ASEC マルウェア週間統計 ( 20220912～20220918 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月12日(月)から9月18日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが41.5%と1位を占めており、その次にダウンローダーマルウェアが27.5%、バッグドアが19.9%、ランサムウェアが8.2%、バンキングマルウェアが2.9%の順に集計された。

Top 1 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は18.1%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• server : smtpout.secureserver[.]net (173.201.193[.]229)
  sender : bijupaulose@glamdustasia[.]com
  receiver : 99lindatessin@gmail[.]com
  user : bijupaulose@glamdustasia[.]com
  pw : Eva****204
• server : mail.hindusthan[.]com (192.185.46[.]31)
  sender : fombbsr@hindusthan[.]com
  receiver : sundus.saharbmacapital@gmail[.]com
  user : fombbsr@hindusthan[.]com
  pw : f1****3

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• SOA.exe
• payment_copy.exe
• inw)9876567849-4976456478.exe
• Joh******_-PO-_216238068_PDF.exe
• june_transaction_receipts_090028783.ex.exe
• RSW~0987365367-049874664789P-PLS.exe
• QTN NO 11478.exe
• Wire TT Copy012522430xxxxxpmp20221309.exe

Top 2 – GuLoader

14.6%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。

• kngpdrp[.]shop/PL341
• index.php gwinaz[.]pro/PL341/index.php
• 85.31.46[.]229/sos/pvugVPOGOuOEnf78.afm
• siasky[.]net/PAN0gbpVRyiCOOw8UAcSXcMLiO1w3yFZdaOmS_4t3-a-Vg
• kronlux[.]ro/mon2.pcx
• vortexfoto[.]hu/PVC.toc

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• rfq.exe
• po4624524-8659923530035201.exe
• HTS32100-19-2306F.exe
• Inv_#MB-220830-1A_-Shipping_Document_(CN).exe
• DOCUMENT.EXE
• Specfication_for_SRPI_Project.exe
• fe**x –  [[-email-]].exe

Top 3 – Lokibot

Lokibot マルウェアは10.5%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる

https://asec.ahnlab.com/jp/16835/

大半の Lokibot マルウェアの C&C サーバーは以下の通りである。

• 162.213.249[.]190/?hello00x
• sempersim[.]su/gj23/fre.php
• tixfilmz[.]ml/Eze/PWS/fre.php
• 162.0.223[.]13/?hello00x
• 171.22.30[.]147/user/five/fre.php
• 208.67.105[.]161/jungleone/five/fre.php

Top 4 – SmokeLoader

Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、8.8%の割合で今週の4位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

• cracker[.]biz
• host-file-host6[.]com
• ginjin[.]org
• susuerulianita1[.]net
• furubujjul[.]net

Top 5 – Formbook

Formbook マルウェアは6.4%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• 769377HBH998___PDF.exe
• GMT_TBN(28K)_-_VESSEL_DETAILS.exe
• PDF RENOBLE BROKER UK LTDNEW ORDER MT110000 FOBUSD.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• http://www.derpallet[.]info/q40s/
• http://www.dockudos[.]info/poj5/
• http://www.envacatures[.]com/e7nb/
• http://www.gogojackmin[.]com/txuu/
• http://www.ideawage[.]info/0yv3/
• http://www.idgeformedia[.]com/bwe0/
• http://www.irusmedia[.]info/nm2c/
• http://www.iuxinnian[.]com/eauu/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。