bomb_log

セキュリティに関するbom

トップ > 2018/04/25 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/04/25 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

 2018/04/25(火)にも不正送金マルウェア ursnif の感染を狙った 不審メール の配布が発生しました。
メール配信の規模は前日4/24(火)の同件名の半数程度、前日の添付ファイル形式のものと同程度です。


■日時
2018/04/25 14:40 ~ 15:30 頃 

※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火)のものと同様です。
■件名:
楽天市場】注文内容ご確認(自動配信メール)
■送信者:
order[@]rakuten.co[.]jp
■本文

f:id:bomccss:20180427012821p:plain

※お店の名前や注文番号は複数種類あり
 

■メール内リンク(サンプル):
hxxp://mm.healthleaks[.]com.pk/
hxxp://kw.wonderwomenpakistan[.]com/
hxxp://kp.ethicalbusinessupdate[.]com/
hxxp://sv.twitterboxoffice[.]com/
hxxp://pe.theprofessionalsnetwork[.]pk/
hxxp://pl.logisticonex[.]com/
hxxp://zw.stephenweatherly[.]com/
hxxp://ae.pakchinaexpo[.]com/
hxxp://mu.dsapakistan[.]com/
hxxp://bb.whoswhopakistan[.]com/
hxxp://bz.theconsumers[.]com.pk/
hxxp://ru.stephenweatherly[.]com/
hxxp://id.yoga-transformations[.]com/

全て4/19(木)と同じIP(66.70.246[.]3)に解決されます。
https://www.virustotal.com/#/ip-address/66.70.246.3

■リンクから取得されるダウンローダマルウェア
Chromeでアクセスした場合: もっと詳しくの情報はこちら.pdf..js
IEでアクセスした場合: もっと詳しくの情報はこちら.zip (もっと詳しくの情報はこちら.PDF.js)
https://www.hybrid-analysis.com/sample/de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b/5ae01b987ca3e13882040c39

 

マルウェア取得先
hxxp://cw.tier1sportsmanagement[.]com/02020.bin
これもメール内リンクの誘導先と同様、66.70.246[.]3へ解決されます。

マルウェア本体(不正送金マルウェアursnif)
https://www.hybrid-analysis.com/sample/ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3/5ae01cb67ca3e13cb0378025
動作後は C:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。

f:id:bomccss:20180429022222p:plain

f:id:bomccss:20180429022232p:plain
自動実行の設定はコピーされたものに対して設定されます。

f:id:bomccss:20180429022506p:plain

 

■C2
hxxp://chklink[.]us
このドメインは当日は35.198.159[.]120に解決されています。
直近のursnifは全てC2はこのドメインになっていますが、IPは定期的に変更されており複数のIPを持っているようです。
https://www.virustotal.com/#/domain/chklink.us

hxxp://ao.shares2go.co[.]uk
このドメインは 89.33.64[.]57に解決されます。
https://www.virustotal.com/#/domain/ao.shares2go.co.uk
こちらに対する通信は複数回発生していることがあります。

f:id:bomccss:20180429015531p:plain


C2アクセス後は以下のような通信が発生します。下のものは、torサーバへのリクエスト通信のようです。

hxxp://(IPアドレス):443/tor/status-vote/current/consensus ※443ポートだがhttp通信
hxxp://(IPアドレス):80/tor/server/fp/英数

 

 

IoC
○URL
hxxp://mm.healthleaks[.]com.pk
hxxp://kw.wonderwomenpakistan[.]com/
hxxp://kp.ethicalbusinessupdate[.]com/
hxxp://sv.twitterboxoffice[.]com/
hxxp://pe.theprofessionalsnetwork[.]pk/
hxxp://pl.logisticonex[.]com/
hxxp://zw.stephenweatherly[.]com/
hxxp://ae.pakchinaexpo[.]com/
hxxp://mu.dsapakistan[.]com/
hxxp://bb.whoswhopakistan[.]com/
hxxp://bz.theconsumers[.]com.pk/
hxxp://ru.stephenweatherly[.]com/
hxxp://id.yoga-transformations[.]com/
hxxp://chklink[.]us
hxxp://ao.shares2go.co[.]uk

○IP
66.70.246.3
89.33.64[.]57

○Hash(SHA256)
de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b
ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3