ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年1月30日(月)から2月5日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが39.3%と1位を占めており、その次にインフォスティラーが28.8%、バックドアが27.0%、ランサムウェアが2.6%、コインマイナーが2.2%の順に集計された。
Top 1 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は19.9%を占めており、1位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- potunulit[.]org
- hutnilior[.]net
- bulimu55t[.]net
- soryytlic4[.]net
- novanosa5org[.]org
- nuljjjnuli[.]org
- tolilolihul[.]net
- somatoka51hub[.]net
- hujukui3[.]net
- bukubuka1[.]net
- golilopaster[.]org
- newzelannd66[.]org
- otriluyttn[.]org
- host-file-host6[.]com
- host-host-file8[.]com
- mightys[.]at/tmp/
- mupsin[.]ru/tmp/
- channelpi[.]com/tmp/
- mordo[.]ru/tmp/
- c3g6gx853u6j[.]xyz
- 04yh16065cdi[.]xyz
- 33qd2w560vnx[.]xyz
- neriir0f76gr[.]com
- b4y08hrp3jdb[.]com
- swp6fbywla09[.]com
- 7iqt53dr345u[.]com
- mj4aj8r55mho[.]com
- ne4ym7bjn1ts[.]com
Top 2 – BeamWinHTTP
18.0%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- 45.12.253[.]51/publisher.php
- 45.12.253[.]56/advertisting/plus.php
Top 3 – Formbook
Formbook マルウェアは14.6%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- TT Swift ($ 23,506.50) 19.01.23_jpg.exe
- E-FCR Docs_pdf.exe
- HSBC Account Statement 03FEB2023_pdf.exe
- RFQ-20000 TO 500000 MTBARELLS TEST by SGSPDF.exe
- Invoice.exe
- MV GOLDEN BRIGHT_VESSEL DESCRIPTION.exe
- INV.exe
- REQ-22-TM-04211.exe
- HSBC Payment Advice_pdf.exe
- JAN SOA PAYMENT.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.auskunfton[.]com/u8ow/
- hxxp://www.bnhkit[.]xyz/d0a7/
- hxxp://www.btexmo[.]xyz/ga23/
- hxxp://www.domight[.]live/gune/
- hxxp://www.domight[.]live/hyed/
- hxxp://www.energybig[.]xyz/ghii/
- hxxp://www.frykuv[.]xyz/sk29/
- hxxp://www.genmanty[.]site/g44n/
- hxxp://www.gvdxop[.]xyz/n10i/
- hxxp://www.hexopb[.]xyz/sz17/
- hxxp://www.koyesses[.]site/xprq/
- hxxp://www.markmarket[.]live/m3ix/
- hxxp://www.pertio[.]xyz/gs12/
- hxxp://www.tumaqe[.]xyz/fh11/
- hxxp://www.webventy[.]site/m5oe/
Top 4 – Quasar RAT
Quasar RAT は .NET で開発された RAT マルウェアであり、オープンソースで公開されているため、様々な攻撃者が使用しているマルウェアである。10.9%で4位を記録した Quasar RAT は以前に Kimsuky グループが APT 攻撃に使用したり、コインマイナーの攻撃者によって使用されたりなど様々な攻撃に使用されている。
以下は Quasar RAT の配布ファイル名リストであり、最近では主に正常なプログラムのクラックバージョンに偽装して拡散している。
- c0cain_lite.EXE
- OpenBullet V 2.3.1.exe
- Photo.exe
- Battleye.jpg.exe
- Power Point Presentation.exe
- SunloginClient.exe
- JJSploit_Installer.exe
Quasar RAT は一般的な RAT マルウェアのようにプロセスおよびファイル、レジストリのようなシステムタスク、遠隔コマンドの実行、ファイルのアップロードとダウンロードのような機能を提供している。Quasar RAT はそれ以外にもキーロガー、アカウント情報収集機能を提供している。ユーザー環境の情報を窃取することができ、デスクトップを通してリアルタイムで感染システムを制御できる。
以下は確認された Quasar RAT の C&C サーバーアドレスである。
- 23.216.147[.]64:443
- 35.222.163[.]119:3741
- 79.119.149[.]174:4782
- 80.209.225[.]244:4420
- fat-tx.at.ply[.]gg:14136
Top 5 – Redline
RedLine マルウェアは5.6%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 45.15.156[.]194:36152
- 176.113.115[.]16:4122
- 193.56.146[.]78:51487
- 62.204.41[.]170:4132
- 51.210.137[.]6:47909
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計