【簡易版】 ■日時2019/06/19 9:00- ■件名Fw: ■添付ファイルreport.zip -> report.jshttps://www.virustotal.com/gui/file/44d8920aedb1db31dacc00e629196b8350be5657eae3652915f3420fe79b7d35/detection ■通信先hxxp://bibicity[.]ru/x.exeursnif exehttps:/…

この日のursnifへの感染を狙った日本語のばらまきメールでは、幾つか変化がありました。 ・ダウンローダのxlsファイル内で端末情報を取得し、beblohに観戦前にC2サーバに送信すること。・beblohのDGAのアルゴリズムが変化した・beblohのC2の稼働が変化した …

【簡易版】 ■件名Fw:Fw:Jin'in sakugen ■送信者 Haruto Tanaka※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。 運送状況を、お知らせ致します。 ご注文番号：1569129288 --------…

【簡易版】 ■日時2019/06/12 9:00- ■件名Fw: ■添付ファイル1.doc.zip -> 1.doc.vbsinfo.zip -> info.js ■通信先hxxp://elievarsen[.]ru/1.dochttps://app.any.run/tasks/50168d8a-0a6b-47f8-8b6d-2ed6f2ba37c2#ursnif※拡張子偽装 ursnifのexeファイル ・C2hx…

【簡易版】この日は1種類のハッシュ値の添付ファイルのみばらまかれていました。また、beblohのC2がすぐにダウンしたため、こちらではursnifまで取得できてはいません。 ■日時2019/06/05 15:30- ■件名請求番号: nnnn-nnnnnnnnn決済確定のお知らせ個人負担分…

【簡易版】前日と同じ通信先のursnifを取得する。ただし、添付ファイルが.jsから.vbsへと変化している。 ■日時2019/06/04 9:00- ■件名Fw: ■送信者 Haruto Watanabe※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただき…

簡易版です。 ■日時2019/06/03 8:00- ■件名Fw: ■送信者 Haruto Watanabe※偽装されたものであり、メールアドレスは様々 ■本文「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。 運送状況を、お知らせ致します。 ご注文番号：156967479 …