bomb_log

セキュリティに関するbom

2019/06/19(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】 ■日時2019/06/19 9:00- ■件名Fw: ■添付ファイルreport.zip -> report.jshttps://www.virustotal.com/gui/file/44d8920aedb1db31dacc00e629196b8350be5657eae3652915f3420fe79b7d35/detection ■通信先hxxp://bibicity[.]ru/x.exeursnif exehttps:/…

2019/06/17(月) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

この日のursnifへの感染を狙った日本語のばらまきメールでは、幾つか変化がありました。 ・ダウンローダのxlsファイル内で端末情報を取得し、beblohに観戦前にC2サーバに送信すること。・beblohのDGAのアルゴリズムが変化した・beblohのC2の稼働が変化した …

2019/06/17(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】 ■件名Fw:Fw:Jin'in sakugen ■送信者 Haruto Tanaka※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。 運送状況を、お知らせ致します。 ご注文番号:1569129288 --------…

2019/06/12(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】 ■日時2019/06/12 9:00- ■件名Fw: ■添付ファイル1.doc.zip -> 1.doc.vbsinfo.zip -> info.js ■通信先hxxp://elievarsen[.]ru/1.dochttps://app.any.run/tasks/50168d8a-0a6b-47f8-8b6d-2ed6f2ba37c2#ursnif※拡張子偽装 ursnifのexeファイル ・C2hx…

2019/06/05(水) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

【簡易版】この日は1種類のハッシュ値の添付ファイルのみばらまかれていました。また、beblohのC2がすぐにダウンしたため、こちらではursnifまで取得できてはいません。 ■日時2019/06/05 15:30- ■件名請求番号: nnnn-nnnnnnnnn決済確定のお知らせ個人負担分…

2019/06/04(火) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】前日と同じ通信先のursnifを取得する。ただし、添付ファイルが.jsから.vbsへと変化している。 ■日時2019/06/04 9:00- ■件名Fw: ■送信者 Haruto Watanabe※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただき…

2019/06/03(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

簡易版です。 ■日時2019/06/03 8:00- ■件名Fw: ■送信者 Haruto Watanabe※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。 運送状況を、お知らせ致します。 ご注文番号:156967479 …

2019/05/30(木) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

久しぶりに、1週間に二度、bebloh->ursnifの不正送金マルウェアへの感染を狙ったメールのばらまきを観測しました。先週にはメールのばらまきがなかった反動かもしれません。今回は2種類の件名、3種類の添付ファイルがありますが、どれも同じ通信先へ接続しま…

2019/05/27(月) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

5/7から20日ぶりにbebloh->ursnifへの感染を狙ったバラマキメールを観測しました。今回は3種類の件名、添付ファイルがありますが、どれも同じ通信先へ接続します。 ■日時2019/05/27(月) ○16:00頃-■件名FW: 【再送】2019/2【仮版下送付】【電話未確認】(※)201…

2019/05/22(水) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査

5/21に続き、不正送金マルウェアursnifへの感染を狙った不審メールのばらまきを観測しています。 ■日時2019/05/22 8:00頃- ■件名Fw: ■メール送信者(HeaderFrom)"Akira Suzuki"※返信先メールアドレスはバラバラであり、詐称しているものと思われます。 ■本文…

2019/05/21(火) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査

5/8にも発生していた、不正送金マルウェアursnifへの感染を狙ったメールのばらまきを5/21にも確認をしています。このアクターは過去(2018年12月まで)に楽天をかたったメールのばらまきを行っていましたが、今回から再び、楽天をかたったメールをばらまくよ…

2019/05/08(水) 添付ファイル付不審メール(ursnif(B)/dreambot)の調査

4/25にもあったばらまきと同様、5/8にもursnif への感染を狙ったも不審メールのばらまきを観測しています。 ■日時2019/5/8 11:30 - ■件名Fw: ■メール送信者(HeaderFrom)"Takashi Suzuki"※返信先メールアドレスはバラバラであり、詐称しているものと思われ…

2019/05/07(火) 添付ファイル付不審メール(bebloh,ursnif(A))の調査

2019/05/07に、日本語の不審メール のばらまきが観測されています。bebloh→ursnifと不正送金マルウェアへの感染を狙ったものです。 ■日時2019/05/07 16:00 頃- ○16:00頃-■件名(有償)注文書FW:(通知)RE: 通関【訂正版】建材発注書です転送された画像 - Fro…

2019/04/25(木) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

先週の4/15,16,17,18,22に引き続き、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ■日時 2019/04/25(木) 11:00- ■件名Re:※今回はこれまでと件名が異なります。 ■送信者名Takashi Yamaguchi※恐らく詐称したもの。送信元メールアドレスは…

2019/04/23(火) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

4週連続で水曜日に来ていたbebloh/ursnifに感染する日本語メールによるばらまきですが、この週は火曜日に来ました。最近の特徴として、件名の種類が10種類以上と多く、また添付ファイルの名前とハッシュの種類も1日で3-4種類と手が込んできています。 ■日時…

2019/04/22(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

先週の4/15,16,17,18に引き続き、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ■日時 4/22(月) 10:30- ■件名Fw:※把握できている範囲内では全てこの件名ですが、他の件名が存在する可能性もあります。 ■本文(2種類)「期日超過支払いの請…

2019/04/18(木) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

この日で4/15,16,17,18と4日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。 ■件名(例)Fw:…

2019/04/17(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

この所、毎週水曜日(3/27,4/3,4/10,4/17)にばらまかれているbebloh/ursnifのばらまきが発生しました。 時刻により、3種類の件名、添付ファイル、本文の組み合わせがありますが、通信先は同一です。 ■日時2019/04/17 16:00 頃- ○16:00 頃■件名(10 種)Fw: 納…

2019/04/17(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

この日で4/15,16,17と3日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。 ■日時4/17 9:30 …

2019/04/16(火)添付ファイル付不審メール(Emotet)の調査

日本語件名、本文のEmotetのばらまきが4/12,4/15に引き続き発生しました。マルウェアダウンロードの動作等は4/12と同様のため、その部分は簡略化して記載します。 ■件名請求書からの延滞請求書サービス請求書期限切れ請求書請求書ステータスの更新※件名の前…

2019/04/16(火) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

2019/4/15に来たものと同一と思われるursnif(B)のばらまきが発生しました。なお、昨年行われていたursnif(B)と同一のアクターと思われますが、配信経路は異なっていると考えられます。また、配信規模は小さくなっています。 ※件名、本文、添付ファイル等複数…

2019/04/15(月)添付ファイル付不審メール(Emotet)の調査

日本語件名、本文のEmotetのばらまきが4/12に引き続き発生しました。マルウェアダウンロードの動作等は4/12と同様のため、簡略化して記載します。 ■日時2019/04/15 16:30- ■件名(例)読んでください特別請求書確認して承認してください。[英字氏名]請求書を…

2019/04/15(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

4/15に数ヶ月ぶりにursnif(B)と呼んでいる日本を狙った不正送金マルウェアへの感染を狙うアクターの不審メールのばらまきを観測しました。 ※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます…

2019/04/12(金) 添付ファイル付不審メール(emotet)の調査

日本語のemotetへの感染を狙った不審メールのばらまきを観測しました。日本語の件名、日本語の本文でemotetのばらまきが日本に来ることはかなり稀です。(昨年に1回あった程度)なお、海外でも同じタイミングでemotetのばらまきが発生しており、そちらはメー…

2019/04/10(水) 添付ファイル付不審メール(bebloh)の調査

恐らく不正送金マルウェアursnifへの感染を狙ったと思われる、ダウンローダbeblohに感染する日本語のばらまきメールを観測しました。 ■日時2019/04/10(水) 16:00頃- ■件名(5種類)4月分請求データ送付の件6月度発注書送付ご請求書を添付致しておりますので…

2019/04/03(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。 ■日時 2019/04/04(水) 14:30 頃 - 18:30 頃 ■件名(6種類)4月1日ご契約の件・初期…

2019/03/27(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

3週間ぶりに、日本語の不審メールのばらまきがありました。メールに添付されているxlsファイルはダウンローダ型のマルウェアです。同じくダウンローダ型マルウェアのbeblohに感染する可能性があります。更に不正送金マルウェアのursnifに感染しますのでご注…

シンクホールによるursnif(B)の感染端末の分析

前記事の通り、シンクホールによりursnif(B)の観測を行っています。 bomccss.hatenablog.jp ursnif(B)のシンクホール化を初めたのは2/25からとなります。それ以降の約1ヶ月で分析できた内容についてとなります。 ※環境を整えながら観測をしているため、一部…

シンクホールの運用について

これまで当blogおよびtwitterにて、マルウェア感染の被害を減らす為の情報として活用できるように、主にマルウェアに誘導するばらまき型の不審メールの情報の蓄積や解析を行ってきました。 これまでは感染を防ぐ為の情報発信が主でしたが、今後は更に、感染…

2019/03/06(水) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

2019/03/06 16:30頃より 不審メール のばらまきを確認しています。添付のxlsファイルを日本語環境下で開くと、ダウンローダ型マルウェアbeblohに感染することを確認しています。beblohからursnifへ感染するという報告も確認しています。 ■日時2019/03/06 16:…