ASEC マルウェア週間統計 ( 20221017～20221023 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月17日(月)から10月23日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが52.7%と1位を占めており、その次にダウンローダーマルウェアが37.0%、バッグドアが8.8%、ランサムウェアが1.0%、バンキングマルウェアが0.5%の順に集計された。

Top 1 –  Agent Tesla

インフォスティーラー型マルウェアである AgentTesla は23.4%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメール(SMTP)を使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• server : mail.timeoptic[.]com (43.241.56[.]16)
  sender : sales@timeoptic[.]com
  receiver : goldtrusttship66@gmail[.]com
  user : sales@timeoptic[.]com
  pw : 5***0
• server mail.fttmas[.]com (167.250.5[.]29)
  sender : sales2@fttmas[.]com
  receiver : mpdolx@yandex[.]com
  user : sales2@fttmas[.]com
  pw : 0****^(?
• server : mail.scahe.co[.]in (219.90.65[.]155)
  sender : sj@scahe.co[.]in
  receiver : cloud.page@yandex[.]com
  user : sj@scahe.co[.]in
  pw : sc****45

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• PO_6039792_Order_Confirmation.exe
• Remittance_advice.exe
• Debit_note.exe
• FB-108N FB-108NK 詢價 – 田勤.exe
• BBMT2022Q753_AA_CARPENTRY_SCAN.exe
• Bank_slip.exe
• PO#ATN-19055-1.exe
• BALANCE_PAYMENT.exe
• Quote_2200001842.exe

Top 2 –  BeamWinHTTP

16.1%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

以下は、確認された C&C サーバーアドレスである。

• 45.15.156[.]54/itsnotmalware/count.php
• 45.139.105[.]171/itsnotmalware/count.php

Top 3 – Smokeloader

Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は13.2%を占めており、3位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。 

実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。

Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、6.6%の割合で今週の5位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

• hiragaih[.]com
• kyotoltdssl[.]com
• kuitobowls[.]com
• sakuratoma[.]com
• yukyurice[.]com
• kyotobowls[.]com
• fujysoey[.]com
• gesshtbow[.]com
• hasekushi[.]com

C&C サーバーからの命令に応じて、外部から他のマルウェアをダウンロードできるが、確認されたマルウェアとして Dharma ランサムウェア、Lockbit ランサムウェアなどがある。

Top 4 –  SnakeKeylogger

9.1%で4位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

https://asec.ahnlab.com/jp/22111/

このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。

• host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
  sender: sonia.socorro@centra1-logistica[.]com
  receiver: sonia.socorro@centra1-logistica[.]com
  user: sonia.socorro@centra1-logistica[.]com
  pw: 29m***N^G
• host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
  sender: wbb@sumce-cn[.]com
  receiver: wbb@sumce-cn[.]com
  user: wbb@sumce-cn[.]com
  pw: ipy***O$r9
• host : us2.smtp.mailhostbox[.]com (208.91.199[.]225)
  sender : coordinacion1@oibvagenciaduana-ec[.]com
  receiver : coordinacion1@oibvagenciaduana-ec[.]com
  user : coordinacion1@oibvagenciaduana-ec[.]com
  pw : TR***1

Top 5 –  Formbook

Formbook マルウェアは9.3%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• SPRING SHINE – VSL PARTICULARS.exe
• Proof of payment.exe
• revised_invoice.exe
• MV OCEAN DRAGON(SHIP PARTICULARS).exe
• Request for Quotation.exe
• SOA FROM 2020 TO FEB 2021.pdf.exe
• DHL Notification_pdf.exe
• Rev NX028362 Contract Tender.exe
• DHL_PDF.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.dwpato[.]xyz/s11n/
• hxxp://www.aseopli[.]online/g2e8/
• hxxp://www.myvea[.]online/c0e5/
• hxxp://www.flayos[.]xyz/g47e/
• hxxp://www.shutro[.]online/mr06/
• hxxp://www.asyimpo[.]xyz/g28p/
• hxxp://www.gastries[.]info/ndgi/
• hxxp://www.myvea[.]online/c0e5/
• hxxp://www.lastsummercog[.]com/ermr/
• hxxp://www.ziewip[.]xyz/sm28/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。