大分類の上ではダウンローダーが38.4%と1位を占めており、その次にインフォスティラーが37.0%、続いてバックドアが18.2%、ランサムウェアが4.0%、コインマイナーが1.5%の順に集計された。
ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月09日(月)から01月15日(日)までの一週間で収集されたマルウェアの統計を整理する。
Top 1 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は17.7%を占めており、1位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- hxxp://vatra[.]at/tmp/
- hxxp://spbdg[.]ru/tmp/
- hxxp://skinndia[.]com/tmp/
- hxxp://mightys[.]at/tmp/
Top 2 – BeamWinHTTP
14.1%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://2.56.59[.]42/base/api/statistics.php
- hxxp://212.192.241[.]62/base/api/statistics.php
- hxxp://31.210.20[.]251/base/api/statistics.php
- hxxp://45.139.105[.]171/itsnotmalware/count.php?sub=/mixtwo&stream=mixone&substream=mixazed
- hxxp://51.178.186[.]149/base/api/statistics.php
- hxxp://forwardstorage[.]biz/partner/loot.php?pub=mixone
- hxxp://gcl-gb[.]biz/check.php?pub=mixone
- hxxp://web-stat[.]biz/info.php?pub=mixtwo
- hxxp://wfsdragon[.]ru/api/setStats.php
- hxxp://whatisart[.]top/check.php?source=MIX1h1
Top 3 – Formbook
Formbook マルウェアは13.6%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- BL-SHIPPING DOCUMENTS.exe
- CONTRACT DOCUMENT.exe
- Remittance advice.exe
- Payment transfer slip.exe
- HBL+MBL SHIPPING DOCS.exe
- PFI20-21008_.exe
- O# GOSUSNH1637860.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.baskmarketing[.]online/bd6z/
- hxxp://www.ciexol[.]xyz/ci07/
- hxxp://www.hairmall[.]info/chd4/
- hxxp://www.outreacmore[.]site/neoe/
- hxxp://www.wertoz[.]xyz/jn85/
Top 4 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は11.1%で4位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : us2.smtp.mailhostbox[.]com
User : support@habitatbreks[.]org
Password : ” Hun****2 “
Receiver : support@habitatbreks[.]org - SMTP Server : mail.sseximclearing[.]com
User : saurav.roy@sseximclearing[.]com
Password : Ssx****854
Receiver : davidsurly1@gmail[.]com - SMTP Server : smtp.elec-qatar[.]com
User : mohammed.abrar@elec-qatar[.]com
Password : MHa19@#
Receiver : jinhux31@gmail[.]com - Telegram API : hxxps://api.telegram[.]org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/sendDocument
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- PURCHASE ORDER.exe
- Sales Contract 2023156 GMDB2017.000056.exe
- Payment copy for PO. 303092.exe
- PAYMENT SLIP.exe
- BANK DETAILS.exe
- Payment copy.exe
- SOA Payment TT application details.exe
- New order enquiry.exe
- PO 221005549.exe
Top 5 – Lokibot
Lokibot マルウェアは9.1%で5位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる
大半の Lokibot マルウェアの C&C サーバーは以下の通りである。
- hxxp://208.67.105[.]148/fresh2/five/fre.php
- hxxp://171.22.30[.]147/kelly/five/fre.php
- hxxp://171.22.30[.]147/gk1/five/fre.php
- hxxp://shopper.bulutlogistic[.]com/fre.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計