ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年11月21日(月)から11月27日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが40.3%と1位を占めており、その次にインフォスティーラーが35.8%、バックドアが16.3%、ランサムウェアが7.2%、コインマイナーが0.4%の順に集計された。
Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は17.3%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.strictfacilityservices[.]com
User : guc850155@gmail.com
Password : SFS****21
Receiver : humhum@nutiribio.com - SMTP Server : host39.registrar-servers[.]com
User : dickson@potashin.us
Password : *r4}********87G
Receiver : dickson@potashin.us - SMTP Server : smtp.yandex[.]com
User : prince.omd@yandex.com
Password : uomw********xboa
Receiver : prince.omd@yandex.com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- TNT Invoice_pdf.exe
- Quote_2200001679.exe
- Updated Qutotaion Of Accesories____PDF.exe
- Payment#0011422320_SWIFT_20222909.exe
- INVOICE_.EXE
- Transaction Invoice .exe
- POTHX221001.PDF.exe
- RFQ+Lenz Global Imports Inc.exe
- RERFQ_Lenz Global Imports Inc PDF.exe
- Wire#Confirmation0101010.pdf.exe
- PO2201101701.exe
- THX22100100012332.pdf.exe
- Inquiry #140220.pdf.exe
- MW90 CRF Port Klang_HongKong Taisung Innovase Enterprise Co. Ltd.exe
- Proof of payment.exe
- DHL AWB – 4520065422_Nov.2022.exe
- swift(USD 17043.50).exe
Top 2 – SmokeLoader
Smokerloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は14.5%を占めており、2位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のアウトラインが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-host-file8[.]com
- host-file-host6[.]com
- cracker[.]biz
- freeshmex[.]at
- piratia[.]su
- piratia-life[.]ru
- wildweep[.]com
- o339ku32b3yk26[.]com
- o36fafs3sn6xou[.]com
- o391tckjywmtj0[.]com
Top 3 – BeamWinHTTP
10.0%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://208.67.104[.]60/api/firegate.php
- hxxp://208.67.104[.]60/api/tracemap.php
- hxxp://kokoko-24[.]online/api/tracemap.php
- hxxp://megalobster[.]ru/api/tracemap.php
- hxxp://metazone1[.]com/api/tracemap.php
- hxxp://meta-zone-1[.]online/api/firegate.php
- hxxp://meta-zone-1[.]online/api/tracemap.php
- hxxp://meta-zone-1[.]ru/api/tracemap.php
Top 4 – Amadey
今週は Amadey Bot マルウェアは9.6%を占めて4位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://79.137.197[.]181/g93dLhG2/index.php
- hxxp://193.56.146[.]194/h49vlBP/index.php
- hxxp://77.73.134[.]66/o7Vsjd3a2f/index.php
Top 5 – RedLine
RedLine マルウェアは9.1%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://chardhesha[.]xyz:81
- hxxp://185.215.113[.]216:21921
- hxxp://94.103.183[.]33:80
- hxxp://80.66.87[.]11:80
- hxxp://79.137.204[.]112:80
- hxxp://160.20.109[.]26:27713
- hxxp://77.73.134[.]24:80
- hxxp://fivemonitoring[.]com:80
- hxxp://45.138.74[.]121:80
- hxxp://185.219.80[.]6:35361
- hxxp://20.126.112[.]157:16733
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計