bomb_log

セキュリティに関するbom

2019/02/18(月) 添付ファイル付不審メールの調査

2019/02/18(月) 16:50頃より、 添付ファイル付の不審メールのばらまきが発生していました。
20:30頃からは、同一の件名で異なる添付ファイルの不審メールのばらまきが発生していました。
メールの内容や添付ファイルの動きはどちらも同じ動作を行います。

これらのばらまきは、以前より日本に対して不正送金マルウェアをばらまいている攻撃グループと思われます。
この添付ファイルを主に使用してくる攻撃者のグループのことを勝手にursnif/cutwail A系(添付系)と呼んでいます。

 

メールの件名、本文の情報については、以下のJC3のサイトにも情報があります。
https://www.jc3.or.jp/topics/v_log/201902.html#d20190218b

 

 

■日時
2019/02/18 16:50 - 

■件名
20190218
2/18送り状No.
修正版
出荷明細添付
紙看板送付の件
券類発注書 (修正依頼)
2月分
発注分 追加

■本文(例)

f:id:bomccss:20190219034258p:plain

■添付ファイル(16:50-)
nnnnn_2019年2月18.xls
※nnnnnは数字5桁

■添付ファイル名(20:30-)
nnnnn_nn_20190218.XLS
※nnnnnは数字5桁、nnは数字2桁

■ 添付ファイル外見

f:id:bomccss:20190219034029p:plain

■添付ファイルサンプル(16:50-)
SHA256: 75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa
https://www.virustotal.com/#/file/75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa/details
https://www.hybrid-analysis.com/sample/75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa?environmentId=100
https://app.any.run/tasks/f931f284-edf5-4225-ba22-bcf056b72136

■添付ファイルサンプル(20:30-)
SHA256: 6602f118eea649f863e5662671686a3ae5e1067e1c1bcbed829d7ba8ab3390f6
https://www.virustotal.com/#/file/6602f118eea649f863e5662671686a3ae5e1067e1c1bcbed829d7ba8ab3390f6/detection
https://www.joesandbox.com/analysis/111173/0/html
https://www.hybrid-analysis.com/sample/6602f118eea649f863e5662671686a3ae5e1067e1c1bcbed829d7ba8ab3390f6?environmentId=100
https://app.any.run/tasks/91a29575-b076-49cf-be67-8a8f30b30eec

 

→日本語のPC環境で、添付ファイルを開きマクロを有効化すると、マルウェアに感染します。

 

■添付ファイルの動作

添付ファイルにはマクロがあり、有効化するとファイルを開く際に実行される関数Workbook_Open()により自動でマクロが動作します。
その際、動作している環境がマルウェアのターゲットである日本かどうかを確認しています。
その後、ステガノグラフィと呼ばれる画像ファイルに文字を隠す(今回であればスクリプト)手法を2度使用し、最後にDLLを作成し、それをexplorerにインジェクションします。

詳しい流れについては、@nao_sec さんの以下を参照ください。

 

■通信先(ステガノグラフィ)
どれも正規の画像アップロードサービス等を使っています。
上から順にアクセスして行き、一つアクセスできれば以降のURLへのアクセスはありません。

・stage 1
hxxp://imagehosting[.]biz/images/2019/02/14/in1.png
hxxp://images2.imagebam[.]com/f1/b1/50/dd7e561126561184.png
hxxps://mger[.]co/img/w84vm.png
hxxps://images2.imgbox[.]com/34/60/1Zc8BevK_o.png

・stage 2
hxxp://oi68.tinypic[.]com/2saxhrc.jpg
hxxps://thumbsnap[.]com/i/aqiAmg1b.png?0214
hxxps://i.postimg[.]cc/0jFwGVb3/l1.png

 

マルウェアbebloh
これらのスクリプトが実行されると、最終的には以下のDLLファイルが作成され、実行されます。

https://www.hybrid-analysis.com/sample/d58b12393ade4f51e6917af9dcd1a032e17adf5933fc886be314ef094717ce02

これはダウンローダマルウェアのbeblohです。
実行されると、以下のC2サーバへ通信を行います。
(その前に外部と通信可能かgoogleに接続確認を行います)

○bebloh - C2
hxxps://panisdar[.]com
C2サーバから追加でダウンロードするURLを取得していると考えられ、C2へ接続すると更に以下のファイルをダウンロードします。
(以前はC2接続までにスリープ処理がありましたが、今は見かけられません)

hxxp://vedrunaccff[.]org/img/sm/history.rar

このファイルはrar形式ですが、rarファイルではありません。(exeでもありません)
このファイルをbeblohが何らかの処理(不明)を行い、不正送金マルウェアのursnifを作成し実行します。

 

■不正送金マルウェア ursnif
SHA256: c797fa74ffc33103b9b5db3d5010d7926231afc49beb5d1e61f8a29723a7d142
https://app.any.run/tasks/9d4b163e-73e9-4faf-8367-4d6ca532c23f
https://cape.contextis.com/submit/status/38087/
https://www.hybrid-analysis.com/sample/c797fa74ffc33103b9b5db3d5010d7926231afc49beb5d1e61f8a29723a7d142
https://www.virustotal.com/#/file/c797fa74ffc33103b9b5db3d5010d7926231afc49beb5d1e61f8a29723a7d142/detection
https://www.joesandbox.com/analysis/111234/0/html

ursnifが実行されるとPC上の様々な情報を取得します。以下は実行されるコマンドです。

cmd /C "systeminfo.exe > C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "net view >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "nslookup 127.0.0.1 >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "tasklist.exe /SVC >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "driverquery.exe >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "reg.exe query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /s >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1" 

 これらの情報を以下のC2サーバへ送信します。

○ursnif - C2
hxxps://papirson[.]com

■一連の動き

ここまでの一連の通信およびプロセスは以下となります。

f:id:bomccss:20190219040854p:plain

f:id:bomccss:20190219040912p:plain

 

以上です。

 

2018/12/13(木)『【楽天市場】注文内容ご確認(自動配信メール)』の調査

12/11に続き、12/13にも不審メールのばらまきがありました。時間は長かったですが、ばらまき量は前回よりも少量でした。
送信されるメールの内容は同じですが、マルウェアを生成する方法は変わっていました。


■日時
2018/12/13(木) 15:30頃 ~ 21:30頃
※早いところでは14:50頃から来ていたとのことです。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
rakuten_order[@]applecare.joshshadid.com
rakuten_order[@]applecustomer.cncntrte.com
rakuten_order[@]applecustomer.joshshadid.com
rakuten_order[@]applecustomer.shadidphotography.com
rakuten_order[@]applecustomer.themodernvillas.com
rakuten_order[@]appleonlinesupport.cncntrte.com
rakuten_order[@]appleonlinesupport.shadidphotography.com
rakuten_order[@]appleonlinesupport.themodernvillas.com
rakuten_order[@]applesupport.cncntrte.com
rakuten_order[@]applesupport.joshshadid.com
rakuten_order[@]applesupport.shadidphotography.com
rakuten_order[@]secureonline.cncntrte.com
rakuten_order[@]secureonline.joshshadid.com
rakuten_order[@]secureonline.shadidphotography.com
rakuten_order[@]secureonline.themodernvillas.com
rakuten_order[@]supportapple.shadidphotography.com
rakuten_order[@]supportapple.themodernvillas.com
rakuten_order[@]supportappleonline.joshshadid.com
rakuten_order[@]supportappleonline.themodernvillas.com

■本文(例)

f:id:bomccss:20181223174948p:plain
メール内のリンク(どこでも)は以下になります。

■メール内リンク先URL
全て以下IPに紐付くドメインです。
IP: 195.123.233[.]150
https://www.virustotal.com/#/ip-address/195.123.233.150

hxxp://tr.kiraneproject[.]com
hxxp://iu.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://tr.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://efg.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://ngf.kiraneproject[.]com
hxxp://re.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://efb.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://iu.ffoc[.]net
hxxp://tr.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://re.ffoc[.]net
hxxp://nnmj.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://rth.anchorartists[.]com
hxxp://efg.anchorartists[.]com
hxxp://efb.anchorartists[.]com
hxxp://re.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://iu.anchorartists[.]com
hxxp://eu.anchorartists[.]com
hxxp://fgyt.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com


■リンクからダウンロードされるファイル
上記ドメインへアクセスすると、下記ファイルへとリダイレクトされダウンロードされます。
注文内容ご確認.zip

f:id:bomccss:20181223175023p:plain

 

zipファイルの中身を解凍すると、以下のようになります。

f:id:bomccss:20181223175038p:plain

f:id:bomccss:20181223175051p:plain


この中の「注文内容ご確認」のショートカットがダウンローダ型のマルウェアです。

SHA-256: 7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815
https://www.hybrid-analysis.com/sample/7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815?environmentId=100


ショートカットの中身は以下になります。

f:id:bomccss:20181223175122p:plain

f:id:bomccss:20181223175133p:plain


以下のファイルを取得しにいきます。
hxxp://ktr.kiraneproject[.]com/pohaq/info.ps1

このファイルの中身は以下になります。

f:id:bomccss:20181223175151p:plain

これを実行されると、以下のようなコマンドが実行されます。

f:id:bomccss:20181223175254p:plain

 

以下のファイルを取得し、それを「cerutil -decode」により実行ファイル(マルウェア)へと変換します。
hxxp://ktr.kiraneproject[.]com/pohaq/fit.txt

このファイルの中身は以下になります。

f:id:bomccss:20181223175207p:plain



作成されるファイルは以下です。

SHA-256: 0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85
https://www.virustotal.com/#/file/0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85/detection
https://www.hybrid-analysis.com/sample/0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85?environmentId=100
https://app.any.run/tasks/239bcb25-295e-4791-a7cc-86bfb4d39822
https://app.any.run/tasks/e78ce229-2ae7-43ee-8ff2-63323415ab08


不正送金マルウェアのursnifです。


感染後の動きは12/11のものと同様です。

■通信先
まず、以下のURLへ接続し、torのモジュールをダウンロードしようとします。
hxxp://185.82.216[.]62/images/1.png
※32bit環境で動作すると1.pngを、64bit環境で動作すると2.pngをダウンロードします。
実際には、上記URLが稼動していないため、接続失敗となっています。

また、以下のファイルをダウンロードします。これは正規のテキストファイルです。
hxxp://www.apache.org/licenses/LICENSE-2.0.txt
このファイルに含まれる文字列からC2のURLを自動生成します。これはDGA(Domain Generation Algorithm)と呼ばれる手法です。

実際に使われているC2は以下になります。
hxxp://grantingcopyrighttheca[.]online

IPアドレスは複数が紐付いています。
https://www.virustotal.com/#/domain/grantingcopyrighttheca.online

 

以上です。


IoC
●URL
hxxp://tr.kiraneproject[.]com
hxxp://iu.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://tr.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://efg.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://ngf.kiraneproject[.]com
hxxp://re.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://efb.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://iu.ffoc[.]net
hxxp://tr.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://re.ffoc[.]net
hxxp://nnmj.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://rth.anchorartists[.]com
hxxp://efg.anchorartists[.]com
hxxp://efb.anchorartists[.]com
hxxp://re.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://iu.anchorartists[.]com
hxxp://eu.anchorartists[.]com
hxxp://fgyt.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com
hxxp://ktr.kiraneproject[.]com/pohaq/info.ps1
hxxp://ktr.kiraneproject[.]com/pohaq/fit.txt
hxxp://185.82.216[.]62/images/1.png
hxxp://grantingcopyrighttheca[.]online
IPアドレス
IP: 195.123.233[.]150
●Hash(SHA256)
7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815
0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85
●Mail sender
rakuten_order[@]applecare.joshshadid.com
rakuten_order[@]applecustomer.cncntrte.com
rakuten_order[@]applecustomer.joshshadid.com
rakuten_order[@]applecustomer.shadidphotography.com
rakuten_order[@]applecustomer.themodernvillas.com
rakuten_order[@]appleonlinesupport.cncntrte.com
rakuten_order[@]appleonlinesupport.shadidphotography.com
rakuten_order[@]appleonlinesupport.themodernvillas.com
rakuten_order[@]applesupport.cncntrte.com
rakuten_order[@]applesupport.joshshadid.com
rakuten_order[@]applesupport.shadidphotography.com
rakuten_order[@]secureonline.cncntrte.com
rakuten_order[@]secureonline.joshshadid.com
rakuten_order[@]secureonline.shadidphotography.com
rakuten_order[@]secureonline.themodernvillas.com
rakuten_order[@]supportapple.shadidphotography.com
rakuten_order[@]supportapple.themodernvillas.com
rakuten_order[@]supportappleonline.joshshadid.com
rakuten_order[@]supportappleonline.themodernvillas.com

 

2018/12/11(火)『【楽天市場】注文内容ご確認(自動配信メール)』の調査

7/25以来ですが、不正送金マルウェアへの感染を狙った、楽天をかたる不審メールのばらまきがありました。
メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。ダウンロードされたファイルは実行しないようにご注意ください。

 

■日時
2018/12/11(火) 15:30頃 ~ 19:40頃

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者

rakuten_order[@]applecare.joshshadid.com
rakuten_order[@]applecustomer.cncntrte.com
rakuten_order[@]applecustomer.joshshadid.com
rakuten_order[@]applecustomer.shadidphotography.com
rakuten_order[@]applecustomer.themodernvillas.com
rakuten_order[@]appleonlinesupport.cncntrte.com
rakuten_order[@]appleonlinesupport.shadidphotography.com
rakuten_order[@]appleonlinesupport.themodernvillas.com
rakuten_order[@]applesupport.cncntrte.com
rakuten_order[@]applesupport.joshshadid.com
rakuten_order[@]applesupport.shadidphotography.com
rakuten_order[@]secureonline.cncntrte.com
rakuten_order[@]secureonline.joshshadid.com
rakuten_order[@]secureonline.shadidphotography.com
rakuten_order[@]secureonline.themodernvillas.com
rakuten_order[@]supportapple.shadidphotography.com
rakuten_order[@]supportapple.themodernvillas.com
rakuten_order[@]supportappleonline.joshshadid.com
rakuten_order[@]supportappleonline.themodernvillas.com

■本文(例)

f:id:bomccss:20181214112107p:plain

メール内のリンク(どこでも)は以下になります。

メール内リンク先URL
全て以下IPに紐付くドメインです。
IP: 195.123.217[.]77
https://www.virustotal.com/#/ip-address/195.123.217.77

hxxp://ktr.shadidphotography[.]com
hxxp://iu.shadidphotography[.]com
hxxp://eu.shadidphotography[.]com
hxxp://rth.shadidphotography[.]com
hxxp://yu.shadidphotography[.]com
hxxp://fgyt.shadidphotography[.]com
hxxp://efg.shadidphotography[.]com
hxxp://efb.shadidphotography[.]com
hxxp://uyj.joshshadid[.]com
hxxp://re.joshshadid[.]com
hxxp://ytu.joshshadid[.]com
hxxp://efb.joshshadid[.]com
hxxp://efg.joshshadid[.]com
hxxp://ktr.joshshadid[.]com
hxxp://iu.joshshadid[.]com
hxxp://nnmj.joshshadid[.]com
hxxp://re.cncntrte[.]com
hxxp://efb.cncntrte[.]com
hxxp://nnmj.cncntrte[.]com
hxxp://rth.cncntrte[.]com
hxxp://tr.cncntrte[.]com
hxxp://iu.cncntrte[.]com
hxxp://eu.cncntrte[.]com
hxxp://fgyt.cncntrte[.]com
hxxp://efg.cncntrte[.]com
hxxp://tr.themodernvillas[.]com
hxxp://ktr.themodernvillas[.]com
hxxp://fgyt.themodernvillas[.]com
hxxp://ytu.themodernvillas[.]com
hxxp://eu.themodernvillas[.]com
hxxp://uyj.themodernvillas[.]com
hxxp://rth.themodernvillas[.]com
hxxp://efb.themodernvillas[.]com
hxxp://re.themodernvillas[.]com
hxxp://re.joshuashadid[.]com
hxxp://ngf.joshuashadid[.]com
hxxp://uyj.joshuashadid[.]com
hxxp://tr.joshuashadid[.]com
hxxp://nnmj.joshuashadid[.]com
hxxp://rth.joshuashadid[.]com
hxxp://yu.joshuashadid[.]com
hxxp://ytu.joshuashadid[.]com
hxxp://eu.joshuashadid[.]com
hxxp://efb.joshuashadid[.]com
hxxp://iu.joshuashadid[.]com
hxxp://ktr.sxkoparty[.]com
hxxp://fgyt.sxkoparty[.]com
hxxp://ytu.sxkoparty[.]com
hxxp://uyj.sxkoparty[.]com
hxxp://nnmj.sxkoparty[.]com
hxxp://yu.sxkoparty[.]com
hxxp://ngf.sxkoparty[.]com
hxxp://rth.sxkoparty[.]com
hxxp://iu.sxkoparty[.]com
hxxp://ytu.ghostzerofilms[.]com
hxxp://efg.ghostzerofilms[.]com
hxxp://rth.ghostzerofilms[.]com
hxxp://efb.ghostzerofilms[.]com
hxxp://fgyt.ghostzerofilms[.]com
hxxp://yu.ghostzerofilms[.]com
hxxp://ktr.ghostzerofilms[.]com
hxxp://uyj.ghostzerofilms[.]com
hxxp://tr.ghostzerofilms[.]com
hxxp://yu.ghostzero[.]tv
hxxp://uyj.ghostzero[.]tv
hxxp://efg.ghostzero[.]tv
hxxp://nnmj.ghostzero[.]tv
hxxp://ytu.ghostzero[.]tv
hxxp://rth.ghostzero[.]tv
hxxp://eu.ghostzero[.]tv
hxxp://efb.ghostzero[.]tv
hxxp://yu.ghostzero[.]la
hxxp://tr.ghostzero[.]la
hxxp://nnmj.ghostzero[.]la
hxxp://re.ghostzero[.]la
hxxp://rth.ghostzero[.]la
hxxp://efb.ghostzero[.]la
hxxp://uyj.ghostzero[.]la
hxxp://ytu.ghostzero[.]la
hxxp://iu.ghostzero[.]la
hxxp://ktr.astronauthigh[.]com
hxxp://fgyt.astronauthigh[.]com
hxxp://nnmj.astronauthigh[.]com
hxxp://eu.astronauthigh[.]com
hxxp://rth.astronauthigh[.]com
hxxp://efb.astronauthigh[.]com
hxxp://yu.astronauthigh[.]com
hxxp://tr.astronauthigh[.]com
hxxp://re.astronauthigh[.]com
hxxp://ngf.astronautgreen[.]com
hxxp://nnmj.astronautgreen[.]com
hxxp://iu.astronautgreen[.]com
hxxp://efb.astronautgreen[.]com
hxxp://eu.astronautgreen[.]com
hxxp://re.astronautgreen[.]com
hxxp://fgyt.astronautgreen[.]com
hxxp://ktr.astronautgreen[.]com

■リンクからダウンロードされるファイル(ダウンローダ
上記ドメインへアクセスすると、下記ファイルへリダイレクトされダウンロードされます。
注文内容ご確認.PDF.js
SHA256: a606892ad38faa5c4f3810dd52a5282a873cbe8a0993a8530e28ea1065b1a584
 

https://www.virustotal.com/#/file/a606892ad38faa5c4f3810dd52a5282a873cbe8a0993a8530e28ea1065b1a584/detection
https://www.hybrid-analysis.com/sample/a606892ad38faa5c4f3810dd52a5282a873cbe8a0993a8530e28ea1065b1a584?environmentId=100
https://app.any.run/tasks/5bce5f7c-c1bd-4db9-bdcd-12487c27dfb8

SHA256: e828d07247267fca9d80000fa29cba7d7d7d29e0aaad1cb9c70455825de2ad7c
https://www.hybrid-analysis.com/sample/e828d07247267fca9d80000fa29cba7d7d7d29e0aaad1cb9c70455825de2ad7c/5c0f67ff7ca3e105b55dd93d
https://app.any.run/tasks/0329e2d1-83eb-4afb-9d43-8c2345b6eb5f
Chrome等でアクセスすると上記ファイルが、IEでアクセスするとzipファイル形式でダウンロードされます。
このファイルを実行してしまうと、マルウェアに感染してしまいます。

実行するとPowerShellが起動され、以下のコマンドによりマルウェアを取得します。

f:id:bomccss:20181214121018p:plain

■ダウンロードファイル
以下よりダウンロード、感染されるのは不正送金マルウェアのursnifです。
hxxp://fgyt.shadidphotography[.]com/789234.bin
IP: 195.123.217[.]77
SHA256: 4ddd8aef0e491daf102190488ab8004afc297169bb69fd40cbaa46b25f8390a6
https://www.virustotal.com/#/file/4ddd8aef0e491daf102190488ab8004afc297169bb69fd40cbaa46b25f8390a6/detection
https://www.hybrid-analysis.com/sample/4ddd8aef0e491daf102190488ab8004afc297169bb69fd40cbaa46b25f8390a6/5c0f69e97ca3e10dfd0fec44
https://app.any.run/tasks/55a5ca8c-729b-4cf2-8754-d50fcc2ca455

■通信先
まず、以下のURLへ接続し、torのモジュールをダウンロードしようとします。
hxxp://185.82.216[.]62/images/1.png
※32bit環境で動作すると1.pngを、64bit環境で動作すると2.pngをダウンロードします。
実際には、上記URLが稼動していないため、接続失敗となっています。

また、以下のファイルをダウンロードします。これは正規のテキストファイルです。
hxxp://www.apache.org/licenses/LICENSE-2.0.txt
このファイルに含まれる文字列からC2のURLを自動生成します。これはDGA(Domain Generation Algorithm)と呼ばれる手法です。

実際に使われているC2は以下になります。
hxxp://grantingcopyrighttheca[.]online
IPアドレスは複数が紐付いています。
https://www.virustotal.com/#/domain/grantingcopyrighttheca.online

通信先をまとめると以下のようになります。
f:id:bomccss:20181214124449p:plain

マルウェアの動き

f:id:bomccss:20181214131106p:plain

ursnifは実行されるとcontrl.exe→rundll32.exe-→explorer.exeとインジェクションします。その後、以下のようなコマンドを実行します。

cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\user-name\AppData\Local\Temp\1D7C.bi1"
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\1D7C.bi1"
"C:\Windows\syswow64\cmd.exe" /C pause mail
cmd /C "systeminfo.exe > C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
"C:\Windows\syswow64\cmd.exe" /C pause mail
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "net view >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "nslookup 127.0.0.1 >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "tasklist.exe /SVC >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "driverquery.exe >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "reg.exe query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /s >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /C "echo -------- >> C:\Users\user-name\AppData\Local\Temp\3A65.bin1"
cmd /U /C "type C:\Users\user-name\AppData\Local\Temp\3A65.bin1 > C:\Users\user-name\AppData\Local\Temp\3A65.bin & del C:\Users\user-name\AppData\Local\Temp\3A65.bin1"

マルウェア自動起動設定
マルウェアは以下のレジストリキーにログイン時の自動起動設定によって永続化されています。
なお、マルウェアが格納されるMicrosoft配下のパスやファイル名は動作する環境により変化します。
HKUC\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"dot3over"="C:\\Users\\user-name\\AppData\\Roaming\\Microsoft\\AltTudit\\asfe32gt.exe"
f:id:bomccss:20181214131656p:plain

マルウェアを無害化するには、レジストリ内の自動起動の設定を削除した上でPCの再起動(またはexploler.exeの再起動)が必要になります。

マルウェアの設定
マルウェアの設定は以下のレジストリキー配下に格納されます。
HKUC\Software\AppDataLow\Software\Microsoft\
f:id:bomccss:20181214132315p:plain

マルウェア感染時のサイトアクセス
マルウェア感染中に銀行やカードのサイトを訪れると、以下のように表示されます。

・JC3感染チェックサイト
感染していると赤×が表示されます。
f:id:bomccss:20181214132826p:plain

三井住友銀行 SMBCダイレクトログイン画面
幾つか試しにアクセスした銀行の中で、この銀行だけログイン画面にアクセスすると、ウイルス感染を検知してブロックされるようです。
f:id:bomccss:20181214132902p:plain

楽天カード
ログインを実行すると、新たなポップアップが出てきますが、これはカード情報を取得しようとするフィッシング画面です。
間違っても情報を入力してはいけません。
f:id:bomccss:20181214133152p:plain

・TS CUBIC Card
同様のフィッシング画面です。
f:id:bomccss:20181214133318p:plain

・Oricoカード
同様のフィッシング画面です。
f:id:bomccss:20181214133423p:plain

MUFGカード
同様のフィッシング画面です。
f:id:bomccss:20181214133538p:plain


以上です。

 

IOC
●URL
hxxp://ktr.shadidphotography[.]com
hxxp://iu.shadidphotography[.]com
hxxp://eu.shadidphotography[.]com
hxxp://rth.shadidphotography[.]com
hxxp://yu.shadidphotography[.]com
hxxp://fgyt.shadidphotography[.]com
hxxp://efg.shadidphotography[.]com
hxxp://efb.shadidphotography[.]com
hxxp://uyj.joshshadid[.]com
hxxp://re.joshshadid[.]com
hxxp://ytu.joshshadid[.]com
hxxp://efb.joshshadid[.]com
hxxp://efg.joshshadid[.]com
hxxp://ktr.joshshadid[.]com
hxxp://iu.joshshadid[.]com
hxxp://nnmj.joshshadid[.]com
hxxp://re.cncntrte[.]com
hxxp://efb.cncntrte[.]com
hxxp://nnmj.cncntrte[.]com
hxxp://rth.cncntrte[.]com
hxxp://tr.cncntrte[.]com
hxxp://iu.cncntrte[.]com
hxxp://eu.cncntrte[.]com
hxxp://fgyt.cncntrte[.]com
hxxp://efg.cncntrte[.]com
hxxp://tr.themodernvillas[.]com
hxxp://ktr.themodernvillas[.]com
hxxp://fgyt.themodernvillas[.]com
hxxp://ytu.themodernvillas[.]com
hxxp://eu.themodernvillas[.]com
hxxp://uyj.themodernvillas[.]com
hxxp://rth.themodernvillas[.]com
hxxp://efb.themodernvillas[.]com
hxxp://re.themodernvillas[.]com
hxxp://re.joshuashadid[.]com
hxxp://ngf.joshuashadid[.]com
hxxp://uyj.joshuashadid[.]com
hxxp://tr.joshuashadid[.]com
hxxp://nnmj.joshuashadid[.]com
hxxp://rth.joshuashadid[.]com
hxxp://yu.joshuashadid[.]com
hxxp://ytu.joshuashadid[.]com
hxxp://eu.joshuashadid[.]com
hxxp://efb.joshuashadid[.]com
hxxp://iu.joshuashadid[.]com
hxxp://ktr.sxkoparty[.]com
hxxp://fgyt.sxkoparty[.]com
hxxp://ytu.sxkoparty[.]com
hxxp://uyj.sxkoparty[.]com
hxxp://nnmj.sxkoparty[.]com
hxxp://yu.sxkoparty[.]com
hxxp://ngf.sxkoparty[.]com
hxxp://rth.sxkoparty[.]com
hxxp://iu.sxkoparty[.]com
hxxp://ytu.ghostzerofilms[.]com
hxxp://efg.ghostzerofilms[.]com
hxxp://rth.ghostzerofilms[.]com
hxxp://efb.ghostzerofilms[.]com
hxxp://fgyt.ghostzerofilms[.]com
hxxp://yu.ghostzerofilms[.]com
hxxp://ktr.ghostzerofilms[.]com
hxxp://uyj.ghostzerofilms[.]com
hxxp://tr.ghostzerofilms[.]com
hxxp://yu.ghostzero[.]tv
hxxp://uyj.ghostzero[.]tv
hxxp://efg.ghostzero[.]tv
hxxp://nnmj.ghostzero[.]tv
hxxp://ytu.ghostzero[.]tv
hxxp://rth.ghostzero[.]tv
hxxp://eu.ghostzero[.]tv
hxxp://efb.ghostzero[.]tv
hxxp://yu.ghostzero[.]la
hxxp://tr.ghostzero[.]la
hxxp://nnmj.ghostzero[.]la
hxxp://re.ghostzero[.]la
hxxp://rth.ghostzero[.]la
hxxp://efb.ghostzero[.]la
hxxp://uyj.ghostzero[.]la
hxxp://ytu.ghostzero[.]la
hxxp://iu.ghostzero[.]la
hxxp://ktr.astronauthigh[.]com
hxxp://fgyt.astronauthigh[.]com
hxxp://nnmj.astronauthigh[.]com
hxxp://eu.astronauthigh[.]com
hxxp://rth.astronauthigh[.]com
hxxp://efb.astronauthigh[.]com
hxxp://yu.astronauthigh[.]com
hxxp://tr.astronauthigh[.]com
hxxp://re.astronauthigh[.]com
hxxp://ngf.astronautgreen[.]com
hxxp://nnmj.astronautgreen[.]com
hxxp://iu.astronautgreen[.]com
hxxp://efb.astronautgreen[.]com
hxxp://eu.astronautgreen[.]com
hxxp://re.astronautgreen[.]com
hxxp://fgyt.astronautgreen[.]com
hxxp://ktr.astronautgreen[.]com
hxxp://fgyt.shadidphotography[.]com/789234.bin
hxxp://185.82.216[.]62/images/1.png
hxxp://www.apache.org/licenses/LICENSE-2.0.txt
hxxp://grantingcopyrighttheca[.]online
IPアドレス
195.123.217[.]77
●HASH(SHA256)
a606892ad38faa5c4f3810dd52a5282a873cbe8a0993a8530e28ea1065b1a584
e828d07247267fca9d80000fa29cba7d7d7d29e0aaad1cb9c70455825de2ad7c
4ddd8aef0e491daf102190488ab8004afc297169bb69fd40cbaa46b25f8390a6
●Mail sender
rakuten_order[@]applecare.joshshadid.com
rakuten_order[@]applecustomer.cncntrte.com
rakuten_order[@]applecustomer.joshshadid.com
rakuten_order[@]applecustomer.shadidphotography.com
rakuten_order[@]applecustomer.themodernvillas.com
rakuten_order[@]appleonlinesupport.cncntrte.com
rakuten_order[@]appleonlinesupport.shadidphotography.com
rakuten_order[@]appleonlinesupport.themodernvillas.com
rakuten_order[@]applesupport.cncntrte.com
rakuten_order[@]applesupport.joshshadid.com
rakuten_order[@]applesupport.shadidphotography.com
rakuten_order[@]secureonline.cncntrte.com
rakuten_order[@]secureonline.joshshadid.com
rakuten_order[@]secureonline.shadidphotography.com
rakuten_order[@]secureonline.themodernvillas.com
rakuten_order[@]supportapple.shadidphotography.com
rakuten_order[@]supportapple.themodernvillas.com
rakuten_order[@]supportappleonline.joshshadid.com
rakuten_order[@]supportappleonline.themodernvillas.com