2018/05/14(月) 『印鑑の発注について』の調査
5/14(月)にxlsファイルが添付された不審メールのばらまきがありました。
送信量は少数です。
■日時
2018/05/14(月) 15:55 - 2018/05/14(月) 16:50 頃
■件名
印鑑の発注について
■本文
■添付ファイル
全行団 発注.xls
https://www.hybrid-analysis.com/sample/38bfb6973c5d3c3f083f5102a0e06b45bfd0353b29a0683b5c8bb7be4799b7c8?environmentId=100
■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/pager
IP: 47.74.233[.]56
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43?environmentId=100
■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100
■C2通信先(https)
どちらのマルウェアもexplorer.exeにインジェクションし、以下へ通信します。
今回C2との接続はhttpsに変更されていました。
○bebloh
conishiret[.]com
IP: 95.213.199[.]61
○ursnif
minotaris[.]com
IP: 47.74.233[.]56
※beblohをダウンロードするサイトと同じIPです。
■通信のまとめ
■IoC
○URL
hxxp://momerton[.]com/pager
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
conishiret[.]com
minotaris[.]com
○IP
47.74.233[.]56
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
38bfb6973c5d3c3f083f5102a0e06b45bfd0353b29a0683b5c8bb7be4799b7c8
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87
2018/05/11(金) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
さらに件名が5/9(水)と同じものに変更され、同一のマルウェアへの感染を狙った不審メールのばらまきがあり、日付が変わっても続きました。
誘導先リンクの一部やその後ダウンロードされるファイルのハッシュ値は同一であり、同じ攻撃者が実施しているものと思われます。
ばらまき量は通常程度でした。
■日時
2018/05/11(金) 18:45 - 2018/05/12 3:25 頃
※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金),5/8(火)-5/9(水)のものと同様です。
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■本文
※お店の名前や注文番号は複数種類あり
■メール内リンク先URL
hxxp://az.eleccionesveracruz2018[.]com/
hxxp://ba.quierodisfrutar[.]com/
hxxp://bm.hojeadasalmundo[.]com.mx/
hxxp://bv.blackcurrentmusic[.]com/
hxxp://cf.scriptkicker[.]com/
hxxp://cl.chiefinspectorheat[.]com/
hxxp://gg.scriptkicker[.]com/
hxxp://gw.ojeadasalmundo[.]com.mx/
hxxp://ie.elabrazospa[.]com/
hxxp://ma.simaroligas[.]com/
hxxp://om.busterhouse[.]com/
hxxp://ps.grupoonza[.]com.mx/
hxxp://ps.kathytamaura[.]com/
hxxp://sg.nycedit[.]com/
hxxp://sm.quierodisfrutar[.]com/
hxxp://tg.elabrazospa[.]com/
hxxp://to.grupoonza[.]mx/
hxxp://uz.simaroligas[.]com/
hxxp://za.matthewflugger[.]com/
複数あり、内1件は同日の件名が「カード利用のお知らせ」のものと同一のURLを示していました。
こちらのURLも同じく以下のIPとなります。
IP: 149.255.36[.]140
■ダウンロードされるファイル
「カード利用のお知らせ」と同じハッシュ値のファイルが取得されます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
ダウンローダ型マルウェアです。
■追加ダウンロードURLおよびダウンロードされるマルウェア
同じく、以下へアクセスし不正送金マルウェアursnifを取得します。
hxxp://cu.culturallycreativetravel[.]com/10.bin
IP: 149.255.36[.]140
https://www.hybrid-analysis.com/sample/20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f?environmentId=100
https://cape.contextis.com/analysis/8576/
■マルウェアの動き
ダウンローダのjsを実行すると、コマンドプロンプトからPowerShellを実行し、ダウンロードURLへとアクセスし、ursnifをダウンロードし、実行します。
ursnifはwmiprvse.exekからプロセスが起動され、C:\Users\(ユーザ名)\AppData\Local\TempPhT52.exEにursnif自身のコピーをコピーした後、control.exeを呼び出し、更にrundll32.exeを実行します。
このプロセスの流れはこれまでよりもより解析し辛いものとなっています。
ursnif本体は実行する中で自身を
C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーします。
この後、恐らくexplorer.exeにインジェクションしたのだと思われます。
explorer.exeを親プロセスとしてコマンドプロンプトから以下のコマンドが実行されています。
cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\(ユーザ名)\AppData\Local\Temp\6920.bi1"
端末のIPを問合せした結果をファイルに記載しているものと思われます。
■C2通信先
C2の通信先も同様です。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
(32bit版OSで実行した場合には1.pngへアクセスします。)
tor dllをダウンロードする通信ですが、これまでは403 Forbidden だったものが、今回はアクセスが成功しています。
定期的にアクセスするC2のアドレスは以下です。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
通信はGETメソッドで行われます。
■通信一覧
ここまでの通信をまとめると画像のようになります。
これまでC2へPOSTメソッドで送信していた.binファイルは今回は恐らくtor通信と思われるもので外部へ送信されていました。
POST通信の発生がほぼなく、代わりにHTTPS443ポートの通信後にtorで使われる9001ポートやその他不審なポートでの通信が発生していました。
■収集される情報
.binファイルで送信されるファイルに含まれる内容ですが、前日までは端末の情報やキー入力内容、銀行サイトへのアクセスした際のWebアクセスログが主に収集されていました。
更に本日から、銀行サイトにアクセスした場合にはそこから3分間動画が撮影されるようになっていました。
はてなブログでは動画をアップロードはできないようですので、動画のキャプチャを載せておきます。
ブラウザの背後のTempフォルダ内に8CEA.aviが出来ているのが分かります。
その動画からキャプチャを撮っています。
■IoC
○URL
hxxp://az.eleccionesveracruz2018[.]com/
hxxp://ba.quierodisfrutar[.]com/
hxxp://bm.hojeadasalmundo[.]com.mx/
hxxp://bv.blackcurrentmusic[.]com/
hxxp://cf.scriptkicker[.]com/
hxxp://cl.chiefinspectorheat[.]com/
hxxp://gg.scriptkicker[.]com/
hxxp://gw.ojeadasalmundo[.]com.mx/
hxxp://ie.elabrazospa[.]com/
hxxp://ma.simaroligas[.]com/
hxxp://om.busterhouse[.]com/
hxxp://ps.grupoonza[.]com.mx/
hxxp://ps.kathytamaura[.]com/
hxxp://sg.nycedit[.]com/
hxxp://sm.quierodisfrutar[.]com/
hxxp://tg.elabrazospa[.]com/
hxxp://to.grupoonza[.]mx/
hxxp://uz.simaroligas[.]com/
hxxp://za.matthewflugger[.]com/
hxxp://cu.culturallycreativetravel[.]com/10.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club/images/2.png
○IP
149.255.36[.]140
89.33.64[.]57
95.213.237[.]203
○HASH(SHA256)
d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc
5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f
2018/05/11 『カード利用のお知らせ』の調査
5/8(火)に引き続き、5/9(水)にも不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。
この件名でのばらまきは3月以来かと思います。
ばらまき量で通常程度でした。
■日時
2018/05/11(金) 15:05 - 18:40 頃
■件名
カード利用のお知らせ
■本文
■メール内リンク先URL
hxxp://bj.productosmf[.]com/
hxxp://by.productosmf[.]com/
hxxp://ck.matthewflugger[.]com/
hxxp://kn.productosmf[.]com/
hxxp://qa.blackcurrentmusic[.]com/
hxxp://ro.itari[.]com/
hxxp://rw.busterhouse[.]net/
hxxp://sn.erarquitectura[.]com/
hxxp://th.cuartodeguerraelectoral[.]com.mx/
hxxp://to.grupoonza[.]mx/
hxxp://tz.ktamaura[.]com/
hxxp://vg.ojeadasalmundo[.]com/
複数ありますが全て以下に解決されます。
IP:149.255.36[.]140
https://www.virustotal.com/#/ip-address/149.255.36.140
■ダウンロードファイル
リンクをクリックすると、ブラウザがIEの場合は以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.zip
https://www.virustotal.com/#/file/d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc/detection
上記の中身、またはブラウザがChromeの場合は直接以下がダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.virustotal.com/en/file/5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991/analysis/
ダウンローダ型マルウェアです。
■マルウェア本体ダウンロード先URL
ダウンローダ型マルウェアを実行すると、以下から本命と思われる不正送金マルウェアを取得します。
hxxp://cu.culturallycreativetravel[.]com/10.bin
このドメインもダウンローダ型マルウェアと同じく以下のIPに解決されます。
149.255.36[.]140
■マルウェア本体(ursnif)
10.bin
https://www.hybrid-analysis.com/sample/20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f?environmentId=100
https://cape.contextis.com/analysis/8576/
不正送金マルウェアのursnifです。
実行後はC:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
前日の検体から、control.exeにインジェクションした後run32dll.exeを起動し、恐らくはその先で最終的にexploloer.exeにインジェクションします。
マルウェアの動きを止めるには、ログイン時の自動実行を停止させることと、インジェクションしているexplorerを停止させることが必要になります。
■C2通信先
C2は5/9(水)にばらまかれたursnifと同じ通信先です。
以下のC2へ何度かアクセスが発生します。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
通信はGETメソッドで行われます。
また、実行後一度だけアクセスするURLも今回変更されています。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
(32bit版OSで実行した場合には1.pngへアクセスします。)
torを使うためのdllのようです。これまでダウンロード出来ていなかったのですが、今回はダウンロードされているように見えます。
■通信一覧
ここまでの通信をまとめると画像のようになります。
その後、DGAと思われるサイトへアクセスをしています。
これまでの検体で解析していた際には、C2へPOSTメソッドで送信していた.binファイルですが、今回は恐らくtor通信と思われるもので外部へ送信されていました。
POST通信の発生がほぼなく、代わりにHTTPS443ポートの通信後にtorで使われる9001ポートでの通信が発生していました。
■収集される情報
.binファイルで送信されるファイルに含まれる内容ですが、これまでは端末の情報やキー入力内容、銀行サイトへのアクセスした際のアクセス情報が主に収集されていました。
更に今回から、銀行サイトにアクセスした場合にはそこから3分間動画が撮影されるようになっていました。
動画による銀行サイトへのアクセス手法とキーロガーの情報によって、更に不正送金の被害が予想されます。
■IoC
○URL
hxxp://bj.productosmf[.]com/
hxxp://by.productosmf[.]com/
hxxp://ck.matthewflugger[.]com/
hxxp://kn.productosmf[.]com/
hxxp://qa.blackcurrentmusic[.]com/
hxxp://ro.itari[.]com/
hxxp://rw.busterhouse[.]net/
hxxp://sn.erarquitectura[.]com/
hxxp://th.cuartodeguerraelectoral[.]com.mx/
hxxp://to.grupoonza[.]mx/
hxxp://tz.ktamaura[.]com/
hxxp://vg.ojeadasalmundo[.]com/
hxxp://cu.culturallycreativetravel[.]com/10.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club
○IP
149.255.36[.]140
89.33.64[.]57
95.213.237[.]203
○HASH(SHA256)
d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc
5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f
