ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月01日(月)から5月7日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティラーが60.6%と1位を占めており、その次にダウンローダーが27.3%、続いてバックドアが9.1%、ランサムウェアが3.0%の順に集計された。
Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は25.8%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : modelinfra[.]com
User : maintenance.goa@modelinfra[.]com
Password : “wY9;****wAj”
Receiver : maintenance.goa@modelinfra[.]com - SMTP Server : smtp.ionos[.]com
User : ebuka23@besty5665[.]com
Password : “goodG********023?.”
Receiver : ebuka23@besty5665[.]com - SMTP Server : smtp.yandex[.]com
User : joemaster1@yandex[.]com
Password : “080********ugo”
Receiver : joemaster1@yandex[.]com
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Adjunto factura proforma.exe
- fedex declaration.exe
- REMITTANCE COPY_20230427_912309172542311.exe
- Request for quotation – April 2023.pdf.exe
- SWIFT Message_MT 103_00101881022.exe
- Order 047297253.exe
- DHL AWB – Invoice & Shipping Documents.exe
- Order_confirmation#265736.exe
- Adjunto factura proforma.exe
Top 2 – Formbook
Formbook マルウェアは20.5%で2位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- New purchase order teams.pdf.exe
- CategoryMembershipDataEnt.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.traindic[.]top/hpb7/
- hxxp://www.xysklhgf[.]xyz/ae30/
- hxxp://www.vouchshow[.]xyz/s86o/
- hxxp://www.dwkapl[.]xyz/m82/
- hxxp://www.anrovlp[.]xyz/n13e/
- hxxp://www.profitz[.]live/tt0w/
- hxxp://www.clasmiv[.]xyz/gn56/
- hxxp://www.hezop[.]xyz/hs95/
- hxxp://www.brequx[.]online/cx01/
- hxxp://www.uyruio[.]xyz/km37/
- hxxp://www.merxip[.]online/ce18/
- hxxp://www.tomart[.]live/onpq/
- hxxp://www.cusmose[.]com/icih/
- hxxp://www.tugrow[.]top/hjdr/
- hxxp://www.opuspring[.]xyz/nh2c/
- hxxp://www.payshop[.]life/taih/
- hxxp://www.stufshop[.]life/umuc/
- hxxp://www.ascents[.]info/wepi/
- hxxp://www.ziplapse[.]xyz/htnd/
- hxxp://www.bakerous[.]xyz/iknp/
Top 3 – Amadey
今週は Amadey Bot マルウェアが17.4%を占めて3位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://specialblue[.]in/df30hn4m/index.php
- hxxp://77.91.124[.]207/plays/chapter/index.php
- hxxp://212.113.119[.]255/joomla/index.php
- hxxp://77.91.124[.]20/store/games/index.php
Top 4 – Guloader
9.8%で4位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxp://45.137.22[.]248/xkPsPAZLke202.bin
- hxxp://45.137.22[.]92/IjJxgmIzpZTOcjgFa159.bin
- hxxp://priexports[.]com/wp-includes/jRcXTGAttbPi211.bin
- hxxp://194.59.218[.]151/gMqEkJmSBILtp248.bin
- hxxps://vinetikett[.]com/double/dbQquPueRCkMUB185.bin
- hxxp://156.96.113[.]118/DpYnCFwVMVetrv195.bin
- hxxps://drive.google[.]com/uc?export=download&id=1mNpX_7iJ-uX5eZnkk-EQBIEByGoem-jh
- hxxps://drive.google[.]com/uc?export=download&id=1xXoqFmCq8ATz85etDvg4Lki3Py8410lD
- hxxps://drive.google[.]com/uc?export=download&id=1s4ceLHq26hFqu_Iv2Bdin8-wlGzdM9FE
- hxxps://drive.google[.]com/uc?export=download&id=1tGzXK84XItA4VidcdR38DLly2Puuf07e
- hxxps://drive.google[.]com/uc?export=download&id=1kfSOrWNRZsUJeoTRBcNr3WpAa4ooQQx2
- hxxps://drive.google[.]com/uc?export=download&id=1f5Gaaqyd_an_yn3urVXCgRimhDIWQEH8
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- 210763497664-030339-sanlccjavap0003-1.pdf.exe
- Scan_4195921_102396.exe
- Lplanters Paralleluniversers.exe
- Zoologens Lsningen.exe
- Trianguleredes.exe
Top 5 – Lokibot
Lokibot マルウェアは6.8%で5位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- 7120820_INTRACO.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://104.156.227[.]195/~blog/?p=27007499821
- hxxp://185.246.220[.]85/seth1/five/fre.php
- hxxp://171.22.30[.]147/lee/five/fre.php
- hxxp://185.246.220[.]60/seth2/five/fre.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計