ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月16日(月)から01月22日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが43.0%と1位を占めており、その次にダウンローダーが30.6%、続いてバックドアが19.9%、ランサムウェアが3.8%、コインマイナーが2.4%、最後にバンキングマルウェアが0.3%の順に集計された。
Top 1 – BeamWinHTTP
20.3%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://45.139.105[.]171/itsnotmalware/count.php?sub=/mixtwo&stream=mixtwo&substream=mixkis
- hxxp://45.12.253[.]56/advertisting/plus.php?s=/mixtwo&str=mixtwo&substr=mixinte
- hxxp://wfsdragon[.]ru/api/setStats.php
- hxxp://37.0.11[.]41/base/api/getData.php
- hxxp://45.12.253[.]51/publisher.php?subid=NOSUB
- hxxp://208.67.104[.]97/powfhxhxcjzx/ping.php?sub=NOSUB&stream=mixone&substream=mixtwo
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は12.7%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.expostore[.]pk
User : info@expostore[.]pk
Password : Expo********45@@
Receiver : mylogs456@gmail[.]com - SMTP Server : mail.elec-qatar[.]com
User : mohammed.abrar@elec-qatar[.]com
Password : MH********9@#
Receiver : jinhux31@gmail[.]com - SMTP Server : smtp.gmail[.]com
User : maggie.hualingan@gmail[.]com
Password : hnxqe********sss
Receiver : maggie.hualingan@gmail[.]com - Telegram API : hxxps://api.telegram[.]org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/sendDocument
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- SwiftReport_00001801202301432.exe
- EURO 642k Ref20230116_pdf.exe
- INV 001.exe
- PAGO TT (Ref 0180066743).exe
- Payment copy.exe
- doc.exe
- SWIFT COPY US$ 291.650
- file2.exe
Top 3 – Formbook
Formbook マルウェアは9.6%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- prCUmNBm8PNam69.exe
- DRAFT HAWB and DRAFT MAWB.exe
- Inquiry – TP5x12 .png.exe
- PO20190606.exe
- FNCuc.exe
- VDir.exe
- PRE ALERT NOTICE.exe
- DHL_BL_COMMERCIAL_INVOICE_PL_DELIVERYADDRESS_PDF.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.loudesios[.]com/fswe/
- hxxp://www.wordybag[.]online/nes8/
- hxxp://www.paupocket[.]online/umcs/
- hxxp://www.haremp[.]xyz/tc10/
- hxxp://www.koyesses[.]makeup/ed9t/
- hxxp://www.dupaxi[.]xyz/a09e/
- hxxp://www.urvap[.]online/vy03/
- hxxp://www.gvdxop[.]xyz/n10i/
Top 4 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は9.3%を占めており、4位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- hxxp://mightys[.]at/tmp/
- hxxp://mupsin[.]ru/tmp/
- hxxp://channelpi[.]com/tmp/
- hxxp://mordo[.]ru/tmp/
- hxxp://potunulit[.]org/
- hxxp://hutnilior[.]net/
- hxxp://bulimu55t[.]net/
Top 4 – Pony
Pony マルウェアはインフォスティラーマルウェアであり、主にスパムメールを通して配布され、今週は9.3%を占めて共同4位に名が上がった。Pony マルウェアはユーザーの PC の Web ブラウザ、FTP クライアント、メールビットコインウォレットなどに保存されたユーザー情報を流出するインフォスティラーの振る舞いを行うマルウェアである。
以下は確認された Pony マルウェアの C&C サーバーアドレスである。
- hxxp://minhaslaw.co[.]uk/new/ladi/gate.php
- hxxp://1ntershippingp[.]co/brown/gate.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計