bomb_log

セキュリティに関するbom

2018/05/08 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

5/8に不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。
昼過ぎから送信があり、遅いものは翌日深夜まで送信されていたものがありました。
これまであった同件名のばらまきの中では、一般的な時の倍くらいの量でした。

■日時
2018/05/08(火) 14:50 - 2018/05/09(水) 4:35頃

※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain

※お店の名前や注文番号は複数種類あり

■件名
楽天市場】注文内容ご確認(自動配信メール)

■メール内リンク先URL
hxxp://am.dogethereum[.]com/
hxxp://au.sparqed[.]com/
hxxp://ax.puzzlepiecequiltshop[.]com/
hxxp://ba.puzzlepiecequilting[.]com/
hxxp://bd.puzzlepiecequiltshop[.]com/
hxxp://bf.thecodefactory-data[.]org/
hxxp://bi.altcoinlabs[.]com/
hxxp://cf.northnoble[.]com/
hxxp://ci.meandthemutant[.]com/
hxxp://cz.ketsubutsu[.]com/
hxxp://de.mariettaquilts[.]com/
hxxp://fm.mysteryharvestquiltshophop[.]com/
hxxp://gm.altcoinlabs[.]com/
hxxp://gr.altcoinlabs[.]com/
hxxp://gu.sparqed[.]com/
hxxp://hk.anonymouspics[.]com/
hxxp://ht.warinmysky[.]com/
hxxp://km.werkplezier[.]com/
hxxp://kz.saffaanahrietmeijer[.]nl/
hxxp://lb.thecodefactory[.]org/
hxxp://ly.mtfcenter[.]com/
hxxp://mk.puzzlepiecequilting[.]com/
hxxp://mm.northnoble[.]com/
hxxp://mq.mtfcenter[.]com/
hxxp://mr.amanirietmeijer[.]nl/
hxxp://mr.pocolo[.]co/
hxxp://nr.danieldicksonphd[.]com/
hxxp://pa.alishamillerphd[.]com/
hxxp://pa.neillandalisha[.]com/
hxxp://pm.anonymouspics[.]com/
hxxp://py.sparqed[.]com/
hxxp://rw.dogethereum[.]com/
hxxp://sd.jaysonmiller[.]com/
hxxp://sd.ketsubutsu[.]com/
hxxp://tf.alishamillerphd[.]com/
hxxp://tf.sparqed[.]com/
hxxp://tj.anonymouspics[.]com/
hxxp://tj.harmrietmeijer[.]nl/
hxxp://tj.irvanrietmeijer[.]nl/
hxxp://tm.dogethereum[.]org/
hxxp://tz.danieldicksonphd[.]com/
hxxp://vc.benzedrinerecords[.]com/
hxxp://ye.mariettafabrics[.]com/
hxxp://zm.dogethereum[.]org/
複数ありますが、4/19(木)、4/25(水)、4/26(木)と同様、66.70.246[.]3に解決されます。
https://www.virustotal.com/#/ip-address/66.70.246.3

■ダウンロードファイル
リンクをクリックすると、以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
https://www.hybrid-analysis.com/sample/5cb103c86193c8cd28526fd6483e30ffa39cef203f7b49d89a70c622a4307a81?environmentId=100
※ブラウザがIEの場合は「もっと詳しくの情報はこちら.zip」になりますが、zipファイルの中のファイルは上記と同一のものです。
ダウンローダマルウェアです。

マルウェア本体ダウンロード先URL
ダウンローダマルウェアを実行すると、以下へマルウェアを取得しに接続します。
hxxp://am.pierlab[.]com/00001[.]bin
このドメインダウンローダマルウェアと同じく以下のIPに解決されます。
66.70.246[.]3

マルウェア本体(ursnif)
00001.bin
https://www.hybrid-analysis.com/sample/c295c3dd6fa390805210f0117ee80f2912a5b097ede5f94d58c67e355b7e943a?environmentId=100
https://cape.contextis.com/analysis/8422/
このマルウェアは不正送金マルウェアのursnifです。
実行後はC:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
なお今回の検体から、直接explorer.exeにインジェクションするのではなく、まずはcontrol.exeにインジェクションするようになっています。
その後、どういう流れか把握は出来ていませんが、最終的にはexplorerにインジェクションします。

■C2
実行後、C2の以下へ定期的にアクセスが発生します。
hxxp://ao.shares2go.co.uk
IP: 89.33.64[.]57
定期的な通信はGETメソッドで行われますが、キーロガー等で搾取された情報をC2に送信する場合にはPOSTメソッドで行われます。

また、実行後一度だけ以下のURLへアクセスします。
hxxp://chklink.us/images/2.png
IP: 45.113.71[.]16
なお、32bit版OSで実行した場合には1.pngへアクセスします。
torを使うためのdllのようですが、感染時の通信では403でアクセス出来ずダウンロードされていませんでした。

■通信
通信をまとめたものはこちらです。

f:id:bomccss:20180513022542p:plain


IoC
●URL
hxxp://am.dogethereum[.]com/
hxxp://au.sparqed[.]com/
hxxp://ax.puzzlepiecequiltshop[.]com/
hxxp://ba.puzzlepiecequilting[.]com/
hxxp://bd.puzzlepiecequiltshop[.]com/
hxxp://bf.thecodefactory-data[.]org/
hxxp://bi.altcoinlabs[.]com/
hxxp://cf.northnoble[.]com/
hxxp://ci.meandthemutant[.]com/
hxxp://cz.ketsubutsu[.]com/
hxxp://de.mariettaquilts[.]com/
hxxp://fm.mysteryharvestquiltshophop[.]com/
hxxp://gm.altcoinlabs[.]com/
hxxp://gr.altcoinlabs[.]com/
hxxp://gu.sparqed[.]com/
hxxp://hk.anonymouspics[.]com/
hxxp://ht.warinmysky[.]com/
hxxp://km.werkplezier[.]com/
hxxp://kz.saffaanahrietmeijer[.]nl/
hxxp://lb.thecodefactory[.]org/
hxxp://ly.mtfcenter[.]com/
hxxp://mk.puzzlepiecequilting[.]com/
hxxp://mm.northnoble[.]com/
hxxp://mq.mtfcenter[.]com/
hxxp://mr.amanirietmeijer[.]nl/
hxxp://mr.pocolo[.]co/
hxxp://nr.danieldicksonphd[.]com/
hxxp://pa.alishamillerphd[.]com/
hxxp://pa.neillandalisha[.]com/
hxxp://pm.anonymouspics[.]com/
hxxp://py.sparqed[.]com/
hxxp://rw.dogethereum[.]com/
hxxp://sd.jaysonmiller[.]com/
hxxp://sd.ketsubutsu[.]com/
hxxp://tf.alishamillerphd[.]com/
hxxp://tf.sparqed[.]com/
hxxp://tj.anonymouspics[.]com/
hxxp://tj.harmrietmeijer[.]nl/
hxxp://tj.irvanrietmeijer[.]nl/
hxxp://tm.dogethereum[.]org/
hxxp://tz.danieldicksonphd[.]com/
hxxp://vc.benzedrinerecords[.]com/
hxxp://ye.mariettafabrics[.]com/
hxxp://zm.dogethereum[.]org/
hxxp://am.pierlab[.]com/00001[.]bin
hxxp://ao.shares2go.co.uk/
hxxp://chklink.us/

●IP
66.70.246[.]3
89.33.64[.]57
45.113.71[.]16

●HASH(SHA256)
5cb103c86193c8cd28526fd6483e30ffa39cef203f7b49d89a70c622a4307a81
c295c3dd6fa390805210f0117ee80f2912a5b097ede5f94d58c67e355b7e943a