2019/02/28(木) 添付ファイル付不審メール(bebloh/ursnif-A)の調査
火曜に引き続き、日本を狙った不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。
火曜日と同じくursnif-A系(添付系)のアクターと思われます。
今年に入ってからは週に2度ばらまくことはほぼなかったため、今後活発に活動する傾向かもしれませんので、注意が必要です。
■日時
2019/02/28 16:30~
■件名
※指定請求書
※注文書、請書及び請求書のご送付
※にはRe:、Fwd:、Fw:、RE:、-、(なし)のどれかが入ります
■本文
※件名同様、本文も幾つかの組み合わせからランダムに生成されます。詳細はJC3の以下を参照ください。
■添付ファイル名
nnnnn_nnnnn_(2019.2).xls
※nnnnnは数字2桁-5桁■添付ファイルサンプル
SHA256: 21cc174826ce5e69aa60445f547b94bb0b544c5d66a01063e37abbfdc91a715f
https://www.virustotal.com/#/file/21cc174826ce5e69aa60445f547b94bb0b544c5d66a01063e37abbfdc91a715f/details
https://any.run/tasks/1ed3b74d-6c89-45f0-a64b-a13331845dac
※添付ファイルのハッシュ値は1つです。
添付ファイルにはExcelマクロがついており、マクロを有効にすると、ダウンローダが動きます。
ただし、マクロの中でデフォルトが日本語の環境かを調べており、そうでない場合は動作しません。日本語の環境であった場合に、ダウンローダが動作します。
(先週からのxlsにはマクロの保護機能が有効になっており直接参照できませんでしたが、今回は保護機能が有効になっていませんでした)
マクロの解析については、@nao_sec さんの以下の情報が参考になります。
Japanese #malspam xls -> Macro -> GetUserDefaultLCID + GetLocaleInfo + Get-Culture -> #Beblohhttps://t.co/rKNHVdM3Ufhttps://t.co/EFZDv2bKzE pic.twitter.com/L9jgofXz53
— nao_sec (@nao_sec) February 28, 2019
■通信先
マクロが動作すると、更にcmd.exe、powershell.exeが動き、以下のURLへアクセスし、ダウンロードします。
hxxps://benistora[.]com/uploads/audio.7z
※拡張子は.7zファイルですが、中身はスクリプトファイルです。
このスクリプトを更に動作させ、ダウンローダ型マルウェアのbeblohに感染します。
beblohは定期的(約10分毎)に以下のC2にアクセスします。
・bebloh-C2
hxxps://benistora[.]com/
IP: 5.188.60[.]66
メモリダンプからURLを抽出すると、以下です。cgi-binは1回のみのアクセスで恐らくはログイン、その後tools配下のパスに司令が置かれた場合に更に追加のダウンロードが動くと思われます。
hxxps://benistora[.]com/auth/cgi-bin/
hxxps://benistora[.]com/auth/tools/247xxxxxx/
このbeblohがC2からどういうタイミングで司令がくるのか、という点については不明瞭かです。動く場合もあれば、動かない場合もある、という感じです。
今回は一度感染後、再起動してもう一度感染させた時に追加のダウンロードが動きました。
beblohがursnifを取得するURLも恐らくはursnifのC2ドメインに同居していると思われますが、明確にはなっていません。
ursnifに感染すると定期的(約10分毎)に以下のドメインへアクセスします。
・ursnif-C2
hxxps://mopscat[.]com/images/
IP: 5.188.60[.]65
このエクセルから感染までの動きのプロセス、および通信は以下です。
■マルウェア
beblohとursnifは生成後、どちらもexplorer.exeにインジェクションされます。
beblohはexplorer.exeからダンプを取得しました。しかし、ファイルのマジックナンバーが(恐らく意図的に)00になっていたため、そのままでは動作しません。
動作はしませんが、サンプルは以下になります。
https://www.virustotal.com/#/file/0c7adcfc3337484f9ec2b064678a40ea9d82aa5e414700edb9f562dd1eae2051/detection
https://app.any.run/tasks/88f9501f-717c-477b-a623-9c3a047e0c6b
ursnifは作成後自身を消去しメモリ内で生息します。
今のursnifは自身の再実行の設定を、PCを落とすタイミングでPC内に設定をします。
PCを再起動しセーフモードで確認した場合の再実行の設定は以下になります。
このフォルダはursnif実行中はありません。このフォルダのショートカットが同フォルダのexe(ursnif)を実行します。
取得できたursnifのサンプルは以下になります。
SHA256: 2002fae3242905605b2683c26e742da15cd62ab063e394dd9e14c534b77e309e
https://www.virustotal.com/#/file/2002fae3242905605b2683c26e742da15cd62ab063e394dd9e14c534b77e309e/details
https://app.any.run/tasks/3b39af06-f56e-422f-af3b-06890052026a
なお、同様にursnifを取得していた moto_sato さんが取得しているursnifとはhashが異なるのが気になるところです。
https://app.any.run/tasks/1eb81a6c-b18e-4242-bc02-054dab875921
SHA256: 0a374444049303e5d693bf3de4ec3735de2ab5aa6654229aaa2c95c4257a9508
https://app.any.run/tasks/ed25f01f-d884-41e0-a2da-39950ae97ece
SHA256: a97787778ad5f369beafd12275b93f3919faf4bdbd2cf7fc16d002d9aee43e1d
ursnifに繋がりました
— moto_sato (@58_158_177_102) February 28, 2019
【通信先】
mopscat[.]com
【サンプル】https://t.co/YbIAt2a39fhttps://t.co/wS5UPGmDfn
以上。
2019/02/26(火) 添付ファイル付不審メール(bebloh/ursnif-A)の調査
前週に引き続き、日本を狙って不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。
このばらまきメールはursnif-A系(添付系)のアクターです。
ただ、このところ夜中は追加スクリプトが取得できなかったり、beblohから追加マルウェアのダウンロードが行われないなど、挙動が不審です。
また、件名や添付ファイルの多様ななど、検知よけを工夫しているようにも思えます。
■日時
2019/02/26 16:30~
■件名(14種類)
工程表
2/1 【追加】
クレームです。
確認事項とお願い
2月入金の残り
RE: 【依頼】
【お願い】
添付用納品書
RE: 【発注分】
2/26 フォロー申請
Re: 再送
御見積書
2/26送り状
送り状番号ご[nnnn]
※nnnnは数字4桁
■添付ファイル(4種類)
・***_nnnn_2019_2_3.xls
※***は英数字3文字、nnnnは数字4桁
https://www.virustotal.com/#/file/2143421df567dc0d4c3c364cfc6be9cad3e529c29dd8e57b17d608bcd5246a4d/detection
・[2019.2.26]_nnn_nn.xls
※nnnは数字3文字、nnは数字2桁
https://www.virustotal.com/#/file/71e059ceecb85b737531bd1981f77c95fa10a70cd17ff916d4736ead2eeb94f0/detection
・nnnnnnn_nnnn_2019_2_3.xls
※数字7文字、数字4桁
https://www.virustotal.com/#/file/667e30b20e0986c7def59f66d871a579a32f150b61f64aefd431864b33dced12/detection
・[2019.2.26]_nnn_nn.xls
※nnnは数字3文字、nnは数字2桁
https://www.virustotal.com/#/file/27f92ece7ba250d9f9da65916dda093db40fa79e634010dfe408eec95ebaf674/detection
■通信先
●正規サイトの悪用
・stegano stege11
hxxps://i.imgur[.]com/96vV0YR.png
hxxp://oi65.tinypic[.]com/2z8thcz.jpg
・IPから国の識別(JPが返る)
hxxps://ipinfo.io/country
・stegano stage-2
hxxps://i.postimg[.]cc/bv5dMcK6/J2.png
hxxps://images2.imgbox[.]com/ff/22/6NkpoT2I_o.png
・stage-3 (beblohからの取得)
不明
●C2
・bebloh
hxxps://olkerona[.]com
・ursnif
hxxps://mopscat[.]com
・beblohペイロード
https://www.hybrid-analysis.com/sample/ebb3fca571b3611cf9232a9a0210f27ae53ca222a15897282e2c5b5c9b3c9970
以上です。
2019/02/25(月) 添付ファイル付不審メール(GandCrab/Phorpiex)の調査
2019年始より日本をターゲットに行われているランサムウェアGandCrabのばらまきメールが発生しました。
単純な作りであり、たいていのスパムメールフィルタで止まっているものと思われます。
ただ、非常に大量に継続的に実行しており、1日半以上たった現時点でも継続してばらまきメールが配信されています。配信は Phorpiex スパムボットが行っています。
■日時
2019/02/25 9:30~
■件名
日本の芸能人の名前など、全部で140種類くらいあります。
以下が参考になります。
Based on received GandCrab mail data from 25th 09:23AM to 26th 10:23AM (over 24H! and ongoing!), we got 78,701 mails and 140 subjects from 13,048IPs. IPs are maybe infected "Phorpiex". pic.twitter.com/Ak963tXByB
— moto_sato (@58_158_177_102) February 26, 2019
■本文
;)
■添付ファイル
PICnnnnnnnn-JPG.zip / PICnnnnnnnn-JPG.js
※nnnnnnnnは数字7-9桁
■添付ファイルサンプル
https://app.any.run/tasks/92bfde8d-f182-4375-80f7-2f9477a2c11a
https://app.any.run/tasks/d49ed4bf-2a87-4a33-9bcb-db757ff543a0
※同一のURLでも時間帯により別のハッシュのマルウェアが置かれています。
■通信先
hxxp://92.63.197[.]153/test.exe
hxxp://92.63.197[.]153/krabaldento.exe
hxxp://92.63.197[.]153/1.exe
hxxp://92.63.197[.]153/2.exe
hxxp://92.63.197[.]153/4.exe
hxxp://92.63.197[.]153/spm/1.exe
hxxp://92.63.197[.]153/spm/2.exe
hxxp://92.63.197[.]153/spm/3.exe
当初置かれていたtest.exeは #GandCrab v5.2でした。
その後、過去と同様に、ダウンローダ型のマルウェアに置き換えられ、1.exe - 4.exeを取得する動作を行うものになりました。
添付ファイルの通信先が変化し、krabaldento.exeに変わってからは、/spm/1.exe- 3.exeを取得するようになりまました。
どちらでも、以下が配置されています。
・1.exe - GandCrab v5.2 ランサムウェア
・2.exe - Phorpiex スパムボット
・3.exe/4.exe - CoinMiner
数が多いため、サンプルは以下を参照としてください。
なお、これまでのGandCrabの情報については、以下が参考となります。
以上です。