2019/04/18(木) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査
この日で4/15,16,17,18と4日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。
※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。
■件名(例)
Fw:
■添付ファイル
・DOC.js
https://www.virustotal.com/#/file/eb252e984ea45f9143d1c2b74fc5c503b5e29f8c13687a34927901788ccd7e24/details
・XLS.js
https://app.any.run/tasks/d1d9acc5-fc25-4aaa-b2fb-d848f1c5d057
https://www.virustotal.com/#/file/c5b6298fe7b111ff8da613091289b550a5773048491dfb914410b7e800767b8a/details
・1.doc.js
https://www.virustotal.com/#/file/21a11540298e4213077395cc5c8c4c52f52daea34760e088da8ef3fe0349341c/details
※ファイル名、ハッシュ共に複数種類を確認しています。
ファイルはzipファイルやrarファイルとして添付され、その中にjsファイルが含まれているケースもあります。
観測している範囲では、jsファイルがダウンローダのマルウェアです。jsファイルを実行すると、マルウェアに感染します。
■本文(例)
お世話になります。これは
解雇される従業員のリストです。
■User-Agent
Google Chrome
※次の通信先にアクセスする際にはこのUAを使用します。
■通信先
hxxp://news-medias[.]ru/report.exe
上記URLより不正送金マルウェアursnifをダウンロードし、実行します。
■ダウンロードされるファイル
#ursnif
dc174edefbcdbac15106b413ef1d23fe06398b034e7b4183f9aed36afb1bc4bb
https://app.any.run/tasks/efab54d1-c320-48b3-b1e4-f25a9192cf41
https://www.virustotal.com/#/file/2a453d8932de56f19f64053c55d441046df197dadad6b328875c85adbaf42fcc/details
■通信先(C2)
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当てのため接続できない、x64環境ではt64.binへ接続
hxxp://adonis-medicine[.]at/images/~省略
以上
2019/04/17(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査
この所、毎週水曜日(3/27,4/3,4/10,4/17)にばらまかれているbebloh/ursnifのばらまきが発生しました。
時刻により、3種類の件名、添付ファイル、本文の組み合わせがありますが、通信先は同一です。
■日時
2019/04/17 16:00 頃-
○16:00 頃
■件名(10 種)
Fw: 納品書の修正の件
4月分
FW: 【4月17日付】
【返信回答分】:
発注のお願い
FW: 【重要】
RE: お見積りの件
【添付書類】
・ご契約金計算書
請求書送付
■添付ファイル
170400n株式会社0nnnn.xls
※nは数字1桁
SHA256: d903c93164561ee4135920fba5d81f8b43d4586bfeef120aea8d87e6bcb17906
https://app.any.run/tasks/3344bc60-be30-47ed-80db-8b0a656b0135
○16:45 頃
■件名(10 種)
Fw: 納品書の修正の件
4月分
FW: 【4月17日付】
【返信回答分】:
発注のお願い
FW: 【重要】
RE: お見積りの件
【添付書類】
・ご契約金計算書
請求書送付
■添付ファイル名
新規 ドキュメントMicrosoft Excel0nn.xls
※nnは数字2桁
SHA256: 17c7c60f81e7fec52fde305710670af7e7712834da3343e83ca45d82c8f63c78
https://app.any.run/tasks/890836a3-97a8-486e-ab50-c821ba6251ac
○17:41 頃
■件名(2 種)
注依頼書の送付
備品発注依頼書の送付
■添付ファイル名
nnnnnnnnnnnnxx .xls
※nnnnnnnnnnnnは数字12桁、xxは英数字2桁
SHA256: e12690fcab618fdec5f0337b8d1cf5cc9e72516ab1fa134ea7bf4b46f3a9c43c
https://app.any.run/tasks/890836a3-97a8-486e-ab50-c821ba6251ac
添付ファイルを開き、マクロを実行するとマルウェアに感染する恐れがあります。
添付ファイルを開くと、一瞬powershellのウィンドウがポップアップします(すぐに消えます)ので、何か不審な動きをしている、と感ずけるかも知れません。
マクロは以下へ通信を行います。
通信先は一般の画像共有サイトですが、アクセスする画像にはステガノグラフィにより、画像の一部に悪意あるコードが含まれています。
■通信先(ステガノ)
hxxps://i.imgur[.]com/Vyjnb0D.png
hxxps://images2.imgbox[.]com/35/1c/s6iNsHg3_o.png
画像から取得されたコードを復元すると、以下のダウンローダ型マルウェアのbeblohになります。
なお、beblohの詳細についてはあゆむ(@AES256bit)さんの以下の記事が参考になります。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259
■bebloh (DLL)
https://www.virustotal.com/#/file/08c73257797658dc869ff08f7287d415637fd8da13ba992b09f15faf904cc49a/details
beblohは以下へ定期的に通信を行います。
■通信先(bebloh C2)
hxxps://pidobrake[.]com
beblohはC2と通信後、一定の時間帯にはursnifをダウンロードします。
なお、ursnifがダウンロードされる時間帯については、C2でコントロールされており不定期と思われます。
ursnifがダウンロードされる際には、以下へアクセスし取得します。
■通信先 ( ursnif部品 )
hxxp:///ipunedtos[.]com/uploads/copies.rar
以上です。
2019/04/17(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査
この日で4/15,16,17と3日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。
※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。
■日時
4/17 9:30 頃 -
■件名
Fw:
Fw: staff reduction
■本文(2種類)
お世話になります。これは
解雇される従業員のリストです。
お支払い期限過ぎた
■添付ファイル例
newdoc.doc.zip ->newdoc.doc.js
473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643
https://app.any.run/tasks/a6ae851a-2c62-485e-b9b6-be5f752e75b8
list.xls.rar -> list.xls.js
doc.doc .zip -> doc.doc.js
1.xls.rar -> 1.xls.js
※添付はzipやrar等の圧縮ファイルで、解凍した中に含まれる.jsファイルがダウンローダ
■添付ファイルサンプル例
https://www.virustotal.com/#/file/dc751dfa7a9e79b054edacbaaeddd7b925a17bae2f46078ae647dd70eefd693b/details
https://www.virustotal.com/#/file/473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643/details
■接続先
・マルウェア本体ダウンロード先
hxxp://guebipk-mvd[.]ru/readx.exe
※前日と同じドメイン、パスです。
■ペイロード
55488ce01710e4cd927b52f4a91c82dc6eba2325da70cb745599bbc864adae30
https://app.any.run/tasks/0facf15f-0f12-4d93-866a-21a2caed97c2
https://www.virustotal.com/#/file/5ec91c2fa41c27e0d082f0c773f3b1e822d39bc908064df112b30a0718f3a461/details
https://www.virustotal.com/#/file/79906eb8822c57340c9dd53059352a24c327b5bea44019623f2847d26abe4d5a/details
不正送金マルウェアのursnif(Dreambot)です。
前日と同じパスからダウンロードしていますが、ハッシュ値は異なります。
同じ日でもダウンロードする時間によってハッシュが異なっているようです。
■通信先
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当てのため接続できない、x64環境ではt64.binへ接続
hxxp://adonis-medicine[.]at/images/~省略
以上
