ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月23日(月)から01月29日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが44.2%と1位を占めており、その次にインフォスティラーが34.3%、バックドアが18.5%、ランサムウェアが2.6%、コインマイナーが0.4%の順に集計された。
Top 1 – BeamWinHTTP
24.0%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://45.12.253[.]56/advertisting/plus.php
- hxxp://45.12.253[.]51/publisher.php
- hxxp://wfsdragon[.]ru/api/setStats.php
- hxxp://37.0.11[.]41/base/api/getData.php
Top 2 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は19.7%を占めており、2位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- hxxp://conceitosseg[.]com/upload/
- hxxp://integrasidata[.]com/upload/
- hxxp://ozentekstil[.]com/upload/
- hxxp://finbelportal[.]com/upload/
- hxxp://telanganadigital[.]com/upload/
- hxxp://cletonmy[.]com/
- hxxp://alpatrik[.]com/
- hxxp://mightys[.]at/tmp/
- hxxp://mupsin[.]ru/tmp/
- hxxp://channelpi[.]com/tmp/
- hxxp://mordo[.]ru/tmp/
- hxxp://c3g6gx853u6j[.]xyz/
Top 3 – Formbook
Formbook マルウェアは12.4%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Enquiry 40320581017.exe
- Remittance copy pdf.exe
- Purchase Order List_pdf.exe
- Scannedfile.exe
- PI#000123#.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.notbokin[.]online/he2a/
- hxxp://www.chopchity[.]site/j892/
- hxxp://www.koyesses[.]site/k4xe/
- hxxp://www.nbemt[.]xyz/sr23/
- hxxp://www.ytumz[.]xyz/as48/
- hxxp://www.vieop[.]online/sy22/
- hxxp://www.chopchity[.]site/j892/
- hxxp://www.mawelk[.]xyz/gn92/
- hxxp://www.dupaxi[.]xyz/a09e/
Top 4 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は11.6%で4位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : smtp.nutiribio.com
User : humhum@nutiribio.com
Password : zG****l5
Receiver : humhum@nutiribio.com - SMTP Server : mail.dmstech.in
User : sanjeev@dmstech.in
Password : 0]6F9*****fd
Receiver : zakirrome@ostdubai.com - SMTP Server : mail.clipjoint.co.nz
User : clipjoint@clipjoint.co.nz
Password : mela******4
Receiver : geortiok4@gmail.com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Revised Order.rar
- statement of account.rar
- Statement of Accounts for Jan. 2023.exe
- 2023 Swift MT03pdf 00003747727369.exe
- Inquiry_specification.exe
Top 5 – SnakeKeylogger
4.7%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、主にメールサーバーおよびユーザーアカウントを利用しており、それ以外にも FTP、Telegram、Discord 方式が使用されることもある。直近の流入サンプルが利用している C&C 情報は以下の通りである。
- SMTP Server : mail.raouf-hotels[.]com
User : fc@raouf-hotels[.]com
Password : ZyiA**********11660
Receiver : justicefoxy71@gmail[.]com - SMTP Server : mail.dr2marking[.]com
User : postmania@dr2marking[.]com
Password : K03******QUl
Receiver : webmaster@rodeojunior[.]com - SMTP Server : mail.siriexergy[.]com
User : subramanyam@siriexergy[.]com
Password : ********123
Receiver :storm.maanh@gmail[.]com
他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。
- 2023 Swift MT03pdf 00003747727369.exe
- RFQ_88987765654_PDF.exe
- PO023010.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計