返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
2020年9月-11月にかけて、日本向けに返信を装ったなりすましメールにパスワード付きzipを添付する攻撃が複数観測されています。
しかし、これらの攻撃は実は2種類に分類できます。Emotetに感染する攻撃とIcedIDに感染する攻撃です。
それぞれ攻撃は手法や使用するマルウェアが違うため、攻撃の被害にあった場合には、それぞれに対応した対処を行う必要があります。
特に、セキュリティ関係者が深く調査せずにIcedIDに感染する攻撃をEmotetに感染する攻撃と誤認し、誤った対応をしていることが散見されるため、注意が必要であると考えています。
そのため、本記事では2つの攻撃の違いを認識できるように紹介します。
※本記事は以下にスライド形式でも掲載しています。
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別 - Speaker Deck
目次
日本向けEmotetとIcedIDの類似点と相違点
日本向けに攻撃が行われているEmotetに感染する攻撃とIcedIDに感染する攻撃ですが、メールを受信した人にとっては、非常に似通った特徴があります。
- 過去やり取りした正規のメールへの返信(転送)を装っており、日本語で添付ファイルを開くよう誘導する
- 送信者は過去やり取りした人になりすましている
(なりすましではなく乗っ取りのケースもあり) - パスワード付きzipファイルが添付されており、中にはdocファイルが含まれる
- パスワードはメール本文中に記載されている
しかし、これらの攻撃は先に述べているように、感染するマルウェアが異なります。
なぜなら、攻撃を行っているグループが異なり為であり、そのため、攻撃の手法や攻撃全体の流れ(攻撃キャンペーン)も異なります。
受信するメールのサンプル
以下にそれぞれのメールのサンプルを掲載します。
- Emotetに感染するなりすましメールのサンプル
- IcedIDに感染するなりすましメールのサンプル
先に述べているものと重複しますが、共通する特徴として以下が挙げられます。
- 送信者をなりすましている (送信者に関係がある宛先に送信する)
- 過去やり取りしたメールへの返信を装う
- docが含まれたパスワード付きzipが添付される
- docのマクロを実行するとマルウェアに感染する
これらの特徴が重複しており、受信するメールの特徴としては似ていると言えます。
そのため、受信した人にとっては、違いを意識することは困難です。
常日頃からばらまきメールの動向を払っていなければ、セキュリティの専門家であっても、2つの攻撃グループがあり似たメールで別のマルウェアに感染させようとしていることは知らない人が多いのではないでしょうか。
マルウェアに感染させる攻撃プロセス
次に、それぞれのマルウェアに感染させる攻撃プロセスについて見ていきます。
- Emotetに感染させる攻撃プロセス
Emotetに感染させるメールは、Emotetに感染した端末を利用して送信されます。
Emotetに感染すると端末から過去メールや連絡先などの情報が盗まれ、C2サーバへ送信されます。その情報は以降のEmotetに感染させるメールの"素材"として履歴に使われる本文、メールのなりすました送信元、メールの送信先などに利用されます。
Emotetに感染するとC2サーバからメール送信用のモジュールが感染した端末へと送られます。これにより、Emotetに感染した端末はEmotetに感染するメールを送信する端末へと変化してしまいます。
下図で破線で囲っている枠内のメール送信から感染端末をメール送信に利用することまで、攻撃者がC2サーバに一度命令を出せば全て自動で行われていると考えられます。
この自動的な感染拡大の仕組みがEmotetの最大の特徴と言えます。
- IcedIDに感染させる攻撃プロセス
メール情報の収集やメールの送信は手動操作と考えられます。
不正ログイン可能なメールサーバの情報を何らかの手段により取得し、メールサーバに残っているメールの送受信先にIcedIDに感染させるメールを送っていると考えられます。
この時、不正ログインしたメールサーバからメールを送信するケース(偽装ではなく不正利用)と他の不正利用可能なメールサーバからメールを送信するケース(なりすましメール)の両方のケースを確認しています。
メール送信のために不正利用されるメールサーバの情報をどうやって収集しているかは不明です。
IcedIDによりメール関連情報を盗んでいる可能性はありますが、それを裏付ける動作は把握しておらず、他の手法と組み合わせているのではないかと考えています。
マルウェアに感染する手法について紹介しましたが、こう比較すると、攻撃手法全体の中でメールは受信者が一番目にする部分とは言え一部分に過ぎないことがわかるかと思います。
また、攻撃全体の中ではマルウェアが担う部分は多いが、それ以外の手法も含めて、攻撃キャンペーンが成り立っている、ということが分かるかと思います。
2種類の攻撃キャンペーンの区別
では、どうやってこの2種類の攻撃キャンペーンの区別を付けるのでしょうか。
以下の点から区別することが可能です。
- 攻撃の発生時期
- メール本文
- 添付ファイル
- 永続化手法
- 残ったファイル
この10月、11月に起こった2つの攻撃キャンペーンのどちらだったか、を区別する手段になります。
今後も使える手法かどうかは、攻撃キャンペーンがどのように手口を変えてくるかによって異なります。ある程度観測していると、新たな手口が出てきてもどちらか推測が可能です。
順に見ていきます。
- 攻撃の発生時期
ばらまきメールは広範囲に送信されるため、攻撃があった日を把握しやすいです。
2020/11/30時点ではIcedIDに感染する攻撃は2020/10/27-29, 11/3-5, 20でのみ発生しています。
Emotetに感染する攻撃は2020/1/13-2/6、7/17-10/30(全世界)です。
- メール本文
「受信するメールのサンプル」の項で示したものがメールのサンプルになります。
IcedIDに感染するメールはほぼ内容が同一で「おはようございます、 添付ファイルのご確認、宜しくお願いいたします ZIPファイル解凍用パスワード: ありがとう。 」です。英語の「Good Morning, Please see attached」などの直訳です。
対して、Emotetに感染するメールは様々なメール本文がありますが、比較すると、パスワード付きzipファイルが添付されている場合には、ファイル名とパスワードが併せて記載されている点が特徴と言えます。Emotetはメールの種類によって、履歴が付く場合と付かない場合があります。
- 添付ファイル
IcedIDに感染するメールの添付ファイル名は主に「Info.zip」「Request.zip」です。侵害された組織の名前をzipファイル名に使うケースもあります。zipファイルの中にはdocファイルがありますが、見た目は以下の1種類のみです。
Emotetに感染するメールの添付ファイル名は様々です。
例えば、2020/10/22の日本語のEmotetに感染するメールの件名と添付ファイル名のパターンの一覧は以下です。
以下でも公開しています。
pastebin.com
zipファイルの中に含まれるdocファイルも見た目が様々なものがありますが、以下の記事にて記載しています。
- 永続化手法
IcedIDはタスクスケジューラにregsvr32.exeを使った形で永続化を残します。
EmotetはRunキーまたはサービスに永続化を残します。詳細は以下の記事にて紹介しています。(EmoCheckを実施して把握するのがオススメです)
- 残ったファイル
IcedIDはdocファイル実行時に%temp%フォルダ(通常C:\Users\(ユーザ名)\AppData\Local\Temp)配下に「im.com」「im.html」「temp.tmp」「(ランダムな数字).png」といったファイルが作成されます。
Emotetでは同様のファイルは作成されません。
攻撃グループの特徴
これらの攻撃を行っているのはどのような攻撃グループなのでしょうか。
- Emotetを使用する攻撃グループ
Emotetは単一の攻撃グループが使用するマルウェアであると考えられています。
攻撃グループはMealybugs, Mummy Spider, TA542, ivanなどの名前で呼ばれています。(どれも同じ攻撃グループのことを指します)
Emotetに感染させる手法は上記で説明したメール経由による感染です。
Emotetは別のマルウェアに感染させる為の道具であり、別のマルウェアを感染させることで、他の攻撃グループから「使用料」を得ていると考えられています。
別のマルウェアはTrickbot, Qbot, Zloaderなど不正送金用途のものが多いです。
- IcedIDを使用する攻撃グループ
IcedIDは複数の攻撃グループが使用するマルウェアで、不正送金を行うためのバンキングトロジャンと呼ばれる種類のマルウェアです。
感染手法も上記で説明した手法以外にも様々なケースが存在しています。
(例) Emotetから二次感染させる(この手法を行う攻撃グループは識別されていません。)
SmokeLoaderから二次感染させる(この手法はTA516と呼ばれる攻撃グループが行っています)
今回紹介している攻撃手法は Shathak または TA551 (どちら同じ攻撃グループのことを指します)と呼ばれる攻撃グループが行っている攻撃キャンペーンです。
過去には類似した手法でUrsnifへ感染する攻撃を行っていました。(2018/11/27, 2019/12/18, 2020/3/10, 3/13など)
目的はIcedIDによる不正送金と考えられます。
攻撃への対処
攻撃にあった場合、それぞれの攻撃手法、被害を受けた立場によって実施すべき対応が変わってきます。
- Emotet
メール送信に利用された場合:Emotet感染有無の確認(EmoCheck)、メールアカウントのパスワード変更
受信したメールを開いた場合:Emotet感染有無の確認(EmoCheck)
- IcedID
メール送信に利用された場合:メールサーバアクセス制限、メールアカウントのパスワード変更
受信したメールを開いた場合:IcedID感染有無の確認(EmoCheckでは確認できない)
まとめ
ここまで紹介してきたように、「パスワード付きzipが添付された返信を装ったなりすましメール」というメールですが、2種類の攻撃グループがそれぞれ異なった手法で攻撃を行っています。
そのため、攻撃にあった場合の対処法は異なります。どちらのケースか注意深く判断し対応する必要があります。
宣伝
本資料にて紹介した2つのグループの攻撃キャンペーンについては、JSAC2021にて講演があります。Emotetは私達が発表します。
とあるEmotetの観測結果 by bom (@bomccss) & sugimu (@sugimu_sec)
Shathakに関する攻撃キャンペーンの全体像
参考
本資料にて説明した2つの攻撃グループ[Emotet/Ursnif(今はIcedID)]の2019年10月時の手法の解説記事
2020年10月以降のShathakの攻撃の詳細分析記事
2018年10月頃のshatakによる返信型Ursnifに関する記事
2020/3/13のshathakによる日本向け返信型UrsnifのIoC
更新記録: 2020/12/01 - 2種類の攻撃キャンペーンの区別 を追加
2020/10/16(木) 添付ファイル付不審メール「支払いの詳細 - 注文番号」「【2020年10月】請求額のご連絡」(ZLoader)の調査
2020/10/14と同種と考えられる、日本語ばらまきメールを観測しました。
件名や通信先が異なる2種類のメールが来ていますが、感染するマルウェアは同一hashで同じモノ、マルウェアZLoaderです。
2020/10/14はこちら。
●ケース1
■件名
支払いの詳細 - 注文番号
■本文
この E-Mail はお客様のお支払い情報とお客様のご注文が処理されることを確認する
ためのものです。 ご注文が完了すると、別送で E-Mail を送信します。
このメッセージの最後に記載されている請求書をご確認ください。
●ケース2
■件名
【2020年10月】請求額のご連絡
■本文
【ご請求額の通知 】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつもお世話になっております。
前月のご請求額が確定いたしましたのでお知らせいたします。
請求書、および明細を(XLS)/(PDF)形式の添付書類にてお送りいたしますので、
ご確認ください。
なお、設定漏れによるノーショー、キャンセルのご予約は請求対象 となっております。あらかじめご了承ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ご請求額
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2020年10月分 4,086円(税込)
請求書、および明細は添付書類をご確認ください。
●ケース1,2
■添付ファイル
nnnnnn.zip -> nnnnnn.xls
※nnnnnnは数字6桁
例: 842358.zip -> 842358.xls
<見た目>
※開こうとすると警告が出ます。「はい」を選択すると上記が表示されます。
※どちらのケースでも見た目は同じ。hash、通信先が異なる
●ケース1
■サンプル
・ https://app.any.run/tasks/d94aa079-3ada-4280-8b73-1ef33b698bd8/
MD5: 845386A107D54CBBF8452779BD687161
SHA1: 38EA631C74665F6847DCF995D58271686C481CB1
SHA256: 0B4D15D0CE4617E9C83198B70AF7CF736DAEB93977A9107FF62517EE2A13B95B
・ https://app.any.run/tasks/e8acfbc2-0211-4f91-bcc6-ddb66b8a6b63/
MD5: 629347D067EA06E15BCFBD44B0F50956
SHA1: C947AAB302541BF288860FF907DF0327D830EFC1
SHA256: E6DAE65ADCE0BBA7F4ED879522AF20866A2DD0B4097D996F9849215E436F90A8
・ https://app.any.run/tasks/7d12005b-80da-405d-9ede-6499579c73ca/
MD5: 957F3DB4142A10DF34DBD1C75E30D7E6
SHA1: BF72419ED3AD3D5B7E83BCBF85D604B982476B2A
SHA256: 72BF22567FE5E7A6B0A319D2AF8836A77AEDC40AA98779AD124EA2C08FF7DB0B
■通信先
hxxp://pickthismotel[.]xyz/campo/b/b
(159.65.125[.]229)
->リダイレクト
hxxp://montessori123.net/2.exe
(202.92.4[.]34)
●ケース2
■サンプル
・https://app.any.run/tasks/ea9083bf-4324-417e-b80a-8606ea083821/
MD5: 6A7FA20B8891990A948F138C7E05A890
SHA1: B8F0C964386A054C34ACB3EBD6071B05812ACF68
SHA256: 4F3562743781503D4F24066DF6C4FE9313F34077E603BBC6FCECC83D3B2EF6AE
・https://app.any.run/tasks/9e5c79ef-587e-466c-a03a-56869ddbfc34/
MD5: A7FBAB134E02F77ED2D7F1D1069DBE02
SHA1: 5FBF2B3BBD33AC24678B5FFB8829CED204991588
SHA256: 7416C3BB39997CD516B8CE9BC84C6F964E49778CD29BCA9000DFE44A5382A960
■通信先
hxxp://hellomydad[.]xyz/campo/b/b
(159.65.125[.]229)
->リダイレクト
hxxp://cateringmuslimcemangi[.]com/2.exe
(156.67.211[.]40)
どちらの場合も、日本のIPから初回アクセス時のみリダイレクトし取得、感染されると思われます。
それ以外のケースではups.comへとリダイレクトされ、マルウェアは取得されません。
以下はケース1,2共に同じ動きとなります。
●ケース1,2
■ペイロード
どちらの添付ファイル、通信先からも同じhashのマルウェアがダウンロードされます。
マルウェアZLoaderです。
https://app.any.run/tasks/4de1f28e-5695-467d-af0e-07c4653462d6/
MD5: F001A34284907EFFCCD73401F3C67024
SHA1: 9646D4BCE167034408E00DA8E8E0B967C8D824CA
SHA256: C3843E4E47FDD596EA21993CB29DB052BD6D0393E6BCC62821F12A5552781FEC
■プロセス
ZLoaderはまず約10分程度(マシンスペックに依存する可能性あり)、data.txtというファイルを作っては消して、ということを行い時間を引き伸ばしています。
これは主にsandbox回避のためのスリープ処理のようなものと考えられます。
その後、ZLoaderはmsiexec.exeを実行します。C2と通信が行われるとC2から様々なZLoaderのモジュールが与えられ、msiexecにインジェクションされます。
■永続化
ZLoaderは感染後、C:\users\(username)\Appdata\Roaming配下に様々なフォルダを作成し、その中の一つに自身をコピーします。フォルダ名はランダムと思われます。
コピーしたZLoaderをレジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)に登録します。これによってログイン後に自動実行されるようになり、永続化がなされます。
また、それ以外に感染の痕跡として、以下のレジストリキーに値を入れます。
HKEY_CURRENT_USER\Software\Microsoft\toxm
HKEY_CURRENT_USER\Software\Microsoft\(ランダム)\(ランダム)
これらのレジストリキーがあれば感染していると判断できます。
■通信
■config
https://www.capesandbox.com/analysis/71755/
Type: Zloader Config
Botnet name: r1
Campaign ID: r1
RC4 key: e858071ef441a9a66f1a0506fc20b8c3
C2 address:
hxxps://notsweets[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://olpons[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://karamelliar[.]org/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://dogrunn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://azoraz[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
■WebInjects
このZLoaderからは日本の金融機関を狙ったWebInjectsを確認しています。
ZLoaderに感染した状態で、インターネットバンキングやカード会社のWebサイトにアクセスすると、認証情報が窃取されたり、不正送金される恐れがあります。
なお、対象の組織については金融ISACへ情報共有しています。
■関連分析
・添付ファイル
同じ画像を使った同じxls添付による攻撃、という点で、10/14と10/16は同じ攻撃キャンペーンと考えてよいかと思われます。
・メール文面
このメール文面も過去に見たことがあります。
●ケース1
・JC3 | 注意情報 [2017/6/29]
https://www.jc3.or.jp/topics/v_log/201706.html#d20170629c・JC3 | 注意情報 [2017/7/5]
https://www.jc3.or.jp/topics/v_log/201707.html#d20170705c
過去このメールが使われた際にはbeblohからUrsnif-Bに感染するものでした。
●ケース2
・JC3 | 注意情報 [2017/5/15]
https://www.jc3.or.jp/topics/v_log/201705.html#d20170515c
・JC3 | 注意情報 [2019/5/7]
https://www.jc3.or.jp/topics/v_log/201905.html#d20190507c
この文面では2017年にはUrsnif-Bに感染し、2019年にはbeblohからUrsnif-Aに感染します。
10/14のメール文面はUrsnif-Bのものだけでしたが、今回のケースではUrsnif-AとUrsnif-Bがどちらも使っていたメール文面でした。
双方のアクターと関係性があるのか、Ursnif-AがUrsnif-Bの文面を過去盗んで使っていてそのどちらかと関係性があるのか、またはJC3などのHPよりメール文面を盗んだのか、結論を出すことはできなさそうです。
・ZLoader
このmaldocから取得されるZLoaderですが、以下のZloaderと同じC2を使用しています。
https://app.any.run/tasks/074f1fc2-f031-475c-af9d-5cdbedf1a3ce/
Zloader Config
Botnet name: SG
Campaign ID: SG
RC4 key: e858071ef441a9a66f1a0506fc20b8c3
address:
hxxps://notsweets[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://olpons[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://karamelliar[.]org/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://dogrunn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://azoraz[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
Emotetから二次感染するZloaderですが、Botnet name/Campaign IDが違います。
同じアクターなのか、同じインフラを使用しているのかは分かりません。
■参考情報
とりあえず
— abel (@abel1ma) 2020年10月15日
10月16日4時ごろから不審メールがきています。
件名
支払いの詳細 - 注文番号
添付
zipファイル に excelファイル格納
通信先
hxxp://hellomydad[.]xyz/campo/b/b
2020/10/16 朝から添付ファイル付きの日本語の不審メールを確認しています。
— bom (@bomccss) 2020年10月15日
10/14と同じキャンペーンと考えられます。
■件名
支払いの詳細 - 注文番号
■添付ファイル名https://t.co/JY4innN6YW -> 842358.xlshttps://t.co/ScEbibXdAo pic.twitter.com/P0niGv4H1G
日本語マルウェアの接到を確認しています#maldoc in Japanese #zloader
— moto_sato (@58_158_177_102) 2020年10月16日
件名 : 支払いの詳細 - 注文番号
件名 : 【2020年10月】請求額のご連絡
sample : https://t.co/8Y4EaNoraQhttps://t.co/ryDSrrszYa (1/63)https://t.co/t80MmCBCT9https://t.co/Hnbt6BoPhl pic.twitter.com/TAxJlfL0pj
【2020/10/16】Subject, 本文が日本語のばらまき型攻撃メールに関する注意喚起 https://t.co/nRFwczJVZS
— 国立大学法人電気通信大学 情報基盤センター (@itc_uec) 2020年10月16日
2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」(ZLoader)の調査
久しぶりにEmotet以外の日本語の添付ファイル付きの不審メールのばらまきが発生しました。
内容について分析します。
■件名
【お振込口座変更のご連絡】
■本文
経理ご担当者様
いつも大変お世話になっております。
株式会社ジャパントラストの佐々木です。
今月分のご入金より振込口座の変更をさせていただきたいのですが、
ご対応可能でしょうか?
新たな振込先に関しましては、
現在、手続き中で10月13日に完了予定となります。
本日中に仮のご請求書データをお送り致しまして
手続き完了次第、正式なご請求書データをお送り致します。
急なご連絡になってしまい大変申し訳ございませんが、
ご対応をいただけますと大変助かります。
--
今後とも何卒よろしくお願いいたします。
■添付ファイル
nnnnnnnnn.zip
解凍すると nnnnnnnnn.xls
※nnnnnnnnnは9桁の乱数
例: 215124617.zip -> 215124617.xls
<見た目>
※開こうとすると警告が出ます。「はい」を選択すると上記が表示されます。
Hashは複数あります。下記以外にも複数あると考えられます。
▼Hash
MD5: acbe6522dde86db6e1ad31476a46bc5d
SHA1: c18d8dd93297db358384b7635c955c306362e305
SHA256: c0c71b7403bc65e9716d9e103c2d4e28ce971d371b18f4922c64f631a83c9744
サンプル
https://app.any.run/tasks/4d505a1a-c75a-45c9-93f9-6a2231aefb1a/
▼Hash
MD5 90050e800c314c42fc5c7836b1239f1aMD5 90050e800c314c42fc5c7836b1239f1aSHA-1 efe7f37154cdace529b5651e3ab47d6902e98f08SHA-256 1c9ed06fcb9f89e9b1d772f4825dfb6f2b4c3d9dc68c0a0db9515b505b58f814
▼Hash
MD5 9fcb972ebe50a93e734c1705c0ed1b4bMD5 9fcb972ebe50a93e734c1705c0ed1b4bSHA-1 c7e605bf7ef0aa02d4db4286d83adcf6fc464e1dSHA-256 386afd578afcc7c33eea1007c8ab29b71434ea4194a49bfbdea0fdca34e64f7f
■通信先
hxxp://159.89.9[.]74/campo/t/t
※IPのGeolocationが日本でないと ups.com へリダイレクトされる
日本のIPからは別のURLにリダイレクトされてファイルがダウンロードされる(と思われる)が、リダイレクト先のURLについて情報なし。
■ペイロード
上記からダウンロードされるのはマルウェアZLoader
▼Hash
MD5:12368655038e920cb2ada7d34fac40dd
SHA1: fca002da98c91b019a3fab4639a4b6e4d0de43d7
SHA256: 9f654fe304bd80d1114c515362319c59bc569a54cb445aacdf47672d56815da1
サンプル
https://tria.ge/201013-xs83jp8xjs
https://www.capesandbox.com/analysis/70636/
https://app.any.run/tasks/91ba0c09-595e-4091-9d93-bfe868c46534/
■プロセスの動き
t.exeを実行すると、msiexec.exeが実行され、そこにインジェクションして動作します。(プロセス上の親子関係は現れないです)
msiexec.exeからの端末調査のコマンドの実行などの挙動が伺えます。
ファイルは自身をコピーします。その際、C:\users\(username)\Appdata\Roaming配下に様々なフォルダを作成し、その中の一つにコピーします。フォルダ名はランダムと思われます。
■永続化
ZLoaderはレジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)に自身を登録します。
また、それ以外に感染の痕跡として、以下のレジストリキーに値を入れます。
HKEY_CURRENT_USER\Software\Microsoft\toxm
HKEY_CURRENT_USER\Software\Microsoft\(ランダム)\(ランダム)
これらのレジストリキーがあれば感染していると判断できます。
■config
○Botnet ID: r1
○C2
hxxps://freebreez[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://makaronz[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://ricklick[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://litlblockblack[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://vaktorianpackif[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://hbamefphmqsdgkqojgwe[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://hoxfqvlgoabyfspvjimc[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://yrsfuaegsevyffrfsgpj[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
○rc4.plain
e858071ef441a9a66f1a0506fc20b8c3
○rsa_pubkey.plain
-----BEGIN PUBLIC KEY-----
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgHpFzCGFAP0unkZ2zHNtVYQsOAsR
e2ENNwJ8gkPfbj9t6WQ9dCAGalAGg7auX/u2ZhvlmUtM4o9cN5t5P6N3Lkcdpfs8
nutVvaHHDS2kfSMfNGBGCZyrKHW0prtiBPlCwM6Cis3KVTjp1MUcSAgKHsPbGeSX
pMsguw2fOZhNdlizAgMBAAE=
-----END PUBLIC KEY-----
■関連分析
今回のばらまきメールについて、2点、他のばらまきメールとの関連が伺えるものがあります。
・デコイ画像(ファイルを開いたときに表示されるおとり画像)
このデコイ画像は昨今世間で流行っているマルウェアEmotetのデコイ画像の一つとして利用されています。
Emotetは最近になって他のアクター(Dridex)のデコイ画像を使用するケースがあり、それと同様に今回のアクターがEmotetのデコイ画像を使用した可能性も考えられます。
また、似た画像は2018年12月のUrsnif-Bの攻撃でも使用されています。
https://app.any.run/tasks/be1d7fff-07fb-4619-a8cb-b0fdecb09031/
・メール文面
メールの文面について、検索をしてみると、以下の情報がヒットします。
・FFRIセキュリティ » 【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起 [2017/06/13/]
https://www.ffri.jp/blog/2017/06/2017-06-13.htm
サンプル: https://www.hybrid-analysis.com/sample/dac7161b56bd7677d99cb91dbb63cee897592e85872bdfe0912b715a5c000def/593f92a1aac2ed613fe5a552
通信先: hxxp://es[.]alphacreativeentertainment[.]com/4999[.]bin
ペイロード: https://www.hybrid-analysis.com/sample/c7f78d4c2693ffe5c2b65018f642b54b0dd69bee02c2d744445b91f4a3eefee3?environmentId=100
・「ジャパントラスト」を騙る巧妙な迷惑メールが流行中!絶対に開かないようにしよう [2017/06/13]
https://sodicom.jp/blog/2017/06/13/ittechnology/5934/
・株式会社ジャパントラストの佐々木 康人を名乗る支払い関連メールは詐欺メールです! [2017/07/25]
http://nomoresagimail.blogspot.com/2017/07/blog-post_25.html
・ジャパントラストを騙ったウイルス付きメールに注意 | E Flat B倉庫 Blog [2017/07/28]
https://eflat.jp/blog/?p=3887
添付ファイル: https://www.hybrid-analysis.com/sample/93a8123cb12df135562912f00960bf7c22b113c77d6be700ad4016c86251fa01?environmentId=100
通信先 : hxxp://en.dresden45[.]com/1.xls
ペイロード: https://www.hybrid-analysis.com/sample/a8e98a5a52908e3e2f573bdd72eb8610475c025e6259d35fb2e0e72221d7b637/597a7bf87ca3e12442360e07
通信先 : hxxp://en.dresden45[.]com/f.bin
ペイロード: https://www.hybrid-analysis.com/sample/256df94ce775d48a1f143666940c9ac4b8db01066bb29159dbe06bf1a800ed1b/597a7ed97ca3e129b73dbf75
・JC3 | 注意情報 [2017/11/22]
https://www.jc3.or.jp/topics/v_log/201711.html#d20171122a
・【注意】件名 「 Re:お振込口座変更のご連絡 」でジャパントラストをかたるウイルスメールが拡散中 [2017/11/22] ※9/14受信のコメントあり
https://matomame.jp/user/yonepo665/0a068a6c04c19a169b72
・「映音堂」と「株式会社ジャパントラスト」を騙るメールは詐欺(サギ)メールなのでご注意ください!
https://nomoresagimail.blogspot.com/2017/11/blog-post_22.html
・詐欺・迷惑メール ジャパントラスト Re:お振込口座変更のご連絡
https://www.wakai-ojisan.com/entry/884/
2017年7-11月頃にばらまきメールで出ていたものと同じ文面になります。これらのメールから感染するのはUrsnif-Bです。
文面が同じもののため、同一アクターの可能性が考えられます。
ただし、過去にUrsnif-Aの文面をTA505が盗んで日本向けに使用したケースを観測していますので、メール文面だけで同一アクターと決めつけるのは難しいと言えます。
なお、Ursnif-BについてはJSAC2020にて発表を行っていますので、以下を参照ください。
■参考情報
詳細は後ほど確認しますが
— abel (@abel1ma) 2020年10月13日
10月4日5時ごろから不審メールがばら撒かれています
件名
【お振込口座変更のご連絡】
添付
ZIPファイルにexcelファイルが格納
日本語マルウェアメールの接到を確認しています#maldoc in Japanese observed
— moto_sato (@58_158_177_102) 2020年10月13日
h/t @abel1ma
subject : 【お振込口座変更のご連絡】
MD5 : acbe6522dde86db6e1ad31476a46bc5d
sample : https://t.co/l1tHKeXvLAhttps://t.co/DQeRHvkWcq (first post : 0/61)https://t.co/dHGXZPSHLN pic.twitter.com/NXC550trLi
日本語のばらまきメール(malspam)が確認されています。
— bom (@bomccss) 2020年10月13日
h/t: @abel1ma, @58_158_177_102
■件名
【お振込口座変更のご連絡】
■添付ファイル
[数字8桁].zip -> [数字8桁].txt
例: https://t.co/iXFXIdCane -> 215124617.xls
■サンプルhttps://t.co/1fMES0Sdlf
デコイ画像は見覚えがありますね。 pic.twitter.com/or7lGF24UL
【2020/10/14】Subject, 本文が日本語のばらまき型攻撃メールに関する注意喚起 https://t.co/4MoG6Q4fWK
— 国立大学法人電気通信大学 情報基盤センター (@itc_uec) 2020年10月14日
以上
