2018/04/28 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
なんと、過去最長の5日連続にして土曜日の不審メールのばらまきです。
なお、今回も前日と同様にコンテンツが準備されておらず、メール内のリンクをクリックしても実害はありません。
■日時
2018/04/28 14:50 - 17:50 頃
※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)-4/27(金)のものと同様です。
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■送信者
order[@]rakuten[.]co.jp
■本文
※お店の名前や注文番号は複数種類パターンがあります
■メール内リンク誘導先
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/
これらのドメインは全てIPが176.223.165[.]111に作成されています。このIPは4/19(木),20(金),24(火),27(金)でも使用されていたIPになります。
https://www.virustotal.com/#/ip-address/176.223.165.111
アクセスしてもページには以下のように表示されるのみで、マルウェアがダウンロードされることはありませんでした。
前日同様、今回の不審メールの送信の意図は不明です。
■IoC
○URL
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/
○IP
176.223.165[.]111
2018/04/27 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
4日連続で同一の不審メールのばらまきがありました。
しかし、この日はメール中のリンクをクリックしてもコンテンツが準備されておらず、実害の出るものではありませんでした。
■日時
2018/04/27(金) 8:00 - 10:20 頃
過去最早の時間帯での送信ですが、件数は少数で、同一件名で過去最大規模だった前日4/26(木)の1/20程度、4/24(火)の1/4程度です。
※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)-4/26(木)のものと同様です。
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■送信者
order[@]rakuten[.]co.jp
■本文
※お店の名前や注文番号は複数種類あり
■メール内リンク誘導先
hxxp://an.zippi-pets[.]com/
hxxp://aw.dartzoneblasters[.]com/
hxxp://fm.dd-mc[.]com/
hxxp://ml.zippi-pets[.]com/
hxxp://pw.hurricanewaterballs[.]com/
これらのドメインは全てIPが176.223.165[.]111に作成されています。このIPは4/19(木),20(金),24(火)でも使用されていたIPになります。
https://www.virustotal.com/#/ip-address/176.223.165.111
アクセスしてもページには以下のように表示されるのみで、マルウェアがダウンロードされることはありませんでした。
今回の不審メールの送信の意図は不明です。
■IoC
○URL
hxxp://an.zippi-pets[.]com/
hxxp://aw.dartzoneblasters[.]com/
hxxp://fm.dd-mc[.]com/
hxxp://ml.zippi-pets[.]com/
hxxp://pw.hurricanewaterballs[.]com/
○IP
176.223.165[.]111
2018/04/26 『8月、原価請求書です。』の調査
主に4/26(木)に添付ファイル付の #不審メール のばらまきがありました。
4月に「8月、原価請求書です。」という件名で送られてきていますが、これは昨年9月にばらまきがあったものと同様の件名・本文と思われます。
なお、ダウンローダのリンク先に不備があり、万一開いてもマルウェアに感染する恐れはありません。
■日時
4/25(水)14:30頃 、4/26(木) 2:10頃、9:10-10:10頃
4/25のものはごく小数ですが、4/26の朝のものは4/24(火)の添付ファイル付の不審メールと同程度の規模でした。
■件名
8月、原価請求書です。
■送信者
maeda[@]admac[.]co[.]jp
■添付ファイル
原価請求書です{{_6digit}}.docx
※ファイル中にjs形式のダウンローダが含まれています。
■添付ファイルの挙動
Wordファイルはこのようになっています。
ダブルクリックすると、以下のポップアップが出ます。
これを実行すると、以下へ通信が発生します。
hxxps://aedwards[.]co/wp-includes/IXR/get.php
なお、今回は実際にはエラー応答となり、マルウェア本体がダウンロードされることはありませんでした。
これをプロセスツリーで見ると、以下になります。
Wordファイルを開く以降のコマンドを抜粋すると、以下となります。
■IoC
○URL
hxxps://aedwards[.]co/wp-includes/IXR/get.php
○Hash(SHA256)
40c8f6c67427e86b5f1e93923bb6f0ea3fe4a378c4a6be4287fc09bf536c5e97