ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年3月06日(月)から3月12日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが52.6%と1位を占めており、その次にバックドアが27.6%、続けてダウンローダーが15.7%、ランサムウェアが3.0%、コインマイナーが0.7%、バンキングマルウェアが0.4%の順に集計された。
Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は25.4%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : serv-10708.handsonwebhosting[.]com
User : droid@multillantaszl.com
Password : icui4***@@
Receiver :droid@multillantaszl.com - SMTP Server : smtp.belpac[.]org
User : log1@belpac.org
Password : TfJ****8
Receiver : log1@belpac.org - SMTP Server : mail.nanogenpharma[.]com
User : duc.vo@nanogenpharma.com
Password : Yb*****11
Receiver : purchase1@davitecco.com - SMTP Server : smtp.garqwire[.]com
User : sales@garqwire.com
Password : Q3*****ojsq{
Receiver : sales@garqwire.com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- QUOTATION #QO210421A87356.exe
- Technical Sheet And P.O.exe
- nova ordem.XLSx_______________________________.exe
- PAGO FACTURA 3802.exe
- DHL SHIPPING INVOICE COPYS.exe
- Deposit slip.exe
Top 2 – RedLine
RedLine マルウェアは23.1%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://hueref[.]eu:4162/
- hxxp://193.233.20[.]27:4123/
- hxxp://45.138.74[.]121:80/
- hxxp://81.19.141[.]8:14701/
- hxxp://82.115.223[.]46:57672/
Top 3 – SnakeKeylogger
13.4%で3位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。
- hxxps://api.telegram[.]org/bot5310184099:AAGxqu0IL8tjOF6Eq6x2u0gfcHhvuxRwfLU/sendDocument?chat_id=5350445922
- hxxps://api.telegram[.]org/bot5568312416:AAHFcV7Sj5ZHvpqi5PHfNfJ6Z7VDXDyymUI/sendDocument?chat_id=1884866272
- hxxps://api.telegram[.]org/bot6112875567:AAELAi1dztc_XKpDFEg1a1IG01250o2gxXs/sendDocument?chat_id=5687933537
- FTP Host : hxxp://www.213221321[.]com
Username : root
Password : 1*************
Top 4 – Formbook
今週はインフォスティーラー型マルウェアである Formbook が9.7%で4位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- DHL.exe
- Bill of Lading Toll – TTPE6214848………………………………………..exe
- 3DC Project Marterials.exe
- 03-07 GW consolution Bill Of Lading – 6040279326.scr
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.tomart[.]live/onpq/
- hxxp://www.momarketing[.]xyz/nnbh/
- hxxp://www.kitefig[.]online/us8k/
- hxxp://www.bleclear[.]xyz/erh1/
- hxxp://www.arrmart[.]life/gefg/
Top 5 – Guloader
8.2%で5位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discode など様々なアドレスが使われることもある。
- hxxps://drive.google[.]com/uc?export=download&id=1DT71DDf06jofYuWCFagrInsDMI08lUwU
- hxxps://drive.google[.]com/uc?export=download&id=1yItocWkQEKby7n8DJtBTHjYu65QKBpF5
- hxxps://drive.google[.]com/uc?export=download&id=1YF33ame0BzqR3-8q7MeMR6YEkqd4Pwmq
- hxxps://onedrive.live[.]com/download?cid=89B6297861C1EBB8&resid=89B6297861C1EBB8%21117&authkey=AOkty2sYT6EDUBQ
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- ADV_9903119166.exe
- SWIFT 5907275.exe
- IRQ2207799_pdf.exe
- Payment Swift.exe
- Diphtherian.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計