Posted By ,

ASEC マルウェア週間統計 ( 20230403~20230409 )

ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年4月3日(月)から4月9日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではバックドアが61.1%と1位を占めており、その次にインフォスティラーが20.8%、続いてダウンローダーが16.9%、ランサムウェアが1.1%の順に集計された。

Top 1 – RedLine

RedLine マルウェアは52.2%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 176.113.115[.]145:4125/
  • 77.91.124[.]145:4125/
  • 5.206.224[.]176:46989/
  • 83.217.11[.]28:30827/
  • 82.115.223[.]9:28881/
  • 31.220.76[.]124:11620
  • 152.89.196[.]149:2920/
  • 172.177.191[.]179:9001

Top 2 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は11.1%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

AgentTeslaマルウェア、どのようにして韓国国内に拡がっているのか?

収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • SMTP Server : smtp.yandex[.]com
    User : prince.omd@yandex[.]com
    Password : ubd*****perot
    Receiver : prince.omd@yandex[.]com
  • SMTP Server : mail.blocexpert[.]eu
    User : transformer2023@blocexpert[.]eu
    Password : transfo*****
    Receiver : transformer2023@blocexpert[.]eu
  • SMTP Server : mail.rapidcheckng[.]com
    User : rapidcheck@rapidcheckng[.]com
    Password : @Ra******#
    Receiver : ebukafale2@gmail[.]com

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • Device Images.exe
  • Invoice.exe
  • New Prices List.exe
  • ORDER_110280.exe
  • Payment Swift USD45,000.exe
  • paymentswift2020297830.pdf.exe
  • SO# A56DX04471.exe
  • TT Copy.exe

Top 3 – Guloader

6.9%で3位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。

  • hxxp://124.71.228[.]145/SJtQkpVnUoYtRSqkXXSs240.bin
  • hxxp://194.55.224[.]251/xx/JydujS92.bin
  • hxxp://34.138.169[.]8/wp-content/themes/seotheme/RenHLfAoTIbu98.bin
  • hxxp://5.255.110[.]224/klErcNeTFQR182.emz
  • hxxp://albacomplett[.]hu/GB.bin
  • hxxp://avpqsnyw3[.]cf/wp-includes/VGFVmKxwJFpEz245.bin
  • hxxp://cdn.discordapp[.]com/attachments/1075619462914514978/1092956816876511272/ttt.bin
  • hxxp://drive.google[.]com/uc?export=download&id=16yXQ3Gl0c0wY5VEbP_L47kVKr-IWqM4s
  • hxxp://onedrive.live[.]com/download?cid=442E25470F854C65&resid=442E25470F854C65%213175&authkey=AD4rFyQYMAuU1CQ
  • hxxp://vacanzeposada[.]it/sktyrecki/PprkFHnS81.bin

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • [DHL] 収入申告受理内容書(受理前納付).exe
  • Arvetanter.exe
  • E-dekont.exe
  • Fgtemester.exe
  • Nonsympathetic.exe
  • Spaebook.exe
  • Spottedness.exe
  • Ziraat Bankasi Swift Mesaji.exe

Top 4 – Amadey

今週は Amadey Bot マルウェアが6.4%を占めて4位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。

一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。

SmokeLoader によって拡散している Amadey Bot

Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中

以下は、確認された C&C サーバーアドレスである。

  • hxxp://77.73.134[.]27/8bmdh3Slb2/index.php
  • hxxp://193.233.20[.]36/joomla/index.php

Top 5 – Formbook

Formbook マルウェアは3.6%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • items.scr
  • Payment copy.exe
  • Purchase order.exe
  • RFQ.exe
  • S0A.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.copebees[.]online/pz6u/
  • hxxp://www.doyuip[.]xyz/my28/
  • hxxp://www.fashiontwin[.]info/tic4/
  • hxxp://www.fluttering[.]info/gp8u/
  • hxxp://www.gadpuch[.]website/6qne/
  • hxxp://www.hopspot[.]info/epdb/
  • hxxp://www.lorsize[.]xyz/r013/
  • hxxp://www.mentospk[.]online/sn72/
  • hxxp://www.mfoles[.]xyz/ny17/
  • hxxp://www.naruot[.]xyz/jr22/
  • hxxp://www.peiphitan[.]com/poub/
  • hxxp://www.seculw[.]xyz/de12/
  • hxxp://www.shapshit[.]xyz/u2kb/
  • hxxp://www.userflo[.]top/dgwm/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments