bomb_log

セキュリティに関するbom

2018/06/06(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。 この件名でのバラマキは5/30以来でした。配信で使用するドメインやマルウェア等は同一のため、同じ攻撃者によるものと思われます。配信量は楽天市場…

2018/06/06(水) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。 この件名でのバラマキは5/11以来でした。配信量は同件名で通常の1/3程度と少量でした。 ■日時2018/06/06(水) 14:55頃 - 17:10頃 ■件名【楽天市場】注文内容ご確認(自動配信メール) ■送信者ord…

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査その2

以下の記事の続きになります。 bomccss.hatenablog.jp 前回調査をした際に、以下の疑問がわきました。 もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組…

2018/06/05(火) 『2018.5月分請求データ送付の件.6月請求データ.xls』『6月分請求データ送付の件』『6月請求データ.xls』の調査

タイトルが長くなってしまいました。 6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水…

2018/06/05(火) 『のご注文について』の調査

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この件名のものは一番配布数が少なかったです。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水) 16:55頃 - 17:10頃 ■件名のご注文について ■本文JC3によ…

2018/06/05(火) 『請書及び請求書のご送付』『RE: 請求書XLSについて』の調査

添付ファイルが付いていてbeblohを取得するタイプのばらまきがありました。配布されている数はリンクからマルウェアを落とすタイプと比較すると1/5~1/10程度と少量です。 ■日時2018/06/05(火) 15:15頃 - 16:35頃 ■件名請書及び請求書のご送付RE: 請求書XLS…

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査

5/15(火)、16(水)、5/22(火)、前日5/30(水)に配布があったものと同じ件名で不審メールの送信がありました。この添付ファイルを複数日に渡って実行を繰り返しましたが、同一ハッシュのマルウェアを取得しました。5/30(水)よりは件数は多いですが、楽天を騙っ…

2018/05/30(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

楽天関係をかたった不審メールの配信がありました。新しい件名のパターンですが、誘導先URLやダウンロードされるマルウェアは同日の「Airdrop申請内容をご確認ください」と同じでした。また、5/11までの楽天を騙ったメールとC2ドメイン hxxp://chklink[.]clu…

2018/05/30(水) 『2018.5月分請求データ送付の件』の調査

5/15、16に配布があったものと同じ件名で不審メールの送信がありました。 ■日時2018/05/30(水) 15:35頃 - 15:50頃 件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)と同一です■件名2018.5月分請求データ送付の件.2018.5月分請求データ送付の件F…

2018/05/30(水) 『Airdrop申請内容をご確認ください』の調査

新しい件名での不審メールのばらまきがありました。配信された件数はこれまでの楽天市場を騙ったメールの配信と同規模と想定されます。 ■日時05/30 14:20頃 - 21:00頃 ■件名Airdrop申請内容をご確認ください※17:00頃までは配信ミスと思われる「=?UTF-8?B?QWl…

2018/05/22(火) 『2018.5月分請求データ送付の件』の調査

毎週火曜日、不審メールのばらまきが起こりやすい曜日です。.xlsファイル添付のursnifへの感染を狙ったものです。 ■日時2018/05/22 15:55 - 17:35 頃まで ※件名、本文共に5/15(火)、5/16(水)と同一です。■件名2018.5月分請求データ送付の件.2018.5月分請求デ…

2018/05/16(水) 『2018.5月分請求データ送付の件』の調査

3日連続で、xls形式の添付ファイルがついたメールのばらまきがありました。これも前日同様に、bebloh、ursnifの流れです。送信量は前日と同程度でした。 ■日時2018/05/16 15:50 - 2018/05/16 20:45 頃 ■件名以下、5種類を確認しています。2018.5月分請求デー…

2018/05/15(火) 『2018.5月分請求データ送付の件』の調査

前日に引き続き、xls形式の添付ファイルがついたメールのばらまきがありました。これも前日同様に、bebloh、ursnifの流れです。前日の3種類の合算と同程度の送信量でした。 ■日時2018/05/15(火) 15:35 - 2018/05/16(水) 8:45 頃 ■件名2018.5月分請求データ送…

2018/05/14(月) 『指定請求書』『注文書、請書及び請求書のご送付』の調査

5/14(月)に更に同一ハッシュのマルウェアへの感染を狙った別の件名でのxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。同一日時で3回も件名を変えてばらまかれるのは珍しいです。なお、同一件名でのばらまきは5/8(火)にありましたが…

2018/05/14(月) 『発注分』の調査

さらに5/14(月)に件名「印鑑の発注について」と入れ替わる形でごく少数ですが、件名「発注分」でも同様のxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。 ■日時2018/05/14(月) 16:55 - 2018/05/14(月) 19:35 頃 ■件名発注分 ■添付フ…

2018/05/14(月) 『印鑑の発注について』の調査

5/14(月)にxlsファイルが添付された不審メールのばらまきがありました。送信量は少数です。 ■日時2018/05/14(月) 15:55 - 2018/05/14(月) 16:50 頃 ■件名印鑑の発注について ■本文 ■添付ファイル全行団 発注.xlshttps://www.hybrid-analysis.com/sample/38bf…

2018/05/11(金) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

さらに件名が5/9(水)と同じものに変更され、同一のマルウェアへの感染を狙った不審メールのばらまきがあり、日付が変わっても続きました。誘導先リンクの一部やその後ダウンロードされるファイルのハッシュ値は同一であり、同じ攻撃者が実施しているものと思…

2018/05/11 『カード利用のお知らせ』の調査

5/8(火)に引き続き、5/9(水)にも不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。この件名でのばらまきは3月以来かと思います。ばらまき量で通常程度でした。 ■日時2018/05/11(金) 15:05 - 18:40 頃 ■件名カード利用のお知らせ ■本文 …

2018/05/09 『注文請書・請求書をお送り致します。』の調査

5/8(火)に引き続き、5/9(水)もメールのExcel添付ファイルを用いて不正送金マルウェアursnifの感染を狙った不審メールのばらまきもありました。なお、今回も検体を取得しておらず、動的解析は実施していません。ばらまかれた件数はごく少数のようです。 ■日時…

2018/05/09 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

5/8(火)に引き続き、5/9(水)にも不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。通常の1.5倍程度のばらまき量で少し多いかな、という程度でした。 ■日時2018/05/09(水) 14:06 - 22:28 ※以下、件名、送信者、本文は4/19(木)-4/20(金),…

2018/05/08 『指定請求書』『注文書、請書及び請求書のご送付』の調査

5/8(火)にメールのExcel添付ファイルを用いて不正送金マルウェアursnifの感染を狙った不審メールのばらまきもありました。4/24(水)に同件名で発生したばらまきと同程度の配信量でした。なお、今回は検体を取得しておらず、動的解析は実施していません。 ■日…

2018/05/08 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

5/8に不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。昼過ぎから送信があり、遅いものは翌日深夜まで送信されていたものがありました。これまであった同件名のばらまきの中では、一般的な時の倍くらいの量でした。 ■日時2018/05/08(…

2018/04/28 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

なんと、過去最長の5日連続にして土曜日の不審メールのばらまきです。なお、今回も前日と同様にコンテンツが準備されておらず、メール内のリンクをクリックしても実害はありません。 ■日時2018/04/28 14:50 - 17:50 頃 ※以下、件名、送信者、本文は4/19(木),…

2018/04/27 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

4日連続で同一の不審メールのばらまきがありました。しかし、この日はメール中のリンクをクリックしてもコンテンツが準備されておらず、実害の出るものではありませんでした。 ■日時2018/04/27(金) 8:00 - 10:20 頃過去最早の時間帯での送信ですが、件数は少…

2018/04/26 『8月、原価請求書です。』の調査

主に4/26(木)に添付ファイル付の #不審メール のばらまきがありました。4月に「8月、原価請求書です。」という件名で送られてきていますが、これは昨年9月にばらまきがあったものと同様の件名・本文と思われます。なお、ダウンローダのリンク先に不備があり…

2018/04/26 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

4/26(木) は朝から日付が変わる付近まで一日中、昨日同様の不審メールのばらまきがありました。9時代-11時代、14時代-16時代、18時代-23時代と計3回の波があり、4/24(火)の同件名の約5倍、4/25(水)の同件名の約10倍の規模の配布量でした。なお、ダウンロード…

2018/04/25 『注文書、請書及び請求書のご送付』の調査

前日同様4/25(水)にも、メールのExcel添付ファイルを用い不正送金マルウェアursnifの感染を狙った不審メールの大量配布がありました。件数は前日の1/3程度でした。 ■日時2018/04/25(水) 15:45 - 16:50 頃 ■件名注文書、請書及び請求書のご送付 ■添付ファイル…

2018/04/25 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/04/25(火)にも不正送金マルウェア ursnif の感染を狙った 不審メール の配布が発生しました。メール配信の規模は前日4/24(火)の同件名の半数程度、前日の添付ファイル形式のものと同程度です。 ■日時2018/04/25 14:40 ~ 15:30 頃 ※以下、件名、送信者…

2018/04/24 『注文書、請書及び請求書のご送付』の調査

メールにExcelファイルを添付することで不正送金マルウェアの感染を狙った不審メールの大量配布がありました。メール添付のExcelファイルを開き、マクロを実行するとBeblohに感染し、しばらくした後にursnifが送り込まれます。 ■日時2018/04/24(火) 15:50 ~…

2018/04/24 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

先週に引き続き、不正送金マルウェアursnifの感染を狙った楽天市場を騙るメールのばらまきがありました。■日時2018/04/24(火) 14:55 ~ 21:10主に14時~16時代、19時代、21時代と計3回の波がきていました。 ※以下、件名、送信者、本文は4/19,4/20のものと同…