ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月02日(月)から01月08日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが55.9%と1位を占めており、その次にインフォスティラーが21.3%、次にバックドアが14.2%、ランサムウェアが7.9%、コインマイナーが0.8%の順に集計された。
Top 1 – BeamWinHTTP
32.3%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- 45.139.105[.]171
- 85.208.136[.]148
- wfsdragon[.]ru
- 136.144.41[.]152
Top 2 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は22.0%を占めており、2位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-file-host6[.]com
- host-host-file8[.]com
- potunulit[.]org
- hutnilior[.]net
- bulimu55t[.]net
- soryytlic4[.]net
- novanosa5org[.]org
- nuljjjnuli[.]org
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は6.3%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- Telegram API : hxxps://api.telegram[.]org/bot5932499274:AAFVgY_mSAbCu0fXfBWMuUmyk56JtTf6–Q/
- SMTP Server : gmail.com
User : maggie.hualingan@gmail.com
Password : hn********abdsss
Receiver : maggie.hualingan@gmail.com - SMTP Server : host39.registrar-servers.com
User : Account@nachnegg.net
Password : P*********45
Receiver : Account@nachnegg.net
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Fatura_SUN202200000166.exe
- OUTSTANDING_TILL_03-01-2023.exe
Top 4 – Formbook
Formbook マルウェアは5.5%で4位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- sipariş pdf.exe
- Banco Atlantico_SWIFT208_eEXT…….3-FEB-2021_9bb08cb7292ai1.exe
- About Us – MS-Group.exe
- MS – Group Projects.exe
- teklif siparişi pdf.exe
- INVOICE CORRECTION.png.scr
- Camscanner.New Order.09878766.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.rtivxam[.]xyz
- hxxp://www.notbokin[.]online
- hxxp://www.merop[.]online
- hxxp://www.mewzom[.]online
- hxxp://www.markmarket[.]live
- hxxp://www.scastive[.]online
- hxxp://www.moldstones[.]com
- hxxp://www.atrikvde[.]xyz
- hxxp://www.domight[.]live
- hxxp://www.koyesses[.]site
Top 4 – Mallox
Mallox マルウェアも同じく5.5%で同率4位になった。Mallox マルウェアは主に脆弱な MS-SQL サーバーを対象に拡散し、ファイルの暗号化を実行するランサムウェアタイプのマルウェアである。
Mallox ランサムウェアは正常なプロセスにインジェクションして実行され、脆弱な MS-SQL サーバーを対象として拡散するランサムウェアであるだけに、SQL サーバー関連のプロセスを終了させる。また、追加のマルウェアをダウンロードするための URL を持っている。
- hxxp://80.66.75[.]36/at-Jnokafofrq.dat
- hxxp://80.66.75[.]116/Erdwp.png
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計