.exe
• OP000100034451.exe
• DHL Shipment Delivery Notification 23-8-22.exe
• PO-8372929.exe
• PO-8372929 .PDF.exe
• RFQ009878_diabos$.pdf.exe
• PRODUCT LIST.exe
• doc scanned copy.pdf.exe
• Product Inquiry.exe
• MV DOLPHIN 18_SHIP-PARTICULARS.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.rewkagcompany[.]xyz/de08/
• hxxp://www.seontra[.]xyz/ba17/
• hxxp://www.numu882[.]com/6hsc/
• hxxp://www.potakyo[.]online/j2s3/
• hxxp://www.gektolicompany[.]xyz/s0s2/
• hxxp://www.firtoky[.]online/mzk6/
• hxxp://www.donfes[.]xyz/s82r/
• hxxp://www.kesmrie[.]xyz/a38w/
• hxxp://www.vghgyt[.]xyz/p22s/
• hxxp://www.fresune[.]online/bge6/

Top 4 – GuLoader

11.0%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。

• hxxps://comealongwithpeggy[.]com/wp-includes/oHxcgAT176.dsp
• hxxps://drive.google[.]com/uc?export=download&id=1q5QRrh05QeGKGfqFh4Es19EysWHojn5V
• hxxps://drive.google[.]com/uc?export=download&id=1UV5ty2cO3X_c8wMxwHJp8EopWNiLZ_rj
• hxxps://comealongwithpeggy[.]com/wp-includes/WDqESQPIvft123.fla
• hxxp://cdn.discordapp[.]com/attachments/956928735397965906/1011525020427763732/KqRRf17.jpb
• hxxps://onedrive.live[.]com/download?cid=AD14B31BCCF48FCA&resid=AD14B31BCCF48FCA%21110&authkey=AEk0lqt

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• DETAILS AND INVOICES.exe
• JUSTIFICANTE DE PAGO.exe
• Factura 00347.exe
• Punktummer Femtedelene.exe
• REQUEST FOR QUOTE (SUPPLIES).exe
• NEW ORDER.exe
• Quotation.exe
• DETALLES Y FACTU/DETALLES Y FACTURAS.exe
• Statement of Accounts.exe
• DETAILS AND INVO/DETAILS AND INVOICES.exe
• Punktummer Femtedelene.exe
• DHL_A_3880011.exe

Top 5 –  Remcos

今週は Remcos が8.7%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

https://asec.ahnlab.com/jp/17889/

Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。

以下は、確認された Remcos の C&C サーバーアドレスである。

• lionsguard.ddns[.]net
• stopeet.camdvr[.]org
• expl.ddns[.]net
• sfcarbotexpl.ddns[.]net
• godslovem.ddns[.]net
• ablegodforsure.ddns[.]net
• hendersonk1.hopto[.]org
• 23.105.131[.]186:1967

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。