bomb_log

セキュリティに関するbom

2018/11/14(水)『/発注-181112』『支払依頼書』『【連絡 ※請求書】』の調査

11/14に不審メールのばらまきがあったようです。
こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。
情報共有いただいた内容から調査を行いました。

 

■日時
2018/11/14(水) 17:00頃 - 17:20頃

 

■件名
/発注-181112
支払依頼書
【連絡 ※請求書】


■本文
入手できていませんので、以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201811.html#d20181114b

 

■添付ファイル
(n)DOC20181114nnn.doc
nは数字1桁、nnnは数字3桁

・サンプル
SHA256:  8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9
https://www.virustotal.com/#/file/8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9/detection
https://www.hybrid-analysis.com/sample/8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9?environmentId=100
https://www.vmray.com/analyses/8ed61abc371d/report/overview.html
https://app.any.run/tasks/be375fd7-dc24-4f6b-a7c5-f96f5ed89fd5

f:id:bomccss:20181120193007p:plain

O365のフィッシングで使われているような、青い資料になっています…。

添付ファイルのマクロが付いており、「コンテンツを有効化」のボタンをクリックすると、マクロが動作します。
しかし、マクロが一部不具合があり、マルウェアには感染しません。

 

■マクロ

1段階目で動くのはcmd.exeです。
f:id:bomccss:20181120193312p:plain

2段階目
f:id:bomccss:20181120193346p:plain

3段階目はpowershellが動作します。
f:id:bomccss:20181120193409p:plain

これをデコードすると以下の様になります。
f:id:bomccss:20181120202112p:plain

 

マルウェア
以下のペイロードを取得する想定と思われます。
hxxp://niokrat[.]com/clifind.log
・サンプル
SHA256: fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834
https://www.virustotal.com/#/file/fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834/details
https://www.hybrid-analysis.com/sample/fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834?environmentId=120
https://www.vmray.com/analyses/fb4077e5ef55/report/overview.html

ダウンローダマルウェアのbeblohと思われます。
以下のC2へ通信は発生しますが、追加のマルウェアはダウンロードされません。
・C2
hxxps://abedirer[.]com
IP: 149.129.243[.]34

 

IoC
●URL
hxxp://niokrat[.]com/clifind.log
●IP
149.129.243[.]34
●HASH(256)
8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9
fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834

 

2018/11/06(火) 『10月5日日付の管理費請求書』『10月課金請求リスト』『10月請求書 郵送のご連絡』『11月請求書連絡』『【再送】30年10月分請求書』『ご請求書』『別注お支払いの件』『請求書』『~請求書11月1日~』『注文書の件』『申請書類の提出』『立替金報告書の件です。』『納品書フォーマットの送付』『請求データ送付します』の調査

11/6に不審メールのばらまきがありました。
10/24の復活以降、4回目のばらまきです。

 

■日時
2018/11/06(火) 17:30頃 - 21:40頃

■件名
10月5日日付の管理費請求書
10月課金請求リスト
10月請求書 郵送のご連絡
11月請求書連絡
【再送】30年10月分請求書
ご請求書
別注お支払いの件
請求書
~請求書11月1日~

以下の件名は18:45頃より追加されました。

注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します

■本文
本文が幾つかのパターンの組み合わせで複数の形式がありますが、サンプルは以下です。

f:id:bomccss:20181112165813p:plain

f:id:bomccss:20181112165826p:plain

f:id:bomccss:20181112165839p:plain

f:id:bomccss:20181112165849p:plain

詳細は以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201811.html#d20181106a
https://www.jc3.or.jp/topics/v_log/201811.html#d20181106b

 

■添付ファイル名
20181106nnnnn.xls
※nnnnnは数字5桁

・サンプル
SHA256: 81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
https://www.virustotal.com/#/file/81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804/detection
https://www.hybrid-analysis.com/sample/81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804/5be14bf67ca3e1677d6f4560
https://app.any.run/tasks/322f67ac-d2e8-4c68-84da-09102ae36b5f
https://www.joesandbox.com/analysis/88303/0/html
https://www.vmray.com/analyses/81e10dc5acf7/report/overview.html

f:id:bomccss:20181112181447p:plain

以下は18:45頃より追加されたものです。

Doc0611201820nnnnnnnn.xls
※nnnnnnnnはランダムな数字8桁

・サンプル
SHA256: 4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab
https://www.virustotal.com/#/file/4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab/detection
https://www.hybrid-analysis.com/sample/4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab/5be168e57ca3e124cb6d3e58
https://www.vmray.com/analyses/4095b31681f9/report/overview.html

f:id:bomccss:20181112181609p:plain

 

どちらのタイプの添付ファイルも同様の動作・通信を行います。

 

■プロセスの動き
今回、procmonを動作できなかった(動かすとブルースクリーンになる)ため、プロセスツリーをキャプチャできていませんが、AnyRunから参照すると以下の流れです。

f:id:bomccss:20181112185550p:plain

プロセスの動きとして新しい手口であるのは、find.exeやfindstr.exeを利用してコマンドを作成している点です。
動作としては今回もステガノグラフィを使用しており、画像ファイルにアクセスした後、画像ファイルから更にコマンドを取得して、PowerShellで実行しています。

■通信先
通信先をまとめると以下の動きとなります。

f:id:bomccss:20181112191139p:plain


最初にアクセスが発生するのは、以下の画像ファイルで、これはステガノグラフィを行う為です。
hxxps://images2.imgbox[.]com/90/f1/gat2MVsK_o[.]png
IP: 208.99.84[.]104

f:id:bomccss:20181112191116p:plain


次に通信が発生するのは以下であり、ダウンローダマルウェアのbeblohです。
hxxp://olideron[.]com/connmouse
IP: 188.237.190[.]24
SHA256: 75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783
https://www.virustotal.com/#/file/75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783/detection
https://www.vmray.com/analyses/75ca5c2caf52/report/overview.html
https://app.any.run/tasks/0bc5e79b-5f81-4d73-b1b4-cdce981daa41

・C2
beblohは10分程度すると、以下のC2と約5分毎に通信を行います。
hxxps://pogertan[.]com
IP: 216.58.199[.]228

C2と通信をすると、以下の不正送金マルウェア、ursnifをダウンロードします。
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
IP: 217.160.0[.]251
SHA256: dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4
https://www.virustotal.com/#/file/dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4/detection
https://www.vmray.com/analyses/dba40065b6ef/report/overview.html

・C2
ursnifは以下どちらかのC2へ通信します。
hxxps://niperola[.]com
IP: 5.8.88[.]247
hxxps://bagersim[.]com
IP:  107.150.102[.]158

IoC
●URL
hxxps://images2.imgbox[.]com/90/f1/gat2MVsK_o[.]png
hxxp://olideron[.]com/connmouse
hxxps://pogertan[.]com
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
hxxps://niperola[.]com
hxxps://bagersim[.]com
●IP
208.99.84[.]104
188.237.190[.]24
216.58.199[.]228
217.160.0[.]251
5.8.88[.]247
107.150.102[.]158
●HASH(SHA256)
81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab
75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783
dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4

2018/11/01(木) 『立替金報告書の件です。』『申請書類の提出』『注文書の件』『請求データ送付します』『納品書フォーマットの送付』『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書~』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

11/1(木)にも不審メール のばらまきがあったようです。
こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。
情報共有いただいた内容から調査を行いました。

 

■日時
2018/11/01(木) 18:00頃 - 

■件名
立替金報告書の件です。
申請書類の提出
注文書の件
請求データ送付します
納品書フォーマットの送付

※この件名は10/24にばらまかれたものと同様です。

19:00頃より、以下の件名でもばらまきがあったようです。

■件名
10月請求書の件
2018年10月度 御請求書
RE: 10月分WO
【請求書、見積書送付】30/10-11
再)ご請求書~
請求書送信のご連絡
預かり金依頼書の送付(追い金)

※この件名は10/30にばらまかれたものと同様です。


■添付ファイル名(18時以降)
nnnn DOC20181101nnn.xls
※nnnnは数字4桁、nnnは数字3桁

・サンプル
SHA256: c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a
https://www.virustotal.com/#/file/c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a/detection
https://www.hybrid-analysis.com/sample/c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a?environmentId=100
https://www.joesandbox.com/analysis/87512/0/html
https://www.joesandbox.com/analysis/87674/0/html
https://www.vmray.com/analyses/c5e3ea84d236/report/overview.html
https://app.any.run/tasks/3a54682a-4cf7-4688-986a-5458004f88f7

f:id:bomccss:20181108170207p:plain

 

■添付ファイル名(19時以降)
-nnnnnnn.xls
※n…は数字7桁

■添付ファイル名
-nnnnnnn.xls※n数字7桁

・サンプル
SHA256: bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668
https://www.virustotal.com/#/file/bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668/detection
https://www.hybrid-analysis.com/sample/bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668?environmentId=120
https://www.joesandbox.com/analysis/87557/0/html

 

どちらの件名の添付ファイルも同様の動作・通信を行います。

 

■プロセスの動き
エクセルを開き、マクロを有効化すると、マクロが実行されます。
マクロから難読化されたcmd.exeが3段階で実行されます。
そこからWMIC.exeが実行され、さらにPowerShell.exeが実行されます。

f:id:bomccss:20181108170251p:plain

 

■接続先
最初に以下のファイルへアクセスします。
hxxps://images2.imgbox[.]com/52/30/CFHzOzP4_o.png
IP: 208.99.84[.]100

f:id:bomccss:20181108173332p:plain

画像ファイルですが、画像の中にスクリプトが含まれており、そのスクリプトを後段で実行します。
ステガノグラフィと呼ばれる手法です。
その後、以下の不正送金マルウェアursnifを取得します。

hxxp://martenod[.]com/ufolder
IP: 217.156.87[.]2

SHA256: 4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89
https://www.virustotal.com/#/file/4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89/detection
https://www.hybrid-analysis.com/sample/4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89?environmentId=100
https://www.vmray.com/analyses/4c603d763a2b/report/overview.html

なお、取得する際にUser-Agetは以下を使用します。
"Mozilla/5.0 (Windows NT; Windows NT 10.0; us-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/7.0.0.500.0 Safari/534.6")

ファイルはダウンロード後、%Temp%\pviewer.exe としてファイルが実行されます。

 

■C2
hxxps://makarcheck[.]com
IP: 47.254.153[.]36

※C2は10/24のものと同じです。

 

IoC
●URL
hxxps://images2.imgbox[.]com/52/30/CFHzOzP4_o.png
hxxp://martenod[.]com/ufolder
hxxps://makarcheck[.]com
●IP
208.99.84[.]100
217.156.87[.]2
47.254.153[.]36
●HASH(SHA256)
c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a
bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668
4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89