ASEC マルウェア週間統計 ( 20221205～20221211 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年12月5日(月)から12月11日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではダウンローダーが44.3%と1位を占めており、その次にインフォスティラーが28.2%、バックドアが18.3%、ランサムウェアが8.5%、コインマイナーが0.7%の順に集計された。

Top 1 – Amadey

今週は Amadey Bot マルウェアは15.9%を占めて1位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。

一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。

以下は、確認された C&C サーバーアドレスである。

• hxxp://31.41.244[.]167/v7eWcjs/index.php
• hxxp://77.73.133[.]72/hfk3vK9/index.php
• hxxp://193.56.146[.]194/h49vlBP/index.php
• hxxp://31.41.244[.]237/jg94cVd30f/index.php
• hxxp://SmgqNt3EIxXkSAsU[.]xyz/jg94cVd30f/index.php
• hxxp://AQWe9sfiWSwPyVMJ[.]xyz/jg94cVd30f/index.php
• hxxp://PMVqdJfUf3WlX9kI[.]]xyz/jg94cVd30f/index.php
• hxxp://85.209.135[.]109/jg94cVd30f/index.php

Top 2 – BeamWinHTTP

12.4%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

以下は、確認された C&C サーバーアドレスである。

• hxxp://45.139.105[.]171/itsnotmalware/count.php
• hxxp://85.208.136[.]148/onemore.php

Top 3 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は11.8%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• Telegram API: hxxps://api.telegram[.]org/bot5792273343:AAEA9U7DCI4qHTq4iHfT5XkdD5IEsA0KtTo/sendDocument
• SMTP Server : mail.pumaelektrik.com
  User : cs@pumaelektrik.com
  Password : csp******23
  Receiver : officeforward2@gmail.com
• SMTP Server : smtp.yandex.com
  User : prince.omd@yandex.com
  Password : uomwsv******xboa
  Receiver : prince.omd@yandex.com
• SMTP Server : usf.hu
  User : backup@usf.hu
  Password : 52***5
  Receiver : johnson22@consultant.com

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• commercial invoice-AD1-2001028L..exe
• new order.exe
• order.exe
• RQT-0678051000.pif
• RFQ-TPS53513RVER -TI 30K.exe
• Payment copy $25000.exe
• RFQ#223090101010.pdf.exe
• transaction_history_2022121-15712.exe

Top 4 – SmokeLoader

Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は11.6%を占めており、4位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。

実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。

Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

• hulimudulinu[.]net
• stalnnuytyt[.]org
• nuluitnulo[.]me
• youyouumenia5[.]org
• guluiiiimnstra[.]net
• akmedia[.]in/js/k/index.php
• bethesdaserukam[.]org/setting/k/index.php
• stemschools[.]in/js/k/index.php
• dejarestaurant[.]com/wp-admin/js/k/index.php
• moabscript[.]ir/wp-admin/js/k/index.php
• nicehybridseeds[.]com/image/catalog/k/index.php
• imaker[.]io/picktail/js/k/index.php
• nanavatisworld[.]com/assets/js/k/index.php
• smartbubox[.]com/img/k/index.php
• krigenpharmaceuticals[.]com/js/k/index.php

Top 5 – Formbook

Formbook マルウェアは5.9%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• New Purchase Order Ref_00256754.exe
• RFQ#20200318.xlsx

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.sathunter[.]site/tpd2/
• hxxp://www.blemchi[.]xyz/ng04/
• hxxp://www.tacosmina[.]info/n2hm/
• hxxp://www.eroptik[.]online/j17j/
• hxxp://www.zugaro[.]xyz/gs25/
• hxxp://www.cvbiop[.]xyz/pr28/
• hxxp://www.lalalanowa[.]info/q4k5/
• hxxp://www.crtinha[.]xyz/s20g/
• hxxp://www.haremp[.]xyz/tc10/
• hxxp://www.hampyko[.]online/a19i/
• hxxp://www.gawiul[.]xyz/mi08/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。