bomb_log

セキュリティに関するbom

2019/12/04(火) 『令和元年度職員録』の調査

2日続けてTA505のばらまきと思われる添付ファイル付きの不審メールのばらまきを確認しています。

 

■日時
2019/12/04(火) 9:00-

 

■件名
訂正  12/04業務報告

 

■添付ファイル
営業報告入力フォー2019.xls

 

■サンプル
https://app.any.run/tasks/64904e28-914d-4a76-b83b-dc219a304693/

添付ファイルはget2 downloader と思われます

 

■通信先
msonebox[.]com
※MS関連のドメインではない

 

同通信先で恐らく海外向けの本日の検体
https://app.any.run/tasks/713268bc-f71c-4104-8332-2999f20bc4e1/

 

同通信先は11/29にも使われていたようです。
https://app.any.run/tasks/c98b75f5-7f82-4964-afd2-ae438cc48fcf/
https://app.any.run/tasks/449229ff-0f3e-4eba-ac95-a7464faa111b/

2019/12/03(火) 『令和元年度職員録』の調査

TA505 によるばらまきと思われる添付ファイル付きの不審メール のばらまきがありました。

 

■日時
2019/12/03 07:30頃 -

■件名
令和元年度職員録

■送信者(偽装)
山口 陽弘
※実際の送信元アドレスは様々ものが使われており、なりすましと考えられます。

■添付ファイル名
SKM_C30819111NNNNNN.xls
※NNNNNNは数字6桁

■検体
https://app.any.run/tasks/310efd82-c4c3-4cf2-919c-f77749cbd9db/
※ハッシュは他にも複数あり
get2 downloader と思われます

■通信先
hxxps://live-en.com
※11/27にも使用

 

同一通信先にアクセスする別のxlsファイルがあり(文面英語)、海外向けには恐らく別のファイル名でばらまかれていたと思われます。
メールの添付かメール内のリンクからの誘導かは不明です。

■ファイル名
bill_001_1019.xls

■検体
https://app.any.run/tasks/437d161f-f6c3-4dde-80c2-de0cd8a0d9a1/

2019/12/9(月) 添付ファイル付不審メール(Emotet -> Trickbot)の調査

日本をターゲットとして注力して狙っているのか、メールテンプレートの変化が激しかったです。
また、世界的にみてもEmotetの活動が活発で、様々な変化がありました。

 

■日時
2019/12/09 16:00頃 - 2019/12/13

 

■sample

Emotet
https://app.any.run/tasks/dde3e916-a9f4-4b45-a87a-7d543c3528f4/

Trickbot
https://app.any.run/tasks/a7378f7b-e3b9-44aa-a5e2-02480a725cbb/

 

■変化

・12/06からの世界的な変化

世界的に、Emotetに感染させるメールが添付ファイル型だけでなく、本文リンクからdocファイルをダウンロードさせるリンク型メールも再開された。
docファイルの外見もこれまでのOpenOfficeの灰色・O365の青色の2パターンに加え、水色の計3パターンに変化。

 

・12/09 日本語のばらまきメールに以下の冬季賞与に関する件名が追加

■件名


払届
賞与
賞与支
賞与支払
賞与支払届
2019冬・業績賞与支給
月賞与
11月賞与
12月賞与
12.12月賞与関係会社請求について
19.12月賞与関係会社請求について
賞与支給に際しての社長メッセージ

■添付ファイル名
(件名のどれか).doc
※件名と同じではない

■送信者
会保険労務士法人

 

・12/10 日本語ばらまき件名の追加
AppleIDを騙ったものが確認される。

■件名
お使いのAppleStore-ID がロックされます. サービス

■送信者
Apple Team

 

・12/11 日本語ばらまき件名の請求書関連の件名が増加

■件名
お支払い
11月の支払い
毎月の請求書
毎週の請求書
請求書
請求書の件です。
請求書送付のお願い
ご入金額の通知・ご請求書発行のお願い
請求書の送信
請求書ステータスの更新
表示用のアカウントの請求書

(英語版)
monthly invoice
weekly invoice
payment
invoice
payment for november

■本文

本文も件名のパターンの中からランダムで(件名と別になるケースが多い)選ばれる。

 

・12/13 リンク型メールのhtml形式化
リンク型メールで送られる場合にメールがHTML形式で送信される。
リンクの表示上がメール送信者のドメインで表示されており、あたかもメール送信者の組織のHPからファイルをダウンロードさせるようにしているように見せかけている。
実際のリンクは別のサイトであり、主に正規サイトが改ざんされてdocファイル置き場になっている。

 

・12/13 日本語件名のメールに出会い系のようなメールが追加される

■件名(例)
男に会います。15歳の女の子。
会いたいです。16歳の女の子。
15歳の女の子。

■送信者(例)
サオリ
アカネ
リオ