ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月5日(月)から9月11日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが47.1%と1位を占めており、その次にダウンローダーマルウェアが32.7%、バッグドアが12.5%、ランサムウェアが7.7%の順に集計された。
Top 1 – GuLoader
21.2%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。
- hxxp://195.178.120[.]184/PbkYaoeGmlAPLaI189.asd
- hxxp://195.178.120[.]184/JlywdIIJhfuw95.pcx
- hxxp://allvar[.]hr/WED3.fla
- hxxp://146.70.79[.]13/FsNptoHWP201.pfm
- hxxp://blexknad.dd-dns[.]de/FcoFxIqnG192.pcz
- hxxp://decadaenergetica[.]es/MON.hhp
- hxxp://5.2.75[.]164/IoxDlBkeGA114.snp
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Fiberplade Smartening.exe
- Havbiologerne Fjervgtene.exe
- Mongoloidt Genitialfases.exe
- desolating.exe
- 04350035-219978.png.exe
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は202.%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.rimiapparelsltd.com
sender : postmaster@rimiapparelsltd.com
receiver : snack@gdrogroup.com
user : postmaster@rimiapparelsltd.com
pw : Ij****m28@ - server : mail.rimiapparelsltd.com
sender : postmaster@rimiapparelsltd.com
receiver : webmaster@rimiapparelsltd.com
user : postmaster@rimiapparelsltd.com
pw : Ij****m28@ - server : mail.stamnas.gr
sender : thanos@stamnas.gr
receiver : thanos@stamnas.gr
user : thanos@stamnas.gr
pw : @*******2021#@
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- INVOICE_VM220200200208.exe
- 220125-PO.exe
- Inquiry No. EI2022-5002.exe
- TNT SHIPPING DOC.exe
- PO- 220128.exe
- PO#09122263501_XXXXXXXXX.exe
Top 3 – Lokibot
Lokibot マルウェアは12.5%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる
https://asec.ahnlab.com/jp/16835/
大半の Lokibot マルウェアの C&C サーバーは以下の通りである。
- hxxp://162.213.249[.]190/?3qYd5PhXmgqeRomykUU
- hxxp://162.213.249[.]190/?qbcCI493GtTnmNfb9Ab9k3YwTRqKkHYKSanBexEU1yinmxyw7KFs
- hxxp://162.213.249[.]190/?loop
- hxxp://sempersim[.]su/gj23/fre.php
- hxxp://162.213.249[.]190/?SgonZKAHsM0f7f535Q8mr6lSIXL68bp1rOpqyZ80L8fTnlXC
- hxxp://162.213.249[.]190/?SgonZKAHsM0f7f535Q8mr6lSIXL68bp1rOpqyZ80L8fTnlXtc6PEcawU7i1gtrhVfGmO
Top 4 – SmokeLoader
Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、10.6%の割合で今週の4位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- hxxp://monsutiur4[.]com/
- hxxp://nusurionuy5ff[.]at/
- hxxp://moroitomo4[.]net/
- hxxp://susuerulianita1[.]net/
- hxxp://cucumbetuturel4[.]com/
- hxxp://nunuslushau[.]com/
- hxxp://linislominyt11[.]at/
- hxxp://luxulixionus[.]net/
- hxxp://lilisjjoer44[.]com/
- hxxp://nikogminut88[.]at/
Top 5 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- 6yITLxGhaHMCogt.exe
- IMABARI 38K DWT SDBC LOGGER.exe
- NBVXCMVXCJKD.exe
- gRFY.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.mujid24s[.]com/rsea/
- hxxp://www.fxivcama[.]com/zgtb/
- hxxp://www.grebmot[.]online/ol09/
- hxxp://www.keilewn[.]online/p94a/
- hxxp://www.cholasy[.]xyz/dw85/
- hxxp://www.pangrid[.]xyz/lsg6/
- hxxp://www.firtokyshop[.]xyz/na24/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計