2018/05/30(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査
楽天関係をかたった不審メールの配信がありました。
新しい件名のパターンですが、誘導先URLやダウンロードされるマルウェアは同日の「Airdrop申請内容をご確認ください」と同じでした。
また、5/11までの楽天を騙ったメールとC2ドメイン hxxp://chklink[.]club も一緒であり、同一のactorと思われます。
■日時
2018/05/30(水) 19:20頃 - 05/31 6:45頃
■件名
【速報版】カード利用のお知らせ(本人ご利用分)
■送信者
info[@]mail.rakuten-card.co.jp
※不審メールではHeader FromもEnvelope Fromも同一ですが、本物のメールではEnvelope Fromはrcard-card-notice[@]mkrm.rakuten.co.jpになります
■本文
■添付ファイル
なし
■メール内リンク先URL
hxxp://bj.mamabasy[.]com/
hxxp://cr.theblueprintsound[.]com/
hxxp://cw.faragherbrothers[.]com/
hxxp://dm.loriannaharrison[.]com/
hxxp://er.theblueprintsound[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://kg.desertlifestyle[.]net/
hxxp://mx.dannyfaragher[.]com/
hxxp://qa.ourclassroomadventures[.]com/
hxxp://tr.faraghermusic[.]com/
このURLは「Airdrop申請内容をご確認ください」の件名と同じく以下のIPに解決されます。
IP: 137.74.249[.]110
https://www.virustotal.com/#/ip-address/137.74.249.110
■ダウンロードされるファイル
これも「Airdrop申請内容をご確認ください」の件名と同じハッシュのものがダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
ダウンローダ型マルウェアです。
■追加ダウンロードURLおよびダウンロードされるマルウェア
ダウンローダが同一のため、取得するマルウェア不正送金マルウェアursnifも「Airdrop申請内容をご確認ください」の件名と同一です。
hxxp://pf.mrprana[.]com/101010.bin
IP: 137.74.249[.]110
https://www.hybrid-analysis.com/sample/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a?environmentId=100
■C2通信先
hxxp://mp.tallervaldez[.]com
IP: 176.9.164[.]253
hxxp://chklink[.]club
IP: 47.74.132[.]234
■IoC
○URL
hxxp://bj.mamabasy[.]com/
hxxp://cr.theblueprintsound[.]com/
hxxp://cw.faragherbrothers[.]com/
hxxp://dm.loriannaharrison[.]com/
hxxp://er.theblueprintsound[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://kg.desertlifestyle[.]net/
hxxp://mx.dannyfaragher[.]com/
hxxp://qa.ourclassroomadventures[.]com/
hxxp://tr.faraghermusic[.]com/
hxxp://mp.tallervaldez[.]com
hxxp://chklink[.]club
○IP
137.74.249[.]110
176.9.164[.]253
47.74.132[.]234
○HASH(SHA256)
5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a
2018/05/30(水) 『2018.5月分請求データ送付の件』の調査
5/15、16に配布があったものと同じ件名で不審メールの送信がありました。
■日時
2018/05/30(水) 15:35頃 - 15:50頃
件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)と同一です
■件名
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
■本文
■添付ファイル
nnn.[nn].201805請求データ.xls
※添付ファイルのネーミングルールのみ、変化しています。
■通信一覧
■マルウェアの動き
■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生します。
hxxp://monerotan[.]com/itunesync
47.91.44[.]13
https://www.hybrid-analysis.com/sample/d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c?environmentId=120
itunesyncファイルは自身のコピーをマイドキュメント上に作成され、その後explorer.exeを起動し、そこにインジェクションします。
explorer.exeのメモリ内を確認すると実行プログラム(MZから始まるバイナリ)があることが確認できます。
■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとursnifがダウンロードされます。
hxxp://brightonline[.]org/mrt_ms.exe
50.87.150[.]249
https://www.hybrid-analysis.com/sample/86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad?environmentId=120
ursnifは自身のコピーをC:\(users)\AppData\Roaming\Api-clen\AudiCore.exeにコピーします。
ただし、このファイルを実行したのが、31日不審メールの配信があってからのため、beblohが取得したursnifのファイルが31日に配布したursnifの可能性もあります。30日のursnifの情報を取得できていないため、真偽は不明です。
ursnifがIE(iexplore.exe)にインジェクションしている様子です。
■C2通信先
C2は以下で共にIPは47.91.44[.]13です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com
■ursnifにより収集される情報
感染時に端末の情報(IPやインストールされているプログラム、パッチ適用状態、実行されているプロセス等)が取得され、C2へ送信されます。
それ以外に銀行サイトへアクセスした際にログイン情報(含むパスワード)等を取得されます。(入力した情報は適当です)
■IoC
○URL
hxxp://monerotan[.]com/itunesync
hxxp://brightonline[.]org/mrt_ms.exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.44[.]13
50.87.150[.]249
○HASH(SHA256)
c95c3388d9a36bb1c9362195b321ed4e0728eb69424422187e976597b33425b5
d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c
86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad
2018/05/30(水) 『Airdrop申請内容をご確認ください』の調査
新しい件名での不審メールのばらまきがありました。
配信された件数はこれまでの楽天市場を騙ったメールの配信と同規模と想定されます。
■日時
05/30 14:20頃 - 21:00頃
■件名
Airdrop申請内容をご確認ください
※17:00頃までは配信ミスと思われる「=?UTF-8?B?QWlyZHJvcOeUs+iri+WGheWuueOCkuOBlOeiuuiqjeOBj+OBoOOBleOBhA==」という件名で配信されていましたが、デコードすると同一です。
■送信者
no-reply[@]noahcoin.co
■本文
■添付ファイル
なし
■メール内リンク先URL
hxxp://cg.drinkyourveggies[.]info/
hxxp://cu.momstrikesagain[.]com/
hxxp://cx.theblueprintsound[.]com/
hxxp://fr.upscalerealestatemarketing[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://gy.loriannaharrison[.]net/
hxxp://li.mamabasy[.]com/
hxxp://mx.dannyfaragher[.]com/
hxxp://pf.dancingwiththemoment[.]com/
hxxp://ps.loriannaharrison[.]com/
どのサイトもIPは以下に解決されます。
IP: 137.74.249[.]110
■ダウンロードされるファイル
もっと詳しくの情報はこちら.PDF.js
ブラウザがIEであれば、「もっと詳しくの情報はこちら.zip」ファイルの中に「qlqfzrwvjxvjx.PDF.js」が含まれています。
https://www.hybrid-analysis.com/sample/7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497
https://www.hybrid-analysis.com/sample/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ダウンローダファイルを実行すると、以下へアクセスし不正送金マルウェアursnifを取得します。
hxxp://pf.mrprana[.]com/101010.bin
IP: 137.74.249[.]110
https://www.hybrid-analysis.com/sample/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a?environmentId=100
■マルウェアの動き
ダウンローダはcmd.exeからpowershell.exeを実行し、ファイルをダウンロードします。
ダウンローダはダウンロードしたファイルを自動実行するようになっており、Templel20.exeとして動作した後、control.exe等を経由した後、explorer.exeにインジェクションします。
■C2通信先
mp.tallervaldez.com
IP: 176.9.164[.]253
hxxp://chklink.club
IP: 47.74.132[.]234
■通信一覧
■IoC
○URL
hxxp://cg.drinkyourveggies[.]info/
hxxp://cu.momstrikesagain[.]com/
hxxp://cx.theblueprintsound[.]com/
hxxp://fr.upscalerealestatemarketing[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://gy.loriannaharrison[.]net/
hxxp://li.mamabasy[.]com/
hxxp://mx.dannyfaragher[.]com/
hxxp://pf.dancingwiththemoment[.]com/
hxxp://ps.loriannaharrison[.]com/
hxxp://pf.mrprana[.]com/101010.bin
hxxps://mp.tallervaldez[.]com
hxxp://chklink[.]club
○IP
137.74.249[.]110
176.9.164[.]253
47.74.132[.]234
○HASH(SHA256)
7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497
5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a
