bomb_log

セキュリティに関するbom

2018/06/26(火) 『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。
インジケータ等のみを記載シておきます。

 

■日時
2018/06/26 16:25 -

■件名
楽天カード】カードご請求金額のご案内

■送信者
info[@]mail.rakuten-card.co[.]jp

■メール内リンク
(例)
hxxp://qa.thelovechoice[.]com/
IP:198.98.48[.]158
https://www.virustotal.com/#/ip-address/198.98.48.158
上記IPに紐づくドメインが大量に作られ、そのドメインにアクセスすると以下のファイルがダウンロードされます

■ダウンロードファイル
chromeでアクセスすると以下ファイルがダウンロードされます。IEでアクセスするとzipファイル形式でダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1?environmentId=100
https://www.virustotal.com/#/file/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1/detection
https://app.any.run/tasks/4fbbdc27-2160-463a-9e07-4b6b14ac217e

このファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロード
上記jsを実行すると、以下へアクセスしマルウェアをダウンロード・実行されます。
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxps://gy.nuecesbend.com/0.bin
IP 198.98.48[.]158
https://www.hybrid-analysis.com/sample/41F89827217F8749BBD170FDEBE998922F40CCF43225BAEF9395DB8A70D056C4?environmentId=100
https://app.any.run/tasks/b7b06920-fcc0-4c8d-a1e8-352d11c3de8c
https://cape.contextis.com/analysis/11659/

■C2

bz[.]ecologicindustriesllc[.]com
pingdns[.]xyz/images/1.png
198.98.48.158

2018/06/26(火) 『注文書の送付(2018.06.26)』『注文書よろしくお願いします。』の調査

添付ファイルを開きマクロを実行すると感染する不審メールのばらまきです。マルウェアbeblohおよびursnifに感染します。
主にインジケータ等のみ記載しておきます。

 

■日時

2018/06/26(火) 16:00 -

■件名
注文書の送付(2018.06.26)
注文書よろしくお願いします。

■添付ファイル
nnnn.注文書(2018.06.26).xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/12259d8b5c59d3268a2a105832bdf2e573c29ce7f089296113a99ef02cf66962/community
https://www.hybrid-analysis.com/sample/61a35081cf789d8fb750b7312a54d4b9137ee498b572be951b3d1a80d46cf3a3?environmentId=100

■ダウンロード先
hxxp://gobertonis[.]com/note
47.74.148[.]105
ダウンローダマルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/2cb254b33a9af6a024fcfa1da7365ee12c08f814163bece0d322895ecba7ba02?environmentId=100
https://www.virustotal.com/#/file/2cb254b33a9af6a024fcfa1da7365ee12c08f814163bece0d322895ecba7ba02/detection
C2: hxxps://bdv4cc9rub[.]com


■二次ダウンロード先
hxxp://wimkegravestein[.]nl/language/overrides/winteam.exe
バンキングトロジャン(不正送金マルウェア)のursnifです。
https://www.hybrid-analysis.com/sample/1d6b91d48665287502f6a0ed040f88dc064a1b433f8787374f8d304652f29fe3?environmentId=100
C2: hxxps://vachiderk[.]com

 

2018/07/18(水) 『18/07 製造依頼』の調査

三度不審メールが来ました。添付ファイル添付型です。

 

■日時
2018/07/18(水) 17:50頃 - 18:50頃まで

■件名
18/07 製造依頼

■添付ファイル
2018追加製造.xls
https://www.hybrid-analysis.com/sample/a67f1f172d846bb7b2e82d2d9d423d0fe12292f2eb4c04e5341acffaa74c800c/5b4f040f7ca3e1353275a823

■取得するマルウェア
hxxp://ravigel[.]com/tvs1.dat
https://www.hybrid-analysis.com/sample/eaaed139138504fcac268c50a1bdc9d6b0f2715c794d68c47172fdac3bb7fdc2
※同日の別件名「上記書類を送付します」のばらまきで最終取得したマルウェアと同一ハッシュの検体です。

■C2
hxxps://siberponis[.]com