ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月14日(月)から11月20日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが53.2%と1位を占めており、その次にバックドアが24.1%、インフォスティラー型マルウェアが21.1%、ランサムウェアが1.0%、コインマイナーが0.4%、バンキング型マルウェアが0.2%の順に集計された。
Top 1 – BeamWinHTTP
30.5%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
以下は、確認された C&C サーバーアドレスである。
- hxxp://45.139.105[.]171/itsnotmalware/count.php
- hxxp://kokoko-24[.]online/api/tracemap.php
- hxxp://megalobster[.]ru/api/tracemap.php
- hxxp://208.67.104[.]60/api/tracemap.php
Top 2 – RedLine
RedLine マルウェアは11.5%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://jalocliche[.]xyz
- hxxp://62.204.41[.]141
- hxxp://79.137.192[.]6
- hxxp://45.138.74[.]121
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は10.4%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : smtp.nutiribio.com
User : humhum@nutiribio.com
Password : G***(
Receiver : humhum@nutiribio.com - SMTP Server : smtp.yandex.com
User : prince.omd@yandex.com
Password : uo************oa
Receiver : prince.omd@yandex.com - SMTP Server : mail.vrgenergy.com
User : account@vrgenergy.com
Password : MD********D
Receiver : elizabethgarcia@grupaormstrong.com - SMTP Server : webmail.syindac.com
User : georgie@syindac.com
Password : georgie@syin********
Receiver : ranjqnupreti3@gmail.com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- SALES_OR.EXE
- Swift Copy – Advice info- Ref…….ice info- RefA1T323025543.exe
- PI#2098275342 and PI#2098275347.exe
- ContractTHX221001.pdf.exe
- R1_QTN_CTL_ 09112022_Quote.exe
- awb_shipping_documents_111120…….uments_111120220000000000.exe
- mv Khosrov Bey.Q88.exe
- Invoice_0014112022,jpeg.exe
- Order 001.exe
- Quotation-inquiry3033.PDF.exe
Top 4 – Amadey
今週は Amadey Bot マルウェアは9.0%を占めて4位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
https://asec.ahnlab.com/jp/36654/
https://asec.ahnlab.com/jp/41391/
以下は、確認された C&C サーバーアドレスである。
- hxxp://31.41.244[.]15/Mb1sDv3/index.php
- hxxp://193.56.146[.]194/h49vlBP/index.php
- hxxp://193.56.146[.]174/g84kvj4jck/index.php
Top 5 – Guloader
7.8%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxps://drive.google[.]com/uc?export=download&id=1FZy4Wcme4aPtuzm9ha19ta21V7fHFvd2
- hxxps://drive.google[.]com/uc?export=download&id=1b0dxag1QqpX64iBQKUXrZusloWlwpZPH
- hxxps://drive.google[.]com/uc?export=download&id=1S3rq6ZC5mBnGFxWap8ecfEYghn27qoMI
- hxxps://drive.google[.]com/uc?export=download&id=1mPX–VLI8nLHni2-zDnKhg1LGpubGXyQ
- hxxps://drive.google[.]com/uc?export=download&id=1gnMVJcI4QYIMtdP2M7dC9jKa9rj83yL3
- hxxps://drive.google[.]com/uc?export=download&id=1zhJuivRWANMJVZgr1g_uXgmeNxXFaUTU
- hxxps://drive.google[.]com/uc?export=download&id=1lNG1KNg0WHn_kF-bwiYPF4oQbyxs7OoV
- hxxps://drive.google[.]com/uc?export=download&id=1KNuz08ruTwWTlLN_X8yn3c-HUv1y-T4a
- hxxps://drive.google[.]com/uc?export=download&id=1TyqF50fOOkBiE-A5hWmIAA5h6gGEuCjE
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
https://asec.ahnlab.com/jp/32387/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- CHEQUE-NO-69540594.exe
- HSBC Payment Advice.com
- INQUIRY.EXE
- list.order.exe
- specification list.exe
- outputA2C149F.exe
- IMG-1911200011.exe
- DAECHANG PO#3274800.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計