5/8(火)にメールのExcel添付ファイルを用いて不正送金マルウェアursnifの感染を狙った不審メールのばらまきもありました。
4/24(水)に同件名で発生したばらまきと同程度の配信量でした。
なお、今回は検体を取得しておらず、動的解析は実施していません。

■日時
2018/05/08(火) 15:25 - 21:05 頃

■件名
以下の12の件名は本文、添付ファイルのパターンが同一でした。
指定請求書
-指定請求書
Fw:指定請求書
Fwd:指定請求書
RE:指定請求書
Re:指定請求書
注文書、請書及び請求書のご送付
-注文書、請書及び請求書のご送付
Fw:注文書、請書及び請求書のご送付
Fwd:注文書、請書及び請求書のご送付
RE:注文書、請書及び請求書のご送付
Re:注文書、請書及び請求書のご送付

■本文
以下の内容に添付ファイルが付きます。

■添付ファイル
添付ファイル名は以下を確認しています。途中でパターンが変更されました。
nnn.8.5.(n).xls
8.5.-nnn.(n).xls
※nは数字

添付ファイルのハッシュ値にも幾つかのパターンがあるようです。
https://www.hybrid-analysis.com/sample/30b386fe4535f85d244860f473eb2d0eff9079ad5dd43a210e55204d05adae96?environmentId=100
https://www.hybrid-analysis.com/sample/ac81ec77b9d67db7a62c5c4a4b9eeecd2c2bbddfc90719a52c6f41a4e1ddb645/5af173b77ca3e1769e26f18a

■ダウンロード先URL
添付ファイルを開き、マクロを実行させると、以下へ接続しマルウェアを取得します。
hxxp://mokerton[.]com/syope
IPはタイミングにより幾つかのパターンがあったようです。
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65

■マルウェア一次検体（ダウンローダ/bebloh）
マクロによりダウンロードされるマルウェアはダウンローダ型マルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/9640cd20ae7c659a4d47fe949088eac3869d3ce2dc6d52959fadd45616818b54?environmentId=100

■マルウェア二次検体（不正送金マルウェア/ursnif）
beblohが更に別の不正送金マルウェアのursnifを以下よりダウンロードします。
hxxp://doctor-rich[.]com/rstu_v1.exe
IP: 162.210.102[.]43
https://www.virustotal.com/#/file/5218b9083ec544808c0c22404ee8b27d0a36cb97c1ec340fa81549bb167ddd2b/detection
https://www.hybrid-analysis.com/sample/5218b9083ec544808c0c22404ee8b27d0a36cb97c1ec340fa81549bb167ddd2b

■IoC
●URL
hxxp://mokerton[.]com/syope
hxxp://doctor-rich[.]com/rstu_v1.exe

●IP
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65
162.210.102[.]43

●HASH(SHA256)
9640cd20ae7c659a4d47fe949088eac3869d3ce2dc6d52959fadd45616818b54
5218b9083ec544808c0c22404ee8b27d0a36cb97c1ec340fa81549bb167ddd2b