bomb_log

セキュリティに関するbom

2019/04/17(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

この日で4/15,16,17と3日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。

※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。

 

■日時
4/17 9:30 頃 -

 

■件名
Fw:
Fw: staff reduction

 

■本文(2種類)
お世話になります。これは
解雇される従業員のリストです。

お支払い期限過ぎた

 

■添付ファイル例
newdoc.doc.zip ->newdoc.doc.js
473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643
https://app.any.run/tasks/a6ae851a-2c62-485e-b9b6-be5f752e75b8
list.xls.rar -> list.xls.js
doc.doc .zip -> doc.doc.js
1.xls.rar -> 1.xls.js
※添付はzipやrar等の圧縮ファイルで、解凍した中に含まれる.jsファイルがダウンローダ

 

■添付ファイルサンプル例
https://www.virustotal.com/#/file/dc751dfa7a9e79b054edacbaaeddd7b925a17bae2f46078ae647dd70eefd693b/details
https://www.virustotal.com/#/file/473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643/details

 

■接続先
マルウェア本体ダウンロード先
hxxp://guebipk-mvd[.]ru/readx.exe
※前日と同じドメイン、パスです。

 

ペイロード
55488ce01710e4cd927b52f4a91c82dc6eba2325da70cb745599bbc864adae30
https://app.any.run/tasks/0facf15f-0f12-4d93-866a-21a2caed97c2
https://www.virustotal.com/#/file/5ec91c2fa41c27e0d082f0c773f3b1e822d39bc908064df112b30a0718f3a461/details
https://www.virustotal.com/#/file/79906eb8822c57340c9dd53059352a24c327b5bea44019623f2847d26abe4d5a/details
不正送金マルウェアのursnif(Dreambot)です。
前日と同じパスからダウンロードしていますが、ハッシュ値は異なります。
同じ日でもダウンロードする時間によってハッシュが異なっているようです。

 

■通信先
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当てのため接続できない、x64環境ではt64.binへ接続
hxxp://adonis-medicine[.]at/images/~省略

 

以上

2019/04/16(火)添付ファイル付不審メール(Emotet)の調査

日本語件名、本文のEmotetのばらまきが4/12,4/15に引き続き発生しました。
マルウェアダウンロードの動作等は4/12と同様のため、その部分は簡略化して記載します。

 

■件名
請求書
からの延滞請求書
サービス請求書
期限切れ請求書
請求書ステータスの更新
※件名の前に人物名や地名と思われるものが含まれるものも確認しています。

 

■添付ファイル
数字8-10桁記号数字6-8桁.doc
※記号は_, ,-
(例)
696164927_4408052.doc
※件名、本文は日本語ですが、添付ファイルの本文は英語です。

 

■添付ファイルサンプル(例)
94c595759b6415cf2b425f32194236b8d02e5d1f4a2399870b63f016480df6e7
https://app.any.run/tasks/0c428c0c-3e9e-4499-b6f1-f5bbe2c520b7
57e601ceb23ca1be8b2a1dd44fb719c6a43885e3035c14265b8770dc009820db
https://app.any.run/tasks/a593e7c3-9b9e-4ce6-933e-0114d789c0b5
61c966fe80e7c16131ffb8c9fc58abad0e89705d575ec1016c4db578c3434a05
10103295f238be0472b32937b389e4bfdfb8e4b86359d1723672d58b8248de12
※添付ファイルの種類は多数あると考えられ、網羅出来ていませんので、一部のみの記載になります。

 

■通信先
以下に対してダウンロードが出来るまで順にアクセスします。
hxxp://benitezcatering[.]com/wp-includes/oOOiL5/
hxxp://dingesgang[.]com/wp-admin/rdZ/
hxxp://easyneti[.]com/wp-content/4zI/
hxxp://www.myhair4her[.]com/g9twdbi/AxU/
hxxp://www.oscarolivas[.]com/wp-includes/w47

 

■本体マルウェア
ダウンローダのEmotetです。
なお、Emotetは設置サイト上で定期的に変更されており、hashは多数存在します。
配信後しばらくは5-10分毎に変更されていると考えられますが、その後は1時間毎の変更と考えられます。
以下は全てhxxp://dingesgang[.]com/wp-admin/rdZ/からダウンロードされたhashです。

2019/04/16 16:58 ddc1b2c1d484e30556ca560114a123d1e550f7a6e035cbcec5c8a06fcae65935
https://www.virustotal.com/#/file/ddc1b2c1d484e30556ca560114a123d1e550f7a6e035cbcec5c8a06fcae65935/details
2019/04/16 17:13 1c59c8daf373c112a55c90b9ab35176de660f9ebb39e5167d7387b7a6bd18a1b
2019/04/16 17:16 1c59c8daf373c112a55c90b9ab35176de660f9ebb39e5167d7387b7a6bd18a1b
2019/04/16 17:18 1c59c8daf373c112a55c90b9ab35176de660f9ebb39e5167d7387b7a6bd18a1b
2019/04/16 17:36 ea23b5ed0da6ebb6dc90eb1fa2e5951edbf48555b5a7622ded42c5ee630c56a3
2019/04/16 17:40 7be0eba02b9cc5a9d978f5507faba7e33c0ddd2378044c47e6a8837f70d62b4d
2019/04/16 17:42 7be0eba02b9cc5a9d978f5507faba7e33c0ddd2378044c47e6a8837f70d62b4d
2019/04/16 17:44 7be0eba02b9cc5a9d978f5507faba7e33c0ddd2378044c47e6a8837f70d62b4d
2019/04/16 18:21 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 18:42 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 18:45 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 19:30 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 19:54 42a9f4399c862a9ad31399e7160c90b91d4507cc38da90a80b68f2ff0482e562
2019/04/16 20:54 506d0e224b4ee201f06b90a465aa5dee50bed2db3d6f6724e7d9515abeda4fae
2019/04/16 21:26 5dbb626a0c4ddb0fe2b8cdf0ac5f420a267b701a4a01306a80b99a2d87c067e3
2019/04/16 22:22 3cc6567dac689b169d5e856c668a29c758a4d384cf3392cbc36ccfae375de9c8 

 

■C2
EmotetのC2は多数存在しますが、優先的に接続を試みるものから幾つか記載します。
hxxp://181.37.126.2/
hxxp://181.30.126.66/
hxxp://179.62.249.189/
hxxp://66.228.45.129:8080/
hxxp://65.49.60.163:443/
hxxp://45.33.35.103:8080/


■海外の情報
同日の海外のEmotetの配信情報が以下にまとめられています。
https://pastebin.com/1xDJxxq3
この中には日本向けにばらまかれたものと同じ情報が含まれています。
海外と日本と区別なく同じ添付ファイル、ペイロードを使って感染を狙っているものと考えられます。

 

■考察
これによると、Emotetを配信するボットネットは2種類あるようです。
このボットネットRSAキーの違いにより分類されておりインフラに共通性はないようですが、ボットネット全体の振る舞いは同じ動きを取り、どちらも同じアクターが支配するボットネットと考えられています。
このボットネットは海外ではEpoch 1、Epoch 2として分類されており、規模は1の方が大きいようです。
日本向けに配信しているのは、RSAキーの分類に従うと、Epoch 1になります。

Emotetは追加で他のマルウェアをダウンロードすることが知られています。
海外ではEmotetがTrickbotという不正送金マルウェアをダウンロードすることが多いようです。
更に、そのTrickbotを利用する攻撃者の中には、そこからRyukランサムウェアという標的型ランサムウェア攻撃を行う事例が知られています。
ただのばらまきによるマルウェア感染に留まらない被害が発生する可能性がありますので、注意が必要です。

<参考:Ryukランサムウェア
2018年夏頃より、Ryukランサムウェアというのが姿を見せているようです。
その手口は、Trickbotというバンキングマルウェアに感染した端末が属している会社を見て、お金になりそうなところに絞って、標的型の手口で内部感染拡大させ、ランサムウェアによる暗号化を行うようです。
主にロシアを拠点とするTrickBotバンキングマルウェアを使う攻撃グループはEmpireと呼ばれるPowerShellの侵入後の内部感染拡大用のツールを使用し、ネットワーク内の他のコンピュータの資格情報を盗み出し、それらにRyuk Ransomwareをインストールするようです。
https://securityaffairs.co/wordpress/79853/cyber-crime/trickbot-ryuk-ransomware.html
https://duo.com/decipher/the-unholy-alliance-of-emotet-trickbot-and-the-ryuk-ransomware
https://www.fireeye.com/blog/threat-research/2019/01/a-nasty-trick-from-credential-theft-malware-to-business-disruption.html
https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/




 

2019/04/16(火) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

2019/4/15に来たものと同一と思われるursnif(B)のばらまきが発生しました。
なお、昨年行われていたursnif(B)と同一のアクターと思われますが、配信経路は異なっていると考えられます。また、配信規模は小さくなっています。

 

※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます。

 

<簡易版>

 

■日時
2019/04/16 10:00-

 

■件名(2種類)
Fw:
Payment deadline

 

■本文
請求書支払い期限過ぎた

 

■添付ファイル例(3種類)
doc.doc.zip -> doc.doc.js
d.doc.zip -> d.doc.js
xls.rar -> xls.js
※添付はzipやrar等の圧縮ファイルで、解凍した中に含まれる.jsファイルがダウンローダ

 

■添付ファイルサンプル
473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643
https://app.any.run/tasks/f4e43255-81ea-4eb9-9d53-25d44625f62b

 

■通信先(ダウンロード先)
hxxp://guebipk-mvd[.]ru/readx.exe

 

■User-Agent
Google Chrome


ペイロード
ursnif(Dreambot)
cab3cc3cef5ab8dd40dfb83d25422bcbf9e3a7d424b0824ed6c756aebeaaf787
https://app.any.run/tasks/0543c458-936c-4777-a09c-620edcd34dfa

 

■通信先(C2)
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当て
hxxp://adonis-medicine[.]at/images/(以下略)