ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月22日(月)から5月28日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが52.5%と1位を占めており、その次にダウンローダーが38.1%、バックドアが6.4%、ランサムウェアが2.5%、コインマイナーが0.4%の順に集計された。
Top 1 – Amadey
今週は Amadey Bot マルウェアが29.7%を占めて1位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。
一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。
以下は、確認された C&C サーバーアドレスである。
- hxxp://77.91.68[.]62/wings/game/index.php
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は26.7%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- SMTP Server : mail.pinnafidelis[.]com
User : infotienda@pinnafidelis[.]com
Password : “*jrd****IO.J”
Receiver : ist.precisiion92@gmail[.]com - SMTP Server : sarahfoils[.]com
User : info@sarahfoils[.]com
Password : “Sca****ca01”
Receiver : info@sarahfoils[.]com - Telegram API : hxxps://api.telegram[.]org/bot6203672982:AAHFrf1mnh7CzXN1-UazFFMw-1n09O8a1v0/
- Telegram API : hxxps://api.telegram[.]org/bot5843567515:AAEdtJWwcJKNn64U81CKVdG-li_Ejds8raM/
- Telegram API : hxxps://api.telegram[.]org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Invoice.scr
- PurchaseOrder.PDF.exe
- Luoxin 19-2023.exe
- johnftp.pif
- New Inquiry_#23052023.exe
- orden de compra.exe
Top 3 – Formbook
Formbook マルウェアは9.7%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Quotation-pdf-.exe
- MT103 REF USD .exe
- Product Inquiry – PFIZER 05.22.2023.exe
- INV+PK) WTPSTL220001.PDF.scr
- packing list -Invoic BL.exe
- PRECISION MACHINERY L.L.C CONTRACT.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.atlasmarketing[.]life/qm18/
- hxxp://www.bakecamp[.]info/dtsd/
- hxxp://www.classychic[.]top/ad89/
- hxxp://www.crpons[.]xyz/ca82/
- hxxp://www.cweas[.]online/a2e2/
- hxxp://www.delisious[.]xyz/uifn/
- hxxp://www.drivexport[.]top/efft/
- hxxp://www.dwkapl[.]xyz/m82/
- hxxp://www.fleetvolt[.]info/rsgu/
- hxxp://www.hexopb[.]xyz/gn28/
- hxxp://www.locvu[.]xyz/o17i/
- hxxp://www.martline[.]website/btrd/
Top 4 – Lokibot
Lokibot マルウェアは7.6%で4位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- DOCDXI23030119_Pdf.exec
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://171.22.30[]].164/fresh1/five/fre.php
- hxxp://185.246.220[.]60/office1/five/fre.php
- hxxp://185.246.220[.]60/petercody/five/fre.php
- hxxp://185.246.220[.]85/fresh/five/fre.php
- hxxp://185.246.220[.]85/office2/five/fre.php
- hxxp://194.180.48[.]58/oyo/five/fre.php
- hxxp://194.180.48[.]58/size/five/fre.php
- hxxp://161.35.102[.]56/~nikol/?p=143606594
Top 5 – SnakeKeylogger
5.1%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
このマルウェアは AgentTesla と同様、収集した情報を流出させる際に、主にメールサーバーやユーザーアカウントを利用しており、それ以外にも FTP、Telegram、Discord などを使用する場合もある。最近流入したサンプルが利用しているアカウントは以下の通りである。
- SMTP Server : cp5ua.hyperhost[.]ua
User : petercodylog@steuler-kch[.]org
Password : “72135******CE@#$”
Receiver : petercodylog@steuler-kch[.]org - Telegram API : hxxps://api.telegram[.]org/bot5869797424:AAFj7jfdzfUw1CCCNzehFXiYeFWrzxnHnAs/
- Telegram API : hxxps://api.telegram[.]org/bot6069996781:AAHmYgsHwRzaV1_6EovGh5IzcjEeVnsIkLk/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計