2018/04/26 『8月、原価請求書です。』の調査
主に4/26(木)に添付ファイル付の #不審メール のばらまきがありました。
4月に「8月、原価請求書です。」という件名で送られてきていますが、これは昨年9月にばらまきがあったものと同様の件名・本文と思われます。
なお、ダウンローダのリンク先に不備があり、万一開いてもマルウェアに感染する恐れはありません。
■日時
4/25(水)14:30頃 、4/26(木) 2:10頃、9:10-10:10頃
4/25のものはごく小数ですが、4/26の朝のものは4/24(火)の添付ファイル付の不審メールと同程度の規模でした。
■件名
8月、原価請求書です。
■送信者
maeda[@]admac[.]co[.]jp
■添付ファイル
原価請求書です{{_6digit}}.docx
※ファイル中にjs形式のダウンローダが含まれています。
■添付ファイルの挙動
Wordファイルはこのようになっています。
ダブルクリックすると、以下のポップアップが出ます。
これを実行すると、以下へ通信が発生します。
hxxps://aedwards[.]co/wp-includes/IXR/get.php
なお、今回は実際にはエラー応答となり、マルウェア本体がダウンロードされることはありませんでした。
これをプロセスツリーで見ると、以下になります。
Wordファイルを開く以降のコマンドを抜粋すると、以下となります。
■IoC
○URL
hxxps://aedwards[.]co/wp-includes/IXR/get.php
○Hash(SHA256)
40c8f6c67427e86b5f1e93923bb6f0ea3fe4a378c4a6be4287fc09bf536c5e97