ASEC マルウェア週間統計 ( 20221219~20221225 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年12月19日(月)から12月25日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティラーが37.3%と1位を占めており、その次にダウンローダーが35.7%、バックドアが23.9%、ランサムウェアが3.1%の順に集計された。


Top 1 – BeamWinHTTP

23.3%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

以下は、確認された C&C サーバーアドレスである。

  • 45.139.105[.]171/itsnotmalware/count.php?sub=NOSUB&stream=mixone&substream=mixtwo
  • 45.139.105[.]171/itsnotmalware/count.php?sub=/mixtwo&stream=mixtwo&substream=mixinte
  • 45.139.105[.]171/itsnotmalware/count.php?sub=/mixtwo&stream=mixone&substream=mixazed
  • 45.9.20[.]13/partner/loot.php?pub=mixone
  • ppp-gl[.]biz/stats/1.php?pub=/mixone
  • ppp-gl[.]biz/check.php?pub=mixone


Top 2 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は16.1%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • SMTP Server : mail.galaxybreakdown.co.za
    User : accounts@galaxybreakdown.co.za
    Password : e***9
    Receiver : teahyunkoo@gmail.com
  • SMTP Server : smtp.yandex.com
    User : alma.yang2@yandex.ru
    Password : graceofgod@amenn
    Receiver : alma.yang2@yandex.ru
  • SMTP Server :host39.registrar-servers.com
    User : Account@nachnegg.net
    Password : p****nt 1***5
    Receiver : Account@nachnegg.net
  • SMTP Server : us2.smtp.mailhostbox.com
    User : support@habitatbreks.org
    Password : Hu***2
    Receiver : support@habitatbreks.org

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • ORDER ENQIRY #093727664.exe
  • PO 29388-0321.exe
  • SCANNED COPY.exe
  • DATA SHEET.exe
  • INWARDREMITANCE48990021337565990_pdf.exe
  • UPDATED SOA.exe


Top 3 – Tofsee

今週は Tofsee が14.6%で3位を記録した。Tofsee はスパム Bot であり、現在韓国国内のユーザーをターゲットにした攻撃が確認されていないが、韓国国外では以前から拡散が続いている。これらは SmokeLoader、Vidar インフォスティラー、Stop ランサムウェアなどと同じパッカーのフレームワークを持っていると思われ、主に商用ソフトウェアの Crack、ダウンロードページに偽装した不正なサイトから配布されるマルウェアお通してインストールされると思われる。

Tofsee はモジュールベースのマルウェアで、感染後は C&C サーバーから命令を受け取り、様々なモジュールをインストールして利用することができる。設置するモジュールは コインマイニング、アカウント情報窃取、DDos 攻撃などがある。

以下は、確認された C&C サーバーアドレスである。

  • svartalfheim[.]top:443
  • jotunheim[.]name:443


Top 4 – Formbook

Formbook マルウェアは7.5%で4位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • Invoice B72418M pdf.exe
  • DHL Invoice Notification_pdf.exe
  • AWB 9899691012 Clearance Doc_pdf.exe
  • DKU0021176pdf.22.12.2022pdf.exe
  • Payment Invoice 0102322.exe
  • New Price Confirmation.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.crtinha[.]xyz/s20g/
  • hxxp://www.eroptik[.]online/j17j/
  • hxxp://www.gawiul[.]xyz/mi08/
  • hxxp://www.magenx2[.]info/x2ee/
  • hxxp://www.merop[.]online/b21g/
  • hxxp://www.mewzom[.]online/oi05/
  • hxxp://www.peiphitan[.]com/poub/
  • hxxp://www.slebuild[.]com/dcn0/
  • hxxp://www.slebuild[.]com/obee/
  • hxxp://www.solisdq[.]info/ugk8/
  • hxxp://www.tacosmina[.]info/n2hm/


Top 5 – SnakeKeylogger

6.2%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

このマルウェアは AgentTesla と同様、収集した情報を流出させる際に、主にメールサーバーやユーザーアカウントを利用しており、それ以外にも FTP、Telegram、Discord などを使用する場合もある。最近流入したサンプルが利用しているアカウントは以下の通りである。

  • SMTP Server : us2.smtp.mailhostbox.com
    User : moni@hq-blli.com
    Password : nP***)8
    Receiver : moni@hq-blli.com
  • SMTP Server : mail.impressive-edge.com
    User : goobm@impressive-edge.com
    Password : dG***djt
    Receiver : camialfieri3@gmail.com
  • SMTP Server : us2.smtp.mailhostbox.com
    User : info@giftwayexpress-service.com
    Password : %c***t9
    Receiver : info@giftwayexpress-service.com
  • Telegram API hxxps://api.telegram[.]org/bot5484820495:AAGEjy8dT72vJZImmHLmeh3onMuG9LLRD5A/sendMessage[?]chat_id=5101327412

他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。

  • URGENT UPDATED SOA.exe
  • 11140109927_20221220_11440490_HesapOzet.exe
  • Swift.exe
  • REQUEST FOR Quotations (PYRENAQUA SEAFOOD, S.L.exe
  • DEBIT NOTE.exe
  • 987656-098765456789987654.exe
  • Revised documents.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments