さらに件名が5/9(水)と同じものに変更され、同一のマルウェアへの感染を狙った不審メールのばらまきがあり、日付が変わっても続きました。
誘導先リンクの一部やその後ダウンロードされるファイルのハッシュ値は同一であり、同じ攻撃者が実施しているものと思われます。
ばらまき量は通常程度でした。

■日時
2018/05/11(金) 18:45 - 2018/05/12 3:25 頃

※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金),5/8(火)-5/9(水)のものと同様です。

■件名
【楽天市場】注文内容ご確認（自動配信メール）

■本文

※お店の名前や注文番号は複数種類あり

■メール内リンク先URL
hxxp://az.eleccionesveracruz2018[.]com/
hxxp://ba.quierodisfrutar[.]com/
hxxp://bm.hojeadasalmundo[.]com.mx/
hxxp://bv.blackcurrentmusic[.]com/
hxxp://cf.scriptkicker[.]com/
hxxp://cl.chiefinspectorheat[.]com/
hxxp://gg.scriptkicker[.]com/
hxxp://gw.ojeadasalmundo[.]com.mx/
hxxp://ie.elabrazospa[.]com/
hxxp://ma.simaroligas[.]com/
hxxp://om.busterhouse[.]com/
hxxp://ps.grupoonza[.]com.mx/
hxxp://ps.kathytamaura[.]com/
hxxp://sg.nycedit[.]com/
hxxp://sm.quierodisfrutar[.]com/
hxxp://tg.elabrazospa[.]com/
hxxp://to.grupoonza[.]mx/
hxxp://uz.simaroligas[.]com/
hxxp://za.matthewflugger[.]com/
複数あり、内１件は同日の件名が「カード利用のお知らせ」のものと同一のURLを示していました。
こちらのURLも同じく以下のIPとなります。
IP: 149.255.36[.]140

■ダウンロードされるファイル
「カード利用のお知らせ」と同じハッシュ値のファイルが取得されます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
ダウンローダ型マルウェアです。

■追加ダウンロードURLおよびダウンロードされるマルウェア
同じく、以下へアクセスし不正送金マルウェアursnifを取得します。
hxxp://cu.culturallycreativetravel[.]com/10.bin
IP: 149.255.36[.]140
https://www.hybrid-analysis.com/sample/20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f?environmentId=100
https://cape.contextis.com/analysis/8576/

■マルウェアの動き
ダウンローダのjsを実行すると、コマンドプロンプトからPowerShellを実行し、ダウンロードURLへとアクセスし、ursnifをダウンロードし、実行します。

ursnifはwmiprvse.exekからプロセスが起動され、C:\Users\(ユーザ名)\AppData\Local\TempPhT52.exEにursnif自身のコピーをコピーした後、control.exeを呼び出し、更にrundll32.exeを実行します。
このプロセスの流れはこれまでよりもより解析し辛いものとなっています。
ursnif本体は実行する中で自身を
C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーします。
この後、恐らくexplorer.exeにインジェクションしたのだと思われます。

explorer.exeを親プロセスとしてコマンドプロンプトから以下のコマンドが実行されています。
cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\(ユーザ名)\AppData\Local\Temp\6920.bi1"
端末のIPを問合せした結果をファイルに記載しているものと思われます。

■C2通信先
C2の通信先も同様です。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
（32bit版OSで実行した場合には1.pngへアクセスします。）

tor dllをダウンロードする通信ですが、これまでは403 Forbidden だったものが、今回はアクセスが成功しています。

定期的にアクセスするC2のアドレスは以下です。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
通信はGETメソッドで行われます。

■通信一覧
ここまでの通信をまとめると画像のようになります。

これまでC2へPOSTメソッドで送信していた.binファイルは今回は恐らくtor通信と思われるもので外部へ送信されていました。
POST通信の発生がほぼなく、代わりにHTTPS443ポートの通信後にtorで使われる9001ポートやその他不審なポートでの通信が発生していました。

■収集される情報
.binファイルで送信されるファイルに含まれる内容ですが、前日までは端末の情報やキー入力内容、銀行サイトへのアクセスした際のWebアクセスログが主に収集されていました。
更に本日から、銀行サイトにアクセスした場合にはそこから3分間動画が撮影されるようになっていました。

はてなブログでは動画をアップロードはできないようですので、動画のキャプチャを載せておきます。
ブラウザの背後のTempフォルダ内に8CEA.aviが出来ているのが分かります。
その動画からキャプチャを撮っています。

■IoC
○URL
hxxp://az.eleccionesveracruz2018[.]com/
hxxp://ba.quierodisfrutar[.]com/
hxxp://bm.hojeadasalmundo[.]com.mx/
hxxp://bv.blackcurrentmusic[.]com/
hxxp://cf.scriptkicker[.]com/
hxxp://cl.chiefinspectorheat[.]com/
hxxp://gg.scriptkicker[.]com/
hxxp://gw.ojeadasalmundo[.]com.mx/
hxxp://ie.elabrazospa[.]com/
hxxp://ma.simaroligas[.]com/
hxxp://om.busterhouse[.]com/
hxxp://ps.grupoonza[.]com.mx/
hxxp://ps.kathytamaura[.]com/
hxxp://sg.nycedit[.]com/
hxxp://sm.quierodisfrutar[.]com/
hxxp://tg.elabrazospa[.]com/
hxxp://to.grupoonza[.]mx/
hxxp://uz.simaroligas[.]com/
hxxp://za.matthewflugger[.]com/
hxxp://cu.culturallycreativetravel[.]com/10.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club/images/2.png

○IP
149.255.36[.]140
89.33.64[.]57
95.213.237[.]203

○HASH(SHA256)
d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc
5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f

5/8(火)に引き続き、5/9(水)もメールのExcel添付ファイルを用いて不正送金マルウェアursnifの感染を狙った不審メールのばらまきもありました。
なお、今回も検体を取得しておらず、動的解析は実施していません。
ばらまかれた件数はごく少数のようです。

■日時
2018/05/09 16:20 - 19:30 頃

■件名
注文請書・請求書をお送り致します。
注文請書・
請求書をお送り致します。
※恐らく送りたかった件名は一番上の件名だと思いますが、なぜか途中で切れた形で送られたもがあると思われます。

■本文

■添付ファイル
5.2018.nn.(※メールアドレス)-nn.xls ※nnは数字2桁
https://www.hybrid-analysis.com/sample/d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584?environmentId=100

■ダウンロード先URL
添付ファイルを開き、マクロを実行させると、以下へ接続しマルウェアを取得します。
hxxp://mokerton[.]com/onion
IPはタイミングにより幾つかのパターンがあったようです。
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65
このURLとIPは5/8(水)の『指定請求書』『注文書、請書及び請求書のご送付』の件名と同じになります。

■マルウェア一次検体（ダウンローダ/bebloh）
マクロによりダウンロードされるマルウェアはダウンローダ型マルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/272fb3d20ccb6d435ed0840a919e322c88ab68345e8d40240f3f34398df6f803

■マルウェア二次検体（不正送金マルウェア/ursnif）
beblohが更に別の不正送金マルウェアのursnifを以下よりダウンロードします。
hxxp://doctor-rich[.]com/oleos.exe
162.210.102.43
https://www.hybrid-analysis.com/sample/7cf903514a9b859e18f5138090135dfe2f9200864dc1177efca245cb36f00e74
このURLとIPは5/8(水)の『指定請求書』『注文書、請書及び請求書のご送付』の件名と同じになります。

■IoC
○URL
hxxp://mokerton[.]com/onion
hxxp://doctor-rich[.]com/oleos.exe

○IP
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65
162.210.102[.]43

○HASH(SHA256)
d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584
272fb3d20ccb6d435ed0840a919e322c88ab68345e8d40240f3f34398df6f803
7cf903514a9b859e18f5138090135dfe2f9200864dc1177efca245cb36f00e74