ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年9月26日(月)から10月02日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが38.2%と1位を占めており、その次にインフォスティーラー型マルウェアが35.1%、ランサムウェアが14.7%、バックドアが11.6%、コインマイナーが0.4%の順に集計された。
Top 1 – BeamWinHTTP
16.7%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
以下は、確認された C&C サーバーアドレスである。
- 95.214.24[.]96
- 208.67.104[.]97
- gcl-gb[.]biz
- artislife[.]top
- forwardstorage[.]biz
Top 2 – Smokeloader
Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は15.1%を占めており、2位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、6.6%の割合で今週の5位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-file-host6[.]com
- host-file-host8[.]com
- furubujjul[.]net
- starvestitibo[.]org
- liubertiyyyul[.]net
- bururutu44org[.]org
- nvulukuluir[.]net
- gulutina49org[.]org
- hulimudulinu[.]net
- stalnnuytyt[.]org
- nuluitnulo[.]me
C&C サーバーからの命令に応じて、外部から他のマルウェアをダウンロードできるが、確認されたマルウェアとして Dharma ランサムウェア、Lockbit ランサムウェアなどがある。
Top 3 – Stop Ransomware
14.3%で3位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。最近拡散しているサンプルは、情報窃取型のマルウェアである Vidar マルウェアをインストールしてから、ランサムウェアの振る舞いを実行する。
以下は Stop Ransomware の C&C サーバーアドレスである。
- hxxp://rgyui[.]top/dl/build2.exe
- hxxp://winnlinne[.]com/test3/get.php
- hxxp://winnlinne[.]com/files/1/build3.exe
- hxxp://wfsdragon[.]ru/api/setStats.php
- hxxp://136.144.41[.]201/server.txt
- hxxp://136.144.41[.]152/base/api/getData.php
- hxxp://uyg5wye.2ihsfa[.]com/api/fbtime
- hxxp://45.133.1[.]107/server.txt
- hxxp://gcl-gb[.]biz/stats/1.php
- hxxp://gcl-gb[.]biz/check.php
- hxxp://gcl-gb[.]biz/stats/save.php
- hxxp://t.gogamec[.]com
- hxxp://49.12.226[.]201/base/api/getData.php
Top 4 – Vidar
今週は Vidar が13.1%を占めており、4位となった。Vidar は代表的なインフォースティーラー/ダウンローダーマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。
以下のブログから確認できるように、周期的に韓国国内のユーザーをターゲットに、スパムメールで拡散している。また、スパムメールの添付ファイルに存在する圧縮ファイル内部に、他のランサムウェアも存在するのが特徴である。
https://asec.ahnlab.com/jp/16732/
これ以外にも、最近は特定のゲームプラットホームを悪用して拡散している。
https://asec.ahnlab.com/jp/23064/
次に Vidar マルウェアの情報流出機能についての分析情報である。
https://asec.ahnlab.com/jp/16787/
該当期間に使用された C&C アドレスは以下の通りである。
- hxxp://94.131.97[.]136/1281
- hxxp://94.131.96[.]16/1281
- hxxp://94.131.97[.]143/1281
- hxxp://94.131.97[.]153/1191
- hxxp://45.142.213[.]7/1281
- hxxp://45.89.55[.]176/1281
- hxxp://94.131.97[.]119/1281
- hxxp://88.198.89[.]6/1695
Top 5 – Agent Tesla
インフォスティーラー型マルウェアである AgentTesla は11.6%で5位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.tricomcomputacion[.]com (192.254.211[.]36)
sender : danielventas@tricomcomputacion[.]com
receiver : dorotaannagrebowiec01@gmail[.]com
user : danielventas@tricomcomputacion[.]com
pw : DANI****168 - server : mail.thesharpening.com[.]au (139.99.142[.]16)
sender : sales@thesharpening.com[.]au
receiver : sales@thesharpening.com[.]au
user : sales@thesharpening.com[.]au
pw : Sa****{#_ - server : mail.rylanlogisticsltd[.]com (144.76.236[.]210)
sender : mary@rylanlogisticsltd[.]com
receiver : ranjqnupreti3@gmail[.]com
user : mary@rylanlogisticsltd[.]com
pw : M@***!*
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- EventSourceAttrib.exe
- DHL SHIPMENT NOTIFICATION.exe
- New Order 099923512489_pdf.exe
- PO 20220608.exe
- DEPOSIT SLIP.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計