毎週火曜日、不審メールのばらまきが起こりやすい曜日です。
.xlsファイル添付のursnifへの感染を狙ったものです。

■日時
2018/05/22 15:55 - 17:35 頃まで

※件名、本文共に5/15(火)、5/16(水)と同一です。
■件名
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件

■本文

■添付ファイル
※.(※).201805請求データ.xls
※にはそれぞれ数字1桁が入る
https://www.virustotal.com/#/file/e8377f2dbf433c248a2e0e8a9eaf6dfd5f3a82ceb5d8b371f9fd985746f910a9/detection
https://www.hybrid-analysis.com/sample/e8377f2dbf433c248a2e0e8a9eaf6dfd5f3a82ceb5d8b371f9fd985746f910a9
添付ファイルを開き、マクロを有効化するとバックグラウンドでマルウェアを取得しに行く通信と思われます。

■ダウンロードされるファイル(ursnif)
通信先: hxxp://komertonazza[.]com/ptvcon
IP: 85.119.144[.]217
https://www.virustotal.com/#/file/e70b478da1a676ec043eaae4c5aacbcf08cec8df94787c3fa0801041abf2bd21/detection
https://www.hybrid-analysis.com/sample/e70b478da1a676ec043eaae4c5aacbcf08cec8df94787c3fa0801041abf2bd21
https://app.any.run/tasks/ad60ebe9-11fe-4cd0-a80a-30b04bca3deb

取得しにいくドメインのトップレベルを調べてみたところ、以下のサイト表示でした。

コンテンツを作らないでマルウェア配布を優先して準備したのかもしれません。

今回の解析では、xlsフファイルが取れなかったため、このursnifから解析を行っています。
今回、これまではbeblohを経由して送り込まれたursnifに感染していましたが、今回はダウンローダが取得したものは直接ursnifでした。この変化の意味はわかりません。
今回の検体はキーロガー機能はあっても動画の撮影機能はありませんでした。

■C2通信先(https)
通信先: hxxps://minotaris[.]com
IP: 85.119.144[.]217

■通信先

■プロセスの動き
今回も最終的にはExplorerにインジェクションしました。

■IoC
○URL
hxxp://komertonazza[.]com/ptvcon
hxxps://minotaris[.]com
○IP
IP: 85.119.144[.]217

○HASH(SHA256)
e8377f2dbf433c248a2e0e8a9eaf6dfd5f3a82ceb5d8b371f9fd985746f910a9
e70b478da1a676ec043eaae4c5aacbcf08cec8df94787c3fa0801041abf2bd21

前日に引き続き、xls形式の添付ファイルがついたメールのばらまきがありました。
これも前日同様に、bebloh、ursnifの流れです。
前日の3種類の合算と同程度の送信量でした。

■日時
2018/05/15(火) 15:35 - 2018/05/16(水) 8:45 頃

■件名
2018.5月分請求データ送付の件

■本文

■添付ファイル
201805請求データ.xls

https://www.hybrid-analysis.com/sample/1657167c98892da382f6e0d7954b44f29bab4832346bd44fa07d1a338e937fcf/5afa81da7ca3e12ba257a0b0
添付ファイルを開き、マクロを有効化すると次のファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先： hxxp://momerton[.]com/mlsd
https://www.hybrid-analysis.com/sample/80ddbdbeda351b942a6619381744a528974d9c549e6cd9b36993d5dd0313fc42?environmentId=100
IP: 95.213.199[.]61
前日と同一のドメイン名、IPで別ファイルを取得しています。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/ieind[.]exe
https://www.hybrid-analysis.com/sample/25901bdf68e68bae55e1ccf8a5eef8b644f3a53e1bbcf096520806becd939601?environmentId=100
IP: 85.13.140[.]187
これも前日と同一のドメイン名ですが別IPで別ファイルを取得しています。

■C2通信先(https)
どちらのマルウェアもexplorer.exeにインジェクションし、以下へ通信します。
どちらのドメインもbeblohをダウンロードするサイトと同じIPです。前日はursnifのC2は別IPでした。
○bebloh
hxxps://conishiret[.]com
IP: 95.213.199[.]61
○ursnif
hxxps://minotaris[.]com
IP: 95.213.199[.]61

■通信のまとめ

■プロセスの動き

Excelマクロがコマンドプロンプトを使用ししPowerShellを実行し、beblohを取得します。
beblohは別名346411.exeでデスクトップに自身をコピーし、Explorerにインジェクションします。
explorerで動くbeblohがursnifをダウンロードし、コマンドプロンプトでバッチを動かして自身のコピーをAudiCore.exeとして実行し、svchost.exeを経由してExplorerにインジェクションしているように見えます。
ursnifはC:\Users\(ユーザ名)\AppData\Roaming\api-clen\AudiCore.exeとして格納されています。

bebloh,ursnifともにログイン時に自動起動するようレジストリに登録しますが、beblohはursnifをダウンロード後、自身を消すため、自動起動されるのはbeblohだけです。

■IoC
○URL
hxxp://momerton[.]com/mlsd
hxxp://heizlastberechnung[.]net/referenzen/ieind[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
1657167c98892da382f6e0d7954b44f29bab4832346bd44fa07d1a338e937fcf
80ddbdbeda351b942a6619381744a528974d9c549e6cd9b36993d5dd0313fc42
25901bdf68e68bae55e1ccf8a5eef8b644f3a53e1bbcf096520806becd939601