2019/04/15(月)添付ファイル付不審メール(Emotet)の調査
日本語件名、本文のEmotetのばらまきが4/12に引き続き発生しました。
マルウェアダウンロードの動作等は4/12と同様のため、簡略化して記載します。
■日時
2019/04/15 16:30-
■件名(例)
読んでください
特別請求書
確認して承認してください。
[英字氏名]請求書を添付してください
請求書
の請求書
請求書の請求
注意事項:請求書
■本文
おはようございます
お客様各位添付の請求書を見つけて、正しい銀行の詳細を確認してください。
(請求書の下部にあります)。
さようなら
■添付ファイル
数字8-10桁記号数字6-8桁.doc
※記号は_, ,-
(例)
696164927_4408052.doc
■添付ファイルサンプル(例)
※hashは他にも多数あると思われる。
80a836c861b6a5d045d85aa9d3091035691b769ebdcd3b4de781f47c257049e7
https://app.any.run/tasks/620abd44-7403-4c1c-880c-d811b133ce41
b9efa337bb020490860db5da805c1070416c28c3471cfc15cf10dad6e374baac
https://app.any.run/tasks/432bf798-b795-4f14-bb3e-a268f8798481
697892e7d72df8da7fe245e5a82fb5cc53f5a34deba8b4f794eafb62cdcdc4b4
https://app.any.run/tasks/bd97488f-b5a7-494d-853d-5af1ac5ad84b
5a91b573157525fd97eb1adde4653a28f91c3b97fa28b30a3ddf45945c536b89
https://app.any.run/tasks/eeaa4085-89cd-4de7-a5b5-e5673cd0a55d
■一次通信先 (Emotet取得先)
hxxp://garammatka[.]com/cgi-bin/o569U/
hxxp://rinconadarolandovera[.]com/calendar/5n5WY/
hxxp://gamvrellis[.]com/MEDIA/heuMx/
hxxp://hadrianjonathan[.]com/floorplans/vOec/
hxxp://warwickvalleyliving[.]com/images/wmGN/
■通信先 ( C2 )(一部)
hxxp://88.215.2[.]29/
hxxp://187.137.162[.]145:443/
hxxp://65.49.60[.]163:443/
hxxp://45.33.35[.]103:8080/
■考察
C2のリストを見ると、4/12(金)の日本向けに(も)ばらまかれたC2と重複していることが分かります。
4/12のリストの1番初めにあった通信先がなくなり、以降は同一のように見えます。
同じアクターがばらまいているものと考えて良さそうです。
2019/04/15(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査
4/15に数ヶ月ぶりにursnif(B)と呼んでいる日本を狙った不正送金マルウェアへの感染を狙うアクターの不審メールのばらまきを観測しました。
※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます。
■日時
2019/04/15 10:30頃
■件名(3種)
Fw:
Fw:HR
Fw:list of employees to reduce
■本文(2種)
請求書支払期限過ぎた
従業員を解雇されたのリスト
■添付ファイル(6種)
domucment.zip -> document.js
doc.doc.rar -> doc.doc.js
doc.doc.zip -> doc.doc.js
doc2.zip -> doc.js
list.doc.rar -> list.doc.js
newdocument.doc.zip -> newdocument.doc.js
■サンプル
https://app.any.run/tasks/195bee6a-f6b0-4edf-a3f4-41ec7040747b
0272e27e87a8fc252f0b578352ae336ca45f7fce0be81739349220734fffaed8
ae2502987bcd9ef5fd0a69c74eb229f10fa75f0c5ef9667b5086022c3dd8b0e4
a903d07d638956c281699f6b461de14dc97198d8bfd25356eaaafb0eae663115
144a48710508c0f23fad99ca3df8c9f995f93659184db8729051beb5c45553ef
43bb25b251979bbc5c818e173b2b5f9f5c1cf5da17dda785f8c4d0974aff0f75
a8618b73af6706331e6e47d655bee5b0d08f3349ed7df70714c66296d000c1fc
■通信先 (追加ダウンロード)
hxxp://instant-payments[.]ru/read.exe
■User-Agent
Google Chrome
■ダウンロードされるファイル
read.exe
f5a5e7d86c3131b3f0a479fa55f35f8fa7c0ea7615b244752f96071156982071
https://app.any.run/tasks/b254c863-1acd-41ac-bb40-65c8ed860ad6
不正送金マルウェア ursnif です。
■通信先(C2)
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当て
hxxp://adonis-medicine[.]at/images/(以下略)
■ursnifに関する考察
このursnifですが、これまでursnif(B)と呼んでいたモノと同一の暗号鍵を使用しています。なお、ursnifと呼んでいますが、ursnifの亜種としてDreambotと呼ばれることもあります。
主に日本を狙って、楽天などを騙ってメール本文のリンクからjsファイルをダウンロードさせるタイプのアクターです。
これまで2018/12/28を最後に日本向けの活動を見せていなかったのですが、ついに再開したようです。
日本をターゲットにしていた、と考えていましたが、他の国向けにも多少は利用されていたようです。
以前の活動の話はSAS2019で関連する発表がありましたので、その発表の話と関連した分析は別の機会にするとして。
今回、日本向けにばらまかれる前に、既に他の国向けに利用されていたようでした。
同じC2通信先の検体をAnyRunで探してみると、以下のような検体が見つかります。
oferta-.js https://app.any.run/tasks/07e37ee4-277f-48a5-b909-6359579329a7
zamowenie.doc.zip https://app.any.run/tasks/36038596-c878-4a3a-99a6-61f7cb0cfa75
4/10-11にかけて、同じアクターがポーランドをターゲットとしてばらまきが行っていたようです。
あるいは、日本をメインターゲットとして、その前の試行だった可能性もあります。
なお、更に興味深い事として、同じ暗号鍵を使っていたursnifの検体を更に少し前に観測しています。
https://app.any.run/tasks/eac49776-037e-4157-a59b-472cf0664b49
それがこの検体ですが、一つのjsファイルからダウンローダを経由し、phorpiex、GandCrab、Miner、ursnifに感染させるものです。
これは2月末まで日本を標的として芸能人の名前の件名で主にGandCrabへの感染を狙ってメールのばらまきを行っていたのと同一のアクターと考えられます。
jsファイルの名前の付け方、jsファイルからダウンローダを経由し複数のマルウェアに感染させる動作、マルウェアを配布しているIPが同一であること、から同一のアクターであると考えられます。
しかし、このアクターがこれまで日本を狙っていたursnif-Bのアクターと同一と考えるには、手口の雑さから考えて違うと考えられます。
どんな活動が行われるのか、気をつけて分析していく必要があると感じています。
以上
2019/04/12(金) 添付ファイル付不審メール(emotet)の調査
日本語のemotetへの感染を狙った不審メールのばらまきを観測しました。
日本語の件名、日本語の本文でemotetのばらまきが日本に来ることはかなり稀です。(昨年に1回あった程度)
なお、海外でも同じタイミングでemotetのばらまきが発生しており、そちらはメールの件名や本文、添付ファイル名は異なると思われますが、hashは同様のようです。
■日時
2019/04/13 16:00~
■件名
あなたの請求書
サービス請求書
支払明細通知書
支払請求書
期限切れ請求書
未請求書
毎月の請求書
注意事項:請求書
特別請求書
読んでください
請求書の請求
請求書を添付してください
請求書
※件名の前または後に人物名や地名が含まれるものも確認しています。
■本文
日本語ばらまきマルウェアメールが接到しています。We have various type of Japanese #Emotet malware mail, today.
— moto_sato (@58_158_177_102) April 12, 2019
Subject :
請求書を添付してください
あなたの請求書
サービス請求書
支払明細通知書
支払請求書
未請求書
毎月の請求書
注意事項:請求書
読んでください pic.twitter.com/2xxOsuAO9A
おはよう、請求書に関する一言二言、さようなら、という簡素な日本語です。
恐らくは機械翻訳によるものと思われます。
■添付ファイル名
数字8-10桁記号数字6-8桁.doc
※記号は_や や-
例としては以下の様なWordファイルです。
555154088832 813039.doc
94217937477 408325.doc
43136933041-677751.doc
9648596236 0484833.doc
333833528 86550848.doc
235036795_8674719.doc
■添付ファイルサンプル(その他複数hashがあると思われる)
・636c93930f056e403a2bdb2298f18c0b14542c0224fd0ba6ba3056d1367f9c75
https://app.any.run/tasks/5ca756d6-c7fa-4c4c-956b-5ef02fbd4ed2
・af77939a3206c6beeb32606423daeb8236413630ddd3846ac300d741d8809108
https://app.any.run/tasks/f06af0db-2dab-4b60-8b2b-5306f2f0608c
・9bb3d3a40c0a57ee9a52bab10b2ec0efbf7d665238c421a68c266d356b81a671
https://app.any.run/tasks/e7702c62-99c3-4510-ba23-1f686276c7ba
・1eb3cc2781765f1c81bdef0390ba79fc2066fd1bd8ff5571baa64f4b0ca3441f
https://app.any.run/tasks/4e5bf1bf-060e-43f1-b02c-c365784cfb3d
・112278e446cc3c7f538089cae3eaf962b06218cae4bcd8fb9a0b493bc380507f
https://app.any.run/tasks/5e5f11f0-5cf4-4369-b7b6-5e8148ef505d
・4558edbe3b57be5c595405ba601a13ae09c679a01f851ae43f8c34e6d3c34be0
https://app.any.run/tasks/feaac63a-c775-429b-b3a0-853e99a405fb
Wordファイルの中身は英語です。
Wordファイルの中にはマクロが含まれており、ファイルを開きマクロを有効化することで、autoopen()によりマクロが自動的に実行されます。
wmiprvse.exeによりPowerShellが実行され、後述の通信先からファイルをダウンロードし実行します。
PowerShellはbase64エンコードされた引数を与えられて実行します。
これをbase64デコードすると以下のようになります。
変数に値を代入している部分を全て実行してから、変数の中身を出力することで通信先が取得できます。
■通信先
以下に対してダウンロードが出来るまで順にアクセスします。
hxxp://aussiescanners[.]com/forum/1IXQRH/
hxxp://fumicolcali[.]com/wblev-6pox5-vpckk/4ih2/
hxxp://azedizayn[.]com/26192RX/qW/
hxxps://sundarbonit[.]com/cgi-bin/mlEH/
hxxp://aupa[.]xyz/hJPug-2q3uyQ3NsqIgkO_tdeRPHsz-fF/dwvK/
今回はsundarbonit[.]comからMZ(exeファイル)がダウンロードされています。
■本体マルウェア
ダウンロードされるのはダウンローダ型マルウェアのemotetです。
取得する時間帯によってhashは変わってるようです。
https://www.virustotal.com/#/file/25eb451e5c0208a7086ac6e89c0d22ac1d622d93cea5e1a37881f0eda2ced49e/details
https://www.virustotal.com/#/file/fcfb6405e238c8bafa765b9921597226bd8752d0987c561e0478a6eb67db43a1/details
https://cape.contextis.com/analysis/64633/
emotetは以前は不正送金マルウェアとして利用されていましたが、昨年からは主にTrickbotを追加でダウンロードさせるためのダウンローダとして動くことが多いです。
Trickbot以外にも、IcedID、Qakbot、Hanciter、AZORult、ZeusPandaBanker等をダウンロードすることが観測されています。
emotet本体は%AppData%\Local\配下のランダムな名前のフォルダにランダムな名前のexeとして作成されます。
ランダムと思われますが、同じ端末で何度感染しても固有の値になるため、端末内の情報を元に命名していると考えられます。
■C2
emotetはC2のリストに対して80/tcp以外にも443、8080、7080、21、50000、8443、465、990、などのポートに対して通信を行うのが特徴です。
一度通信が確立すると、15分毎にC2に対して通信を行います。
この通信の振る舞いはemotetの感染を検知する指標になります。
capesandboxを使って抜き出したC2の通信先は以下になります。
187.188.166.192:80
88.215.2.29:80
187.137.162.145:443
65.49.60.163:443
45.33.35.103:8080
43.229.62.186:8080
165.227.213.173:8080
210.2.86.72:8080
192.155.90.90:7080
88.97.26.73:50000
190.117.206.153:443
185.86.148.222:8080
187.189.210.143:80
67.241.81.253:8443
200.114.142.40:8080
107.159.94.183:8080
190.147.116.32:21
138.68.139.199:443
219.94.254.93:8080
77.44.16.54:465
200.90.201.77:80
71.11.157.249:80
192.163.199.254:8080
144.76.117.247:8080
69.163.33.82:8080
109.73.52.242:8080
5.9.128.163:8080
189.225.119.52:990
62.75.143.100:7080
109.104.79.48:8080
181.29.186.65:80
200.28.131.215:443
190.192.113.159:21
89.211.193.18:80
189.205.185.71:465
181.29.101.13:80
176.58.93.123:8080
82.226.163.9:80
196.6.112.70:443
92.48.118.27:8080
72.47.248.48:8080
200.107.105.16:465
23.254.203.51:8080
154.120.228.126:8080
213.172.88.13:80
51.255.50.164:8080
201.217.108.155:21
197.248.67.226:8080
139.59.19.157:80
66.209.69.165:443
91.205.215.57:7080
99.243.127.236:80
136.49.87.106:80
186.139.160.193:8080
C2へのアクセスするパスはランダムです。通信内容は暗号化されています。
■マルウェアの駆除
emotetは以下のレジストリキーに自身の自動起動を設定します。
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
レジストリエディタから上記キーを削除した後、タスクマネージャからバックグラウンドプロセスとして動作しているemotet本体ファイルを削除し、%AppData%\Local\配下のフォルダにあるemotet本体を削除することで、駆除することが出来ます。
■emotetからダウンロードされるマルウェア
感染後数時間動作させましたが、追加のマルウェアがダウンロードされることはありませんでした。
海外ではQakbotやTrickbotがダウンロードされたようです。
2019-04-12 - #Trickbot (gtag: del193) sent as follow-up malware from #Emotet infection in the UK. #Trickbot sample available at: https://t.co/oFS5DSEbXo pic.twitter.com/F1RQesh060
— Brad (@malware_traffic) April 12, 2019
2019-04-12 - Today's #Qakbot sample that was delivered as follow-up #malware during an #Emotet infection - https://t.co/H4bvRC5lQU
— Brad (@malware_traffic) April 12, 2019
以上。
