ASEC マルウェア週間統計 ( 20221010～20221016 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月10日(月)から10月16日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではダウンローダーが44.4%と1位を占めており、その次にインフォスティーラー型マルウェアが41.7%、バックドアが12.5%、ランサムウェアが0.9%、コインマイナーが0.5%の順に集計された。

Top1. SmokeLoader

Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は18.1%を占めており、1位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。 

実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。

Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

• furubujjul[.]net
• starvestitibo[.]org
• liubertiyyyul[.]net
• bururutu44org[.]org
• nvulukuluir[.]net
• gulutina49org[.]org
• cracker[.]biz/tmp
• piratia-life[.]ru/tmp
• piratia[.]su/tmp
• avtlsgosecure[.]com

Top2. AgentTesla

インフォスティーラー型マルウェアである AgentTesla は16.2%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• server : ail.pisc[.]lk (108.170.60[.]107)
  sender : sales@pisc[.]lk
  receiver : decencykelvin4@gmail[.]com
  user : sales@pisc[.]lk
  pw : Pis******21
• server : mail.yesilcarsi[.]com (185.15.41[.]175)
  sender : yesilcarsi@yesilcarsi[.]com
  receiver : yesilcarsi@yesilcarsi[.]com
  user : yesilcarsi@yesilcarsi[.]com
  pw : Yc****60
• server : mail.irw.com[.]br (200.219.229[.]6)
  sender : sales11@irw.com[.]br
  receiver : purchase@technospeedglobal[.]com
  user : sales11@irw.com[.]br
  pw : Ev*****0@

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• lasdoret.exe
• DD-0987627890_docx.exe
• DHL_tracking_invoice_1310202200000000000000000000.exe
• onvloycnu.exe
• CONTRACT.exe
• BANK_COPY_367K$.exe
• INVOICE.exe
• QUOTATION101422.exe
• BBMT2022Q753_AA_CARPENTRY_SCAN.exe

Top3. GuLoader

13.9%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。

• hxxp://minnesotaharvest[.]net/NQPSuHuhI66.ttf
• hxxp://minnesotaharvest[.]net/cLBzHE237.rar
• hxxp://45.137.117[.]184/hvntfVSKcCQt84.dsp
• hxxp://aaaspl[.]ml/kxf/ILrHVwddXFWz71.rar
• hxxps://drive.google[.]com/uc?export=download&id=1HL1XpNhJ5XgSRq40OFPCW20_fio2Mo9d
• hxxp://omgwowxisg[.]gq/eerxc/xlkblQ2.aca
• hxxp://carbonwatt[.]com/CyyUsVSXPdlFRgSBS7.aaf
• hxxp://upemcampuscuautla.edu[.]mx/lLTzGJLWCpZfrsObTan217.csv
• hxxp://monmarshipping[.]com/nyan.u32
• hxxp://www.med-luxury-apartment[.]gr/rbills.rar

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• R_018996_GRUPO_OCLEM_RCL181378_SEPTEMBER_2022.exe
• justificante_de_pago.exe
• 205407334-031251-sanlccjavap0003-1.exe
• Document.exe

Top4. BeamWinHTTP

12.5%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

以下は、確認された C&C サーバーアドレスである。

• 208.67.104[.]97/powfhxhxcjzx/ping.php?sub=NOSUB&stream=mixone&substream=mixtwo
• 45.15.156[.]54/itsnotmalware/count.php?sub=/mixtwo&stream=start&substream=mixinte

Top5. Formbook

Formbook マルウェアは8.8%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• muestra_de_orden_de_compra.exe
• shipping document_pdf.exe
• lista_de_ordenes_de_compra.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.wadish[.]info/fqsu/
• hxxp://www.lastsummercog[.]com/ermr/
• hxxp://www.alpeshpate[.]com/mwfc/
• hxxp://www.sacremots[.]com/tod8/
• hxxp://www.ci-ohio[.]com/nphk/
• hxxp://www.nisasoftball[.]com/hy3h/
• hxxp://www.erestappael[.]info/mvug/
• hxxp://www.tacosmina[.]info/n2hm/
• hxxp://www.jouysee[.]info/itu3/
• hxxp://www.ramarketing[.]info/mmtr/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。