ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月13日(月)から2月19日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバックドアが50.8%と1位を占めており、その次にダウンローダーが41.0%、続いてインフォスティラーが7.3%、ランサムウェアが0.8%、コインマイナーが0.2%の順に集計された。
Top 1 – RedLine
RedLine マルウェアは49.4%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://51.161.104[.]92:47909
- hxxp://193.233.20[.]13:4136
- hxxp://176.113.115[.]17:4132
Top 2 – Amadey
今週は Amadey Bot マルウェアが35.0%を占めて2位になった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://62.204.41[.]4/Gol478Ns/index.php
- hxxp://193.233.20[.]2/Bn89hku/index.php
- hxxp://193.233.20[.]4/t6r48nSa/index.php
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は4.2%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.keefort.com[.]ec
User :ssg@keefort.com[.]ec
Password : u=Wa*****3nj
Receiver : blanca@williamsalfredlogs[.]com - SMTP Server : mail.chestronics[.]com
User : engineering1@chestronics[.]com
Password : y)[1******Bh
Receiver : admin@sangamsweets.co[.]in - SMTP Server : mail.mbarieservicesltd[.]com
User : saless@mbarieservicesltd[.]com
Password : ********+18Q4%;M
Recervier : iinfo@mbarieservicesltd[.]com - Telegram API : hxxps://api.telegram[.]org/bot5826219676:AAHzaO_KidyTjZ5PTwFErYpZivpT8wfDUno/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- FedEx Receipt_AWB# 1022355160763.exe
- QUOTE.exe
- $60000-WireTransfer.exe
- PO-000001306.exe
- USD122986.exe
- MBL#KYBKKP2300028.exe
Top 4 – SmokeLoader
Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は4.1%を占めており、4位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。
実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。
Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- hxxp://perficut[.]at/tmp/
- hxxp://rutobacco[.]ru/tmp/
- hxxp://aingular[.]com/tmp/
- hxxp://piratia-life[.]ru/tmp/
- hxxp://potunulit[.]org/
- hxxp://hutnilior[.]net/
- hxxp://bulimu55t[.]net/
- hxxp://soryytlic4[.]net/
- hxxp://novanosa5org[.]org/
- hxxp://nuljjjnuli[.]org/
- hxxp://tolilolihul[.]net/
- hxxp://somatoka51hub[.]net/
- hxxp://hujukui3[.]net/
- hxxp://bukubuka1[.]net/
Top 5 – SnakeKeylogger
1.3%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様、収集した情報を流出させる際に、主にメールサーバーやユーザーアカウントを利用しており、それ以外にも FTP、Telegram、Discord などを使用する場合もある。最近流入したサンプルが利用しているアカウントは以下の通りである。
- Telegram API : hxxps://api.telegram[.]org/bot6112875567:AAELAi1dztc_XKpDFEg1a1IG01250o2gxXs/
- Telegram API : hxxps://api.telegram[.]org/bot6088403113:AAGbasJAZS1yXzT5Hv6KJBlt80Z5QJZiq8Y/
- Telegram API : hxxps://api.telegram[.]org/bot6160036640:AAHqrAdmG4_GQkcLvxoups3k8WSEUC34w1g/
- Telegram API : hxxps://api.telegram[.]org/bot5409930542:AAFxwqGbFuHLkEcoI_Wd5LmyaZ64bak9as0/
他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。
- INVOICE.EXE
- payment remitted.exe
- Kind_Machine_Paired.exe
- Payment.exe
- BLOb.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計