2019/04/10(水) 添付ファイル付不審メール(bebloh)の調査
恐らく不正送金マルウェアursnifへの感染を狙ったと思われる、ダウンローダbeblohに感染する日本語のばらまきメールを観測しました。
■日時
2019/04/10(水) 16:00頃-
■件名(5種類)
4月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。
■添付ファイル(2種類)
「原本」・_nnnn.xls
※nnnnは数字4桁
SHA256: 9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d
https://www.virustotal.com/#/file/9dc6974b2e288fbeff404c6883cd1cf9ab4418b9f2bf43887f0ca5915d791a3d/details
(n).「原本」・.nnnn.xls
※nは数字1桁、nnnnは数字4桁
SHA256: 9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68
https://www.virustotal.com/#/file/9de470efde8b4bea45fd849e80118fc3f68d1754910066442d7ffc0ad64e7e68/details
※マクロが含まれています。
■本文(例)
本文は幾つかのパーツの組み合わせで様々なパターンがあります。
詳細は以下を参照ください。
注意情報|一般財団法人日本サイバー犯罪対策センター
■通信先
・sategano
hxxps://images2.imgbox[.]com/b0/81/gHAGqQjt_o.png
hxxps://i.imgur[.]com/fC5Pcd2.png
・#bebloh C2
hxxps://omnifoxt[.]com
なお、beblohのC2は上記に接続できない場合、DGAで以下の様に作成されます。
■プロセス
プロセスの繋がりは以下となります。
Excel.exe → splwow64.exe → cmd.exe → WMIC.exe → wmiprvse.exe → PowerShell.exe → PowerShell.exe → explorer.exe
※画像は一部再実行しているため3つになっていますが、実際にはWMIC → wmiprvse のところだけプロセスの親子が切れ、PowerShell → PowerShellは繋がっています。
■ペイロード
explorer.exeにインジェクションするのは、ダウンローダ型マルウェアのbeblohです。
・DLL-bebloh
https://www.virustotal.com/#/file/6a1d7d3ca8db53318373705a988967d3a46bd2656aab4a0e035374a38525594a/detection
以上
2019/04/03(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査
1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。
※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。
■日時
2019/04/04(水) 14:30 頃 - 18:30 頃
■件名(6種類)
4月1日ご契約の件・初期費用のご請求書のご送付
RE: 【メール確認済】1/1
Re: 【再送】し依頼
【ご提出】
【連絡】2019.4.1
受注連絡
■本文
(例)
いくつかのパーツの組み合わせでとても多くのバリエーションがあります。
詳細は以下を参照ください。
■添付ファイル
文書名 -scan-nnnn.xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6/details
(例)
文書名 -scan-6076.xls
文書名 -scan-4124.xls
■ 感染の動き
添付のxlsファイルを実行し、マクロを有効化すると感染活動が行われます。
動作する中でPowerShellをユーザ配下のフォルダにコピーして動作させています。これはセキュリティ製品の検知回避の狙いがあると考えられます。
執筆時には既に1つ目の通信先が404でアクセスできず、全体の記録ができませんでしたが、動作としては、以下へ通信します。
■通信先
・追加スクリプト
hxxps://gerdosan[.]com/uploads/changed.pdf
・ステガノグラフィ(双方同じ)
hxxps://images2.imgbox[.]com/c3/57/soU1A2HV_o.png
hxxps://i.imgur[.]com/CPHK1L5.png
・bebloh C2
hxxps://gerdosan[.]com/auth/
・bebloh 追加コード取得先
hxxps://gerdosan[.]com/uploads/docs.rar
・ursnif C2
hxxps://sumeriun[.]com
hxxps://lointora[.]com
通信先は恒例の正規のファイルアップロードサイトを利用したステガノグラフィがあります。
また、最初にbeblohのC2のuploadsフォルダ配下に対してアクセスし、追加のpsスクリプトをダウンロードして実行します。
beblohのDLLが作成され、explorer.exeにインジェクション後、C2にアクセスし追加のダウンロードを要求しますが、その時もC2のuploadsフォルダ配下からrar形式に偽装されたコードが送られ、そのコードからursnifが作成されます。
beblohのC2の管理パネルファイルアップローダ機能があるように思われますが、アクセス出来なくなる時間があること、またC2のIPアドレスが遷移することから、幾つかC2サーバがあり、それらを入れ替えながら稼働させていると考えられますが、追加のペイロードが取得できるC2としてはそのうちの一部だけなのかも知れません。
・bebloh (DLL)
https://www.virustotal.com/#/file/b4711b3330d0c54ed70ad1987d029e39e189f1fc4b95ae3843a6750b8a939cc8/details
・ursnif
ursnifのコンフィグは先週と同じです。
<ursnif Config>
version: 3.0.36
server: 12
id: 1000
key: CBA17F7E892431A1
c2: sumeriun[.com
c2: lointora[.com
以上
2019/03/27(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査
3週間ぶりに、日本語の不審メールのばらまきがありました。
メールに添付されているxlsファイルはダウンローダ型のマルウェアです。
同じくダウンローダ型マルウェアのbeblohに感染する可能性があります。
更に不正送金マルウェアのursnifに感染しますのでご注意ください。
メールの件名、本文、添付ファイルは主に2パターンありますが、どちらも通信先は同じです。
■日時
2019/03/27 17:00頃~
■件名(7種類)
3月→
3月の請求書を添付するので
Faxください
郵送願います
【ご請求書】【ライフラインのご連絡先】
請求書を添付いたします
こちらの入金期日は3月15日の午後12時までと
■添付ファイル
・201903.①._送付__nnnnnnnn.xls
※nnnnnnnnは数字8桁
https://www.virustotal.com/#/file/07395f413e04245a8f6cab5fa888c0f08878f07bac6ccc479aa89469bb443bd4/details
・20190327nnnnnn nnnn.xls
※数字6桁スペース数字4桁
https://www.virustotal.com/#/file/e2b647dc004532a5eaa72f29407fb06e4d3457596730814402602806fc8ab506/details
■件名(2種類)
写真添付
写真添付の件
■添付ファイル
・2019年3月27日nnnnnnn.xls
※n..は数字7桁
https://www.virustotal.com/#/file/bdc6b56c659fefc41779bcd42064bc7ceae67a495407e786451747dea1539cc0/details
・{DIGIT[12]}{SYMBOL[1]}.xls
※数字12桁と英数字1桁です。
https://www.virustotal.com/#/file/48bb5bc1399e43b0c07527a69935f6b2254686dbcfa544af4019e2ac1592baff/details
■プロセス
添付のxlsファイルを実行し、マクロを有効化すると感染活動が行われます。
初めにexeファイルを実行し、そこからWMIC.exeを実行します。
その後別プロセスとしてPowershellを実行し、32bitのエクスプローラを起動し、そこにbeblohをインジェクションします。
beblohがC2から命令を受け取った際には更にマルウェアのダウンロードがされ、ursnifに感染します。
■通信先
・追加スクリプトの取得先
hxxps://onbraker[.]com/image.rar
47.74.250[.]194
中身は難読化されたPowerShell スクリプトです。
ursnifのダウンロードも上記ドメインから実施します。詳細なパスは不明です。
・beblohのC2
hxxps://podertan[.]com
5.188.60[.]40
・ursnifのC2
hxxps://sumeriun[.]com
5.8.88[.]205
■bebloh (DLL)
なお、explorer.exeにインジェクションされているものはMZヘッダが消された状態です。
■ursnif
以前と同様であれば、beblohがダウンロードする際にコンパイルするようで、同じ機能を持った検体ですがタイムスタンプが異なるためハッシュが同一にはなりません。
以下はどれも同じ検体です。
https://www.virustotal.com/#/file/929d07e53c2b5f8ac73829291d63ed17ebcc8bfe5fbf1a2afbae902d50f020fa/detection
https://app.any.run/tasks/001fb6a5-c942-4179-af69-4212c916a510
https://cape.contextis.com/analysis/55487/
https://www.joesandbox.com/analysis/99985
ursnfはPCのシャットダウン時にのみファイルとなり、起動後はメモリ上でのみ存在します。
感染中にセーフモードで起動すると以下の様に確認できます。
(参考)
beblohのC2
マルウェアにハードコードされた1つ目のC2アドレスにアクセス出来ない場合、以下のドメイン群へアクセスします。一部を記載しています。
oith3sgi.net (※シンクホール済)
gcgw21sb2hhywr.com
kgg9r4xgfc4w2z.net
mmp9hvkpcgotlh.com