bomb_log

セキュリティに関するbom

2018/07/02(月) 『7月度発注書送付』『invoice/証明書』『注文書をお送りいたします』の調査

添付ファイル付の不審メールのばらまきがありました。添付ファイルを実行すると、不正送金マルウェアursnifに感染します。
記録としてインジケータ等を記載します。

 

■日時
2018/07/02(月) 6:10頃~

■件名
7月度発注書送付
invoice/証明書
注文書をお送りいたします

■添付ファイル
注文書_nnnn.xls
※nnnnは数字4桁
https://www.hybrid-analysis.com/sample/2459267409143a7723b6e0fea34ef8f4b4bc510ee37e48f422f3324d696aca18
添付ファイルはダウンローダで、開いてマクロを有効にしない限り、マルウェアには感染しません。
有効にすると、見えない形で以下のマルウェアをダウンロード・実行します。

■ダウンロードファイル
ダウンローダマルウェアのbeblohです。
hxxp://cebtedota[.]com/csshead
C2:hxxps://wigermexir[.]com
https://www.virustotal.com/#/file/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba/detection
https://www.hybrid-analysis.com/sample/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba

■二次ダウンロードファイル
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxp://socco[.]nl/galleris/apwijet[.]exe
C2:hxxps://siberponis[.]com
https://www.virustotal.com/#/file/322d231dde304d9778dc879b8fd3f126aa32e20873e9d6aedcd3530c22303c11/detection
https://www.hybrid-analysis.com/sample/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba
https://app.any.run/tasks/d9a55e69-9acc-4779-aaa4-d6400ad8c301

2018/06/29(金) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

楽天をかたったメールで、メール内リンクから不正送金マルウェアursnifへの感染を狙ったばらまきメールがありました。


■日時
2018/6/29

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■差出人
info[@]mail.rakuten-card.co.jp

■メール本文内のリンク
(例)他のリンクも同じIPに解決する
hxxp://fj.gueyprotein.com/
IP: 45.125.65[.]69

■ダウンロードファイル
メールをクリックすると以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
このファイルを実行しない限り、マルウェアに感染することはありません。

■二次ダウンロードファイル(ursnif)
hxxps://fj.gueyprotein[.]com/200.bin
IP: 45.125.65[.]69
https://www.hybrid-analysis.com/sample/8ad7ac0ffd6f3daeaefcda542a0cea93bf30f2855135965324b151a2c1a794ed

 

2018/06/28(木) 『写真』『スナップ写真』『写真添付』『写真送ります。』『写真送付の件』『添付写真あり』の調査

様々な件名でエクセルファイルが添付された不審メールがばらまかれていました。添付ファイルを実行すると不正送金マルウェアursnifに感染します。

 

■日時
2018/06/28(木)15:20頃~

■件名
スナップ写真
写真
写真添付
写真送ります。
写真送付の件
添付写真あり

■添付ファイル
数字_写真①.xls
https://www.hybrid-analysis.com/sample/333ce82ca7591c39a27be2ec07ea3e213e7876ee968d7d736733566883a160bc?environmentId=100
https://www.hybrid-analysis.com/sample/9413e035932981e809435205528fae36cbbfed87b5defc1731817aa0530e2247?environmentId=100

■ダウンロードファイル(bebloh)
添付ファイルを開きマクロを有効化すると以下のマルウェアがダウンロード・実行されます。ダウンローダマルウェアです。
hxxp://monde[.]at/realst
IP: 47.74.148[.]105
https://www.hybrid-analysis.com/sample/8df2efce13a873cfde5a424b0d1c9bdc21056840644d8ee53fb843bfc6a9995e?environmentId=100
C2: hxxps://bdv4cc9rub[.]com

■二次ダウンロードファイル(ursnif)
上記ファイルを実行後、10分前後するとC2サーバへアクセス後、以下のマルウェアをダウンロード・実行されます。不正送金マルウェアursnifです。
hxxp://hispavila[.]com/total/privado/estyle.exe
https://www.hybrid-analysis.com/sample/6ffdb0dfa15d69f36c9efbfcd37b3ec2573d9199f9118b69254dfe3a336d414a/5b34ac847ca3e15d136d220c
C2: hxxps://vachiderk[.]com

2018/06/26(火) 『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。
インジケータ等のみを記載シておきます。

 

■日時
2018/06/26 16:25 -

■件名
楽天カード】カードご請求金額のご案内

■送信者
info[@]mail.rakuten-card.co[.]jp

■メール内リンク
(例)
hxxp://qa.thelovechoice[.]com/
IP:198.98.48[.]158
https://www.virustotal.com/#/ip-address/198.98.48.158
上記IPに紐づくドメインが大量に作られ、そのドメインにアクセスすると以下のファイルがダウンロードされます

■ダウンロードファイル
chromeでアクセスすると以下ファイルがダウンロードされます。IEでアクセスするとzipファイル形式でダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1?environmentId=100
https://www.virustotal.com/#/file/3f057cd1cc91d243859526d4bf78270ed89ec54655e56d8d65bd4030db00a6b1/detection
https://app.any.run/tasks/4fbbdc27-2160-463a-9e07-4b6b14ac217e

このファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロード
上記jsを実行すると、以下へアクセスしマルウェアをダウンロード・実行されます。
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxps://gy.nuecesbend.com/0.bin
IP 198.98.48[.]158
https://www.hybrid-analysis.com/sample/41F89827217F8749BBD170FDEBE998922F40CCF43225BAEF9395DB8A70D056C4?environmentId=100
https://app.any.run/tasks/b7b06920-fcc0-4c8d-a1e8-352d11c3de8c
https://cape.contextis.com/analysis/11659/

■C2

bz[.]ecologicindustriesllc[.]com
pingdns[.]xyz/images/1.png
198.98.48.158

2018/06/26(火) 『注文書の送付(2018.06.26)』『注文書よろしくお願いします。』の調査

添付ファイルを開きマクロを実行すると感染する不審メールのばらまきです。マルウェアbeblohおよびursnifに感染します。
主にインジケータ等のみ記載しておきます。

 

■日時

2018/06/26(火) 16:00 -

■件名
注文書の送付(2018.06.26)
注文書よろしくお願いします。

■添付ファイル
nnnn.注文書(2018.06.26).xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/12259d8b5c59d3268a2a105832bdf2e573c29ce7f089296113a99ef02cf66962/community
https://www.hybrid-analysis.com/sample/61a35081cf789d8fb750b7312a54d4b9137ee498b572be951b3d1a80d46cf3a3?environmentId=100

■ダウンロード先
hxxp://gobertonis[.]com/note
47.74.148[.]105
ダウンローダマルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/2cb254b33a9af6a024fcfa1da7365ee12c08f814163bece0d322895ecba7ba02?environmentId=100
https://www.virustotal.com/#/file/2cb254b33a9af6a024fcfa1da7365ee12c08f814163bece0d322895ecba7ba02/detection
C2: hxxps://bdv4cc9rub[.]com


■二次ダウンロード先
hxxp://wimkegravestein[.]nl/language/overrides/winteam.exe
バンキングトロジャン(不正送金マルウェア)のursnifです。
https://www.hybrid-analysis.com/sample/1d6b91d48665287502f6a0ed040f88dc064a1b433f8787374f8d304652f29fe3?environmentId=100
C2: hxxps://vachiderk[.]com

 

2018/07/18(水) 『18/07 製造依頼』の調査

三度不審メールが来ました。添付ファイル添付型です。

 

■日時
2018/07/18(水) 17:50頃 - 18:50頃まで

■件名
18/07 製造依頼

■添付ファイル
2018追加製造.xls
https://www.hybrid-analysis.com/sample/a67f1f172d846bb7b2e82d2d9d423d0fe12292f2eb4c04e5341acffaa74c800c/5b4f040f7ca3e1353275a823

■取得するマルウェア
hxxp://ravigel[.]com/tvs1.dat
https://www.hybrid-analysis.com/sample/eaaed139138504fcac268c50a1bdc9d6b0f2715c794d68c47172fdac3bb7fdc2
※同日の別件名「上記書類を送付します」のばらまきで最終取得したマルウェアと同一ハッシュの検体です。

■C2
hxxps://siberponis[.]com

2018/07/18(水) 『ご確認下さい』『 資料添付します。』『再送』『表題の資料を送付いたします。』『 Fw: 資料』『 7月』『 上記書類を送付します。』『 申込書類の送付』の調査

複数種類の件名に添付ファイルがついた不審メールを観測しました。
なお、観測はできませんでしたが、前日7/18でも同様の件名で同じマルウェアを取得するものが一部ばらまかれていたようです。

 

■日時
2018/07/18(土) 16:40頃 - 17:00頃

■件名
ご確認下さい
資料添付します。
再送
表題の資料を送付いたします。
Fw: 資料
7月
上記書類を送付します。
申込書類の送付

■添付ファイル
数字-書類.zip

zipファイル中に含まれる20180718_2.vbs はマルウェアです。

20180718_2.vbs
https://www.hybrid-analysis.com/sample/a270898758261e81d998bc42d0c87873f8a5d75cc1dae026edb30ecb0573f079?environmentId=100

■通信先
hxxp://ravigel[.]com/1cr.dat
hxxp://ravigel[.]com/top.dat

デコードするとpaint.exeになります。

paint.exe
https://www.hybrid-analysis.com/sample/eaaed139138504fcac268c50a1bdc9d6b0f2715c794d68c47172fdac3bb7fdc2

■C2
hxxps://siberponis[.]com