Posted By ,

ASEC 週間マルウェア統計 ( 20230529~20230604 )

ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年5月29日(月)から6月4日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではダウンローダーが40.1%と1位を占めており、その次にインフォスティラーが39.5%、続いてバックドアが13.6%、コインマイナー4.1%、ランサムウェアが2.7%の順に集計された。

Top 1 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は21.4%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

AgentTeslaマルウェア、どのようにして韓国国内に拡がっているのか?

収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • SMTP Server : smtp.gmail[.]com
    User : triihope931@gmail[.]com
    Password : ieb*******yullvo
    Receiver : triihope931@gmail[.]com
  • SMTP Server : logxtai[.]shop
    User : sender-a3@logxtai[.]shop
    Passowrd : P2I*******6o
    Receiver : ambulancelog@logxtai[.]shop
  • SMTP Server : mail.dmstech[.]in
    User : sanjeev@dmstech[.]in
    Password : 0]6*******fd
    Receiver : zakirrome@ostdubai[.]com
  • Telegram API : hxxps://api.telegram[.]org/bot6127721370:AAGxMgX7PDsMPRDe-Hw4lycEs_1keVBXu7c/

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • PO#3900012413.exe
  • New product list.exe
  • Payment Advice.exe
  • Purchase Order 236pdf.exe
  • New Order PO#HKPOORD002361-2362.exe
  • P.O. 1559811.exe
  • MSDS-112883pdf.exe

Top 2 – Amadey

今週は Amadey Bot マルウェアが21.1%を占めて2位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。

一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。

SmokeLoader によって拡散している Amadey Bot

Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中

以下は、確認された C&C サーバーアドレスである。

  • hxxp://77.91.68[.]62/wings/game/index.php
  • hxxp://77.91.124[.]20/store/games/index.php
  • hxxp://95.214.27[.]98/cronus/index.php

Top 3 – SmokeLoader

Smokeloader はインフォスティーラー / ダウンローダーマルウェアであり、Exploit Kit を通して配布される。今週は10.5%を占めており、3位に名が上がった。Exploit Kitを通して配布される他のマルウェアと同様、MalPe のフレームワークが使われている。

実行されると explorer.exe に自身をインジェクションし、実際の不正な振る舞いは explorer.exe によって行われる。C&C サーバーに接続後、命令に応じて追加モジュールをダウンロードすることもでき、また他のマルウェアをダウンロードすることもできる。追加モジュールの場合、ダウンロードされるモジュールの大半がインフォスティーラー機能を担っており、子プロセスとして explorer.exe を生成し、モジュールをインジェクションして動作させる。

Smoke Loaderに関連した分析レポートは、以下の ASEC レポートに記載がある。

[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖 *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • hxxp://potunulit[.]org/
  • hxxp://hutnilior[.]net/
  • hxxp://bulimu55t[.]net/
  • hxxp://soryytlic4[.]net/
  • hxxp://novanosa5org[.]org/
  • hxxp://nuljjjnuli[.]org/
  • hxxp://tolilolihul[.]net/
  • hxxp://somatoka51hub[.]net/
  • hxxp://hujukui3[.]net/
  • hxxp://bukubuka1[.]net/
  • hxxp://golilopaster[.]org/
  • hxxp://newzelannd66[.]org/
  • hxxp://otriluyttn[.]org/

Top 4 – Formbook

Formbook マルウェアは9.2%で4位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • New order list attached.exe
  • SHIPMENT FCA-BUSSY ST GEORGES-FR NUXE APRIL PO 23.exe
  • INQ_7654323.exe
  • PO-0098762.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.crpons[.]xyz/ca82/
  • hxxp://www.vieop[.]online/g3th/
  • hxxp://www.locvu[.]xyz/o17i/
  • hxxp://www.dwkapl[.]xyz/m82/
  • hxxp://www.mawelk[.]xyz/upa6/
  • hxxp://www.cweas[.]online/a2e2/
  • hxxp://www.opuspring[.]xyz/nh2c/
  • hxxp://www.bakecamp[.]info/dtsd/
  • hxxp://www.scoperush[.]life/faup/
  • hxxp://www.fleetvolt[.]info/rsgu/

Top 5 – GuLoader

8.5%で5位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。

  • hxxps://drive.google[.]com/uc?export=download&id=1fBIYMyCKcfAAslFHGKbpYyVNHXWbVFQw
  • hxxp://zhaoziliao1668[.]cn/zhpGF223.bin
  • hxxp://www.vevercak[.]cz/wordpress/wp-content/plugins/42d2e42d9c224f639cadf7831f06cf15/y/mm/mmd/YdvWtZDbLtsc30.bin
  • hxxps://drive.google[.]com/uc?export=download&id=19ZVjVSSgdXOk3oaeUGKfYt3FXtyObmaL
  • hxxp://saeedenterprises[.]com.pk/WRPUTyOFaBCJ209.bin
  • hxxps://drive.google[.]com/uc?export=download&id=1C8MFNOnsPW6L_zoQ3RalRLeHn58ArNXb

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • Overdue.exe
  • FRA-207754.exe
  • Lull.exe
  • rove.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: 総計