ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年4月24日(月)から4月30日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが54.9%と1位を占めており、その次にダウンローダーが33.3%、続いてバックドアが10.5%、ランサムウェアとバンキングマルウェアが0.6%の順に集計された。
Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は35.2%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : logxtai[.]shop
User : sender-a2@logxtai[.]shop
Password : “g%*****UUCI*”
Receiver : qualityreceivdept@logxtai[.]shop - SMTP Server : mail.modelinfra[.]com
User : accounts3@modelinfra[.]com
Password : “TAXm*****96^&*2”
Receiver : obtxxxtf@gmail[.]com - SMTP Server : us2.smtp.mailhostbox[.]com
User : log3@forrwel[.]net
Password : “HNnNL***** “
Receiver : log3@forrwel[.]net
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Bank Advice from Standard Chartered Bank.exe
- IG5#2223.exe
- TT_Application_form.exe
- Purchase and Sales Contract.exe
- Request for quotation.exe
- New Order Inquiry_Medline Industries.exe
Top 2 – Amadey
今週は Amadey Bot マルウェアが24.1%を占めて2位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://193.3.19[.]154/store/games/index.php
- hxxp://212.113.119[.]255/joomla/index.php
Top 3 – Formbook
Formbook マルウェアは11.1%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- OUTSTANDING INVOICE.exe
- LSP61092G10.exe
- SWIFT COPY Pdf.exe
- Project6531678ZXGT7E.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.tugrow[.]top/poti/
- hxxp://www.bakecamp[.]info/dtsd/
- hxxp://www.absmart[.]website/n0bh/
- hxxp://www.bakecamp[.]info/5t58/
- hxxp://www.geekshop[.]life/horg/
- hxxp://www.locvu[.]xyz/o17i/
- hxxp://www.tomart[.]live/onpq/
- hxxp://www.lightouch[.]life/ua0e/
- hxxp://www.minwart[.]xyz/gtt8/
- hxxp://www.somwear[.]xyz/tf6p/
- hxxp://www.shapshit[.]xyz/u2kb/
- hxxp://www.tugrow[.]top/hjdr/
- hxxp://www.frykuv[.]xyz/ke03/
- hxxp://www.gomarketing[.]info/bpg5/
- hxxp://www.kemarketing[.]top/cazc/
- hxxp://www.cutory[.]info/npap/
- hxxp://www.satofy[.]info/dutj/
Top 4 – Guloader (同率)
3.7%で同率4位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxp://194.180.48[.]211/rn/nzpHQnXdEgkd162.bin
- hxxps://drive.google[.]com/uc?export=download&id=1BxfIEM3l4HEW9mJQwTBrVVXhw258OdZC
- hxxps://drive.google[.]com/uc?export=download&id=1eHfsY6QO2NyCO6KZuvQwx-FaktCzu0MJ
- hxxps://drive.google[.]com/uc?export=download&id=1f5crRq0UnV7tn-fXWQXB0v3i8ORDJxBW
- hxxps://drive.google[.]com/uc?export=download&id=1tGzXK84XItA4VidcdR38DLly2Puuf07e
- hxxps://drive.google[.]com/uc?export=download&id=1YiJ9rfqySQxPXoH8dDIqMfTl0j6o_ufc
- hxxps://www.mediafire[.]com/file/sgerfwqew69c9q0/gaga_typVw134.bin/file
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- 210763497664-030339-sanlccjavap0003-1.pdf.exe
- secuprint_client64_625_2014-03-11_現**イプ_main.exe
- Liquidacin Por Cargo Posterior al VencimientPDF.exe
- PC ReviverSetup.exe
- PO 963711100.exe
Top 4 – SnakeKeylogger (同率)
3.7%で同率4位を占めた SnakeKeylooger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様、収集した情報を流出させる際に、主にメールサーバーやユーザーアカウントを利用しており、それ以外にも FTP、Telegram などを使用する場合もある。最近流入したサンプルが利用しているアカウントは以下の通りである。
- Telegram API : hxxps://api.telegram[.]org/bot6184450589:AAFIdcqJgDnNznaPK_xiDFODq_veiD4WNMg/sendMessage?chat_id=1921763965
- Telegram API : hxxps://api.telegram[.]org/bot5300146648:AAHnGWyIYhkCfGzD7b3SfmLZj94Y8lXxD90/sendMessage?chat_id=5116181161
- Telegram API : hxxps://api.telegram[.]org/bot5310184099:AAGxqu0IL8tjOF6Eq6x2u0gfcHhvuxRwfLU/sendMessage?chat_id=5350445922
- Telegram API : hxxps://api.telegram[.]org/bot5816308075:AAFAHgyFsBJDNSX2LHn4UAAqe1sHrGMznc4/sendMessage?chat_id=5857548246
他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。
- Airwaybill and Shipping Documents.exe
- Payment Advice.exe
- PO202328.exe
- Request for Quotation No. HBKMC 54171 & ALWRK 54228.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計