2019-04-11

10（水）添付ファイル付不審メール（bebloh）の調査

恐らく不正送金マルウェアursnifへの感染を狙ったと思われる、ダウンローダbeblohに感染する日本語のばらまきメールを観測しました。

■日時
2019/04/10（水） 16:00頃-

■件名(5種類)
4月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。

■添付ファイル(2種類)
「原本」・_nnnn.xls
※nnnnは数字4桁
SHA256: 9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d
https://www.virustotal.com/#/file/9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d/details

(n).「原本」・.nnnn.xls
※nは数字1桁、nnnnは数字4桁
SHA256: 9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68
https://www.virustotal.com/#/file/9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68/details

f:id:bomccss:20190411051532p:plain

※マクロが含まれています。

f:id:bomccss:20190411051753p:plain

■本文(例)

f:id:bomccss:20190411051300p:plain f:id:bomccss:20190411051309p:plain

本文は幾つかのパーツの組み合わせで様々なパターンがあります。
詳細は以下を参照ください。
注意情報｜一般財団法人日本サイバー犯罪対策センター

■通信先
・sategano
hxxps://images2.imgbox[.]com/b0/81/gHAGqQjt_o.png
hxxps://i.imgur[.]com/fC5Pcd2.png

・#bebloh C2
hxxps://omnifoxt[.]com

f:id:bomccss:20190411051707p:plain

なお、beblohのC2は上記に接続できない場合、DGAで以下の様に作成されます。

f:id:bomccss:20190411051916p:plain

■プロセス
プロセスの繋がりは以下となります。
Excel.exe → splwow64.exe → cmd.exe → WMIC.exe → wmiprvse.exe → PowerShell.exe → PowerShell.exe → explorer.exe

※画像は一部再実行しているため3つになっていますが、実際にはWMIC → wmiprvse のところだけプロセスの親子が切れ、PowerShell → PowerShellは繋がっています。

f:id:bomccss:20190411052632p:plain

f:id:bomccss:20190411052652p:plain

f:id:bomccss:20190411052716p:plain

■ペイロード
 explorer.exeにインジェクションするのは、ダウンローダ型マルウェアのbeblohです。
・DLL-bebloh
https://www.virustotal.com/#/file/6a1d7d3ca8db53318373705a988967d3a46bd2656aab4a0e035374a38525594a/detection

以上

2019-04-04

2019/04/03（水）添付ファイル付不審メール（bebloh/ursnif(A)）の調査

1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。
※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。

■日時

2019/04/04(水) 14:30 頃 - 18:30 頃

■件名(6種類)
4月1日ご契約の件・初期費用のご請求書のご送付
RE: 【メール確認済】1/1
Re: 【再送】し依頼
【ご提出】
【連絡】2019.4.1
受注連絡

■本文
（例）
f:id:bomccss:20190404031706p:plain f:id:bomccss:20190404031652p:plain

いくつかのパーツの組み合わせでとても多くのバリエーションがあります。
詳細は以下を参照ください。

注意情報｜一般財団法人日本サイバー犯罪対策センター

■添付ファイル

文書名 -scan-nnnn.xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6/details
(例)
文書名 -scan-6076.xls
文書名 -scan-4124.xls

f:id:bomccss:20190404032330p:plain

■ 感染の動き
添付のxlsファイルを実行し、マクロを有効化すると感染活動が行われます。
動作する中でPowerShellをユーザ配下のフォルダにコピーして動作させています。これはセキュリティ製品の検知回避の狙いがあると考えられます。

f:id:bomccss:20190404032525p:plain

執筆時には既に１つ目の通信先が404でアクセスできず、全体の記録ができませんでしたが、動作としては、以下へ通信します。

■通信先

・追加スクリプト
hxxps://gerdosan[.]com/uploads/changed.pdf

・ステガノグラフィ（双方同じ）
hxxps://images2.imgbox[.]com/c3/57/soU1A2HV_o.png
hxxps://i.imgur[.]com/CPHK1L5.png

・bebloh C2
hxxps://gerdosan[.]com/auth/

・bebloh 追加コード取得先
hxxps://gerdosan[.]com/uploads/docs.rar

・ursnif C2
hxxps://sumeriun[.]com
hxxps://lointora[.]com

通信先は恒例の正規のファイルアップロードサイトを利用したステガノグラフィがあります。
また、最初にbeblohのC2のuploadsフォルダ配下に対してアクセスし、追加のpsスクリプトをダウンロードして実行します。
beblohのDLLが作成され、explorer.exeにインジェクション後、C2にアクセスし追加のダウンロードを要求しますが、その時もC2のuploadsフォルダ配下からrar形式に偽装されたコードが送られ、そのコードからursnifが作成されます。

beblohのC2の管理パネルファイルアップローダ機能があるように思われますが、アクセス出来なくなる時間があること、またC2のIPアドレスが遷移することから、幾つかC2サーバがあり、それらを入れ替えながら稼働させていると考えられますが、追加のペイロードが取得できるC2としてはそのうちの一部だけなのかも知れません。

■ペイロード（マルウェア本体）

・bebloh (DLL)

https://www.virustotal.com/#/file/b4711b3330d0c54ed70ad1987d029e39e189f1fc4b95ae3843a6750b8a939cc8/details

・ursnif

https://www.virustotal.com/#/file/7200d267e37d25bf3badb0c9b81e3054505b318a6e89bc228a701341d42ee7b0/details

ursnifのコンフィグは先週と同じです。
<ursnif Config>
version: 3.0.36
server: 12
id: 1000
key: CBA17F7E892431A1
c2: sumeriun[.com
c2: lointora[.com

以上