bomb_log

セキュリティに関するbom

2019/06/12(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】

 

■日時
2019/06/12 9:00-

■件名
Fw:

■添付ファイル
1.doc.zip -> 1.doc.vbs
info.zip -> info.js

■通信先
hxxp://elievarsen[.]ru/1.doc
https://app.any.run/tasks/50168d8a-0a6b-47f8-8b6d-2ed6f2ba37c2
#ursnif
※拡張子偽装 ursnifのexeファイル

・C2
hxxps://marcoplfind[.]at/images/...

なお、IPが降られていない為アクセスはできないですが、以下にも接続を試みます。

hxxp://interruption[.]ru/jd/t64.bin
hxxp://adonis-medicine.at

また、感染してしまうとdnsクエリは以下に対しても出ます。
(一般的なip問い合わせサービスで悪性な通信先ではありません。)
resolver1.opendns[.]com
myip.opendns[.]com

・ursnif configパラメータ
version=217068
id=1000

2019/06/05(水) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

【簡易版】
この日は1種類のハッシュ値の添付ファイルのみばらまかれていました。
また、beblohのC2がすぐにダウンしたため、こちらではursnifまで取得できてはいません。

 

■日時
2019/06/05 15:30-

■件名
請求番号: nnnn-nnnnnnnnn
決済確定のお知らせ
個人負担分ご案内
6月ご請求書
【おいくらご請求書の送付】2019年6月
5月分 請求書の件
(5月分)請求書の送付
請求書の送付

 

■添付ファイル
ご請求書(2019年5月).xls
1216b873e0564174095552d3f955adc1
https://app.any.run/tasks/3b35ab20-1e50-484f-8b2f-95bd1352bb84/

 

■通信先
・ダウンロード
hxxps://firedron[.]top/uploads/IMG0065.jpg
https://www.virustotal.com/gui/file/e55e3c3295a79b9e5ba3dd3436a6e87da3ec9d1a55fd5c31064cf4862a7582d8/details
※拡張子偽装されているが、beblohのexeファイル

・ursnif部品
hxxps://firedron[.]top/uploads/EcoDoc.rar

・C2 (bebloh )
hxxps://firedron[.]top/
5.8.88[.]85

・C2 (ursnif )
hxxps://paderson[.]top/images/
5.188.231[.]109
※5/30と同一のC2です。

2019/06/04(火) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】
前日と同じ通信先のursnifを取得する。
ただし、添付ファイルが.jsから.vbsへと変化している。

 

■日時
2019/06/04 9:00-

■件名
Fw:

 

■送信者
Haruto Watanabe
※偽装されたものであり、メールアドレスは様々

 

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。
運送状況を、お知らせ致します。
ご注文番号:1569593
----------------------------------------------------
運送会社:佐川急便
詳細状況は添付資料にて送りますので、ご確認ください
アーカイブされたファイルのパスワードは123456です。よろしくお願いします。
Haruto Watanabe
+81 (ランダムな9桁の数字)」
※添付ファイルがパスワード付き出ない場合は「アーカイブされた…」の一文はありません。

 

■添付ファイル
doc.zip -> doc.vbs
https://www.virustotal.com/gui/file/53ab1831b5a6908bb96ec8468375d23df0a700c37cbc77209e8ce9b02d8ea6a8/detection
https://app.any.run/tasks/0a16273f-924d-41d3-a826-28d683d6beeb/
document.zip -> document.vbs
https://www.virustotal.com/gui/file/5ebf4bd25d3fb2d24a6d5388c35ac4530faf385e9d97a438538e3859e3c73a57/detection
kaku.zip -> kaku.vbs
1.zip -> 1.vbs
New document.zip -> New document.vbs

添付ファイルはパスワード付きもあり
doc.rar (passwd : 123456)
https://www.virustotal.com/gui/file/20f08a662eb4f69dd1401c8cab8231a7b02088f3e18242bf0dd0d9f7b324d049/detection
https://app.any.run/tasks/d2e5aa48-7520-4622-9de9-ef8549e7c50e/
https://www.virustotal.com/gui/file/5ebf4bd25d3fb2d24a6d5388c35ac4530faf385e9d97a438538e3859e3c73a57/detection
https://www.virustotal.com/gui/file/53ab1831b5a6908bb96ec8468375d23df0a700c37cbc77209e8ce9b02d8ea6a8/details
https://www.virustotal.com/gui/file/192f0c60efe93c4ac343a5f5687ce90a27de134d1abf1c74d22e2e3b1350fcb0/detection

 

■通信先
・ダウンロード
hxxp://big-partynew[.]ru/1.doc
https://www.virustotal.com/gui/file/ac05f3d359c0e6f71cd541bcb2bfc70a0f2c60d76536246bcddada1012382f30/detection
※拡張子偽装された不正送金マルウェアのursnifのexeファイルです。

・C2
hxxp://11totalzaelooop11[.]club ※IP未割り当てのためアクセス不可
hxxp://adonis-medicine[.]at/images/...

・パラメータ
version=217068
id=1002