ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年3月27日(月)から4月2日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバックドアが54.9%と1位を占めており、その次にダウンローダーが22.9%、続いてインフォスティラーが20.6%、ランサムウェアが1.3%、コインマイナーが0.3%の順に集計された。
Top 1 – RedLine
RedLine マルウェアは47.4%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 193.233.20[.]32:4125/
- 212.113.116[.]143:29996/
- 51.210.161[.]21:36108/
- koreamonitoring[.]com:80/
- 176.113.115[.]145:4125/
Top 2 – Amadey
今週は Amadey Bot マルウェアが12.2%を占めて2位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://77.73.134[.]27/8bmdh3Slb2/index.php
- hxxp://62.204.41[.]87/joomla/index.php
- hxxp://193.233.20[.]36/joomla/index.php
- hxxp://31.41.244[.]200/games/category/index.php
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は11.5%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- FTP Server : hxxp://www.213221321[.]com
User : root
Password : 12***********12 - SMTP Server : mail.dmstech.in
User : sanjeev@dmstech.in
Password : 0*********fd
Receiver : zakirrome@ostdubai.com - SMTP Server : mail.mdist.us
User : maria@mdist.us
Password : Ma*******1
Receiver : elchin.huseynov@retemslogistics.com - SMTP Server : mail.mercamaq.com.br
User : vendas@mercamaq.com.br
Password : 12***************
Receiver : ops.eg@24x7rooms.com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- UPDATED_LIST.exe
- swift.exe
- PO-1060688.exe
- REMITTANCE TT COPY $23.exe
- 150.00_20230320.pdf.exe
- Udated SOA2223.exe
- New Prices List and Products.exe
- New Products and Prices.exe
Top 4 – Guloader
6.0%で4位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxp://drive.google[.]com/uc?export=download&id=1zomSN6wCxUSmHyDxEQxPjW0m6b8x81cT
- hxxp://drive.google[.]com/uc?export=download&id=1DuiP219QsHK19SznHPC9NMJ30Owcebsu
- hxxp://drive.google[.]com/uc?export=download&id=1dv6tlOwLU3eePqgwUUYvgVSFYgs8NuZi
- hxxp://drive.google[.]com/uc?export=download&id=1KxH1poJnEw5m0kDdS0Ut5cY3RYNL4-dL
- hxxp://drive.google[.]com/uc?export=download&id=1uv_5EGH8vju6IUAtg3Bc1iyWfqLnhNaU
- hxxp://drive.google[.]com/uc?export=download&id=1w4Ldxfm6QjyxbksxswERlGDtHvoheTf9
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Arrival Notice_6648122036.exe
- SPEC02781.exe
- MRSK0052447.exe
- d6300a.exe
- Scan Pictures.exe
- Nuestro Cargo Abono.exe
Top 5 – Formbook
Formbook マルウェアは4.2%で5位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Reference Notice_pdf.exe
- ESP510YI0.exe
- Intl House – Bill of Lading (Draft)-0078.pdf………………………………exe
- PNS5109Y31.exe
- SC51097Y43X0I.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.copebees[.]online/h6qh/
- hxxp://www.nasvour[.]top/0ons/
- hxxp://www.anrovlp[.]xyz/n13e/
- hxxp://www.mtevz[.]online/ar73/
- hxxp://www.pitmarpay[.]xyz/essu/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計