ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年4月10日(月)から4月16日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバックドアが58.4%と1位を占めており、その次にダウンローダーが23.0%、続いてインフォスティラーが17.2%、ランサムウェアが0.8%、バンキングマルウェアが0.6%の順に集計された。
Top 1 – RedLine
RedLine マルウェアは54.7%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 77.91.124[.]145:4125/
- 176.113.115[.]145:4125/
- 185.161.248[.]90:4125/
- 81.161.229[.]110:12767
Top 2 – Amadey
今週は Amadey Bot マルウェアが15.7%を占めて2位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://193.233.20[.]36/joomla/index.php
- hxxp://77.91.124[.]207/plays/index.php
- hxxp://77.91.78[.]118/u83mfdS2/index.php
- hxxp://193.201.9[.]43/plays/index.php
Top 3 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は10.8%で3位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : smtp.nutiribio.com
User : humhum@nutiribio.com
Password : zG****l5
Receiver : humhum@nutiribio.com - SMTP Server : mail.sonic.net
User : redwoodinn@sonic.net
Password : KA*******ELU
Receiver : officestore2022@gmail.com - Telegram API : hxxps://api.telegram[.]org/bot1611551445:AAFDJ3yQMlB3zXJGib2_TFkq1jedBMj3GTw
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- ARH PO # 2301433.exe
- ORDERNO8499009.PDF.exe
- DETAILS AND INVOICES 4.exe
- Advanced Payment – Ref_001299384596OBR11522.exe
- DHL AWB – Invoice & Shipping Documents.exe
Top 4 – BeamWinHTTP
3.1%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://45.12.253[.]56/advertisting/plus.php?s=/mixtwo&str=mixtwo&substr=mixinte
Top 5 – Formbook
Formbook マルウェアは2.7%で5位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- List Items.exe
- Deposit slip.exe
- statement for HADCO S.A.O.C.exe
- FTT 325272022023.exe
- PDF1567256210241910840.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.fitwatz[.]online/q3gh/
- hxxp://www.slebuild[.]com/dcn0/
- hxxp://www.superios[.]info/ip45/
- hxxp://www.fluttering[.]info/gp8u/
- hxxp://www.usmarketing[.]top/u5rs/
- hxxp://www.jumtix[.]xyz/ot8m/
- hxxp://www.fdtyop[.]xyz/stv6/
- hxxp://www.ringdrive[.]website/q6at/
- hxxp://www.mtevz[.]online/ar73/
- hxxp://www.vazert[.]xyz/cy01/
- hxxp://www.superios[.]info/ip45/
- hxxp://www.trademart[.]life/uoln/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計