bomb_log

セキュリティに関するbom

2018/05/30(水) 『Airdrop申請内容をご確認ください』の調査

新しい件名での不審メールのばらまきがありました。
配信された件数はこれまでの楽天市場を騙ったメールの配信と同規模と想定されます。

 

■日時
05/30 14:20頃 - 21:00頃

■件名
Airdrop申請内容をご確認ください
※17:00頃までは配信ミスと思われる「=?UTF-8?B?QWlyZHJvcOeUs+iri+WGheWuueOCkuOBlOeiuuiqjeOBj+OBoOOBleOBhA==」という件名で配信されていましたが、デコードすると同一です。
■送信者
no-reply[@]noahcoin.co

■本文

f:id:bomccss:20180601000258p:plain

■添付ファイル
なし

■メール内リンク先URL
hxxp://cg.drinkyourveggies[.]info/
hxxp://cu.momstrikesagain[.]com/
hxxp://cx.theblueprintsound[.]com/
hxxp://fr.upscalerealestatemarketing[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://gy.loriannaharrison[.]net/
hxxp://li.mamabasy[.]com/
hxxp://mx.dannyfaragher[.]com/
hxxp://pf.dancingwiththemoment[.]com/
hxxp://ps.loriannaharrison[.]com/

どのサイトもIPは以下に解決されます。
IP: 137.74.249[.]110

■ダウンロードされるファイル
もっと詳しくの情報はこちら.PDF.js
ブラウザがIEであれば、「もっと詳しくの情報はこちら.zip」ファイルの中に「qlqfzrwvjxvjx.PDF.js」が含まれています。
https://www.hybrid-analysis.com/sample/7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497
https://www.hybrid-analysis.com/sample/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7

■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ダウンローダファイルを実行すると、以下へアクセスし不正送金マルウェアursnifを取得します。
hxxp://pf.mrprana[.]com/101010.bin
IP: 137.74.249[.]110
https://www.hybrid-analysis.com/sample/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a?environmentId=100

マルウェアの動き
ダウンローダはcmd.exeからpowershell.exeを実行し、ファイルをダウンロードします。
ダウンローダはダウンロードしたファイルを自動実行するようになっており、Templel20.exeとして動作した後、control.exe等を経由した後、explorer.exeにインジェクションします。f:id:bomccss:20180601000359p:plain

■C2通信先
mp.tallervaldez.com
IP: 176.9.164[.]253
hxxp://chklink.club
IP: 47.74.132[.]234

■通信一覧

f:id:bomccss:20180601000435p:plain

IoC
○URL
hxxp://cg.drinkyourveggies[.]info/
hxxp://cu.momstrikesagain[.]com/
hxxp://cx.theblueprintsound[.]com/
hxxp://fr.upscalerealestatemarketing[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://gy.loriannaharrison[.]net/
hxxp://li.mamabasy[.]com/
hxxp://mx.dannyfaragher[.]com/
hxxp://pf.dancingwiththemoment[.]com/
hxxp://ps.loriannaharrison[.]com/
hxxp://pf.mrprana[.]com/101010.bin
hxxps://mp.tallervaldez[.]com
hxxp://chklink[.]club
○IP
137.74.249[.]110
176.9.164[.]253
47.74.132[.]234

○HASH(SHA256)
7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497
5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a

2018/05/22(火) 『2018.5月分請求データ送付の件』の調査

毎週火曜日、不審メールのばらまきが起こりやすい曜日です。
.xlsファイル添付のursnifへの感染を狙ったものです。

 

■日時
2018/05/22 15:55 - 17:35 頃まで

※件名、本文共に5/15(火)、5/16(水)と同一です。
■件名
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件

■本文

f:id:bomccss:20180523000931p:plain


■添付ファイル
※.(※).201805請求データ.xls
※にはそれぞれ数字1桁が入る
https://www.virustotal.com/#/file/e8377f2dbf433c248a2e0e8a9eaf6dfd5f3a82ceb5d8b371f9fd985746f910a9/detection
https://www.hybrid-analysis.com/sample/e8377f2dbf433c248a2e0e8a9eaf6dfd5f3a82ceb5d8b371f9fd985746f910a9
添付ファイルを開き、マクロを有効化するとバックグラウンドでマルウェアを取得しに行く通信と思われます。

■ダウンロードされるファイル(ursnif)
通信先: hxxp://komertonazza[.]com/ptvcon
IP: 85.119.144[.]217
https://www.virustotal.com/#/file/e70b478da1a676ec043eaae4c5aacbcf08cec8df94787c3fa0801041abf2bd21/detection
https://www.hybrid-analysis.com/sample/e70b478da1a676ec043eaae4c5aacbcf08cec8df94787c3fa0801041abf2bd21
https://app.any.run/tasks/ad60ebe9-11fe-4cd0-a80a-30b04bca3deb

取得しにいくドメインのトップレベルを調べてみたところ、以下のサイト表示でした。

コンテンツを作らないでマルウェア配布を優先して準備したのかもしれません。

f:id:bomccss:20180523001903p:plain
今回の解析では、xlsフファイルが取れなかったため、このursnifから解析を行っています。
今回、これまではbeblohを経由して送り込まれたursnifに感染していましたが、今回はダウンローダが取得したものは直接ursnifでした。この変化の意味はわかりません。
今回の検体はキーロガー機能はあっても動画の撮影機能はありませんでした。


■C2通信先(https)
通信先: hxxps://minotaris[.]com
IP: 85.119.144[.]217

■通信先

f:id:bomccss:20180523002109p:plain

■プロセスの動き
今回も最終的にはExplorerにインジェクションしました。

f:id:bomccss:20180523002142p:plain


IoC
○URL
hxxp://komertonazza[.]com/ptvcon
hxxps://minotaris[.]com
○IP
IP: 85.119.144[.]217

○HASH(SHA256)
e8377f2dbf433c248a2e0e8a9eaf6dfd5f3a82ceb5d8b371f9fd985746f910a9
e70b478da1a676ec043eaae4c5aacbcf08cec8df94787c3fa0801041abf2bd21

2018/05/16(水) 『2018.5月分請求データ送付の件』の調査

3日連続で、xls形式の添付ファイルがついたメールのばらまきがありました。
これも前日同様に、bebloh、ursnifの流れです。
送信量は前日と同程度でした。

■日時
2018/05/16 15:50 - 2018/05/16 20:45 頃

■件名
以下、5種類を確認しています。
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd:2018.5月分請求データ送付の件
Re:2018.5月分請求データ送付の件
Re: Re:2018.5月分請求データ送付の件

■本文
※前日同様です。

f:id:bomccss:20180517225653p:plain



■添付ファイル
(nn).201805請求データ.xls
※nnは数字2桁
https://www.hybrid-analysis.com/sample/eb2321fa91f40abd0140ecd7e4a1a5a67a0e9af615362cfb4eefa6272ac449c2?environmentId=100&lang=ja
添付ファイルを開き、マクロを有効化するとバックグラウンドでコマンドプロンプトが実行され、ファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/atsms
https://www.hybrid-analysis.com/sample/0a3732ea250ef4832f0659c51df2b1acf72474590ab5756758adfd72ef6a0901/5afbde2f7ca3e13f704b5926
IP: 95.213.199[.]61
前日、前々日と同一のドメイン名、IPから別のファイルを取得ます。
ダウンローダマルウェアのbeblohです。
ダウンロードされるとデスクトップに置かれ実行されますが、実行後に自身を見つかりづらいフォルダにコピーし、自動起動の設定をして、元の自分自身のファイルを削除します。
その後、C2と通信をし、追加でマルウェアを取得します。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://cmuv[.]de/handbuch/dvdgif[.]exe
https://www.hybrid-analysis.com/sample/d164400714586c19cacf0c8e5343561b5b7f58ddb8e4a4da21bae4e9f227c438/5afbf26b7ca3e13f704b5949
IP: 217.160.231.149
これまでとは異なるIPからファイルを取得します。
不正送金型マルウェアのursnifです。

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
どちらのドメインもbeblohをダウンロードするサイトと同じIPで、かつ前日から変化はありませんでした。
○bebloh
通信先: hxxps://conishiret[.]com
IP: 95.213.199[.]61
○ursnif
通信先: hxxps://minotaris[.]com
IP: 95.213.199[.]61

■通信のまとめ

f:id:bomccss:20180520235018p:plain

■プロセスの動き

f:id:bomccss:20180520235520p:plain

■取得する情報

f:id:bomccss:20180520235549p:plain

ursnifの感染初期に取得される情報は以下です。
systeminfoコマンド、NET WIEWコマンド、nslookup 127.0.0.1、tasklistコマンド、driverqueryコマンド、regコマンドのuninstallの一覧出力のコマンドを実行し、それらの結果をmakecabコマンドにより圧縮しています。
このファイルを外部に持ち出していると思われますが、これまでのhttpのPOSTメソッドでのデータ送信やtor通信も見かけませんでした。
また、以前発見した銀行サイトの動画撮影ですが、今回の検体では取得されませんでした。
攻撃者が別なのか、なにか意図して違うものを使い分けているのか、不明です。


IoC
○URL
hxxp://momerton[.]com/mtsms
hxxp://cmuv[.]de/handbuch/dvdgif[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
eb2321fa91f40abd0140ecd7e4a1a5a67a0e9af615362cfb4eefa6272ac449c2
0a3732ea250ef4832f0659c51df2b1acf72474590ab5756758adfd72ef6a0901
d164400714586c19cacf0c8e5343561b5b7f58ddb8e4a4da21bae4e9f227c438

 

2018/05/15(火) 『2018.5月分請求データ送付の件』の調査

前日に引き続き、xls形式の添付ファイルがついたメールのばらまきがありました。
これも前日同様に、bebloh、ursnifの流れです。
前日の3種類の合算と同程度の送信量でした。


■日時
2018/05/15(火) 15:35 - 2018/05/16(水) 8:45 頃

■件名
2018.5月分請求データ送付の件

■本文

f:id:bomccss:20180517225653p:plain

■添付ファイル
201805請求データ.xls

f:id:bomccss:20180517225807p:plain

https://www.hybrid-analysis.com/sample/1657167c98892da382f6e0d7954b44f29bab4832346bd44fa07d1a338e937fcf/5afa81da7ca3e12ba257a0b0
添付ファイルを開き、マクロを有効化すると次のファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/mlsd
https://www.hybrid-analysis.com/sample/80ddbdbeda351b942a6619381744a528974d9c549e6cd9b36993d5dd0313fc42?environmentId=100
IP: 95.213.199[.]61
前日と同一のドメイン名、IPで別ファイルを取得しています。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/ieind[.]exe
https://www.hybrid-analysis.com/sample/25901bdf68e68bae55e1ccf8a5eef8b644f3a53e1bbcf096520806becd939601?environmentId=100
IP: 85.13.140[.]187
これも前日と同一のドメイン名ですが別IPで別ファイルを取得しています。

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
どちらのドメインもbeblohをダウンロードするサイトと同じIPです。前日はursnifのC2は別IPでした。
○bebloh
hxxps://conishiret[.]com
IP: 95.213.199[.]61
○ursnif
hxxps://minotaris[.]com
IP: 95.213.199[.]61

■通信のまとめ

f:id:bomccss:20180517225718p:plain

■プロセスの動き

f:id:bomccss:20180517230445p:plain

Excelマクロがコマンドプロンプトを使用ししPowerShellを実行し、beblohを取得します。
beblohは別名346411.exeでデスクトップに自身をコピーし、Explorerにインジェクションします。
explorerで動くbeblohがursnifをダウンロードし、コマンドプロンプトでバッチを動かして自身のコピーをAudiCore.exeとして実行し、svchost.exeを経由してExplorerにインジェクションしているように見えます。
ursnifはC:\Users\(ユーザ名)\AppData\Roaming\api-clen\AudiCore.exeとして格納されています。

f:id:bomccss:20180517232054p:plain

bebloh,ursnifともにログイン時に自動起動するようレジストリに登録しますが、beblohはursnifをダウンロード後、自身を消すため、自動起動されるのはbeblohだけです。

f:id:bomccss:20180517232137p:plain


IoC
○URL
hxxp://momerton[.]com/mlsd
hxxp://heizlastberechnung[.]net/referenzen/ieind[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
1657167c98892da382f6e0d7954b44f29bab4832346bd44fa07d1a338e937fcf
80ddbdbeda351b942a6619381744a528974d9c549e6cd9b36993d5dd0313fc42
25901bdf68e68bae55e1ccf8a5eef8b644f3a53e1bbcf096520806becd939601

2018/05/14(月) 『指定請求書』『注文書、請書及び請求書のご送付』の調査

5/14(月)に更に同一ハッシュのマルウェアへの感染を狙った別の件名でのxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。
同一日時で3回も件名を変えてばらまかれるのは珍しいです。
なお、同一件名でのばらまきは5/8(火)にありましたが、送信量は半分程度でした。それでもこの日の3種の中では一番の量です。


■日時
2018/05/14(月) 17:55 - 2018/05/14(月) 22:00 頃


■件名
注文書、請書及び請求書のご送付
-注文書、請書及び請求書のご送付
Fwd:注文書、請書及び請求書のご送付
Re:注文書、請書及び請求書のご送付
RE:注文書、請書及び請求書のご送付
指定請求書
-指定請求書
Fwd:指定請求書
Fw:指定請求書
Re:指定請求書

■本文

f:id:bomccss:20180513030228p:plain

■添付ファイル名
(14.5.2018).nnn.m.xls
※nnnは数字3桁、mは数字1桁
https://www.hybrid-analysis.com/sample/754d8c985da6a1863ef0623b6833ce98d1e77440523bae5d5d11490f1392d307

添付ファイルを開き、マクロを有効化すると次のファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/watchm
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43/5af9379e7ca3e1623b272353
IP: 95.213.199[.]61
直前までばらまかれていた件名「印鑑の発注について」と同一ドメインの別パスへ取得しに行きますが、取得するファイルは同一のハッシュになります。
そのため、Hybrid Analysisではこのwatchmではなくpagerとしてまとめられているようです。

以降は一緒です。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
○bebloh
conishiret[.]com
IP: 95.213.199[.]61
※beblohをダウンロードするサイトと同じIPです。
○ursnif
minotaris[.]com
IP: 47.74.233[.]56


IoC
○URL
hxxp://momerton[.]com/watchm
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
47.74.233[.]56
95.213.199[.]61
○HASH(SHA256)
754d8c985da6a1863ef0623b6833ce98d1e77440523bae5d5d11490f1392d307
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87

 

2018/05/14(月) 『発注分』の調査

さらに5/14(月)に件名「印鑑の発注について」と入れ替わる形でごく少数ですが、件名「発注分」でも同様のxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。


■日時
2018/05/14(月) 16:55 - 2018/05/14(月) 19:35 頃

■件名
発注分

■添付ファイル
nnn_mm_14.5.xls
※nnnは3桁の数字、mmは2桁の数字
https://www.hybrid-analysis.com/sample/272d84a2adffe878c8d32abda2de4936017e8cd571074561715eca5086747049/5af944b17ca3e10f150c4a77
添付ファイルを開き、マクロを有効化すると次のファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/pager
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43/5af9379e7ca3e1623b272353
IP: 95.213.199[.]61
直前までばらまかれていた件名「印鑑の発注について」と同一のパスへ取得しに行きます。
ただし、IPはその際のC2に結びついていたIPです。この件名で送信する際にIPを変えたように思われます。
取得するファイルは同一のハッシュになります。

 

以降は一緒です。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
○bebloh
hxxps://conishiret[.]com
IP: 95.213.199[.]61

※beblohをダウンロードするサイトと同じIPです。
○ursnif
hxxps://minotaris[.]com
IP: 47.74.233[.]56

IoC
○URL
hxxp://momerton[.]com/pager
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
47.74.233[.]56
95.213.199[.]61
○HASH(SHA256)
272d84a2adffe878c8d32abda2de4936017e8cd571074561715eca5086747049
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87

 

2018/05/14(月) 『印鑑の発注について』の調査

5/14(月)にxlsファイルが添付された不審メールのばらまきがありました。
送信量は少数です。

■日時
2018/05/14(月) 15:55 - 2018/05/14(月) 16:50 頃

■件名
印鑑の発注について

■本文

f:id:bomccss:20180517215804p:plain

■添付ファイル
全行団 発注.xls
https://www.hybrid-analysis.com/sample/38bfb6973c5d3c3f083f5102a0e06b45bfd0353b29a0683b5c8bb7be4799b7c8?environmentId=100

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/pager
IP: 47.74.233[.]56
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43?environmentId=100

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
今回C2との接続はhttpsに変更されていました。
○bebloh
conishiret[.]com
IP: 95.213.199[.]61
○ursnif
minotaris[.]com
IP: 47.74.233[.]56
※beblohをダウンロードするサイトと同じIPです。

■通信のまとめ

f:id:bomccss:20180517215246p:plain

 

IoC
○URL
hxxp://momerton[.]com/pager
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
conishiret[.]com
minotaris[.]com
○IP
47.74.233[.]56
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
38bfb6973c5d3c3f083f5102a0e06b45bfd0353b29a0683b5c8bb7be4799b7c8
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87