ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年3月20日(月)から3月26日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバックドアが41.7%と1位を占めており、その次にダウンローダーが31.9%、続けてインフォスティラーが24.7%、ランサムウェアが1.1%、バンキングが0.3%、コインマイナーが0.3%の順に集計された。
Top 1 – Redline
RedLine マルウェアは35.6%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 193.233.20[.]30:4125/
- 193.233.20[.]28:4125/
- 193.233.20[.]31:4125/
- 193.233.20[.]32:4125/
- 95.217.188[.]21:7283/
- hfiepqnsyosb[.]top:81/
- 138.201.195[.]134:15564/
- 51.210.161[.]21:36108/
- 45.15.156[.]155:80/
Top 2 – Amadey
今週は Amadey Bot マルウェアがは12.2%を占めて2位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://62.204.41[.]87/joomla/index.php
- hxxp://78.46.242[.]112/so57Nst/index.php
Top 3 – AgentTesla (同率)
インフォスティーラー型マルウェアである AgentTesla は10.3%で同率3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.ppecindia[.]com
User : accounts@ppecindia.com
Password : acco******23$
Receiver :accounts@ppecindia[.]com - SMTP Server : mail.alnajimalzahir[.]com
User : ali.dcc@alnajimalzahir.com
Password : Se********xz
Receiver : ali.dcc@alnajimalzahir[.]com - Telegram : hxxps://api.telegram[.]org/bot5693068931:AAGSQSNIWDJM1FzeZVNHS020I9wVBrQdkRM/
- Telegram : hxxps://api.telegram[.]org/bot5687731944:AAEDpsUftmaHrKNSGkOlhq0UZLPEvIUd8Bo/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- NewOrder#SQ031776.PDF.exe
- New 2023 Prices List.exe
- Bank Transaction Activity.exe
- payment details.exe
- PO-8140015-18082020.exe
- Original Documents.exe
- invoice copy.pdf.exe
- Outstanding Details.exe
- XHQ1009254.exe
Top 3 – BeamWinHTTP (同率)
10.3%で同率3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- 45.12.253[.]56/advertisting/plus.php
Top 5 – Guloader
5.3%で5位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxps://drive.google[.]com/uc?export=download&id=17Is5gAy7w-_cFC4nAjsskKc175SD61Vg
- hxxps://drive.google[.]com/uc?export=download&id=10g1ZohsMv6_-EniOZ4HrDkjTw799TA-Z
- hxxps://zeo-unusual-activity-com.chanellelakin[.]ml/wKNrcGcKEtUckQVrDo215.bin
- hxxp://195.133.40[.]46/XXmKLZgfCSWQlDQvWjUHjOpfe199.bin
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- image001.exe
- JUSTIFICANTE DE PAGO.exe
- Factura-101.exe
- justificante de transferencia.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計