bomb_log

セキュリティに関するbom

2018/07/04(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたったメールでマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/7/4(木)

■件名
【速報版】カード利用のお知らせ(本人ご利用分)
楽天カード】カードご請求金額のご案内

■メール内リンク先 
(例)
hxxp:bm.ourmonthinitaly[.]com
その他、195.123.238[.]14 に解決されるドメイン

■ダウンロードされるファイル
上記ドメインにアクセスすると以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/c94a4bc939685c10181aa25d548bd4aa93866d9ea6640ca6aa8b8f812bd1d62b?environmentId=100
ファイルを実行しない限り、マルウェアには感染しません。

■二次ダウンロードファイル
上記ファイルを実行すると、以下の不正送金マルウェアursnifに感染します。
hxxp://gq.takeitalyhome[.]com/032901.bin
https://www.hybrid-analysis.com/sample/a93182cdcde8030cac64378da0406c7f628486ec1cf41b6e49cf5a551c0ab837
https://cape.contextis.com/analysis/11963/

■C2
hxxp:pingdns[.]xyz
212.92.98[.]175
hxxp:kp.reslifefurniture[.]com
176.9.164[.]253

 

2018/07/03(水) 『写真送付の件』『写真添付』の調査

添付ファイル付のメールで不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。

 

■日時
2018/7/3(水)

■件名
写真送付の件
写真添付

■添付ファイル
2018.[※].写真.xls
※にはメールアドレスの@の前の部分(name@domain.comの場合name)が入ります
https://www.hybrid-analysis.com/sample/213cadcebaef97e5ef8d96d14f4d6a96bfc59f1273e100c7e86907cff81154c8/5b3b24737ca3e170117e559c
添付ファイルを開きマクロを有効にしない限り、マルウェアには感染しません。安全です。
マクロを有効にすると、見えないところでマルウェアをダウンロード・実行します。

■ダウンロードファイル
ダウンローダマルウェアのbeblohです。
取得先:hxxp://cebtedota[.]com/03062018
https://www.hybrid-analysis.com/sample/2a3d33977c61cb3a40bcee22e804e602651a09911398a56765220e27aacdbc78?environmentId=100
C2:hxxps://wigermexir[.]com
beblohが実行され10分前後するとbeblohはC2へアクセスし、以下の追加マルウェアをダウンロードします。

■二次ダウンロードファイル
不正送金マルウェアのursnifです。
取得先:hxxp://socco[.]nl/galleris/datecenter[.]exe
https://www.hybrid-analysis.com/sample/d4a3de1744591ba52383136178381227b167f872a104b2234385fc32a7a7eafe?environmentId=100
C2:hxxps://siberponis[.]com


なお、同日に以下の件名でも配布されていますが、マクロが動作しないため無害です。
※失敗作
■件名
イメージ送付

■添付ファイル
(例)IMG_4207-2400-A4.xls
https://www.hybrid-analysis.com/sample/a2da8194ed5f8e0a2786a597b63b59231f506e91c77599d7cbc0d10d89d9db07/5b3b1c627ca3e14c580a5735 

2018/07/02(月) 『7月度発注書送付』『invoice/証明書』『注文書をお送りいたします』の調査

添付ファイル付の不審メールのばらまきがありました。添付ファイルを実行すると、不正送金マルウェアursnifに感染します。
記録としてインジケータ等を記載します。

 

■日時
2018/07/02(月) 6:10頃~

■件名
7月度発注書送付
invoice/証明書
注文書をお送りいたします

■添付ファイル
注文書_nnnn.xls
※nnnnは数字4桁
https://www.hybrid-analysis.com/sample/2459267409143a7723b6e0fea34ef8f4b4bc510ee37e48f422f3324d696aca18
添付ファイルはダウンローダで、開いてマクロを有効にしない限り、マルウェアには感染しません。
有効にすると、見えない形で以下のマルウェアをダウンロード・実行します。

■ダウンロードファイル
ダウンローダマルウェアのbeblohです。
hxxp://cebtedota[.]com/csshead
C2:hxxps://wigermexir[.]com
https://www.virustotal.com/#/file/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba/detection
https://www.hybrid-analysis.com/sample/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba

■二次ダウンロードファイル
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxp://socco[.]nl/galleris/apwijet[.]exe
C2:hxxps://siberponis[.]com
https://www.virustotal.com/#/file/322d231dde304d9778dc879b8fd3f126aa32e20873e9d6aedcd3530c22303c11/detection
https://www.hybrid-analysis.com/sample/7c13b9ab1ce7fdeeb8fbb235ed593e4affdedf317a6b7eac06ca3a64ab62daba
https://app.any.run/tasks/d9a55e69-9acc-4779-aaa4-d6400ad8c301