2018/06/14(木) 『2018.6月分請求データ送付の件』『6月請求データ』の調査
更に6/14に件名が変更され、不審メールのばらきがありました。
■日時
2018/6/14(木) 17:10頃-18:00頃
■件名
2018.6月分請求データ送付の件
6月請求データ
※件名の頭に.、Fwd: 、Fwd: Re:、Re: 、Re: Re: がつく場合があります。
■添付ファイル名
n.nnn.請求・支払データ.xls
nは数字1桁、nnnは数字3桁
https://www.hybrid-analysis.com/sample/6aa670bd806c6c690e900931da4f3ff78efc967a058a939fc75bb866ccfc21a9
以下、同日の別件名のものと同一です。
■ダウンロードするURLおよびマルウェア
Excelのマクロを実行すると、以下へ通信が発生し、ダウンローダ型マルウェアのbeblohを取得します。
hxxp://zeraum[.]com/mailout
https://www.hybrid-analysis.com/sample/60bd3a3642cbd5025e150f48688f11702a92d9c16ff254c4d0e8f57fc4621cc7
■追加でダウンロードするURLおよびマルウェア
beblohは更に以下のURLにアクセスし、不正送金マルウェアursnif をダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/synctm[.]exe
https://www.hybrid-analysis.com/sample/5805b0c068ac3c18910ed3b3952cb52a69acc5ef6e5afdd1666d7c5593578692?environmentId=100
bebloh,ursnifを取得するドメインは6/13と同じです。
■C2
変化はありません。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com
2018/06/14(木) 『【振込み確認書】18.06.14』の調査
6/12,13に引き続き、6/14にも添付ファイル型の不審メールの配信がありました。
■日時
2018/06/14 16:20頃-16:40頃
■件名
【振込み確認書】18.06.14
■添付ファイル
【振込み確認書】18.06.14.xls
https://www.hybrid-analysis.com/sample/9ff97c6be8bf57509583280c1519dc0ae6a1841ae3685d1321828bb1e76abdf4
https://www.hybrid-analysis.com/sample/b3612640b7f18c1fe0eb9f64ab82e27064aa4bdc76c629710c5cf8369fc75e06
■ダウンロードするURLおよびマルウェア
Excelのマクロを実行すると、以下へ通信が発生し、ダウンローダ型マルウェアのbeblohを取得します。
hxxp://zeraum[.]com/mailout
https://www.hybrid-analysis.com/sample/60bd3a3642cbd5025e150f48688f11702a92d9c16ff254c4d0e8f57fc4621cc7
■追加でダウンロードするURLおよびマルウェア
beblohは更に以下のURLにアクセスし、不正送金マルウェアursnif をダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/synctm[.]exe
https://www.hybrid-analysis.com/sample/5805b0c068ac3c18910ed3b3952cb52a69acc5ef6e5afdd1666d7c5593578692?environmentId=100
bebloh,ursnifを取得するドメインは6/13と同じです。
■C2
変化はありません。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com
2018/06/13(水) 『注文書の件』の調査
6/13には添付ファイルがついた不審メールの件名が変化しました。
ここ最近の添付ファイル型不審メールは同一のマルウェアを取得しに行くメールで件名が配信途中から種類が増えるものが多いような気がします。
■日時
2018/06/13(水) 17:30頃 - 20:45頃
■件名
注文書の件
■添付ファイル
運輸注文書.pdf.xls
https://www.hybrid-analysis.com/sample/f0dd3c9e6d4650224147b7d57af63188ed00bd85c40163cdca271e670814acbb?environmentId=100
以下は同日別件名と同じです。
■ダウンロードするURLおよびマルウェア
添付ファイルを実行すると、以下のダウンローダ型マルウェアbebloh を取得します。
hxxp://zeraum[.]com/footerlogo.gif
https://www.hybrid-analysis.com/sample/69e3f671104eee450032d603b4afdf6e0eed82354a909d3b755a0813b5faba05?environmentId=100
■追加でダウンロードするURLおよびマルウェア
beblohを実行していると、更に以下の不正送金マルウェアursnif を取得します。
hxxp://wimkegravestein[.]nl/language/overrides/tv_pcdx[.]exe
https://www.hybrid-analysis.com/sample/7836911a246ded58a2f20d30d4a751d46784a3e41e9f66c408691f6c298e6afc?environmentId=100
■C2
先日から変化なしです。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com
