2018/06/07(木) 『写真送付の件』の調査
続いて、添付ファイル付の不審メール のバラまきを確認しています。
■日時
2018/06/07 15:35頃 - 18:00頃
■件名
写真送付の件
■添付ファイル
(数字4桁)_写真.xls
■取得するファイル
添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。
hxxp://tonetdog[.]com/ecotime
95.213.237[.]119
beblohと思われますが、実行中にプロセスがクラッシュして動作しません。
■追加でダウンロードされるファイル
先週のbeblohを動かしたところ、以下からursnifを取得しました。恐らくはこれが想定される取得すべきマルウェアと思われます。
hxxp://brightonline[.]org/datalook[.]exe
IP: 50.87.150[.]249
■C2
beblohとursnifのC2ドメインは先週より変化はありませんでした。
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
IPは変化しており、共に以下です。
95.213.237[.]119
2018/06/07(木) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
前日に引き続き、メール内のリンクから誘導しダウンロードさせるタイプの不審メールの配布がありました。
■日時
2018/06/07(木) 14:55頃 - 17:35頃
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■送信者
order[@]rakuten.co.jp
■添付ファイル
なし
■メール内リンク先URL
hxxp://lk.renoref[.]com
等、全て185.236.202[.]149に解決されるドメイン
■ダウンロードされるファイル
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/0f58f2393144d9663f1da3656e9133ce81d5283ab7c065ac9cdaade6282a3ead?environmentId=120
■追加でダウンロードされるファイル(ursnif)
hxxps://hu.obci[.]info/010.bin
https://www.hybrid-analysis.com/sample/9f7b02032349637f0d8c962dab2f08f0e3269c295ac0de385c60274e89390d4b?environmentId=120
本日よりhttpでアクセスした後httpsにリダイレクトされ、httpsからダウンロードするよう変わっています。
■C2
前日と同様で以下です。
hxxp://dwupg[.]icu
49.51.82[.]126
hxxp://ne.winzzer[.]com
176.9.164[.]253
2018/06/06(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査
2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。
この件名でのバラマキは5/30以来でした。
配信で使用するドメインやマルウェア等は同一のため、同じ攻撃者によるものと思われます。
配信量は楽天市場の件名と同程度で通常の1/3程度と少量でした。
■日時
2018/06/06(水) 16:25頃 - 18:10頃
■件名
【速報版】カード利用のお知らせ(本人ご利用分)
■送信者
info[@]mail.rakuten-card.co[.]jp
■本文
■添付ファイル
なし
以下は同日の件名が「【楽天市場】注文内容ご確認(自動配信メール)」と同一の内容です。
■メール内リンクURL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
等、IPが185.236.202[.]149に解決されるドメインに誘導されます。
https://www.virustotal.com/#/ip-address/185.236.202.149
■ダウンロードされるファイル
リンク先URLにアクセスすると、ダウンローダ型スクリプトへリダイレクトされダウンロードされます。
Chrome等でアクセスするとダウンロードされるファイルは「楽天銀行の重要な情報.pdf.js」です。
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735?environmentId=120
IEでアクセスすると.zipファイルをダウンロードし、中にjsファイルが含まれています。
■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ファイルを実行すると、以下のパスへアクセスし、不正送金マルウェアursnifを取得し実行します。
hxxp://bn.wonderingwriter[.]com/020.bin
https://www.hybrid-analysis.com/sample/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd?environmentId=120
■マルウェアの動き
jsを実行すると、コマンドプロンプトからPowerShellが実行され、ursnifがダウンロードされ、実行されます。今回のケースでは020.binがリネームされ29021.exeとして実行されます。
その後29021.exeがcontrole.exeからrundll32.exeを実行します。
そこから先はプロセスの動きとしては追えないですが、挙動から最終的にはExplorer.exeにインジェクションしていました。
■C2
ursnifが接続する先は以下の2種です。
設定ファイルを取得する先
hxxp://dwupg[.]icu
マルウェアが取得した情報を送信する先
hxxp://ne.winzzer[.]com
■通信の動き
■IoC
○URL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
hxxp://bn.wonderingwriter[.]com/020.bin
hxxp://dwupg[.]icu
hxxp://ne.winzzer[.]com
○IP
185.236.202[.]149
○HASH(SHA256)
fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735
601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd
