ASEC マルウェア週間統計 ( 20220919~20220925 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月19日(月)から9月25日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが51.3%と1位を占めており、その次にバックドアマルウェアが21.1%、ダウンローダーが17.2%、ランサムウェアが10.3%の順に集計された。

Top 1 –  Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は20.7%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server : mail.kenchez[.]com (103.14.121[.]240)
    sender : operations@kenchez[.]com
    receiver : hr-msa@ammarrpp[.]com
    user : operations@kenchez[.]com
    pw : a***#
  • server : mail.pisc[.]lk (108.170.60[.]107)
    sender : sales@pisc[.]lk
    receiver : decencykelvin4@gmail[.]com
    user : sales@pisc[.]lk
    pw : PI***21
  • server : mail.jaromaxpalacehotel[.]com (23.106.236[.]210)
    sender : gm@jaromaxpalacehotel[.]com
    receiver : linklogs135@gmail[.]com
    user : gm@jaromaxpalacehotel[.]com
    pw : 20***ax#

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • purchase order.exe
  • ORDER_#SEP.19.2022.exe
  • Bank_payment_swift_message.exe
  • Contract_for_ETS-_2022.exe
  • po#35611-m.exe
  • TT_payment.exe
  • Offer No. 22-PL-0765-A_PDF.exe
  • Commercial_invoice-AD1-2001028L.exe
  • Quotation-no. 2210993 AN.exe
  • payment.exe
  • URGENT_RATE_REQUEST_FOR_OCEAN_FREIGHTING_VIA_1X40FT.exe
  • RGENT_RATE_REQUEST_FOR_OCEAN_FREIGHTING_VIA_1X40FT.exe
  • New_Inquiry.exe
  • Bank payment swift message.exe
  • PO 4560132262.exe
  • Swift- 220070.exe
  • commercial invoice-AD1-2001028L.exe
  • Order 84882_xlsx.exe


Top 2 –  Vidar

今週は Vidar が9.9%を占めており、2位となった。Vidar は代表的なインフォースティーラー/ダウンローダーマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。

以下のブログから確認できるように、周期的に韓国国内のユーザーをターゲットに、スパムメールで拡散している。また、スパムメールの添付ファイルに存在する圧縮ファイル内部に、他のランサムウェアも存在するのが特徴である。

https://asec.ahnlab.com/jp/16732/

これ以外にも、最近は特定のゲームプラットホームを悪用して拡散している。

https://asec.ahnlab.com/jp/23064/

次に Vidar マルウェアの情報流出機能についての分析情報である。

https://asec.ahnlab.com/jp/16787/

該当期間に使用された C&C アドレスは以下の通りである。

  • hxxp://195.201.253[.]5/1515
  • hxxp://79.124.78[.]206/517
  • hxxp://116.203.7[.]175/915

Top 3 – Stop Ransomware

9.5%で3位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。最近拡散しているサンプルは、情報窃取型のマルウェアである Vidar マルウェアをインストールしてから、ランサムウェアの振る舞いを実行する。

以下は Stop Ransomware の C&C サーバーアドレスである。

  • hxxp://acacaca[.]org/files/1/build3.exe
  • hxxp://winnlinne[.]com/files/1/build3.exe
  • hxxp://tzgl[.]org/files/1/build3.exe
  • hxxp://rgyui[.]top/dl/build2.exe

Top 4 –  SnakeKeylogger

9.1%で4位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

https://asec.ahnlab.com/jp/22111/

このマルウェアは AgentTesla と同様、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。

  • host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
    sender: exp@jaiqroup[.]com
    receiver: exp@jaiqroup[.]com
    user: exp@jaiqroup[.]com
    pw: Chel*****22
  • host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
    sender: support@habitatbreks[.]org
    receiver: support@habitatbreks[.]org
    user: support@habitatbreks[.]org
    pw: I(K****G8

Top 5 – Smokeloader

Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は8.6%を占めており、5位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。 

実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。

Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、6.6%の割合で今週の5位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • liubertiyyyul[.]net
  • bururutu44org[.]org
  • youyouumenia5[.]org
  • nvulukuluir[.]net
  • nuluitnulo[.]me
  • guluiiiimnstra[.]net

C&C サーバーからの命令に応じて、外部から他のマルウェアをダウンロードできるが、確認されたマルウェアとして Dharma ランサムウェア、Lockbit ランサムウェアなどがある。

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments