2018/04/26 『【楽天市場】注文内容ご確認(自動配信メール)』の調査
4/26(木) は朝から日付が変わる付近まで一日中、昨日同様の不審メールのばらまきがありました。
9時代-11時代、14時代-16時代、18時代-23時代と計3回の波があり、4/24(火)の同件名の約5倍、4/25(水)の同件名の約10倍の規模の配布量でした。
なお、ダウンロードされるマルウェア等は前日4/25(水)と同一のものでした。
■日時
2018/04/26(木) 9:20 - 24:00 頃
※以下、件名、送信者、本文は4/19(木),4/20(金),4/24(火),4/25(水)のものと同様です。
■件名
【楽天市場】注文内容ご確認(自動配信メール)
■送信者
order[@]rakuten[.]co.jp
■本文
※お店の名前や注文番号は複数種類あり
■メール内リンク誘導先
hxxp://ad.manilaglitter[.]com/
hxxp://ai.wetnwild-sprinklers[.]com/
hxxp://an.canscipub[.]com/
hxxp://an.zippi-pets[.]com/
hxxp://at.ethicalbusinessupdate[.]com/
hxxp://bb.gipsnc[.]com/
hxxp://bg.golfmarketing365[.]com/
hxxp://br.ctwelfaretrust[.]com/
hxxp://br.whoswhopakistan[.]com/
hxxp://cu.jakerdigital[.]com/
hxxp://de.northerntiki[.]com/
hxxp://eu.golfindustry365[.]com/
hxxp://fo.pakgloves[.]com.pk/
hxxp://fr.ipapakistan[.]com/
hxxp://gw.jakerdigital[.]com/
hxxp://je.gwadarads[.]com/
hxxp://jp.golfmarketing365[.]com/
hxxp://ls.twitterboxoffice[.]com/
hxxp://lu.dsapakistan[.]com/
hxxp://me.golfindustry365[.]com/
hxxp://mk.heavymetal[.]com.pe/
hxxp://mm.healthleaks[.]com.pk/
hxxp://mo.canscipub[.]com/
hxxp://mt.csrsummitandawards[.]com/
hxxp://mz.heavymetal[.]com.pe/
hxxp://nc.harvesttimedfc.org/
hxxp://ng.healthleaks[.]com.pk/
hxxp://pn.medionixcommunications[.]com/
hxxp://sv.sinnova[.]pe/
hxxp://td.dartzonecovertops[.]com/
hxxp://tr.medionixcommunications[.]com/
hxxp://tw.primetimetoys[.]com/
hxxp://vi.golfmarketing365[.]com/
計23種ありますが、4/19(木)、4/25(水)と同様、66.70.246[.]3に解決されます。
https://www.virustotal.com/#/ip-address/66.70.246.3
■リンクから取得されるダウンローダ型マルウェア
Chromeでアクセスした場合: もっと詳しくの情報はこちら.pdf..js
IEでアクセスした場合: もっと詳しくの情報はこちら.zip (もっと詳しくの情報はこちら.PDF.js)
https://www.hybrid-analysis.com/sample/de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b/5ae01b987ca3e13882040c39
■マルウェア取得先
hxxp://cw.tier1sportsmanagement[.]com/02020.bin
これもメール内リンクの誘導先と同様、66.70.246[.]3へ解決されます。
■マルウェア本体(不正送金マルウェアursnif)
https://www.hybrid-analysis.com/sample/ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3/5ae01cb67ca3e13cb0378025
動作後は C:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
■C2
hxxp://chklink[.]us
このドメインは当日は 45.51.85[.]205に解決されています。
直近のursnifは全てC2はこのドメインになっていますが、IPは定期的に変更されており複数のIPを持っているようです。
https://www.virustotal.com/#/domain/chklink.us
hxxp://ao.shares2go.co[.]uk
このドメインは変わらず 89.33.64[.]57に解決されます。
https://www.virustotal.com/#/domain/ao.shares2go.co.uk
こちらに対する通信は複数回発生していることがあります。
通信先をまとめると以下となります。
■IoC
○URL
hxxp://ad.manilaglitter[.]com/
hxxp://ai.wetnwild-sprinklers[.]com/
hxxp://an.canscipub[.]com/
hxxp://an.zippi-pets[.]com/
hxxp://at.ethicalbusinessupdate[.]com/
hxxp://bb.gipsnc[.]com/
hxxp://bg.golfmarketing365[.]com/
hxxp://br.ctwelfaretrust[.]com/
hxxp://br.whoswhopakistan[.]com/
hxxp://cu.jakerdigital[.]com/
hxxp://de.northerntiki[.]com/
hxxp://eu.golfindustry365[.]com/
hxxp://fo.pakgloves[.]com.pk/
hxxp://fr.ipapakistan[.]com/
hxxp://gw.jakerdigital[.]com/
hxxp://je.gwadarads[.]com/
hxxp://jp.golfmarketing365[.]com/
hxxp://ls.twitterboxoffice[.]com/
hxxp://lu.dsapakistan[.]com/
hxxp://me.golfindustry365[.]com/
hxxp://mk.heavymetal[.]com.pe/
hxxp://mm.healthleaks[.]com.pk/
hxxp://mo.canscipub[.]com/
hxxp://mt.csrsummitandawards[.]com/
hxxp://mz.heavymetal[.]com.pe/
hxxp://nc.harvesttimedfc.org/
hxxp://ng.healthleaks[.]com.pk/
hxxp://pn.medionixcommunications[.]com/
hxxp://sv.sinnova[.]pe/
hxxp://td.dartzonecovertops[.]com/
hxxp://tr.medionixcommunications[.]com/
hxxp://tw.primetimetoys[.]com/
hxxp://vi.golfmarketing365[.]com/
○IP
66.70.246[.]3
45.51.85[.]205
89.33.64[.]57
○Hash(SHA26)
de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b
ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3