Posted By ,

ASEC マルウェア週間統計 ( 20230313~20230319 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年3月13日(月)から3月19日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが43.8%と1位を占めており、その次にバックドアが34.5%、続けてダウンローダーが18.7%、ランサムウェアが1.7%、バンキングマルウェアが0.9%、コインマイナーが0.4%の順に集計された。

Top 1 –  Redline

RedLine マルウェアは23.4%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • fronxtracking[.]com:80/
  • 193.233.20[.]28:4125/
  • 176.113.115[.]24:37118/
  • 82.115.223[.]46:57672/
  • 91.193.43[.]63:81/

Top 2 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は20.9%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

AgentTeslaマルウェア、どのようにして韓国国内に拡がっているのか?

収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • SMTP Server : us2.smtp.mailhostbox[.]com
    User : log3@forrwel.net
    Password : HN***Y3
    Receiver : log3@forrwel.net
  • SMTP Server : mail.shekharlogistics[.]com
    User : asm@shekharlogistics.com
    Password : as***234
    Receiver : pcompany157@gmail.com
  • Telegram : hxxps://api.telegram[.]org/bot5693068931:AAGSQSNIWDJM1FzeZVNHS020I9wVBrQdkRM/
  • Telegram : hxxps://api.telegram[.]org/bot5663632223:AAG5KHZDs7KWoaqTYx3lSyFlOdfD9vGegQo/

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • img-3151025-0001.exe
  • New Order & SPB drawings.exe
  • PO2300109.exe
  • PURCHASE CONTRACT.exe
  • Purchase Order-0823636.exe
  • Rajhi Almarai Co Order Specification.exe

Top 3 – Formbook

Formbook マルウェアは9.4%で3位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • Listed Product.pdf
  • OUTSTANDING PAYMENT.exe
  • RQ20230903.pdf.exe
  • PSU-PQRN-23-00004 Supply at Port Suwaiq.exe
  • PO.exe
  • PUCHASE INQUIRY_pdf.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.bameit[.]xyz/us38/
  • hxxp://www.bleclear[.]xyz/p58z/
  • hxxp://www.cdhptor[.]xyz/ho62/
  • hxxp://www.choicymart[.]info/qcd1/
  • hxxp://www.deglaz[.]xyz/rdc9/
  • hxxp://www.forgrat[.]xyz/u8fg/
  • hxxp://www.frykuv[.]xyz/ke03/
  • hxxp://www.ftgam[.]xyz/k04s/
  • hxxp://www.gorwly[.]top/0oqq/
  • hxxp://www.mexob[.]online/ny18/
  • hxxp://www.mtevz[.]online/ar73/
  • hxxp://www.ontexz[.]online/s26y/
  • hxxp://www.pilcoh[.]online/dr62/
  • hxxp://www.polyneat[.]xyz/q3m2/
  • hxxp://www.prwonq[.]online/l01h/
  • hxxp://www.pyvob[.]xyz/nu06/
  • hxxp://www.voiceg[.]live/mwbm/
  • hxxp://www.ytorly[.]xyz/bk08/

Top 4 – Smokeloader

Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は7.7%を占めており、4位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。

実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。

Smoke Loader に関連した分析レポートは、以下の ASEC レポートに記載がある。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • hoh0aeghwugh2gie[.]com/
  • hie7doodohpae4na[.]com/
  • aek0aicifaloh1yo[.]com/
  • yic0oosaeiy7ahng[.]com/
  • wa5zu7sekai8xeih[.]com/
  • vispik[.]at/tmp/
  • ekcentric[.]com/tmp/
  • hbeat[.]ru/tmp/
  • mordo[.]ru/tmp/

C&C サーバーからの命令に応じて、外部から他のマルウェアをダウンロードできるが、確認されたマルウェアとして Dharma ランサムウェア、Lockbit ランサムウェアなどがある。

Top 5 – Guloader

6.0%で5位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。

  • hxxps://drive.google[.]com/uc?export=download&id=1JLoWY_UwPQZqnfU-aXcbmQQGdybQA7bC
  • hxxps://drive.google[.]com/uc?export=download&id=1ZXCL8GB-g88ZrE5yZcpsNCrMMx7dcNFt
  • hxxps://drive.google[.]com/uc?export=download&id=11CbFsftqr1Xo5pMnQ0yXoU3AOXjN6D9g
  • hxxps://drive.google[.]com/uc?export=download&id=1Fkuz6htSSF-OnZWIprqGOtyyuwm-5HbL
  • hxxps://drive.google[.]com/uc?export=download&id=1vmOa0igmO0NqRm3gFyOGIeifLGX9oQN4
  • hxxps://drive.google[.]com/uc?export=download&id=17NzUaSj4s1XuTTewrLRdGOZr0b0foGCO
  • hxxps://drive.google[.]com/uc?export=download&id=1knb_1yCJra3TXaDYwwOwGC_CmdAclfH-
  • hxxps://drive.google[.]com/uc?export=download&id=1WOHTf_-ZMbqLEd4azi7ABOVT3Sc31Qwf
  • hxxps://www.superwatercleanhealthy[.]com/ReAlN124.bin
  • hxxp://5.255.110[.]224/klErcNeTFQR182.emz

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • MEDIANET SOLUTIONS SL OFERTA 2602288.exe
  • RC-30071940116400.exe
  • Satedness.exe
  • SITAMO COMPARTIMENTACION DE OFICINAS S.L OFERTA 2563400.exe
  • TDQ2907714_MGKME2478_150302023.exe
  • TJMAXX_DISTRIBUTION_INSTRUCTIONS_13_03_2023_1008_AM_873318_V1.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:,

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments