bomb_log

セキュリティに関するbom

2018/07/10(火) 『書類について』『写真』『写真送ります。』『現場写真』『見積書再送付致します』『【至急】対応お願い致します』『【その2】』の調査

2018/07/10の添付ファイル付の不審メールのばらまきの情報です。

 

■日時

2018/07/10(火) 17:50頃~

■件名
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】

■本文

幾つかのパターンを確認しています。
※冒頭挨拶文は本文文章とは別に以下のパターンがあります。

本日はありがとうございました。
お世話になります。
お世話になっております。

●パターンその1
(※冒頭挨拶文)
写真を添付致しますのでご確認下さい。
宜しくお願い致します。

●パターンその2
(※冒頭挨拶文)
ZIPにて写真を送ります。遅くなり申し訳ございません。
よろしくお願いします。

●パターンその3
(※冒頭挨拶文)
ZIPデータ送ります。
申し訳ないですが、ZIPの方で、写真の確認お願いします。
宜しくお願い致します。

●パターンその4
(※冒頭挨拶文)
念の為 図と写真を送ります。
よろしくお願いします。

●パターンその5
(※冒頭挨拶文)
写真です。
宜しくお願い致します。

■添付ファイル名

IMG_[*].zip
*にはメールアドレスの@以前が入ります。

添付ファイル内には、以下2つのファイルが存在します。

IMG_0447_1.jpg
IMG_0447_2.jpg.vbs ※マルウェアです。
https://www.hybrid-analysis.com/sample/4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d/5b446aec7ca3e131097bdf29

マルウェアの動き(1)

zip内のvbsを実行すると、まず以下のbatファイルを取得し実行します。

hxxp://giarie[.]com/sc2.dat
IP: 92.53.66[.]244

このbatファイルの中ではbitsadminというプログラムを実行し、以下のファイルを取得し、C:\Users\(user名)\AppData\Local\Temp\certInfo.txtに書き込みます。

hxxp://giarie[.]com/no.bin
IP: 92.53.66[.]244

そのファイルを同フォルダ内のcertInf.txtにコピーした後、certutilコマンドでデコードし、C:\Users\(user名)\Documents\paint.exe として作成し、実行します。

作成されるマルウェアは以下のbeblohです。

paint.exe
https://www.hybrid-analysis.com/sample/81d016e80fddb754b20702be0218c8351cb040e0d3a108a1d972a68c86de4ce9?environmentId=100

マルウェアの動き(2)

 beblohを実行し5分程度過ぎると、以下C2へ通信を行います。

hxxps://wigermexir[.]com
IP:92.53.66[.]244

その直前、ブラウザでgoogle宛に通信を行います。恐らくは解析環境かの確認に利用されているのかと思います。
なお、確認後ブラウザは終了されます。他の用途でブラウザを開いていても閉じますので、おや?となります。

C2との通信後、以下からursnifを取得します。

hxxps://socco[.]nl/galleries/inistream.exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853

マルウェアの動き(3)

ursnifに感染後、以下のC2と通信します。
hxxps://siberponis[.]com
IP:92.53.66[.]244

その後、端末情報を取得します。

f:id:bomccss:20180710210732p:plain

■通信

一連の通信は以下のようになります。

f:id:bomccss:20180710210848p:plain

■C2通信先

C2との通信はhttpsのため詳細なアクセス順序等不明ですが、メモリダンプの情報より、以下へアクセスしていると思われます。

●bebloh C2

hxxps://wigermexir[.]com/auth/api/(数字10桁)/index/?cgi-bin=login
hxxps://wigermexir[.]com/auth/data/(数字10桁)/img/
hxxps://wigermexir[.]com/auth/media/(数字10桁)/
hxxps://wigermexir[.]com/auth/tracker/user/(数字10桁)/

●ursnif C2
hxxps://siberponis[.]com/images/..(略)../v.bmp
hxxps://siberponis[.]com/images/..(略)../_2B.gif
hxxps://siberponis[.]com/images/..(略)../b1R.gif
hxxps://siberponis[.]com/images/..(略)../5.gif
hxxps://siberponis[.]com/images/..(略)../FYvMN.gif

 

以上です。

 

IoC
●URL
hxxp://giarie[.]com/no.bin
hxxp://giarie[.]com/sc2.dat
hxxps://siberponis[.]com
hxxps://socco[.]nl/galleries/inistream.exe
hxxps://wigermexir[.]com
●IP
92.48.206[.]71
92.53.66[.]244
●hash(SHA256)
4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d
81d016e80fddb754b20702be0218c8351cb040e0d3a108a1d972a68c86de4ce9
e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853


2018/06/25(月)『2018.6月分請求データ送付の件』『6月度発注書送付』『ご請求書を添付致しておりますので』『メールに添付された請求書デー』『添付ファイルをご確認下さい。』の調査

何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。

 

■日時
2018/06/25(月)  15:50頃 - 17:10頃

■件名
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。

■本文
同じ件名でも空白、7月分請求データという記載があるもの、請求書を添付致しました、というようにパターンがあるようです。人物名も幾つかあるようです。

f:id:bomccss:20180625232521p:plain

f:id:bomccss:20180625232532p:plain

■添付ファイル
Excel形式の添付ファイルがあります。ファイル内の指示に従い「編集を有効にする」をクリックし、「コンテンツの有効化ボタン」をクリックするとマクロを実行され、ユーザに見えないところでマルウェアを取得します。
(nnnn)_6月.xls
※nnnnは数字4桁
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for '4817_6_.xls'

 ■ダウンロードされるURLおよびダウンロードされるファイル(bebloh)
ExcelからマクロでダウンロードするURLおよびファイルは以下でうす。ダウンローダマルウェアのbeblohと呼ばれるものです。
hxxp://gobertonis[.]com/photo
47.74.148[.]105
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'photo.exe'

■追加でダウンロードされるURLおよびダウンロードされるファイル(ursnif)
beblohに感染後5分程度するとC2へアクセスし、ダウンロード先URLを取得し、ursnifをダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
84.244.181[.]208
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'mrts_ps.exe'

■C2通信先
以前と変化はありませんでした。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com

 

IoC
○URL
hxxp://gobertonis[.]com/photo
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
hxxps://bdv4cc9rub[.]com
hxxps://vachiderk[.]com

 ○IP
47.74.148[.]105
84.244.181[.]208

○HASH(SHA256)
78857f96c2216323344b2790391fe3207b137bcfe75ac795242cd515bddc13c8
b2b1370ede349d538770309749f7197cdf0983b90bfb1aaf5e9483bfda7c5361
2c21e78c2ae52a2aedc97822579343b2f8e63455de97645d6dc52a50d3a2fe31

 

2018/06/14(木) 『2018.6月分請求データ送付の件』『6月請求データ』の調査

更に6/14に件名が変更され、不審メールのばらきがありました。

 

■日時
2018/6/14(木) 17:10頃-18:00頃

■件名
2018.6月分請求データ送付の件
6月請求データ
※件名の頭に.、Fwd: 、Fwd: Re:、Re: 、Re: Re: がつく場合があります。

■添付ファイル名
n.nnn.請求・支払データ.xls
nは数字1桁、nnnは数字3桁
https://www.hybrid-analysis.com/sample/6aa670bd806c6c690e900931da4f3ff78efc967a058a939fc75bb866ccfc21a9

以下、同日の別件名のものと同一です。

■ダウンロードするURLおよびマルウェア
Excelのマクロを実行すると、以下へ通信が発生し、ダウンローダマルウェアのbeblohを取得します。
hxxp://zeraum[.]com/mailout
https://www.hybrid-analysis.com/sample/60bd3a3642cbd5025e150f48688f11702a92d9c16ff254c4d0e8f57fc4621cc7

■追加でダウンロードするURLおよびマルウェア
beblohは更に以下のURLにアクセスし、不正送金マルウェアursnif をダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/synctm[.]exe
https://www.hybrid-analysis.com/sample/5805b0c068ac3c18910ed3b3952cb52a69acc5ef6e5afdd1666d7c5593578692?environmentId=100
bebloh,ursnifを取得するドメインは6/13と同じです。

■C2
変化はありません。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com

2018/06/14(木) 『【振込み確認書】18.06.14』の調査

6/12,13に引き続き、6/14にも添付ファイル型の不審メールの配信がありました。

 

■日時
2018/06/14 16:20頃-16:40頃

■件名
【振込み確認書】18.06.14

■添付ファイル
【振込み確認書】18.06.14.xls
https://www.hybrid-analysis.com/sample/9ff97c6be8bf57509583280c1519dc0ae6a1841ae3685d1321828bb1e76abdf4
https://www.hybrid-analysis.com/sample/b3612640b7f18c1fe0eb9f64ab82e27064aa4bdc76c629710c5cf8369fc75e06
■ダウンロードするURLおよびマルウェア
Excelのマクロを実行すると、以下へ通信が発生し、ダウンローダマルウェアのbeblohを取得します。
hxxp://zeraum[.]com/mailout
https://www.hybrid-analysis.com/sample/60bd3a3642cbd5025e150f48688f11702a92d9c16ff254c4d0e8f57fc4621cc7

■追加でダウンロードするURLおよびマルウェア
beblohは更に以下のURLにアクセスし、不正送金マルウェアursnif をダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/synctm[.]exe
https://www.hybrid-analysis.com/sample/5805b0c068ac3c18910ed3b3952cb52a69acc5ef6e5afdd1666d7c5593578692?environmentId=100
bebloh,ursnifを取得するドメインは6/13と同じです。

■C2
変化はありません。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
 hxxps://vachiderk[.]com

2018/06/13(水) 『注文書の件』の調査

6/13には添付ファイルがついた不審メールの件名が変化しました。
ここ最近の添付ファイル型不審メールは同一のマルウェアを取得しに行くメールで件名が配信途中から種類が増えるものが多いような気がします。

 

■日時

2018/06/13(水) 17:30頃 - 20:45頃

■件名
注文書の件

■添付ファイル
運輸注文書.pdf.xls
https://www.hybrid-analysis.com/sample/f0dd3c9e6d4650224147b7d57af63188ed00bd85c40163cdca271e670814acbb?environmentId=100

以下は同日別件名と同じです。

■ダウンロードするURLおよびマルウェア
添付ファイルを実行すると、以下のダウンローダマルウェアbebloh を取得します。
hxxp://zeraum[.]com/footerlogo.gif
https://www.hybrid-analysis.com/sample/69e3f671104eee450032d603b4afdf6e0eed82354a909d3b755a0813b5faba05?environmentId=100

■追加でダウンロードするURLおよびマルウェア
beblohを実行していると、更に以下の不正送金マルウェアursnif を取得します。
hxxp://wimkegravestein[.]nl/language/overrides/tv_pcdx[.]exe
https://www.hybrid-analysis.com/sample/7836911a246ded58a2f20d30d4a751d46784a3e41e9f66c408691f6c298e6afc?environmentId=100

■C2
先日から変化なしです。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com

 

2018/06/13(水) 『請求書を送ります』『Fwd: 6月分請求書リスト』の調査

6/12に引き続き、6/13も添付ファイル付の不審メール の配信を確認しています。

 

■日時
2018/06/13(火) 16:25頃 - 17:30頃

■件名
請求書を送ります
Fwd: 6月分請求書リスト

■添付ファイル名
経理部.(請求書).xls
https://www.hybrid-analysis.com/sample/412a40cf59759b0188d97649a6baca63d4de4bdfa45a7b5a568d14f8589ef78e?environmentId=100

■ダウンロードするURLおよびマルウェア
添付ファイルを実行すると、以下のダウンローダマルウェアbebloh を取得します。
hxxp://zeraum[.]com/footerlogo.gif
https://www.hybrid-analysis.com/sample/69e3f671104eee450032d603b4afdf6e0eed82354a909d3b755a0813b5faba05?environmentId=100

■追加でダウンロードするURLおよびマルウェア
beblohを実行していると、更に以下の不正送金マルウェアursnif を取得します。
hxxp://wimkegravestein[.]nl/language/overrides/tv_pcdx[.]exe
https://www.hybrid-analysis.com/sample/7836911a246ded58a2f20d30d4a751d46784a3e41e9f66c408691f6c298e6afc?environmentId=100

■C2
先日から変化なしです。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com

 

2018/06/12(火) 『カード利用のお知らせ』の調査

楽天市場をかたったメールに引き続き、楽天カードをかたったメールの配信がありました。
また、翌日にも一時的に同一件名、同一検体ハッシュで配信がありました。
ともに、楽天市場をかたったメールと検体は一緒です。

 

■日時
2018/06/12(火) 16:35頃 - 19:35頃
2018/06/13(水) 12:40頃 - 13:10頃
※翌日も一時的に同一件名、同一検体ハッシュで配信がありました。

以下、楽天市場と同一です。
■メール内リンクURL
ua.elpanal.com[.]uy
上記を例に、全て下記IPアドレスに解決されるドメイン
198.98.48[.]158

■ダウンロードされるファイル
メール内リンクにアクセスすると、ブラウザがChromeでアクセスしていれば以下のファイルがダウンロードされます。
IEであればzipファイルがダウンロードされ、その中にjsファイルが含まれます。)
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d?environmentId=100

■追加ダウンロードファイル
jsファイルは以下へアクセスし、本体のマルウェアをダウンロードします。不正送金マルウェアursnifです。
hxxps://mm.unitedmfg[.]com/0.bin
198.98.48[.]158
https://www.hybrid-analysis.com/sample/9d55e7d8c83c70ea8c1e7ae17ef56380422dd73ecca008e3c65db0b5cf4e2d1f?environmentId=100