bomb_log

セキュリティに関するbom

2018/04/28 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

なんと、過去最長の5日連続にして土曜日の不審メールのばらまきです。
なお、今回も前日と同様にコンテンツが準備されておらず、メール内のリンクをクリックしても実害はありません。

■日時
2018/04/28 14:50 - 17:50 頃

※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)-4/27(金)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain

※お店の名前や注文番号は複数種類パターンがあります

■メール内リンク誘導先
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/

これらのドメインは全てIPが176.223.165[.]111に作成されています。このIPは4/19(木),20(金),24(火),27(金)でも使用されていたIPになります。
https://www.virustotal.com/#/ip-address/176.223.165.111

アクセスしてもページには以下のように表示されるのみで、マルウェアがダウンロードされることはありませんでした。

f:id:bomccss:20180430092802p:plain
前日同様、今回の不審メールの送信の意図は不明です。


IoC

○URL
hxxp://ar.mixologypost[.]com/
hxxp://me.theoriginalmaxliquidator[.]com/
hxxp://mg.tidalstormwaterblasters[.]com/
hxxp://rw.maxliquidator[.]net/
hxxp://sj.saveourchildreninc[.]org/
hxxp://sv.tidalstormwaterblasters[.]com/

○IP
176.223.165[.]111

 

2018/04/27 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

4日連続で同一の不審メールのばらまきがありました。
しかし、この日はメール中のリンクをクリックしてもコンテンツが準備されておらず、実害の出るものではありませんでした。

■日時
2018/04/27(金) 8:00 - 10:20 頃
過去最早の時間帯での送信ですが、件数は少数で、同一件名で過去最大規模だった前日4/26(木)の1/20程度、4/24(火)の1/4程度です。

※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)-4/26(木)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain

 

※お店の名前や注文番号は複数種類あり

■メール内リンク誘導先
hxxp://an.zippi-pets[.]com/
hxxp://aw.dartzoneblasters[.]com/
hxxp://fm.dd-mc[.]com/
hxxp://ml.zippi-pets[.]com/
hxxp://pw.hurricanewaterballs[.]com/
これらのドメインは全てIPが176.223.165[.]111に作成されています。このIPは4/19(木),20(金),24(火)でも使用されていたIPになります。
https://www.virustotal.com/#/ip-address/176.223.165.111

アクセスしてもページには以下のように表示されるのみで、マルウェアがダウンロードされることはありませんでした。

f:id:bomccss:20180430091341p:plain
今回の不審メールの送信の意図は不明です。


IoC

○URL
hxxp://an.zippi-pets[.]com/
hxxp://aw.dartzoneblasters[.]com/
hxxp://fm.dd-mc[.]com/
hxxp://ml.zippi-pets[.]com/
hxxp://pw.hurricanewaterballs[.]com/

○IP
176.223.165[.]111

 

2018/04/26 『8月、原価請求書です。』の調査

主に4/26(木)に添付ファイル付の #不審メール のばらまきがありました。
4月に「8月、原価請求書です。」という件名で送られてきていますが、これは昨年9月にばらまきがあったものと同様の件名・本文と思われます。
なお、ダウンローダのリンク先に不備があり、万一開いてもマルウェアに感染する恐れはありません。

■日時
4/25(水)14:30頃 、4/26(木) 2:10頃、9:10-10:10頃
4/25のものはごく小数ですが、4/26の朝のものは4/24(火)の添付ファイル付の不審メールと同程度の規模でした。

■件名
8月、原価請求書です。

■送信者
maeda[@]admac[.]co[.]jp

■添付ファイル
原価請求書です{{_6digit}}.docx
※ファイル中にjs形式のダウンローダが含まれています。

https://www.hybrid-analysis.com/sample/40c8f6c67427e86b5f1e93923bb6f0ea3fe4a378c4a6be4287fc09bf536c5e97

■添付ファイルの挙動
Wordファイルはこのようになっています。

f:id:bomccss:20180430004638p:plain
ダブルクリックすると、以下のポップアップが出ます。

f:id:bomccss:20180430004726p:plain
これを実行すると、以下へ通信が発生します。
hxxps://aedwards[.]co/wp-includes/IXR/get.php
なお、今回は実際にはエラー応答となり、マルウェア本体がダウンロードされることはありませんでした。

これをプロセスツリーで見ると、以下になります。

f:id:bomccss:20180430005209p:plain
Wordファイルを開く以降のコマンドを抜粋すると、以下となります。

f:id:bomccss:20180430005304p:plain

IoC

○URL
hxxps://aedwards[.]co/wp-includes/IXR/get.php

○Hash(SHA256)
40c8f6c67427e86b5f1e93923bb6f0ea3fe4a378c4a6be4287fc09bf536c5e97