ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年12月26日(月)から01月01日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが48.8%と1位を占めており、その次にバックドアが24.2%、続いてインフォスティラーが18.4%、コインマイナーが4.8%、ランサムウェアが3.4%、最後にバンキング型マルウェアが0.5%の順に集計された。
Top 1 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は33.8%を占めており、1位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- vatra[.]at/tmp
- spbdg[.]ru/tmp
- skinndia[.]com/tmp
- cracker[.]biz/tmp
- piratia-life[.]ru/tmp
- piratia[.]su/tmp
- potunulit[.]org
- hutnilior[.]net
- bulimu55t[.]net
- soryytlic4[.]net
- novanosa5org[.]org
Top 2 – Redline
RedLine マルウェアは22.6%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 45.15.156[.]155:80
- 34.125.68[.]133:80
- 159.223.106[.]156:81
- 185.242.86[.]118:46875
- 79.137.204[.]112:80
Top 3 – BeamWinHTTP
11.6%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- 45.139.105[.]171
Top 4 – Vidar
今週は Vidar が7.2%を占めており、4位となった。Vidar は代表的なインフォースティーラー/ダウンローダーマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。
以下のブログでわかるように、周期的に韓国国内のユーザーをターゲットに、スパムメールで拡散している、また、スパムメールの添付ファイルに存在する圧縮ファイル内部に、他のランサムウェアも存在するのが特徴である。
これ以外にも、最近は特定のゲームプラットホームを悪用して拡散している。
次に Vidar マルウェアの情報流出機能についての分析情報である。
該当期間に使用された C&C アドレスは以下の通りである。
- hxxp://195.201.45[.]53/1707
- hxxp://116.202.6[.]206/1707
- hxxp://142.132.236[.]84/1515
- hxxp://49.12.8[.]228/1839
- hxxp://157.90.244[.]205/400
- hxxp://116.202.4[.]70/634
Top 5 – Tofsee
今週は Tofsee が6.3%で5位を占めている。Tofsee はスパム Bot であり、現在韓国国内のユーザーをターゲットにした攻撃が確認されていないが、韓国国外では以前から拡散が続いている。これらは SmokeLoader、Vidar インフォスティラー、Stop ランサムウェアなどと同じパッカーのフレームワークを持っていると思われ、主に商用ソフトウェアの Crack、ダウンロードページに偽装した不正なサイトから配布されるマルウェアを通してインストールされると見られる。
Tofsee はモジュールベースのマルウェアで、感染後は C&C サーバーから命令を受け取り、様々なモジュールをインストールして利用することができる。インストールされるモジュールは コインマイニング、アカウント情報窃取、DDos 攻撃などがある。
以下は、確認された C&C サーバーアドレスである。
- svartalfheim[.]top:443
- jotunheim[.]name:443
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計