2018/07/18(水) 『カード利用のお知らせ』の調査
楽天をかたった不審メールのばらまきによる不正送金マルウェアへの感染を狙った攻撃を観測しました。
■日時
2018/07/18(水) 14:35頃 ~
■件名
カード利用のお知らせ
■送信者
nfo[@]mail.rakuten-card.co[.]jp
■メール内リンク先URL
hxxp://pl.declarationvideo[.]com/ など
全て IP: 185.14.31[.]229 に紐づくドメイン。
■ダウンロードされるファイル
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/5b1664343ce74627b328e328011b572402325e8f40e06ea7f3e0fa313d75fbe0
ダウンローダとして機能するスクリプトです。
■マルウェア取得先
hxxp://cr.allweis[.]com/0.bin
IP:185.14.31[.]229
https://www.hybrid-analysis.com/sample/19364a84a5749747772af4239b5661d192ea11342e479ccd5e7086081e458745
不正送金マルウェアのursnifです。
■C2
以下の2種でした。うち上のものがマルウェアの設定ファイルを取得しているものです。
hxxp://upload-speed[.]icu
IP: 149.129.217[.]59
hxxp://hu.ecologicindustries[.]com
IP: 176.9.164[.]253
■マルウェアの動作
今回のマルウェアは銀行サイトへアクセスすると動画を撮影するというパターンでした。
(他のものはアクセスしたURLを取得する、など)
JC3のGozi感染チェックサイトでは、感染している場合には赤く表示されます。
2018/07/10(火) 『書類について』『写真』『写真送ります。』『現場写真』『見積書再送付致します』『【至急】対応お願い致します』『【その2】』の調査
2018/07/10の添付ファイル付の不審メールのばらまきの情報です。
■日時
2018/07/10(火) 17:50頃~
■件名
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】
■本文
幾つかのパターンを確認しています。
※冒頭挨拶文は本文文章とは別に以下のパターンがあります。
本日はありがとうございました。
お世話になります。
お世話になっております。
●パターンその1
(※冒頭挨拶文)
写真を添付致しますのでご確認下さい。
宜しくお願い致します。
●パターンその2
(※冒頭挨拶文)
ZIPにて写真を送ります。遅くなり申し訳ございません。
よろしくお願いします。
●パターンその3
(※冒頭挨拶文)
ZIPデータ送ります。
申し訳ないですが、ZIPの方で、写真の確認お願いします。
宜しくお願い致します。
●パターンその4
(※冒頭挨拶文)
念の為 図と写真を送ります。
よろしくお願いします。
●パターンその5
(※冒頭挨拶文)
写真です。
宜しくお願い致します。
■添付ファイル名
IMG_[*].zip
*にはメールアドレスの@以前が入ります。
添付ファイル内には、以下2つのファイルが存在します。
IMG_0447_1.jpg
IMG_0447_2.jpg.vbs ※マルウェアです。
https://www.hybrid-analysis.com/sample/4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d/5b446aec7ca3e131097bdf29
■マルウェアの動き(1)
zip内のvbsを実行すると、まず以下のbatファイルを取得し実行します。
hxxp://giarie[.]com/sc2.dat
IP: 92.53.66[.]244
このbatファイルの中ではbitsadminというプログラムを実行し、以下のファイルを取得し、C:\Users\(user名)\AppData\Local\Temp\certInfo.txtに書き込みます。
hxxp://giarie[.]com/no.bin
IP: 92.53.66[.]244
そのファイルを同フォルダ内のcertInf.txtにコピーした後、certutilコマンドでデコードし、C:\Users\(user名)\Documents\paint.exe として作成し、実行します。
作成されるマルウェアは以下のbeblohです。
■マルウェアの動き(2)
beblohを実行し5分程度過ぎると、以下C2へ通信を行います。
hxxps://wigermexir[.]com
IP:92.53.66[.]244
その直前、ブラウザでgoogle宛に通信を行います。恐らくは解析環境かの確認に利用されているのかと思います。
なお、確認後ブラウザは終了されます。他の用途でブラウザを開いていても閉じますので、おや?となります。
C2との通信後、以下からursnifを取得します。
hxxps://socco[.]nl/galleries/inistream.exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853
■マルウェアの動き(3)
ursnifに感染後、以下のC2と通信します。
hxxps://siberponis[.]com
IP:92.53.66[.]244
その後、端末情報を取得します。
■通信
一連の通信は以下のようになります。
■C2通信先
C2との通信はhttpsのため詳細なアクセス順序等不明ですが、メモリダンプの情報より、以下へアクセスしていると思われます。
●bebloh C2
hxxps://wigermexir[.]com/auth/api/(数字10桁)/index/?cgi-bin=login
hxxps://wigermexir[.]com/auth/data/(数字10桁)/img/
hxxps://wigermexir[.]com/auth/media/(数字10桁)/
hxxps://wigermexir[.]com/auth/tracker/user/(数字10桁)/
●ursnif C2
hxxps://siberponis[.]com/images/..(略)../v.bmp
hxxps://siberponis[.]com/images/..(略)../_2B.gif
hxxps://siberponis[.]com/images/..(略)../b1R.gif
hxxps://siberponis[.]com/images/..(略)../5.gif
hxxps://siberponis[.]com/images/..(略)../FYvMN.gif
以上です。
■IoC
●URL
hxxp://giarie[.]com/no.bin
hxxp://giarie[.]com/sc2.dat
hxxps://siberponis[.]com
hxxps://socco[.]nl/galleries/inistream.exe
hxxps://wigermexir[.]com
●IP
92.48.206[.]71
92.53.66[.]244
●hash(SHA256)
4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d
81d016e80fddb754b20702be0218c8351cb040e0d3a108a1d972a68c86de4ce9
e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853
2018/06/25(月)『2018.6月分請求データ送付の件』『6月度発注書送付』『ご請求書を添付致しておりますので』『メールに添付された請求書デー』『添付ファイルをご確認下さい。』の調査
何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。
■日時
2018/06/25(月) 15:50頃 - 17:10頃
■件名
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。
■本文
同じ件名でも空白、7月分請求データという記載があるもの、請求書を添付致しました、というようにパターンがあるようです。人物名も幾つかあるようです。
■添付ファイル
Excel形式の添付ファイルがあります。ファイル内の指示に従い「編集を有効にする」をクリックし、「コンテンツの有効化ボタン」をクリックするとマクロを実行され、ユーザに見えないところでマルウェアを取得します。
(nnnn)_6月.xls
※nnnnは数字4桁
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for '4817_6_.xls'
■ダウンロードされるURLおよびダウンロードされるファイル(bebloh)
ExcelからマクロでダウンロードするURLおよびファイルは以下でうす。ダウンローダ型マルウェアのbeblohと呼ばれるものです。
hxxp://gobertonis[.]com/photo
47.74.148[.]105
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'photo.exe'
■追加でダウンロードされるURLおよびダウンロードされるファイル(ursnif)
beblohに感染後5分程度するとC2へアクセスし、ダウンロード先URLを取得し、ursnifをダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
84.244.181[.]208
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'mrts_ps.exe'
■C2通信先
以前と変化はありませんでした。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com
■IoC
○URL
hxxp://gobertonis[.]com/photo
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
hxxps://bdv4cc9rub[.]com
hxxps://vachiderk[.]com
○IP
47.74.148[.]105
84.244.181[.]208
○HASH(SHA256)
78857f96c2216323344b2790391fe3207b137bcfe75ac795242cd515bddc13c8
b2b1370ede349d538770309749f7197cdf0983b90bfb1aaf5e9483bfda7c5361
2c21e78c2ae52a2aedc97822579343b2f8e63455de97645d6dc52a50d3a2fe31