ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月27日(月)から3月5日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバックドアが51.4%と1位を占めており、その次にインフォスティラーが31.2%、ダウンローダーが16.5%、ランサムウェアが0.9%の順に集計された。
Top 1 – RedLine
RedLine マルウェアは41.0%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- out.ezvizv[.]top:40309/
- 51.89.204[.]181:22299/
- 45.15.156[.]155:80/
- 193.233.20[.]23:4123/
- 193.233.20[.]24:4123/
- 45.15.157[.]128:4137/
- 15.235.130[.]155:24291/
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は20.8%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.icecleancare[.]com
User : mkarathe@icecleancare.com
Password : pass******020@
Receiver : sales.supportn1@esmaqroup.com - SMTP Server : mail.bosphoreqroup[.]com
User : feray@bosphoreqroup.com
Password : pass*******2@
Receiver : razzylord467@gmail.com - SMTP Server : us2.smtp.mailhostbox[.]com
User : 002@frem-tr.com
Password : “jCXzqcP1 ******** 3116”
Recervier : 002@frem-tr.com - Telegram API : hxxps://api.telegram[.]org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/sendDocument
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- AWB733988905AA DHL Package 733988905AA.exe
- BL Draft and Shipping Documents.exe
- BL_DRAFT.exe
- DHL Scan Docs_xls.exe
- ORDER NUMBER 94043 QUOTATION.exe
- PI 160256.exe
- Scan Document_xls.exe
- ScanDoc_Swift_USD71,450.exe
- Technical DataSheet.exe
Top 3 – Amadey
今週は Amadey Bot マルウェアが10.7%を占めて3位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://193.233.20[.]2/Bn89hku/index.php
- hxxp://77.73.134[.]27/8bmdh3Slb2/index.php
- hxxp://193.233.20[.]2/Bn89hku/index.php
Top 4 – Quasar RAT
Quasar RAT は .NET で開発された RAT マルウェアであり、オープンソースで公開されているため、様々な攻撃者が使用しているマルウェアである。6.4%で4位を記録した Quasar RAT は以前に Kimsuky グループが APT 攻撃に使用したり、コインマイナーの攻撃者によって使用されたりなど様々な攻撃に使用されている。
- Warzone2AIMesp_MAIN.exe
- Sons Of The Forest install.exe
- Heart Sender v5.0.exe
Quasar RAT は一般的な RAT マルウェアのようにプロセスおよびファイル、レジストリのようなシステムタスク、遠隔コマンドの実行、ファイルのアップロードとダウンロードのような機能を提供している。Quasar RAT はそれ以外にもキーロガー、アカウント情報収集機能を提供している。ユーザー環境の情報を窃取することができ、デスクトップを通してリアルタイムで感染システムを制御できる。
以下は確認された Quasar RAT の C&C サーバーアドレスである。
- aeronaut-25032.portmap[.]io:25032
- qassar22.ddns[.]net:2032
- 67.213.221[.]18:7812
- polog-55212.portmap[.]host:55212
Top 5 – Formbook
今週はインフォスティーラー型マルウェアである Formbook が5.5%で5位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- PB48847-2220011833 CNV BRP-HIPPS Budgetary proposal (Technical).exe
- ActivityIn.exe
- MessageE.exe
- folder request details.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.blendeqes[.]com/ef6c/
- hxxp://www.cahxary[.]site/urg8/
- hxxp://www.cunnters[.]com/bkqi/
- hxxp://www.delxom[.]xyz/gt48/
- hxxp://www.fellasies[.]com/g53s/
- hxxp://www.ftgam[.]xyz/k04s/
- hxxp://www.gfaxtp[.]xyz/me29/
- hxxp://www.hexopb[.]xyz/sz17/
- hxxp://www.moidvain[.]live/p8s2/
- hxxp://www.ontexz[.]online/s26y/
- hxxp://www.saint444[.]com/mqi9/
- hxxp://www.scastive[.]online/p6a2/
- hxxp://www.tes5ci[.]com/u4an/
- hxxp://www.vertiboard[.]live/ds0f/
- hxxp://www.vieop[.]online/sy22/
- hxxp://www.wordybag[.]online/nes8/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計