ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年12月12日(月)から12月18日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが61.9%と1位を占めており、その次にインフォスティラーが24.7%、バックドアが12.5%、ランサムウェアが0.9%の順に集計された。
Top 1 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は28.9%を占めており、1位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-file-host6[.]com
- host-host-file8[.]com
- dowe[.]at
- xisac[.]com
- newhorizonswv[.]com
- cracker[.]biz
- piratia-life[.]ru
- piratia[.]su
- newhorizonswv[.]com
Top 2 – BeamWinHTTP
23.8%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
- hxxp://45.139.105[.]171/itsnotmalware/count.php
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は11.3%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- Telegram API : hxxps://api.telegram[.]org/bot5847242711:AAGm1UFys7yP4w0YlRr2vLcRLAEBVCNdjis/2049663659
- SMTP Server : mail.as-print.pl
User : shopee@as-print.pl
Password : HU*********int
Receiver : sales.ycdingming@dr.com - SMTP Server : mail.dmstech.in
User : sanjeev@dmstech.in
Password : 0]6******qfd
Receiver : zakirrome@ostdubai.com - SMTP Server : mail.yandex.com
User : maka.nakii@yandex
Password : dile*********mxg
Receiver : maka.nakii@yandex
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- PI_20251.EXE
- Invoice #booking by sea.exe
- QUOTE_PO.EXE
- PO# 09534671.PDF.exe
- RFQ_new_order_1312202200000000000000PDF{128kb}.exe
Top 4 – Amadey
今週は Amadey Bot マルウェアは6.1%を占めて4位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://31.41.244[.]237/jg94cVd30f/index.php
- hxxp://smgqnt3eixxksasu[.]xyz/jg94cVd30f/index.php
- hxxp://77.73.133[.]72/hfk3vK9/index.php
- hxxp://62.204.41[.]79/fb73jc3/index.php
Top 5 – Formbook
Formbook マルウェアは4.9%で5位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Request for Quotation.exe
- Payment_Advice.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxps://www.drevom.online/fs44/
- hxxps://www.rijnaq.xyz/vr84/
- hxxps://www.haremp.xyz/tc10/
- hxxps://www.hostmart.site/pv6u/
- hxxps://www.lobefood.site/d8j0/
- hxxps://www.lastsummercog.com/ermr/
- hxxps://www.atrikvde.xyz/sk19/
- hxxps://www.paymallmart.info/h3ha/
- hxxps://www.waishow.website/r5dd/
- hxxps://www.suhosty.xyz/2qgh/
- hxxps://www.peiphitan.com/poub/
- hxxps://www.mewzom.online/oi05/
- hxxps://www.pubfive.xyz/snky/
- hxxps://www.urivancy.xyz/f3ip/
- hxxps://www.waishow.website/r5dd/
- hxxps://www.timerity.online/asdo/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計