bomb_log

セキュリティに関するbom

2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。

 

■日時
2018/8/8 17:00頃 - 

■件名
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料

■添付ファイル名
文書_nnnnn.iqy
※nnnnnは数字5桁

f:id:bomccss:20180810030314p:plain

■通信先
添付ファイルが実行されると、まず以下にアクセスを行います。
hxxp://jiglid[.]com/excel

f:id:bomccss:20180810031512p:plain

Cmd.exeからPowerShellで次に以下へアクセスします。
hxxp://jiglid[.]com/version

f:id:bomccss:20180810032506p:plain

ここまでの.iqyファイル、excelファイル、versionファイル、共に8/6で使用されたファイルと次のファイルへのリンクURLが異なるのみで同様の構成のファイルです。
.iqyファイルはアンチウイルスベンダが幾つか検知するようになりましたが、攻撃者が簡単に使いまわしが効く、やっかいな攻撃手法と言えます。

 

■一次検体
以下のファイルが最後のファイルで、不正送金マルウェアURSNIFです。
hxxp://jiglid[.]com/JP

https://www.hybrid-analysis.com/sample/87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57/5b6aa9197ca3e109b452ebe3
●C2:
hxxps://siberponis[.]com
IP: 47.254.203.76
hxxps://baferdifo[.]com

1つ目のC2はこれまでの攻撃キャンペーンでも目にしていたものですが、2つ目のC2はこれまでに見たことのないアドレスです。今後はこのアドレスがしばらくC2として使うものと思われます。
また、C2へのアクセスですが、これまでは443/tcphttpsでアクセスをしていましたが、今回よりhttpsではなく独自プロトコルで通信をするようになっています。
通常の443通信とは異なる通信を検知することで検知可能かも知れません。

 

IoC
●URL
hxxp://jiglid[.]com/excel
hxxp://jiglid[.]com/version
hxxp://jiglid[.]com/JP
hxxps://siberponis[.]com
hxxps://baferdifo[.]com
●IP
47.254.203.76
●HASH(SHA256)
87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57

2018/08/07(火) 『<要返信:FAX>営業○・出荷×』『注文書[※数字4桁]』『インボイス Re: 進捗』の調査

Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/08/07 16:30 頃 - 19:00 頃

■件名
<要返信:FAX>営業○・出荷×
注文書[※数字4桁]
インボイス Re: 進捗

■添付ファイル
FAX[出荷].xls
※件名 <要返信:FAX>営業○・出荷× のもの
https://www.hybrid-analysis.com/sample/d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c/5b69464a7ca3e14611105ff7
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
注文書_office.xls
※件名 注文書[※数字4桁] のもの
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
※2018.08.07.xls
※件名 インボイス Re: 進捗 のもの
https://www.hybrid-analysis.com/sample/ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8/5b6965837ca3e1411e39b7b6

添付ファイルは複数種類ありますが、通信先等はどれも同じです。
添付ファイルを開きマクロを有効化すると、最終的にはマルウェアに感染します。

f:id:bomccss:20180810013934p:plain

このExcelにはマクロがついています。マクロの中身はこちらです。Excelが開きマクロが有効化されると Workbook_Open() が呼び出されshellが実行されます。

f:id:bomccss:20180810014229p:plain

このマクロを実行するとReplace等によりcmd.exe /c が作られ、その引数はoX関数により作られます。
oX関数ではcells(5,1)つまりはA5セルを引数としてC2関数にわたされます。A5セルの中身はこちらです。

f:id:bomccss:20180810014521p:plain

C2関数の部分は全て実行されるとmshta.exeからPowerShell.exeのスクリプトになります。

f:id:bomccss:20180810022215p:plain

f:id:bomccss:20180810014818p:plain


■通信先
添付ファイルのマクロが実行されると、上記流れにより、以下へとアクセスします。
hxxp://jiglid[.]com/out
IPは複数に紐付いています。
109.166.237.170
134.19.224.215
186.87.135.2
188.27.226.49
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2

f:id:bomccss:20180810020202p:plain

中身はよくわからないファイルとなっていますが、先程のPowerShellにより、この内容がxorされることで新たなPowerShellスクリプトが作成され、以下のファイルを取得します。
hxxp://jiglid[.]com/1.tmp

f:id:bomccss:20180810020701p:plain

このファイルはマイドキュメント配下に1.eというファイルとして作成されます。
これを更に変換をかけることで、LevelUpd.exeという実行ファイルになります。

 

■一次検体(URSNIF)

最後に作成されたexeファイルは不正送金マルウェアのURSNIFです。

●C2
hxxps://siberponis[.]com
IP:47.254.203[.]76

■プロセスの動き 
プロセスの動きは以下となります。

f:id:bomccss:20180810021403p:plain

Excel起動からsvchost.exeが起動するまでのコマンドは以下です。

f:id:bomccss:20180810023350p:plain

 URSNIF実行後の初期感染時の端末情報を取得する際のコマンドは以下です。

f:id:bomccss:20180810023427p:plain

■その他
自動起動の手法はこれまで通りマルウェア本体が設定されていました。
JC3のURSNIF感染判定サイトでは判定できませんでした。
銀行サイト等へアクセスした際に取得する情報はWebアクセスの情報とキーロガーで動画取得はありませんでした。

 

IoC
●URL
hxxp://jiglid[.]com/out
hxxp://jiglid[.]com/1.tmp
hxxps://siberponis[.]com
●IP
109.166.237.170
134.19.224.215
186.87.135.2
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2
47.254.203.76
●HASH(SHA256)
d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8

2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査

特殊な形式の添付ファイルがついた不審メールのばらまきを観測しました。
添付ファイルは.iqyファイルであり、Excelに関連付けされており、開くと悪意あるサーバからマルウェアをダウンロードし、最終的には不正送金マルウェアに感染させます。

.iqyファイルに関する注意喚起と対策はIPAより今年7月に出ています。
https://www.ipa.go.jp/files/000068065.pdf
上記を参照し、.iqyファイルをExcelに関連付けないことを推奨します。


■日時
2018/08/06(月) 16:30頃 - 18:40頃

■件名
お世話になります
ご確認ください
写真添付
写真送付の件

■添付ファイル
メールアドレスの@以前のユーザ名.数字5桁.iqy
(例)username.12345.iqy
添付ファイルを実行すると、.iqyファイルは通常Excelに関連付けされており、開くと「Microsoft Excelのセキュリティに関する通知」という警告のポップアップが出ます。「無効にする」を選択すれば問題ありませんが、「有効にする」を選択してしまうと、添付ファイルに記載のURLにファイルを取得しに行きその後マルウェアに感染してしまいます。

添付ファイルの中身は以下の通りです。3行目に記載のURLに接続します。

f:id:bomccss:20180810010923p:plain

■一次接続先
添付ファイルを実行すると同一ドメイン宛に計3回の接続が発生します。
こういった形式で通信が複数回発生するタイプは初めてです。

この接続先となるドメイン hxxp://jiglid[.]com には以下の大量のIPが紐付いています。これも今までには無かったパターンです。
109.224.31.205
124.43.17.103
155.133.93.30
185.42.194.116
185.94.4.228
188.254.205.37
190.140.20.205
190.158.226.15
193.33.1.19
194.204.25.137
195.222.40.54
212.237.112.81
37.143.207.7
37.152.176.90
41.226.17.116
46.40.123.136
46.59.109.240
5.13.77.39
5.204.191.64
62.73.70.146
66.181.168.248
77.81.21.110
78.38.114.17
79.185.30.107
81.12.175.59
82.77.53.5
84.238.147.24
84.54.187.24
88.81.78.98
89.238.207.5
89.44.244.88
89.45.19.18
89.45.19.24
91.139.200.135

 

添付ファイルを実行すると、まず以下のファイルを取得し、実行します。
hxxp://jiglid[.]com/sc4

f:id:bomccss:20180810011300p:plain

この中で更に以下へのアクセスを行います。

hxxp://jiglid[.]com/sc4-2[.]dat

f:id:bomccss:20180810011358p:plain

この中で、http://ipinfo.io/jsonへアクセスにIPが日本のものであれば、更に追加で以下のファイルを取得します。

hxxp://jiglid[.]com/ms[.]xlsx

このファイルはxlsx形式のファイルではなく、実際にはマルウェアであり、tempフォルダ配下にundocument.exeというファイル名で保存・実行し感染します。

このファイルはダウンローダマルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/5533187aeae5b20d0628496f2ee671704bc806b16f4ce8b92468e9db3343957b?environmentId=100
C2: hxxps://wigermexir[.]com
IP:47.254.203[.]76

 

■二次検体
上記beblohはしばらくした後、C2サーバに接続し、以下の接続先から不正送金マルウェアのursnifをダウンロードし感染します。
ここの動作は同じです。
URL: hxxps://socco[.]nl/galleries/2018UP[.]exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/9e6535f7cda29e64af7711347271776cbe1242f33c745c61b5320c84eda5bc7e?environmentId=100
C2: hxxps://siberponis[.]com
IP:47.254.203[.]76

 

自動起動設定
ユーザログイン時に自動実行されるプログラムとしてマルウェア本体が登録されます。
7/25にあったファイルレス型のマルウェアの設置方法とは異なります。

f:id:bomccss:20180810012835p:plain

 

IoC
●URL
hxxp://jiglid[.]com/sc4
hxxp://jiglid[.]com/sc4-2[.]dat
hxxp://jiglid[.]com/ms[.]xlsx
hxxps://socco[.]nl/galleries/2018UP[.]exe
hxxps://wigermexir[.]com
hxxps://siberponis[.]com
●IP

109.224.31.205
124.43.17.103
155.133.93.30
185.42.194.116
185.94.4.228
188.254.205.37
190.140.20.205
190.158.226.15
193.33.1.19
194.204.25.137
195.222.40.54
212.237.112.81
37.143.207.7
37.152.176.90
41.226.17.116
46.40.123.136
46.59.109.240
47.254.203[.]76
5.13.77.39
5.204.191.64
62.73.70.146
66.181.168.248
77.81.21.110
78.38.114.17
79.185.30.107
81.12.175.59
82.77.53.5
84.238.147.24
84.54.187.24
88.81.78.98
89.238.207.5
89.44.244.88
89.45.19.18
89.45.19.24
91.139.200.135
92.48.206.71
●Hash(SHA256)
5533187aeae5b20d0628496f2ee671704bc806b16f4ce8b92468e9db3343957b
9e6535f7cda29e64af7711347271776cbe1242f33c745c61b5320c84eda5bc7e