前日同様4/25(水)にも、メールのExcel添付ファイルを用い不正送金マルウェアursnifの感染を狙った不審メールの大量配布がありました。
件数は前日の1/3程度でした。

■日時
2018/04/25(水) 15:45 - 16:50 頃

■件名
注文書、請書及び請求書のご送付

■添付ファイル
※nn_25.4_nn.xlsという形式のようです。
18_25.4_48.xls
06_25.4_49.xls
https://www.hybrid-analysis.com/sample/2d31f866d392943444b8e95e33af16bb274db389782dd84c0b21cf8cf9f25707?environmentId=100
添付ファイルのコンテンツを有効化すると、裏でbeblohを取得します。

■一次接続先
hxxp://diverdonis[.]com/tolos
150.109.49[.]214
ドメインは前日と同様ですが、IPは異なります。日毎に変えているようです。
https://www.virustotal.com/#/domain/diverdonis.com

■一次マルウェア（bebloh）
https://www.hybrid-analysis.com/sample/4a213262674459299c84514ec8a629762f665b26e30a32624eeac3ca9957c500/5ae02c1c7ca3e1685907cbc3
動作してしばらく待つと、次の接続先にアクセスしursnifを取得します。

■二次接続先
hxxp://www.kentaur[.]cz/soubory/animace/errgo.exe
こちらは前日と同様のドメインで、IPは89.185.253[.]128と変更ありません。
https://www.virustotal.com/#/domain/www.kentaur.cz

■二次マルウェア（ursnif）
https://www.hybrid-analysis.com/sample/ffab60c984ea7cb26874a93eda9fa5d9af376465e5a5b54770a511b377e55cb9/5ae0242a7ca3e1563502bc63

■IoC
○URL
hxxp://diverdonis[.]com/tolos
hxxp://www.kentaur[.]cz/soubory/animace/errgo.exe

○IP
150.109.49[.]214
89.185.253[.]128

○Hash(SHA256)
2d31f866d392943444b8e95e33af16bb274db389782dd84c0b21cf8cf9f25707
4a213262674459299c84514ec8a629762f665b26e30a32624eeac3ca9957c500
ffab60c984ea7cb26874a93eda9fa5d9af376465e5a5b54770a511b377e55cb9