ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月15日(月)から5月21日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが43.8%と1位を占めており、その次にダウンローダーが36.9%、バックドアが15.3%、ランサムウェアが3.4%、コインマイナーが0.6%の順に集計された。
Top 1 – Amadey
今週は Amadey Bot マルウェアが25.6%を占めて1位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://77.91.124[.]20/store/games/index.php
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は23.9%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.garagerobert[.]be
User : info@garagerobert[.]be
Password : dib***79
Receiver : jinhux31@gmail[.]com - SMTP Server : us2.smtp.mailhostbox[.]com
User : boys@opttools-tw[.]com
Password : kV$bS*****niel
Receiver : boys@opttools-tw[.]com - Telegram API : hxxps://api.telegram[.]org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/
- Telegram API : hxxps://api.telegram[.]org/bot5515611206:AAEcQSX8hXHOAxSYr8KUdLxGF5eqw4FRXoA/
- Telegram API : hxxps://api.telegram[.]org/bot2062652208:AAEyc-7xEcUOQxNpdlexOidqQZT1Fi23E0A/sendDocument
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- INVOICE 4570.exe
- MT103.exe
- order details.scr
- Order No. I20220052.exe
- Purchase order.exe
- Sales Invoice.exe
- Shipping Details_PDF.exe
- SHIPPING DOCUMENTS.exe
- swift copy.exe
Top 3 – Formbook
Formbook マルウェアは8.5%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Documents.exe
- May New-Order #Brazil-098484OBZ.exe
- prod sheet& Specs.exe
- PURCHASE INQUIRY for 151#PDF___________________..exe
- Request for Quotation_PDF___________________….exe
- RV099278372-0288.exe
- STATEMENT.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.artexchange[.]top/v08v/
- hxxp://www.bywek[.]online/wm23/
- hxxp://www.cataput[.]info/jaux/
- hxxp://www.crpons[.]xyz/ca82/
- hxxp://www.delisious[.]xyz/gkme/
- hxxp://www.delisious[.]xyz/uifn/
- hxxp://www.doyuip[.]xyz/my28/
- hxxp://www.dwkapl[.]xyz/m82/
- hxxp://www.jumshow[.]life/e8fg/
- hxxp://www.jumshow[.]life/mu8t/
- hxxp://www.martmill[.]xyz/eopl/
- hxxp://www.martspot[.]xyz/gtpe/
- hxxp://www.mexob[.]online/ga36/
- hxxp://www.opuspring[.]xyz/nh2c/
- hxxp://www.towfire[.]life/0uvr/
- hxxp://www.unbal[.]online/ws6g/
- hxxp://www.uyruio[.]xyz/km37/
- hxxp://www.viezo[.]xyz/s17b/
- hxxp://www.xysklhgf[.]xyz/ae30/
Top 4 – Guloader
6.8%で4位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。
- hxxp://156.96.113[.]118/mBkwl189.bin
- hxxp://194.180.48[.]211/nibro/wHiiH26.bin
- hxxp://194.59.218[.]151/cautnDynEWFuQDcr13.bin
- hxxp://194.59.218[.]151/GXFckquqUZuCKmRXGvLpRrIB64.bin
- hxxp://194.59.218[.]151/iuIje150.bin
- hxxp://194.59.218[.]151/ogqsoyvQUVxNbPnp100.bin
- hxxp://hungars.eu[.]org/rarataz/yXWYtlEVamUfrQPM66.bin
- hxxp://www.conexclean[.]ro/Layblock/xiakxoxJKOHxLam198.bin
- hxxp://www.conexclean[.]ro/medlab/xiakxoxJKOHxLam198.bin
- hxxps://drive.google[.]com/uc?export=download&id=1k7S-2GZMC_JRBQNA2Iid2iwqulM8MrlM
- hxxps://drive.google[.]com/uc?export=download&id=1ZjWD9VBh6pUrS1nsegWPvBNKF40xegE3
- hxxps://onedrive.live[.]com/download?cid=B3A4F33189E0D368&resid=B3A4F33189E0D368%21108&authkey=ACmZ5gPUu1ORstc
- hxxps://www.autoriasztoshop[.]hu/playX/GQPYcjbsP104.bin
GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Tax Invoice -UI ベトナム6月 SHIP.exe
- 7759303436-Tax Invoice.exe
- Jalousiskabes77.exe
- Transferencia.exe
- Udeladelsestegnets Skiascopy.exe
- Zamówienie_5518.exe
Top 5 – Lokibot
Lokibot マルウェアは5.7%で5位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- DN-TMBUS2008001.exe
- DOCDXI23030119_Pdf.exe
- DOCSZOE23050007_pdf.exe
- SCAN01_YEON23030119TT.Pdf.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://104.156.227[.]195/~blog/?p=369572314317708
- hxxp://161.35.102[.]56/~nikol/?p=3757765559
- hxxp://171.22.30[.]164/fresh1/five/fre.php
- hxxp://185.246.220[.]60/fred2/five/fre.php
- hxxp://185.246.220[.]85/zang1/five/fre.php
- hxxp://abjkad[.]com/zoro/zoro3/fre.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計