ASEC マルウェア週間統計 ( 20220829～20220904 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年8月29日(月)から9月4日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが45.9%と1位を占めており、その次にダウンローダーマルウェアが28.1%、バックドアが18.5%、ランサムウェアが6.2%、コインマイナーとバンキングマルウェアがそれぞれ0.7%の順に集計された。

Top 1 – GuLoader

22.6%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。

• hxxps://onedrive.live[.]com/download?cid=176929A81F7E1249&resid=176929A81F7E1249%211228&authkey=ANCqNTny98uvIUY
• hxxps://drive.google[.]com/uc?export=download&id=1bAOQHzmNJ95RTaQdfZy2v8LdzESgZ4hJ
• hxxps://drive.google[.]com/uc?export=download&id=1a_lbCDR2inhqEYa0Hgd-rvijhysoD8oE
• hxxps://drive.google[.]com/uc?export=download&id=1C4Bfsu86R-ARzNsZENEjSwlJxJsbIxi1
• hxxp://blexknad.dd-dns[.]de/iOHfU216.exe
• hxxp://5.2.75.164/IoxDlBkeGA114[.]snp
• hxxp://www.rcvtyu.ml/iQQSUORAcirjHOC27[.]ocx

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• Requisition.exe
• Tax_Invoice_7759303436.exe
• Factura de pendiente.exe
• Desiccation.exe
• RFQEnoc221543.exe

Top 2 –  Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は17.8%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• server : mail.spjsv[.]ro (89.43.174[.]45)
  sender : neurologie@spjsv[.]ro
  receiver : daniel.yiletech.com.cn@asinsan[.]com
  user : neurologie@spjsv[.]ro
  pw : N3uro******@2@!
• server : server mail.plasticospontevedra[.]com (167.250.5[.]41)
  sender : silvana@plasticospontevedra[.]com
  receiver : mchi83572@gmail[.]com
  user : silvana@plasticospontevedra[.]com
  pw : @6r******Vvd
• server : mail.activandalucia[.]com (185.162.171[.]75)
  sender : exporter1@activandalucia[.]com
  receiver : importer2@activandalucia[.]com
  user : exporter1@activandalucia[.]com
  pw : Ijeo******@@

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• Inquiry-ICMES-JIF-10-022 G5.exe
• 支払い通知 .exe
• monthly amortization 050822 pdf.exe
• Documente Import_ DSV shipment UK1RO-07231_PDF.exe
• PO#8701911001_20223008.exe
• quotation20111209_xls.exe
• Quote FCL shipment 1X40HQ.exe

Top 3 – Formbook

Formbook マルウェアは13.0%で3位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• MT 101 INTER_ TRANSFER.exe
• Nuevo orden.exe
• Sandoll Planning – Zando Screen Golf Lighter Order.exe
• Payment Copy.exe
• Order Form_022_RPA(Cartridge)..exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.mlesdok[.]online/sg94/
• hxxp://www.yeslon[.]xyz/fs93/
• hxxp://www.hyfron[.]online/oe47/
• hxxp://www.natrico[.]online/a2z1/
• hxxp://www.potakyo[.]online/j2s3/
• hxxp://www.firtokyshop[.]xyz/na24/
• hxxp://www.recoman[.]xyz/ty05/
• hxxp://www.drevom[.]online/fs44/
• hxxp://www.seontra[.]xyz/ba17/
• hxxp://www.fxivcama[.]com/zgtb/

Top 4 –  Lokibot

Lokibot マルウェアは12.3%で4位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

大半の Lokibot マルウェアの C&C サーバーは以下の通りである。

• sempersim.su/gj25/fre[.]php
• sempersim.su/if/fre[.]php
• sempersim.su/gj22/fre[.]php
• 208.67.105[.]162/cloud2/five/fre.php
• 162.213.249[.]190/?Y8nalJQQXC4cNDqmmYx1iS34FS7RJj1IspTN8KE5
• 162.213.249[.]190/?x000000000000
• 162.213.249[.]190/?1zVKJFh880sWxDKag7keBgEa7OtXS24
• 162.213.249[.]190/?QljQbcMOG3VmKZSR8LkYAaDGiquujSSadc0ooNc5R8rC7jtf5NdFYRmgiRKBJDLXQMmfAzkrHL3O5w4akhQi9
• 162.213.249[.]190/?loop
• 162.213.249[.]190/?hzdKYPe2NN00dbVeFPp1FT0UhH4EgLUyl7jjXxmKlmLyyGNdwdfc7f6oXa3eW
• 162.213.249[.]190/?3qYd5PhXmgqeRomykUU
• 162.213.249[.]190/?hello00x
• 162.213.249[.]190/?SgonZKAHsM0f7f535Q8mr6lSIXL68bp1rOpqyZ80L8fTnlXC
• 162.213.249[.]190/?SgonZKAHsM0f7f535Q8mr6lSIXL68bp1rOpqyZ80L8fTnlXtc6PEcawU7i1gtrhVfGmO

Top 5 –  Remcos

今週は Remcos が6.2%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

https://asec.ahnlab.com/jp/17889/

Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。

以下は、確認された Remcos の C&C サーバーアドレスである。

• vp.mastercoa[.]co:31598
• 92.191.100[.]41:8600
• 65.21.9[.]53:1104
• 23.105.131[.]186:1967
• 194.147.140[.]100:2207

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。