ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月6日(月)から2月12日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが54.7%と1位を占めており、その次にバックドアが27.7%、続いてインフォスティラーが12.8%、ランサムウェアが4.6%、コインマイナーが0.1%の順に集計された。
Top 1 – Amadey
今週は Amadey Bot マルウェアが43.9%を占めて1位に名が挙がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://62.204.41[.]4/Gol478Ns/index.php
- hxxp://62.204.41[.]248/Gol478Ns/index.php
- hxxp://193.233.20[.]2/Bn89hku/index.php
- hxxp://62.204.41[.]5/Bu58Ngs/index.php
Top 2 – RedLine
RedLine マルウェアは15.7%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://193.233.20[.]12:4132
- hxxp://62.204.41[.]170:4172
- hxxp://45.15.157[.].156:10562
- hxxp://195.2.78[.]49:6074
Top 3 – BeamWinHTTP
7.9%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://45.12.253[.]56/advertisting/plus.php
- hxxp://45.12.253[.]51/publisher.php
- hxxp://45.139.105[.]171/itsnotmalware/count.php
Top 4 – njRAT
njRAT はキーロガーを含む情報流出以外にも、攻撃者のコマンドを実行できる RAT マルウェアとして、6.1%を占めている。最近収集された njRAT は Facebook の広告ページなどのようなフィッシングを通して配布されるケースが多い。
- example-rooms.at.ply[.]gg:19907
- mohammed1990.ddns[.]net
- xiiiolympus.zapto[.]org:3000
- 3.125.223[.]134:14504
- rif-nador123333333.zapto[.]org:1177
- gololosd.ddns[.]net:9090
njRAT の相当数は正常なファイルに偽装して配布される特徴がある。配布時に偽装する対象としては、ゲームのハックツールやクラックプログラムのような違法なプログラムが多数存在し、これ以外にも違法に共有されたゲームに含まれて配布されるケースが多い。
- JJS-UI.exe
- modest-menu.exe
- GTA san andreas.exe
- GikssLoader.exe
- Gmail Hacker Password 2016.exe
- minecraft.exe
- Srilankan.exe
- Flash player.exe
- pandora.gg-update.exe
- JavaUpdateShell.exe
Top 5 – Formbook
今週はインフォスティーラー型マルウェアである Formbook が5.0%で5位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- overdue settlement.exe
- URGENT REQUEST FOR QUOTATION ORDER SHEET.exe
- Order specification.exe
- SHIPPING DOC.exe
- ruficoccin.exe
- firefox.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.fatsecing[.]xyz/ippd/
- hxxp://www.potifitz[.]site/gapq/
- hxxp://www.lobefood[.]site/rder/
- hxxp://www.pushgit[.]site/rd0h/
- hxxp://www.ytorly[.]xyz/d03s/
- hxxp://www.firmart.info/vcuc/
- hxxp://www.hurloic[.]xyz/gg62/
- hxxp://www.hexopb[.]xyz/sz17/
- hxxp://www.koyesses[.]site/xprq/
- hxxp://www.cahxary[.]site/urg8/
- hxxp://www.wordybag[.]online/nes8/
- hxxp://www.genmanty[.]site/g44n/
- hxxp://www.seculw[.]xyz/de12/
- hxxp://www.martcash[.]website/fuo8/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計