ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年4月17日(月)から4月23日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが61.2%と1位を占めており、その次にインフォスティラーが30.8%、続いてバックドアが7.1%、ランサムウェアが1.0%の順に集計された。
Top 1 – Amadey
今週は Amadey Bot マルウェアが57.7%を占めて1位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://193.201.9[.]43/plays/chapter/index.php
- hxxp://193.201.9[.]240/live/games/index.php
- hxxp://77.91.124[.]207/plays/chapter/index.php
- hxxp://212.113.119[.]255/joomla/index.php
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は22.8%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.expertsconsultgh.co
User : oppong@expertsconsultgh.co
Password : Op******012
Receiver : decenmomodou20@gmail.com - SMTP Server : mail.ciscuns.coop
User : info@ciscuns.coop
Password : 20******cun5
Receiver : admin@drpepercoadvertinc.com - Telegram API : hxxps://api.telegram[.]org/bot5261540771:AAHpybxDtEnwQtX4w7iGcSpo7-vbVF4FJuk
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- ORDER_110280.exe
- Payment Swift USD45,000.exe
- TT Copy.exe
- New Prices List.exe
- SO# A56DX04471.exe
- Invoice.exe
- paymentswift2020297830.pdf.exe
- Device Images.exe
Top 3 – Formbook
Formbook マルウェアは5.8%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- swiftcopy.exe
- Parcel No; TNT 502379AWF_pdf.exe
- VSL_BUNKER UPLOAD.exe
- DHL.exe
- QUOTATION.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.qr-api[.]net/3ri5/
- hxxp://www.qiopz[.]online/ie59/
- hxxp://www.purtfur[.]info/se6j/
- hxxp://www.methicone[.]top/wqdm/
- hxxp://www.stufshop[.]life/umuc/
- hxxp://www.bakecamp[.]info/5t58/
- hxxp://www.lightouch[.]life/ua0e/
- hxxp://www.tanforks[.]xyz/t6t4/
- hxxp://www.whymart[.]info/3ri5/
- hxxp://www.brequx[.]online/cx01/
- hxxp://www.hagfiw[.]xyz/re29/
- hxxp://www.brezop[.]xyz/oa09/
Top 4 – Guloader
3.2%で4位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxps://drive.google[.]com/uc?export=download&id=1enmlJf20qmEKuoERVqE-DLdm7_rTF4rZ
- hxxps://drive.google[.]com/uc?export=download&id=1JIYa-7eyXrD3bNUFz4FW-os00PURG4sB
- hxxps://drive.google[.]com/uc?export=download&id=1WkjiHCl-WqQvBjcNulsjYlBEE06eYb9U
- hxxps://drive.google[.]com/uc?export=download&id=17LWE42-pl_Ruy-vzWMZRWme0IisGa9mD
- hxxps://drive.google[.]com/uc?export=download&id=12yFAwFxWU04tQgFvL-37BeUyQax320QH
- hxxps://drive.google[.]com/uc?export=download&id=1foxwqq-YNxUWtSCDlFcD4E5c-2Gb_TAd
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Ziraat Bankasi Swift Mesaji_pdf.exe
- Tax Invoice 7759003436.exe
- Tarot Bureaucratist.exe
- Kristina.exe
- Kartotekiseringen Knyr.exe
Top 5 – njRAT
njRAT はキーロガーを含む情報流出以外にも、攻撃者のコマンドを実行できる RAT マルウェアとして、今週は2.6%を占めて5位になっている。最近収集された njRAT は Facebook の広告ページなどのようなフィッシングを通して配布されるケースが多い。
- 176.115.70[.]97:5552
- mailsdc61[.]ga:2666
- 194.71.227[.]62:4444
- 7.tcp.eu.ngrok[.]io:10968
- 109.206.243[.]59:4444
njRAT の相当数は正常なファイルに偽装して配布される特徴がある。配布時に偽装する対象としては、ゲームのハックツールやクラックプログラムのような違法なプログラムが多数存在し、これ以外にも違法に共有されたゲームに含まれて配布されるケースが多い。
- Java update.exe
- rcon.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。