ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月08日(月)から5月14日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが49.8%と1位を占めており、その次にダウンローダーが37.3%、バックドアが11.0%、ランサムウェアが1.4%、コインマイナーが0.5%の順に集計された。
Top 1 – Amadey
今週は Amadey Bot マルウェアが25.8%を占めて1位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://31337[.]hk/b8dmsSo/index.php
- hxxp://212.113.119[.]255/joomla/index.php
- hxxp://77.91.124[.]20/store/games/index.php
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は24.9%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : sarahfoils.com
User : info@sarahfoils.com
Password : S*********01
Receiver : davidsurly1@gmail.com - SMTP Server : webmail.elpl.com.pk
User : datacentre@elpl.com.pk
Password : dr******6
Receiver : datacentre@elpl.com.pk - Telegram API : hxxps://api.telegram[.]org/bot6179106618:AAFHXiPxIxIFQ61pOBYbQQVUtpm03rgPe70/
- Telegram API : hxxps://api.telegram[.]org/bot5515611206:AAEcQSX8hXHOAxSYr8KUdLxGF5eqw4FRXoA/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- 44XYZ_S Quote.exe
- New Order.exe
- Se adjunta factura proforma.exe
- Payment 20230504_1306030770.exe
- Halkbank_Ekstre_04052023_073379_6158824-PDF.exe
- LC# 55040-2023 OFI.exe
Top 3 – Formbook
Formbook マルウェアは9.1%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- QUOTATION.exe
- Inquiry No. MKP-ASL-RT-990821-02_pdf.exe
- PORT OUTSTANDINGS.exe
- New Order – Sample Request.iso
- Wire Instruction P85793.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.vouchshow[.]xyz/s86o/
- hxxp://www.dwkapl[.]xyz/m82/
- hxxp://www.mexbop[.]xyz/sz94/
- hxxp://www.shapshit[.]xyz/u2kb/
- hxxp://www.lightouch[.]life/ua0e/
- hxxp://www.locvu[.]xyz/o17i/
- hxxp://www.yesziv[.]online/mi28/
- hxxp://www.tumarketing[.]info/nuj3/
- hxxp://www.viewmall[.]life/co9t/
- hxxp://www.geekshop[.]life/horg/
Top 4 – Guloader
8.6%で4位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxp://serverdard1[.]ru/OhejoqRlwhK192.bin
- hxxps://onedrive.live[.]com/download?cid=5849189723610833&resid=5849189723610833%21106&authkey=AAnw-K3UNkoOvBQ
- hxxps://drive.google[.]com/uc?export=download&id=1SlvIsXWjYtp6_ZXLs6tqNuZNqhF_a7zF
- hxxp://194.59.218[.]151/jtTfvQt56.bin hxxp://priexports.com/wp-includes/aaxcdcm/UuDhBPJh120.bin
- hxxps://secr.[i]n/gallery/oo_PpROrG11.bin hxxp://194.59.218.151/UbtEVVkWDjTFGUv95.bin
- hxxps://drive.google[.]com/uc?export=download&id=1eGwWncQmLEsXdP5ff_p2rVAIbzuN9c83
- hxxp://194.87.151[.]30/OpgKnwoQwyHwIZTLfX129.bin hxxps://drive.google.com/uc?export=download&id=1FiIw3jOi2X6k7bk0O-0jJUtvYtEAKPJN
- hxxps://onedrive.live[.]com/download?cid=2024B4AB596A5CB0&resid=2024B4AB596A5CB0%21125&authkey=AOnM_BrarbwEt-8
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Joniseres Bremselngdens.exe
- Protopectin.exe
- Import_Declaration_7855549236_1235623463179M.exe
- WIENERBE.EXE
- Saddlers Hopefulnesses.exe
Top 5 – SnakeKeylogger
7.7%で4位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様、収集した情報を流出させる際に、主にメールサーバーやユーザーアカウントを利用しており、それ以外にも FTP、Telegram、Discord などを使用する場合もある。最近流入したサンプルが利用しているアカウントは以下の通りである。
- SMTP Server : smtp.gmail.com
User : xredline2@gmail.com
Password : ***********x
Receiver : xredline3@gmail.com - Telegram API : hxxps://api.telegram[.]org/bot5830566856
- Telegram API : hxxps://api.telegram[.]org/bot6136035762
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計