ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月7日(月)から11月13日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが37.8%と1位を占めており、その次にインフォスティーラー型マルウェアが27.1%、バンキングランサムウェアが22.9%、バックドアが11.2%、ランサムウェアとコインマイナーが0.5%の順に集計された。
Top 1 – Emotet
6か月ぶりに Emotet マルウェアが22.9%で1位を記録した。Emotet はスパムメールの添付ファイルによって配布される代表的なバンキングマルウェアである。国際的な共助によって無力化した Emotet は、直近6か月間の活動がなかったが、2022年11月頃から配布を再開した。
https://asec.ahnlab.com/jp/41815/
Emotet がインストールされると、システムに常駐しながら周期的に C&C サーバーとの接続を試みる。Emotet は C&C サーバーから追加モジュールやマルウェアを受け取り、インストールすることができる。インストールされた追加モジュールには、Web ブラウザおよびメールアカウント情報など、ユーザー情報を窃取するモジュールと、共有フォルダーなどを利用した伝播モジュールがある。Emotet を通してダウンロードされるマルウェアは、以前にも Qakbot、Trickbot などの別のマルウェアが存在し、最近では IcedID バンキングマルウェアをインストールすることで知られている。
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は13.8%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- FTP Server : ftp://ftp.valvulasthermovalve[.]cl/
User : cva19491@valvulasthermovalve.cl
Password : LI***L14!! - SMTP Server : mail.kulanitech.co[.]za
User : admin@kulanitech.co.za
Password : Le***0!
Receiver : salespcbcom@gmail.com - SMTP Server : mail.vrgenergy.com
User : account@vrgenergy.com
Password : M***hy*5VD
Receiver : elizabethgarcia@grupaormstrong.com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- RFQ-97571784.PDF.exe
- OFFER – RPG 799902113840_pdf.exe
- Attachment New-Order20221108.exe
- ICMES-JIF-11-022 G1.exe
- BL Draft Copy.exe
Top 3 – SmokeLoader
Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は10.7%を占めており、3位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-file-host6[.]com
- host-host-file8[.]com
- freeshmex[.]at/tmp
- wildweep[.]com/tmp
- cracker[.]biz/tmp
- piratia-life[.]ru/tmp
- piratia[.]su/tmp
- simplyadvanced1[.]com
- simplyadvanced2[.]com
- simplyadvanced3[.]com
- simplyadvanced4[.]com
- advancesimpley1[.]com
Top 4 – Amadey
今週は Amadey Bot マルウェアは10.2%を占めて4位に名が上がった挙がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
https://asec.ahnlab.com/jp/36654/
https://asec.ahnlab.com/jp/41391/
以下は、確認された C&C サーバーアドレスである。
- hxxp://193.56.146[.]243/h8V2cQlbd3/index.php
- hxxp://31.41.244[.]15/Mb1sDv3/index.php
Top 5 – GuLoader
8.6%を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxps://drive.google[.]com/uc?export=download&id=1y12oc2s_ocBYtuwzawAsn-J8lS9icrku
- hxxps://drive.google[.]com/uc?export=download&id=1bFm1eQyvl5ZsKzQbZ9a_-XlGvpXfOBS9
- hxxps://heidi-blog[.]com/wp-includes/YIcITLFUI138.psd
- hxxp://ewsrtdy[.]ga/wp-admin/cukfI153.ocx
- hxxp://lombardeamok[.]tk/sdghja/gxLHrRObLmgKZUdvwnodQ45.qxd
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- documentos DHL.exe
- Orden de compra #S045678.exe
- INQUIRY 001-904940.scr
- ADNOC97571784.exe
- PENTHOUSE BRIDGE GENOA.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計