ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月20日(月)から2月26日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバックドアが51.0%と1位を占めており、その次にダウンローダーが24.7%、インフォスティラーが22.7%、ランサムウェアが1.4%、コインマイナーが0.2%の順に集計された。
Top 1 – RedLine
RedLine マルウェアは46.9%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
- 193.233.20[.]17:4139/
- 82.115.223[.]46:57672/
- 89.22.235[.]53:16640/
- 109.172.44[.]182:16771/
- 193.233.20[.]20:4134/
- ofriaransim[.]shop:80/
- 81.161.229[.]143:45156/
- 193.233.20[.]23:4124/
Top 2 – Amadey
今週は Amadey Bot マルウェアが13.9%を占めて2位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://193.233.20[.]2/Bn89hku/index.php
- hxxp://193.233.20[.]4/t6r48nSa/index.php
- hxxp://62.204.41[.]5/Bu58Ngs/index.php
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は13.3%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : us2.smtp.mailhostbox[.]com
User : vmeee@kopamarine.xyz
Password : ” LC%UjB****nSacr@@ “
Receiver : vmeee@kopamarine.xyz - SMTP Server : smtp.yandex[.]com
User : colprchu@yandex.com
Password : Oma****29#
Receiver : colprchu@yandex.com - SMTP Server : smtp.yandex[.]com
User : sales@aranvalve.ml
Password : mar****nus360
Recervier : sales@aranvalve.ml - Telegram API : hxxps://api.telegram[.]org/bot1507062795:AAEBb0H5OYbp-dWwXk8ffQp0InjOhKxhpbU/sendDocument
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- AWB733988905AA DHL Package 733988905AA.exe
- BL Draft and Shipping Documents.exe
- BL_DRAFT.exe
- DHL Scan Docs_xls.exe
- ORDER NUMBER 94043 QUOTATION.exe
- PI 160256.exe
- Scan Document_xls.exe
- ScanDoc_Swift_USD71,450.exe
- Technical DataSheet.exe
Top 4 – BeamWinHTTP (共同)
4.9%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- 45.12.253[.]51/publisher.php
- 45.12.253[.]56/advertisting/plus.php
Top 4 – Guloader (共同)
4.9%を占めている GuLoader は追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive やまた別のアドレスが使われることもある。
- hxxp://154.204.178[.]219/wp-includes/nQcSrRtPYOnqiljZZ8.sea
- hxxps://drive.google[.]com/uc?export=download&id=1Ia5DX9lRaNvKs6FLdmqcFfiRUuvlSPYS
- hxxps://drive.google[.]com/uc?export=download&id=1iWDvo4CQWWMaqCVJovV4lRKxBGCpQjLN
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- (設備) 2023.02.23_LG 化学協力会社評価_要請資料.exe
- AIDA-70015.exe
- Anthracoid Overmodernization.exe
- OBII.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計