ASEC マルウェア週間統計 ( 20230605～20230611 )

ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年6月05日(月)から6月11日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが44.6%と1位を占めており、その次にダウンローダーが43.9%、続いてバックドアが9.5%、ランサムウェアが2.0%の順に集計された。

Top 1 – Amadey

今週は Amadey Bot マルウェアが30.4%を占めて1位に名が上がった。Amadey はダウンローダーマルウェアであり、攻撃者の命令を受けて追加のマルウェアをインストールすることができる。また、情報窃取モジュールが使われる場合は、感染システムのユーザー情報を収集することもある。

一般的に Amadey は、正常なプログラムおよび Crack マルウェアに偽装して配布されている SmokeLoader によってインストールされる。しかし、最近は企業ユーザーを対象に、スパムメールに添付された不正なドキュメントファイルによって拡散しており、LockBit ランサムウェアをインストールする際に使用されている。

• hxxp://77.91.68[.]62/wings/game/index.php
• hxxp://77.91.68[.]30/music/rock/index.php

Top 2 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla は26.4%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

収集した情報の流出には主にメール、すなわちSMTPプロトコルFTP使用しているが、FTP や Discord、WebHooks、Telegram API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

• SMTP Server : mail.marineclaimoffice[.]com
  User : chris@marineclaimoffice[.]com
  Password : kensarow****7
  Receiver : chris@marineclaimoffice[.]com
• SMTP Server : us2.smtp.mailhostbox[.]com
  User : log3@forrwel[.]net
  Password : HNnNLPY*LPY3
  Receiver : log3@forrwel[.]net
• Discord WebHooks : hxxps://discord[.]com/api/webhooks/1109078597697802400/N0FrBeH_8MDeAwQC9ABA0W42QcoAZqnFM0qJOcVUO9LPKp2yMw5W1mobQTkR7BtIa2e8
• Telegram API : hxxps://api.telegram[.]org/bot6118510930:AAGLmjz14DOBPW-OuVj-xMJhmBoGJAqv5to/sendDocument

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• 見積依頼の件.exe
• 注文 467589.exe
• 33690120233531MES_S Quote.exe
• 40023540MES_S Quote.exe
• 41570002689_20230609_05352297_HesapOzeti.exe
• 5314 Statement 0013167791.exe
• Booking_002990pdf.exe
• INVOICE_VM33020031052023.exe
• MT103-draft.exe
• New Order_xlsx.exe
• OriginalCopy2023001982_pdf.exe
• PO-5093027b.exe
• RFQ_PO 211436 for Weatherbeeta pdf.exe
• SOLICITUD DE PRESUPUESTO 08062023.exe

Top 3 – Guloader

12.8%で3位を占めている GuLoader は、追加のマルウェアをダウンロードして実行させるダウンローダー型マルウェアである。以前は検知を回避するために Visual Basic 言語でパックされていたが、最近では NSIS のインストーラーの形態で配布されている。従来は CloudEye という名前で知られており、GuLoader という名前になっているのは、ダウンロードアドレスとして Google ドライブが頻繁に使用されるためである。もちろん、Google ドライブ以外にも Microsoft の OneDrive、Discord など様々なアドレスが使われることもある。

• hxxp://107.172.148[.]208/blk/jzKrFwCeIEvTEpb62.bin
• hxxp://107.172.148[.]208/id/ItohJUoNuBuEH73.bin
• hxxp://107.172.148[.]217/cl/cc/GxwFzwcvtovTBxiVO240.bin
• hxxp://107.172.148[.]217/re/rs/IRjVevieEjoNGeLpLWfDSZKIoW131.bin
• hxxp://156.96.113[.]118/POVwBXwZMXSLQfyOjJ204.bin
• hxxp://212.192.219[.]58/LgUXia76.bin
• hxxp://34.138.169[.]8/wp-content/themes/seotheme/GXwzZXw152.bin
• hxxp://78.138.105[.]156/xvNMB69.bin
• hxxp://93-103-1-247.static.t-2[.]net/wordpress/wp-content/plugins/3d33e57e8d4b43cba374b2cf2ad480f6/y/mm/mmd/ScGHQrDJqjlyYsDeuBTQACc52.bin
• hxxp://zhaoziliao1668[.]cn/PuTDpilZWMlYmw7.bin
• hxxps://drive.google[.]com/uc?export=download&id=1BE6BAHmf3NoHDjFdwRJlJOUVWfeDM-eO
• hxxps://drive.google[.]com/uc?export=download&id=1JntGzXZnkoZtzjegN4HaFkjUeolR96CA
• hxxps://drive.google[.]com/uc?export=download&id=1K-sbxDlPJ-TxrtE_l-4l5bvddXLb5MZ3
• hxxps://drive.google[.]com/uc?export=download&id=1TCu7G14PuLCh2gEmhGzMtc7xp72fyCOq
• hxxps://drive.google[.]com/uc?export=download&id=1WDiaeKNkPyf1Q5pDiJRZhtZE_2LpKJn5
• hxxps://drive.google[.]com/uc?export=download&id=1YH9fubB4nrYg6Lwvpi2mMkfl1k3mjHCY
• hxxps://www.dropbox[.]com/s/zgeyqforih4yvth/guIVxDWTwsIKbwd35.bin?dl=1
• hxxps://www.hadxxx[.]cf/qMvHJhXhgprKB96.bin

GuLoader は検知を避けるためにファイル形式で配布されず、メモリ上にダウンロードされる。また、ダウンロードされたファイルも PE ではなく、エンコードされている。その後はメモリ上でデコードされて実行されるが、ダウンロードされたマルウェアは Formbook や AgentTesla のようなインフォスティーラー型マルウェア及び Remcos や NanoCore のような RAT マルウェアがある。

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• 31883190ELECTRICAL.exe
• Damages_Report.exe
• DOCS-INV.PKL-778012DHL-PARCEL_INFO.exe
• JUSTIFICANTE_DE_PAGO.exe
• RFQ#84839_A2023_TEXHONG_TAN CANG_SAMPLES_PRODUCTS.exe
• Sgevindue Formateringsproblemets.exe

Top 4 –  Lokibot

Lokibot マルウェアは8.8%で4位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

• 140300838898 JAYA SENTOSA.exe
• DHL Express_#AWB.exe
• DHL Receipt_6005195460.exe
• FedEx Shipping Documents.exe
• Maersk Line Shipping documents.exe
• PSVD.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

• hxxp://185.246.220[.]60/sirR/five/fre.php
• hxxp://185.246.220[.]85/fresh/five/fre.php
• hxxp://185.246.220[.]85/office2/five/fre.php
• hxxp://185.246.220[.]85/project/five/fre.php
• hxxp://161.35.102[.]56/~nikol/?p=143606594
• hxxp://161.35.102[.]56/~nikol/?p=314875839320
• hxxp://161.35.102[.]56/~nikol/?p=41491438105
• hxxp://161.35.102[.]56/~nikol/?p=7398172063
• hxxp://161.35.102[.]56/~nikol/?p=7855399
• hxxp://161.35.102[.]56/~nikol/?p=882166721559

Top 5 – Formbook

Formbook マルウェアは5.4%で5位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• Documents.exe
• ORDER.exe
• PORTUGAL ORDER FOR JULY SALES PO#10-PAM USD.exe
• Purchase Order RFQ# 10075311 USD.exe
• RFQ-20013654.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.classychic[.]top/ad89/
• hxxp://www.classychic[.]top/d5hg/
• hxxp://www.cookcollectives[.]xyz/xcsl/
• hxxp://www.fecoles[.]online/cx01/
• hxxp://www.mexob[.]online/ga36/
• hxxp://www.urbancon[.]xyz/ug6q/
• hxxp://www.xysklhgf[.]xyz/ae30/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。