ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月31日(月)から11月6日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが64.8%と1位を占めており、その次にインフォスティーラー型マルウェアが25.9%、バックドアが6.6%、ランサムウェアが2.2%、コインマイナーが0.4%の順に集計された。
Top 1 – BeamWinHTTP
39.6%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
以下は、確認された C&C サーバーアドレスである。
- 45.139.105[.]171/itsnotmalware/count.php
- kokoko-24[.]online/api/tracemap.php
- megalobster[.]ru/api/tracemap.php
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は12.8%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメール(SMTP)を使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- Telegram URL : hxxps://api.telegram.org/bot5780786581:AAFXIkGeOHC-xg4lu2J93APojDv1vPqLWpI/[省略]
- Telegram URL : hxxps://api.telegram[.]org/bot5462107003:AAHpS7vd0kCA-_f6RsjTg_PYKo7VUIqaq9A[省略]
- Telegram URL : https://api.telegram.org/bot5171883538:AAEyFWuNh68SJNNpkDCQbviRgrklZA3K4Qs/%5B省略%5D
- server : mail.mayann[.]co
sender : robi.zlatoper@mayann[.]co
receiver : robi.zlatoper@mayann[.]co
user : robi.zlatoper@mayann[.]co
pw : Gr********123
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Orden de compra #PO06709.exe
- NUEVO ORDEN_pdf.exe
- 131MES_S Quote.exe
- PO.0011712.exe
- PDF3.bin.exe
- New Order PO.exe
- Quote_2200001612.exe
- Re-order026174100.pif
- SWIFT MT103 86258992. pdf.exe
Top 3 – SmokeLoader
Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は10.8%を占めており、3位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-file-host6[.]com
- host-host-file8[.]com
- freeshmex[.]at
- wildweep[.]com
- cracker[.]biz
- piratia-life[.]ru
- piratia[.]su
- freeshmex[.]at
- wildweep[.]com
- cracker[.]biz
- piratia-life[.]ru
- piratia[.]su
- furubujjul[.]net
Top 4 – GuLoader
7.7%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxps://drive.google[.]com/uc?export=download&id=1RsNE19me_4k2t7pwVD9jgnl_C72mAPFu
- hxxps://drive.google[.]com/uc?export=download&id=1v95qE4dsFLt2ccgi8H11PMeA3H0iGVfm
- hxxps://drive.google[.]com/uc?export=download&id=1JuJ60lnj-at3R5eBI7H49L5g-Os3RZJ2
- hxxps://drive.google[.]com/uc?export=download&id=1mtM3iZtHDHWLhibj7zfRJRhrouV9nOhr
- hxxps://drive.google[.]com/uc?export=download&id=1usMP1yGhCB-TJJZlN58H2W0rtKukaPEC
- hxxps://drive.google[.]com/uc?export=download&id=1Ra-8o_01BsiRxFZgLm_F0aGS61AHs5Ne
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Invoice…….Invoice No.1 _ Nov-3-2022.exe
- RemittanceAdviceNotification2…….tification23680708089_pdf.exe
- Afdelingsbeskrivelsen Preseal.exe
- Ziraat Bankasi Swift Mesaji.exe
- Sdladnes.exe
Top 5 – Amadey
Amadey Bot マルウェアは正常なプログラムとドキュメントファイルに偽装して不正な Word ドキュメントを通して配布されている。今週は6.6%を占めており、5位に名が上がった。
https://asec.ahnlab.com/jp/41391/
Amadey Bot マルウェアを実行すると、自己複製および再起動した後も実行できるようにスタートアッププログラムの登録およびタスクスケジューラの登録を行う。その後、システムの情報と AntiVirus 製品の情報を収集し、C&C サーバーに伝達する。その後 C&C サーバーを通して追加のマルウェアをダウンロードする。
- hxxp://193.56.146[.]243/h8V2cQlbd3/index.php
- hxxp://31.41.244[.]60/t0nvN3c4/index.php
- hxxp://31.41.244[.]15/Mb1sDv3/index.php
- hxxp://185.215.113[.]204/f84Nls2/index.php
https://asec.ahnlab.com/jp/36654/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。