bomb_log

セキュリティに関するbom

2018/04/26 『8月、原価請求書です。』の調査

主に4/26(木)に添付ファイル付の #不審メール のばらまきがありました。
4月に「8月、原価請求書です。」という件名で送られてきていますが、これは昨年9月にばらまきがあったものと同様の件名・本文と思われます。
なお、ダウンローダのリンク先に不備があり、万一開いてもマルウェアに感染する恐れはありません。

■日時
4/25(水)14:30頃 、4/26(木) 2:10頃、9:10-10:10頃
4/25のものはごく小数ですが、4/26の朝のものは4/24(火)の添付ファイル付の不審メールと同程度の規模でした。

■件名
8月、原価請求書です。

■送信者
maeda[@]admac[.]co[.]jp

■添付ファイル
原価請求書です{{_6digit}}.docx
※ファイル中にjs形式のダウンローダが含まれています。

https://www.hybrid-analysis.com/sample/40c8f6c67427e86b5f1e93923bb6f0ea3fe4a378c4a6be4287fc09bf536c5e97

■添付ファイルの挙動
Wordファイルはこのようになっています。

f:id:bomccss:20180430004638p:plain
ダブルクリックすると、以下のポップアップが出ます。

f:id:bomccss:20180430004726p:plain
これを実行すると、以下へ通信が発生します。
hxxps://aedwards[.]co/wp-includes/IXR/get.php
なお、今回は実際にはエラー応答となり、マルウェア本体がダウンロードされることはありませんでした。

これをプロセスツリーで見ると、以下になります。

f:id:bomccss:20180430005209p:plain
Wordファイルを開く以降のコマンドを抜粋すると、以下となります。

f:id:bomccss:20180430005304p:plain

IoC

○URL
hxxps://aedwards[.]co/wp-includes/IXR/get.php

○Hash(SHA256)
40c8f6c67427e86b5f1e93923bb6f0ea3fe4a378c4a6be4287fc09bf536c5e97