bomb_log

セキュリティに関するbom

2018/05/09 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

5/8(火)に引き続き、5/9(水)にも不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。
通常の1.5倍程度のばらまき量で少し多いかな、という程度でした。

■日時
2018/05/09(水) 14:06 - 22:28

※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金),5/8(火)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
order[@]rakuten[.]co.jp

■本文

f:id:bomccss:20180429033022p:plain※お店の名前や注文番号は複数種類あり

■メール内リンク先URL
hxxp://af.hkpmc[.]org/
hxxp://ba.xtii[.]co/
hxxp://bi.andrewkmacy[.]com/
hxxp://co.smorecreative[.]com/
hxxp://dk.hept[.]org/
hxxp://eg.xynntii[.]biz/
hxxp://fo.smorecr8v[.]com/
hxxp://gr.xynntii[.]net/
hxxp://ky.xtii[.]co/
hxxp://ma.good4health[.]ca/
hxxp://ml.xynntii[.]biz/
hxxp://mw.andrewkmacy[.]com/
hxxp://mx.tiffanyisrael[.]com/
hxxp://sn.hkpmc[.]org/
hxxp://tg.macywoodworks[.]com/
hxxp://ua.xynntii[.]com/
hxxp://uy.xynntii[.]info/
hxxp://zw.crinkledscarf[.]com/
複数ありますが、4/19(木)、4/25(水)、4/26(木)、5/8(火)と同様、以下に解決されます。
IP: 66.70.246[.]3
https://www.virustotal.com/#/ip-address/66.70.246.3

■ダウンロードファイル
リンクをクリックすると、以下のファイルがダウンロードされます。
もっと詳しくの情報はこちら.pdf.js
※ブラウザがIEの場合は「もっと詳しくの情報はこちら.zip」になりますが、zipファイルの中のファイルは同一のものです。
https://www.hybrid-analysis.com/sample/544200d337279c8a01005a8b14aa8d45086e6c763f779d4dcc3cc3fb0ccd2430?environmentId=100
ダウンローダマルウェアです。

マルウェア本体ダウンロード先URL
ダウンローダマルウェアを実行すると、以下から本命と思われる不正送金マルウェアを取得します。
hxxp://im[.]gumpany[.]com/101010.bin
このドメインダウンローダマルウェアと同じく以下のIPに解決されます。
IP: 66.70.246[.]3

マルウェア本体(ursnif)
101010.bin
https://www.hybrid-analysis.com/sample/68766bc7b41f44c239c96ff42a09125f668b8e94dcd8a2c48db06496ac7eb03b?environmentId=100
https://cape.contextis.com/analysis/8469/
不正送金マルウェアのursnifです。
実行後はC:\Users\(ユーザ名)\AppData\Local\に作成された後、C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーされ実行されます。
前日の検体から、control.exeにインジェクションした後run32dll.exeを起動し、恐らくはその先で最終的にexploloer.exeにインジェクションします。
マルウェアの動きを止めるには、ログイン時の自動実行を停止させることと、インジェクションしているexplorerを停止させることが必要になります。

■C2
これまで変更されてこなかったC2が、今回変更されています。
以下のC2へ定期的にアクセスが発生します。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
定期的な通信はGETメソッドで行われますが、キーロガー等で搾取された情報をC2に送信する場合にはPOSTメソッドで行われます。

また、実行後一度だけアクセスするURLも今回変更されています。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
32bit版OSで実行した場合には1.pngへアクセスします。
torを使うためのdllのようですが、感染時の通信では403でアクセス出来ずダウンロードされていませんでした。

■通信
発生した通信をまとめたものがこちらです。

f:id:bomccss:20180513171250p:plain

IoC
○URL
hxxp://af.hkpmc[.]org/
hxxp://ba.xtii[.]co/
hxxp://bi.andrewkmacy[.]com/
hxxp://co.smorecreative[.]com/
hxxp://dk.hept[.]org/
hxxp://eg.xynntii[.]biz/
hxxp://fo.smorecr8v[.]com/
hxxp://gr.xynntii[.]net/
hxxp://ky.xtii[.]co/
hxxp://ma.good4health[.]ca/
hxxp://ml.xynntii[.]biz/
hxxp://mw.andrewkmacy[.]com/
hxxp://mx.tiffanyisrael[.]com/
hxxp://sn.hkpmc[.]org/
hxxp://tg.macywoodworks[.]com/
hxxp://ua.xynntii[.]com/
hxxp://uy.xynntii[.]info/
hxxp://zw.crinkledscarf[.]com/
hxxp://im[.]gumpany[.]com/101010.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club/

○IP
66.70.246[.]3
89.33.64[.]57
95.213.237[.]203

○HASH(SHA256)
544200d337279c8a01005a8b14aa8d45086e6c763f779d4dcc3cc3fb0ccd2430
68766bc7b41f44c239c96ff42a09125f668b8e94dcd8a2c48db06496ac7eb03b