ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月3日(月)から10月09日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが45.0%と1位を占めており、その次にインフォスティーラー型マルウェアが39.6%、バックドアが14.6%、ランサムウェアが0.4%、コインマイナーが0.4%の順に集計された。
Top1. SmokeLoader
Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は22.1%を占めており、1位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- nvulukuluir[.]net
- gulutina49org[.]org
- hulimudulinu[.]net
- stalnnuytyt[.]org
- nuluitnulo[.]me
- youyouumenia5[.]org
- guluiiiimnstra[.]net
Top2. AgentTesla
インフォスティーラー型マルウェアである AgentTesla は20.4%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.epicenterafrica[.]com
sender : silvester.atuta@epicenterafrica[.]com
receiver : silvester.atuta@epicenterafrica[.]com
user : silvester.atuta@epicenterafrica[.]com
pw : as0******xkY - server : mail.rimiapparelsltd[.]com
sender : postmaster@rimiapparelsltd[.]com
receiver : webmaster@rimiapparelsltd[.]com
user : postmaster@rimiapparelsltd[.]com
pw : Ije*****8@ - server : microempaquescali[.]com
sender : investor@microempaquescali[.]com
receiver : investoryandex@microempaquescali[.]com
user : investor@microempaquescali[.]com
pw : icu******@
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- comprobante009.xlsx.exe
- order jmg.exe
- doc2345689965624_PDF.exe
- information01.exe
- R1 UAE for Saudi Recovery project.pdf.exe
- Payment Advice.exe
Top3. BeamWinHTTP
19.2%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
以下は、確認された C&C サーバーアドレスである。
- 95.214.24[.]96/load.php?pub=mixinte
- 208.67.104[.]97/powfhxhxcjzx/ping.php?sub=/mixtwo&stream=mixone&substream=mixazed
- 212.192.246[.]217/access.php?sub=NOSUB&stream=mix&substream=mixtwo
- goldenchests[.]com/checkversion.php?source=MIX2h1
Top4. SnakeKeylogger
7.9%で4位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。
- server : us2.smtp.mailhostbox[.]com
sender : monni@great-timecomess[.]com
receiver : monni@great-timecomess[.]com
pw : oc****T6 - server : us2.smtp.mailhostbox[.]com
sender : smadar.joseph@almalasers-il[.]com
receiver : smadar.joseph@almalasers-il[.]com
pw : do*****0
他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。
- WriN.exe
- dls.exe
- QuizGame.exe
- Calculator 1.5.exe
Top5. Remcos
今週は Remcos が7.1%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
https://asec.ahnlab.com/jp/17889/
Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。
以下は、確認された Remcos の C&C サーバーアドレスである。
- hxxp://80.66.75[.]90/Vnmqugfh.bmp
- hxxp://geoplugin[.]net/json.gp
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計