2019-11-09

06（水）気象庁を騙る不審メールの調査

昨年もありました、気象庁をかたった不審メールが出ていたようです。
偶然か意図してか、昨年と同日に発生したようです。

なお、昨年のものについては、以下の記事が参考になります。
https://piyolog.hatenadiary.jp/entry/20181112/1541970943
https://www.paloaltonetworks.jp/company/in-the-news/2018/analysis-of-smoke-loader-in-new-tsunami-campaign
https://www.fortinet.co.jp/blog/threat-research/fake-tsunami-brings-malware-to-japan.html

今回のは、Tsunami Campaign再来というべきか、新たにJishin Campaignというべきか。

なお、今年のものについても既にpiyokangoさんがまとめている記事があります。
https://piyolog.hatenadiary.jp/entry/2019/11/07/064446

こちらでは、主にマルウェアの動きなどをまとめていきます。

■件名
案内・申請

■送信元アドレス
気象庁<tanaka@js-corp.net>

本文は緊急地震速報を受け取るためと称して、Windowsアプリのダウンロードを促す文面があったようです。

■リンク先
hxxp://everfree-inc[.]jp/css/jma.php?pK9Ed7goWpLMkojxqnscfAn01amq1LuKoCKxoH0mHbhn0LDaw5SOAevwMtl8WXm78Adt2q3%2Bxar5u2FZH2T0tAHs0JdaKmbKnLeKOhZwtaYRE6VhpOwKOLrTx4evKcSahWxiCTnYg2I1NrRMa5M8tfSUHdV4OUToulFI2Vbmd%2BDflEi9pv0J9974YihYQObNO3zGJQ8kkFLbDvf3LmQcyg%3D%3D

※以下へリダイレクトされます。
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/

■ダウンロードされるマルウェア
JMA_Weather_Apps.iso
MD5: 916C8BD9F2270DCAD487F7F1C6BD68D7

iso形式のファイルはここ1年位でマルウェアの配布で見かけるようになりました。
ディスクイメージファイルですが、Windows10であれば、ダブルクリックすることで自動でマウントされます。

このisoファイルの中には以下の2つのファイルが存在します。
・autorun.inf
・JMA_Weather_Apps.exe
MD5: 2bd380ac4ee04a429fbc15065add09e8

マウントされるとautoruns.infによって自動的にexeファイルが実行されます。

JMA_Weather_Apps.exe のsandobox実行結果
https://app.any.run/tasks/6fee3bed-9e03-483b-bf40-b1db42b4951b/

■マルウェアVidar JMA_Weather_Apps.exe の挙動
このマルウェアは、Vidarと呼ばれる情報窃取型のマルウェアです。同時に別のマルウェアを感染させるケースもあります。
今回もそのケースです。

マルウェアVidarについては以下の記事が参考になります。
https://fumik0.com/2018/12/24/lets-dig-into-vidar-an-arkei-copycat-forked-stealer-in-depth-analysis/
https://isc.sans.edu/forums/diary/What+data+does+Vidar+malware+steal+from+an+infected+host/25398/

JMA_Weather_Apps.exeが実行されると、以下の通信が発生します。

f:id:bomccss:20191109184215p:plain
f:id:bomccss:20191109185757p:plain

C2: hxxp://acrelop[.]com

C2に一度POST通信をした後、C2からモジュール(DLL)を5種類ダウンロードします。
その後ip-apiというIPの地理情報を返すサイトへ通信し、どこからの感染かを調査します。
更に端末内で収集した情報と合わせてPOST通信すると、次のマルウェアのダウンロード先が与えられます。

f:id:bomccss:20191109185438p:plain

f:id:bomccss:20191109185412p:plain

次のマルウェアのダウンロード先である以下に通信を行います。

hxxp://everfree-inc[.]jp/css/jma.exe
MD5: cfd776b1cb9004e0f214f33431b3646b

その後、コマンドプロンプト経由で自身のタスクを止め、ファイル自体も削除します。
※画像のCommand部を参照

f:id:bomccss:20191109185524p:plain

なお、ダウンロードされたdllやexeは C:\ProgramData に格納されています。
※5KPC7lKC3P.exeはダウンロードされたjma.exeです

f:id:bomccss:20191109185556p:plain

また、exeの上の Y6N9ON8HIU7L2P8FPB15KZ66Y フォルダにはマルウェアが情報収集したデータが含まれます。

f:id:bomccss:20191109185609p:plain

この中に含まれるのはブラウザに記憶させているID/PWやメール情報、仮想通貨のウォレット情報、スクリーンショットなどが含まれます。
その情報が2回めのPOSTのタイミングで送信されています。

なお、このマルウェアのバージョンはinformation.txt に記載されますが、今回は15.1でした。

f:id:bomccss:20191109185942p:plain

■マルウェアSmokeLoader jma.exe の挙動
次に、vidarがダウンロードしたマルウェア jma.exe についてです。

jma.exe のsandobox実行結果
https://app.any.run/tasks/15f996e7-81f0-461c-bab5-bf07ad0d57e8/
https://www.vmray.com/analyses/cdc13684f411/report/overview.html

これはマルウェアSmokeLoaderです。
昨年度も使われたマルウェアです。

マルウェアSmokeLoaderについては、以下の記事が参考になります。
https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
https://www.paloaltonetworks.jp/company/in-the-news/2018/analysis-of-smoke-loader-in-new-tsunami-campaign

Smokeloader は仮想環境で動作していることを検知するため、AnyRunで動作させても動作を示しません。VMrayでは動作しています。
また、動的解析妨害機能を持っていて、普段動的解析に使用しているProcessHackerやprocmon、wiresharkは強制的に止められてしまいます。
BurpSuiteは使えるため、BurpSuiteで挙動を示します。

C2は以下です。
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

f:id:bomccss:20191109190008p:plain

ResposeCodeは404ですが、Responseを見るとデータが帰ってきています。404を偽装しているだけのようです。

f:id:bomccss:20191109190034p:plain

これは暗号化されたプラグインのようです。

通信は10分ごとに発生しており、2度目のPOSTでは恐らく端末内で取得したデータを送っており、その先は定期的なコールバック通信となっています。

f:id:bomccss:20191109190101p:plain

f:id:bomccss:20191109190122p:plain

10分ごとの通信はタスクスケジューラに設定されています。

f:id:bomccss:20191109190144p:plain

jatsrfcファイルを読み込んで実行しています。
そのファイルの中身は以下です。（見やすく整形しています）

f:id:bomccss:20191109190158p:plain

wjuaieeを実行しています。
wjuaieeファイルはjma.exeのDLL版です。hashも同一です。
https://app.any.run/tasks/47be96ff-b220-45df-98c6-ced32f1ac319/

同一フォルダに格納されたtcwdacgが暗号化されたプラグインと思われます。

f:id:bomccss:20191109190233p:plain

解析したい方向けにAnyRunにおきます。
https://app.any.run/tasks/7a57359f-1aad-4316-99fb-9b98b49cc05a/

これらはExplorer.exeにインジェクションされます。
SmokeLoaderはその名の通り、他のマルウェアがダウンロードされることがあるのですが、今回は観測出来ませんでした。
プラグインにより情報を収集することが目的だったのかもしれません。
昨年の例を考慮すると、このSmokeLoaderが本命のマルウェアだった可能性が高そうです。

■ダウンロード元サイト
なお、今回悪用されている以下のサイトは共に改ざんされて悪用されたものと考えられます。

・everfree-inc[.]jp
・www.postlife.or[.]jp

恐らくですが、去年と同じアクターであれば、去年はドメイン取得社情報からキャンペーンを分析されたため、今回は正規サイトを改ざんし、使用したものと思われます。

■関連キャンペーン情報
キャンペーンの他の動向を探るため、以下2つのC2に関連するものを調べてみました。

・acrelop[.]com
・hockeysministries[.]org

・acrelop[.]com
このドメインは2019-07-28から利用されているようです。
このC2に通信する検体をVTで調べると、11/2頃よりあります。
30検体程度ありますが、挙動を見ると同じような動作をしており、これもすべてVidarと思われます。
https://www.virustotal.com/gui/domain/acrelop.com/relations

もしかしたら、VidarとSmokeLoaderのアクターは別で、SmokeLoaderのアクターがダウンローダとしてVidarを他のアクターから借りたのかもしれません。
Vidarの提供側はダウンローダとして他のアクターから使用量をもらいつつ、端末内の認証情報やカード情報を合わせて搾取するという手法なのかもしれません。

・hockeysministries[.]org

このドメインは2019-09-13に取得されたようです。今回のために取得されたと考えて良いのではないでしょうか。

このC2に通信する関連検体としては、以下があります。
https://www.virustotal.com/gui/file/7697f46e2fc376f704ba617466323bfb0befc2add5a99bd824ce809bea041328/details

同一のパスに対して通信しており、同じくSmokeLoaderと考えられます。

■感染有無の確認

・Vidar / JMA_Weather_Apps.exe
以下の通信先にアクセスがないかを確認します。

hxxp://everfree-inc[.]jp/css/jma.php
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/
hxxp://acrelop[.]com

以下のファイルがないか調べます。
C:\ProgramData\mozglue.dll

・SmokeLoader / jma.exe
以下の通信先にアクセスがないかを確認します。

hxxp://everfree-inc[.]jp/css/jma.exe
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

タスクマネージャに以下のタスクががないかを確認します。
NvNgxUpdateCheckDaily_(以下略)
（プログラムの開始にregsvr32 ..(略).. \Roaming\jatsrfc が含まれるもの)

以下のファイルがないか確認します。
C:\Users\（ユーザ名）\AppData\Roaming\wjuaiee

■感染時の対処
・Vidar / JMA_Weather_Apps.exe
Vidarは永続化手法を確認していません。そのため、残っていた場合にはプロセスをタスクマネージャから停止させれば大丈夫です。
ただし、搾取されてしまった情報があった場合には注意が必要です。
C:\ProgramData\(ランダムな長いフォルダ名)\ のフォルダに情報がある場合には、例えばID/PWの変更やカードの利用停止措置などが必要になるかと思います。

・SmokeLoader / jma.exe
SmokeLoaderはタスクスケジューラで永続化しています。
タスクスケジューラの該当のジョブを削除します。合わせて以下のフォルダにあるマルウェアを削除します。
C:\Users\（ユーザ名）\AppData\Roaming\wjuaiee など
SmokeLoaderはExplorer.exeにインジェクションしていますので、タスクマネージャでExplorer.exe を再起動します。複数起動している場合は一つを除いて停止してから再起動です。
その後、C2への通信が出ていないか、確認しておけば良いと思います。
通信の確認はWireSharkで行えばよいと思いますが、WireSharkが起動すれば感染していないと考えていいと思われます。

■IoC
・マルウェア MD5:
916C8BD9F2270DCAD487F7F1C6BD68D7 : JMA_Weather_Apps.iso
2bd380ac4ee04a429fbc15065add09e8 : JMA_Weather_Apps.exe
cfd776b1cb9004e0f214f33431b3646b : jma.exe
・通信先
hxxp://everfree-inc[.]jp/css/jma.php
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/
hxxp://acrelop[.]com
hxxp://everfree-inc[.]jp/css/jma.exe
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

・端末内マルウェア格納フォルダ
C:\ProgramData\
C:\Users\（ユーザ名）\AppData\Roaming\

以上

2019-11-01

2019/10/22（火）添付ファイル付不審メール（Emotet -> Trickbot）の調査

前の週に続き、日本語のEmotetのばらまきメールがばらまかれました。
今回も前回同様、次のマルウェアとして、Trickbotに感染します。

■日時
2019/10/22 - 2019/10/24

■件名（日本語のみ抜粋、英語のものもある）
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
一覧
現在のバージョン
最後のオプション
助けて
情報
新バージョン
備考

※件名に追加で人名、組織名、日付が入る場合あり

■添付ファイルおよび通信先（サンプル）

・10/22
https://app.any.run/tasks/f7b4a0ed-156d-42a7-9bbb-527cd1ebc940/
通信先
hxxp://www.quwasolutions.com/wp-includes/u3qtj/
hxxps://www.rccgfaithimpact.org/a/fXdqOez/
hxxp://shreeagaramschool.com/agaram/ogAHP/
hxxps://billiontexting.com/sdlkitj8kfd/xse6jxl/
hxxp://www.lemongrasshostel.net/sdlkitj8kfd/j2y/

・10/23
サンプル
https://app.any.run/tasks/a2106440-7127-451f-a60f-9474c3feb00d/
通信先
hxxps://ariastock[.]com/wp-admin/OiYUXyMm/
hxxps://ddrcsangrur[.]com/wp-includes/o8b/
hxxp://www[.]rbcfort[.]com/wp-admin/rd62/
hxxps://bobmaritime[.]com/9bm/ldr/
hxxps://www[.]todofitnessperu[.]com/wp-admin/3wtne/

■追加ペイロード

10/23に日本のIPでEmotetを観測したところ、追加ペイロードとしてtrickbot（gtag:mor29）に感染しました。
先日のgtagと似ている(数字が増えているだけ)なので、同じアクターの可能性があります。
先日までTrickbotは国内を対象としていなかったですが、10/18より不正送金用のWebInjectionの対象に国内金融機関も加え始めたようです。
この対象となっている金融機関は10/10にEmotetから追加ペイロードとして感染させられるUrsnifとほぼ同様のものが対象となっていました。
一つのアクターが2つのマルウェアを使っているのか、2つのアクターがそれぞれ対象リストと設定をもっているのか、気になるところです。

■Emotet config
RSA Public Key :
-----BEGIN PUBLIC KEY-----
MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAM426uN11n2LZDk/JiS93WIWG7fGCQmP
4h5yIJUxJwrjwtGVexCelD2WKrDw9sa/xKwmQKk3b2fUhwnHXjoSpR7pLaDo7pEc
iJB5y6hjbPyrSfL3Fxu74M2SAS0Arj3uAQIDAQAB
-----END PUBLIC KEY-----
IP 0 : 190.16.101.10:80
IP 1 : 190.217.1.149:80
IP 2 : 45.56.122.75:80
IP 3 : 85.25.92.96:8080
IP 4 : 94.177.253.126:80
IP 5 : 187.188.166.192:80
IP 6 : 192.241.220.183:8080
IP 7 : 189.132.130.111:8080
IP 8 : 186.109.91.136:80
IP 9 : 186.92.11.143:8080
IP 10 : 203.99.182.135:443
IP 11 : 91.109.5.28:8080
IP 12 : 70.32.94.58:8080
IP 13 : 70.45.30.28:80
IP 14 : 203.99.187.137:443
IP 15 : 190.228.212.165:50000
IP 16 : 51.38.134.203:8080
IP 17 : 203.99.188.11:443
IP 18 : 184.82.233.15:80
IP 19 : 154.120.227.206:8080
IP 20 : 157.7.164.178:8081
IP 21 : 190.13.146.47:443
IP 22 : 186.146.110.108:8080
IP 23 : 162.241.134.130:8080
IP 24 : 75.154.163.1:8090
IP 25 : 201.217.113.58:8080
IP 26 : 178.249.187.150:7080
IP 27 : 190.117.206.153:443
IP 28 : 152.170.220.95:80
IP 29 : 187.143.219.242:8080
IP 30 : 144.76.62.10:8080
IP 31 : 143.95.101.72:8080
IP 32 : 200.55.168.82:20
IP 33 : 138.186.179.235:8080
IP 34 : 203.99.188.203:990
IP 35 : 200.90.86.170:8080
IP 36 : 186.84.173.153:80
IP 37 : 95.216.207.86:7080
IP 38 : 216.70.88.55:8080
IP 39 : 212.112.113.235:80
IP 40 : 181.61.143.177:80
IP 41 : 216.75.37.196:8080
IP 42 : 5.189.148.98:8080
IP 43 : 187.154.175.124:8080
IP 44 : 190.96.118.15:443
IP 45 : 113.52.135.33:7080
IP 46 : 181.197.2.80:443
IP 47 : 190.113.146.128:8080
IP 48 : 201.196.15.79:990
IP 49 : 83.169.33.157:8080
IP 50 : 181.36.42.205:443
IP 51 : 176.58.93.123:80
IP 52 : 23.253.207.142:8080
IP 53 : 138.197.140.163:8080
IP 54 : 181.47.235.26:993
IP 55 : 185.45.24.254:7080
IP 56 : 172.104.70.207:8080

■Trickbot Config
ver 1000479
gtag mor29
autorun [[('ctl', 'GetSystemInfo'), ('name', 'systeminfo')], [('name', 'pwgrab')]]
servs
144.91.79.9:443
172.245.97.148:443
85.204.116.139:443
185.62.188.117:443
185.222.202.76:443
144.91.79.12:443
185.68.93.43:443
195.123.238.191:443
146.185.219.29:443
195.133.196.151:443
91.235.129.60:443
23.227.206.170:443
185.222.202.192:443
190.154.203.218:449
178.183.150.169:449
200.116.199.10:449
187.58.56.26:449
177.103.240.149:449
81.190.160.139:449
200.21.51.38:449
181.49.61.237:449
46.174.235.36:449
36.89.85.103:449
170.233.120.53:449
89.228.243.148:449
31.214.138.207:449
186.42.98.254:449
195.93.223.100:449
181.112.52.26:449
190.13.160.19:449
186.71.150.23:449
190.152.4.98:449
170.82.156.53:449
131.161.253.190:449
200.127.121.99:449
45.235.213.126:449
31.128.13.45:449
181.10.207.234:449
201.187.105.123:449
201.210.120.239:449
190.152.125.22:449
103.69.216.86:449
128.201.174.107:449
101.108.92.111:449
190.111.255.219:449

■TrickbotのC2宛通信

f:id:bomccss:20191101010822p:plain

■Trickbotのファイル

f:id:bomccss:20191101010844p:plain

■Trickbotの永続化

f:id:bomccss:20191101010918p:plain

以上

2019-11-01

2019/10/18（金） Ursnifの調査

主に海外向けのursnif だと思われますが日本でも感染している事例を見つけました。
主に感染しているのは、US,JP,AU,GB,ITですが、それ以外にも様々な地域が感染しているのを確認しています。
感染は9/30頃から始まっていた可能性が高いです。

誘導の手段の全体像は不明です。
イタリア向けには以下を使用していたようです。

・サンプル
MD5:ed16fe67d8d29f1873d9e784d428f8fc
https://app.any.run/tasks/dc4f77f6-d8fb-4acd-aaa2-b35c0c63bb2a/

・ダウンロード元通信先
hxxp://proboxingfans[.]com/pagkype32.php
・C2
hxxp:/link.emilystravel1[.]com

・パラメータ
key=10291029JSJUYNHG
version=214085
id=7070
soft=3
server=12

このUrsnifのkeyは主にイタリアやアメリカ向けに、盗んだメールへの返信としてパスワード付きzipファイルを添付する手法を使っています。
（盗んだメールへの返信にすることで、信頼している相手からのメールだと錯覚させ、パスワード付きzipファイルにすることで、セキュリティ製品によるスキャンを回避し、添付ファイルを実行し感染さるという手法を取っています。
感覚的な話ですが、添付ファイルの開封率としては、他の手法に比べて高いものだと感じています。）

ただ、今回観測したケースはvbsから誘導するものであり、idも少し異なっているため、同じアクターでない可能性があります。
情報を持っている方がいらしたら、教えてください。

bomb_log

セキュリティに関するbom

2019/11/06（水）気象庁を騙る不審メールの調査

2019/10/22（火）添付ファイル付不審メール（Emotet -> Trickbot）の調査

2019/10/18（金） Ursnifの調査