bomb_log

セキュリティに関するbom

2018/05/09 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

5/8(火)に引き続き、5/9(水)にも不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。
通常の1.5倍程度のばらまき量で少し多いかな、という程度でした。

■日時
2018/05/09(水) 14:06 - 22:28

※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金),5/8(火)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain※お店の名前や注文番号は複数種類あり

■メール内リンク先URL
hxxp://af.hkpmc[.]org/
hxxp://ba.xtii[.]co/
hxxp://bi.andrewkmacy[.]com/
hxxp://co.smorecreative[.]com/
hxxp://dk.hept[.]org/
hxxp://eg.xynntii[.]biz/
hxxp://fo.smorecr8v[.]com/
hxxp://gr.xynntii[.]net/
hxxp://ky.xtii[.]co/
hxxp://ma.good4health[.]ca/
hxxp://ml.xynntii[.]biz/
hxxp://mw.andrewkmacy[.]com/
hxxp://mx.tiffanyisrael[.]com/
hxxp://sn.hkpmc[.]org/
hxxp://tg.macywoodworks[.]com/
hxxp://ua.xynntii[.]com/
hxxp://uy.xynntii[.]info/
hxxp://zw.crinkledscarf[.]com/
複数ありますが、4/19(木)、4/25(水)、4/26(木)、5/8(火)と同様、以下に解決されます。
IP: 66.70.246[.]3
https://www.virustotal.com/#/ip-address/66.70.246.3

■ダウンロードファイル
リンクをクリックすると、以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
※ブラウザがIEの場合は「もっと詳しくの情報はこちら.zip」になりますが、zipファイルの中のファイルは同一のものです。
https://www.hybrid-analysis.com/sample/544200d337279c8a01005a8b14aa8d45086e6c763f779d4dcc3cc3fb0ccd2430?environmentId=100
ダウンローダマルウェアです。

マルウェア本体ダウンロード先URL
ダウンローダマルウェアを実行すると、以下から本命と思われる不正送金マルウェアを取得します。
hxxp://im[.]gumpany[.]com/101010.bin
このドメインダウンローダマルウェアと同じく以下のIPに解決されます。
IP: 66.70.246[.]3

マルウェア本体(ursnif)
101010.bin
https://www.hybrid-analysis.com/sample/68766bc7b41f44c239c96ff42a09125f668b8e94dcd8a2c48db06496ac7eb03b?environmentId=100
https://cape.contextis.com/analysis/8469/
不正送金マルウェアのursnifです。
実行後はC:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
前日の検体から、control.exeにインジェクションした後run32dll.exeを起動し、恐らくはその先で最終的にexploloer.exeにインジェクションします。
マルウェアの動きを止めるには、ログイン時の自動実行を停止させることと、インジェクションしているexplorerを停止させることが必要になります。

■C2
これまで変更されてこなかったC2が、今回変更されています。
以下のC2へ定期的にアクセスが発生します。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
定期的な通信はGETメソッドで行われますが、キーロガー等で搾取された情報をC2に送信する場合にはPOSTメソッドで行われます。

また、実行後一度だけアクセスするURLも今回変更されています。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
32bit版OSで実行した場合には1.pngへアクセスします。
torを使うためのdllのようですが、感染時の通信では403でアクセス出来ずダウンロードされていませんでした。

■通信
発生した通信をまとめたものがこちらです。

f:id:bomccss:20180513171250p:plain

IoC
○URL
hxxp://af.hkpmc[.]org/
hxxp://ba.xtii[.]co/
hxxp://bi.andrewkmacy[.]com/
hxxp://co.smorecreative[.]com/
hxxp://dk.hept[.]org/
hxxp://eg.xynntii[.]biz/
hxxp://fo.smorecr8v[.]com/
hxxp://gr.xynntii[.]net/
hxxp://ky.xtii[.]co/
hxxp://ma.good4health[.]ca/
hxxp://ml.xynntii[.]biz/
hxxp://mw.andrewkmacy[.]com/
hxxp://mx.tiffanyisrael[.]com/
hxxp://sn.hkpmc[.]org/
hxxp://tg.macywoodworks[.]com/
hxxp://ua.xynntii[.]com/
hxxp://uy.xynntii[.]info/
hxxp://zw.crinkledscarf[.]com/
hxxp://im[.]gumpany[.]com/101010.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club/

○IP
66.70.246[.]3
89.33.64[.]57
95.213.237[.]203

○HASH(SHA256)
544200d337279c8a01005a8b14aa8d45086e6c763f779d4dcc3cc3fb0ccd2430
68766bc7b41f44c239c96ff42a09125f668b8e94dcd8a2c48db06496ac7eb03b

 

2018/05/08 『指定請求書』『注文書、請書及び請求書のご送付』の調査

5/8(火)にメールのExcel添付ファイルを用いて不正送金マルウェアursnifの感染を狙った不審メールのばらまきもありました。
4/24(水)に同件名で発生したばらまきと同程度の配信量でした。
なお、今回は検体を取得しておらず、動的解析は実施していません。

■日時
2018/05/08(火) 15:25 - 21:05 頃

■件名
以下の12の件名は本文、添付ファイルのパターンが同一でした。
指定請求書
-指定請求書
Fw:指定請求書
Fwd:指定請求書
RE:指定請求書
Re:指定請求書
注文書、請書及び請求書のご送付
-注文書、請書及び請求書のご送付
Fw:注文書、請書及び請求書のご送付
Fwd:注文書、請書及び請求書のご送付
RE:注文書、請書及び請求書のご送付
Re:注文書、請書及び請求書のご送付

■本文
以下の内容に添付ファイルが付きます。

f:id:bomccss:20180513030228p:plain

■添付ファイル
添付ファイル名は以下を確認しています。途中でパターンが変更されました。
nnn.8.5.(n).xls
8.5.-nnn.(n).xls
※nは数字

添付ファイルのハッシュ値にも幾つかのパターンがあるようです。
https://www.hybrid-analysis.com/sample/30b386fe4535f85d244860f473eb2d0eff9079ad5dd43a210e55204d05adae96?environmentId=100
https://www.hybrid-analysis.com/sample/ac81ec77b9d67db7a62c5c4a4b9eeecd2c2bbddfc90719a52c6f41a4e1ddb645/5af173b77ca3e1769e26f18a

■ダウンロード先URL
添付ファイルを開き、マクロを実行させると、以下へ接続しマルウェアを取得します。
hxxp://mokerton[.]com/syope
IPはタイミングにより幾つかのパターンがあったようです。
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65

マルウェア一次検体(ダウンローダ/bebloh)
マクロによりダウンロードされるマルウェアダウンローダマルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/9640cd20ae7c659a4d47fe949088eac3869d3ce2dc6d52959fadd45616818b54?environmentId=100

マルウェア二次検体(不正送金マルウェア/ursnif)
beblohが更に別の不正送金マルウェアのursnifを以下よりダウンロードします。
hxxp://doctor-rich[.]com/rstu_v1.exe
IP: 162.210.102[.]43
https://www.virustotal.com/#/file/5218b9083ec544808c0c22404ee8b27d0a36cb97c1ec340fa81549bb167ddd2b/detection
https://www.hybrid-analysis.com/sample/5218b9083ec544808c0c22404ee8b27d0a36cb97c1ec340fa81549bb167ddd2b

IoC
●URL
hxxp://mokerton[.]com/syope
hxxp://doctor-rich[.]com/rstu_v1.exe

●IP
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65
162.210.102[.]43

●HASH(SHA256)
9640cd20ae7c659a4d47fe949088eac3869d3ce2dc6d52959fadd45616818b54
5218b9083ec544808c0c22404ee8b27d0a36cb97c1ec340fa81549bb167ddd2b

2018/05/08 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

5/8に不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。
昼過ぎから送信があり、遅いものは翌日深夜まで送信されていたものがありました。
これまであった同件名のばらまきの中では、一般的な時の倍くらいの量でした。

■日時
2018/05/08(火) 14:50 - 2018/05/09(水) 4:35頃

※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain

※お店の名前や注文番号は複数種類あり

■件名
楽天市場】注文内容ご確認(自動配信メール)

■メール内リンク先URL
hxxp://am.dogethereum[.]com/
hxxp://au.sparqed[.]com/
hxxp://ax.puzzlepiecequiltshop[.]com/
hxxp://ba.puzzlepiecequilting[.]com/
hxxp://bd.puzzlepiecequiltshop[.]com/
hxxp://bf.thecodefactory-data[.]org/
hxxp://bi.altcoinlabs[.]com/
hxxp://cf.northnoble[.]com/
hxxp://ci.meandthemutant[.]com/
hxxp://cz.ketsubutsu[.]com/
hxxp://de.mariettaquilts[.]com/
hxxp://fm.mysteryharvestquiltshophop[.]com/
hxxp://gm.altcoinlabs[.]com/
hxxp://gr.altcoinlabs[.]com/
hxxp://gu.sparqed[.]com/
hxxp://hk.anonymouspics[.]com/
hxxp://ht.warinmysky[.]com/
hxxp://km.werkplezier[.]com/
hxxp://kz.saffaanahrietmeijer[.]nl/
hxxp://lb.thecodefactory[.]org/
hxxp://ly.mtfcenter[.]com/
hxxp://mk.puzzlepiecequilting[.]com/
hxxp://mm.northnoble[.]com/
hxxp://mq.mtfcenter[.]com/
hxxp://mr.amanirietmeijer[.]nl/
hxxp://mr.pocolo[.]co/
hxxp://nr.danieldicksonphd[.]com/
hxxp://pa.alishamillerphd[.]com/
hxxp://pa.neillandalisha[.]com/
hxxp://pm.anonymouspics[.]com/
hxxp://py.sparqed[.]com/
hxxp://rw.dogethereum[.]com/
hxxp://sd.jaysonmiller[.]com/
hxxp://sd.ketsubutsu[.]com/
hxxp://tf.alishamillerphd[.]com/
hxxp://tf.sparqed[.]com/
hxxp://tj.anonymouspics[.]com/
hxxp://tj.harmrietmeijer[.]nl/
hxxp://tj.irvanrietmeijer[.]nl/
hxxp://tm.dogethereum[.]org/
hxxp://tz.danieldicksonphd[.]com/
hxxp://vc.benzedrinerecords[.]com/
hxxp://ye.mariettafabrics[.]com/
hxxp://zm.dogethereum[.]org/
複数ありますが、4/19(木)、4/25(水)、4/26(木)と同様、66.70.246[.]3に解決されます。
https://www.virustotal.com/#/ip-address/66.70.246.3

■ダウンロードファイル
リンクをクリックすると、以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/5cb103c86193c8cd28526fd6483e30ffa39cef203f7b49d89a70c622a4307a81?environmentId=100
※ブラウザがIEの場合は「もっと詳しくの情報はこちら.zip」になりますが、zipファイルの中のファイルは上記と同一のものです。
ダウンローダマルウェアです。

マルウェア本体ダウンロード先URL
ダウンローダマルウェアを実行すると、以下へマルウェアを取得しに接続します。
hxxp://am.pierlab[.]com/00001[.]bin
このドメインダウンローダマルウェアと同じく以下のIPに解決されます。
66.70.246[.]3

マルウェア本体(ursnif)
00001.bin
https://www.hybrid-analysis.com/sample/c295c3dd6fa390805210f0117ee80f2912a5b097ede5f94d58c67e355b7e943a?environmentId=100
https://cape.contextis.com/analysis/8422/
このマルウェアは不正送金マルウェアのursnifです。
実行後はC:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
なお今回の検体から、直接explorer.exeにインジェクションするのではなく、まずはcontrol.exeにインジェクションするようになっています。
その後、どういう流れか把握は出来ていませんが、最終的にはexplorerにインジェクションします。

■C2
実行後、C2の以下へ定期的にアクセスが発生します。
hxxp://ao.shares2go.co.uk
IP: 89.33.64[.]57
定期的な通信はGETメソッドで行われますが、キーロガー等で搾取された情報をC2に送信する場合にはPOSTメソッドで行われます。

また、実行後一度だけ以下のURLへアクセスします。
hxxp://chklink.us/images/2.png
IP: 45.113.71[.]16
なお、32bit版OSで実行した場合には1.pngへアクセスします。
torを使うためのdllのようですが、感染時の通信では403でアクセス出来ずダウンロードされていませんでした。

■通信
通信をまとめたものはこちらです。

f:id:bomccss:20180513022542p:plain


IoC
●URL
hxxp://am.dogethereum[.]com/
hxxp://au.sparqed[.]com/
hxxp://ax.puzzlepiecequiltshop[.]com/
hxxp://ba.puzzlepiecequilting[.]com/
hxxp://bd.puzzlepiecequiltshop[.]com/
hxxp://bf.thecodefactory-data[.]org/
hxxp://bi.altcoinlabs[.]com/
hxxp://cf.northnoble[.]com/
hxxp://ci.meandthemutant[.]com/
hxxp://cz.ketsubutsu[.]com/
hxxp://de.mariettaquilts[.]com/
hxxp://fm.mysteryharvestquiltshophop[.]com/
hxxp://gm.altcoinlabs[.]com/
hxxp://gr.altcoinlabs[.]com/
hxxp://gu.sparqed[.]com/
hxxp://hk.anonymouspics[.]com/
hxxp://ht.warinmysky[.]com/
hxxp://km.werkplezier[.]com/
hxxp://kz.saffaanahrietmeijer[.]nl/
hxxp://lb.thecodefactory[.]org/
hxxp://ly.mtfcenter[.]com/
hxxp://mk.puzzlepiecequilting[.]com/
hxxp://mm.northnoble[.]com/
hxxp://mq.mtfcenter[.]com/
hxxp://mr.amanirietmeijer[.]nl/
hxxp://mr.pocolo[.]co/
hxxp://nr.danieldicksonphd[.]com/
hxxp://pa.alishamillerphd[.]com/
hxxp://pa.neillandalisha[.]com/
hxxp://pm.anonymouspics[.]com/
hxxp://py.sparqed[.]com/
hxxp://rw.dogethereum[.]com/
hxxp://sd.jaysonmiller[.]com/
hxxp://sd.ketsubutsu[.]com/
hxxp://tf.alishamillerphd[.]com/
hxxp://tf.sparqed[.]com/
hxxp://tj.anonymouspics[.]com/
hxxp://tj.harmrietmeijer[.]nl/
hxxp://tj.irvanrietmeijer[.]nl/
hxxp://tm.dogethereum[.]org/
hxxp://tz.danieldicksonphd[.]com/
hxxp://vc.benzedrinerecords[.]com/
hxxp://ye.mariettafabrics[.]com/
hxxp://zm.dogethereum[.]org/
hxxp://am.pierlab[.]com/00001[.]bin
hxxp://ao.shares2go.co.uk/
hxxp://chklink.us/

●IP
66.70.246[.]3
89.33.64[.]57
45.113.71[.]16

●HASH(SHA256)
5cb103c86193c8cd28526fd6483e30ffa39cef203f7b49d89a70c622a4307a81
c295c3dd6fa390805210f0117ee80f2912a5b097ede5f94d58c67e355b7e943a