5/8(火)に引き続き、5/9(水)もメールのExcel添付ファイルを用いて不正送金マルウェアursnifの感染を狙った不審メールのばらまきもありました。
なお、今回も検体を取得しておらず、動的解析は実施していません。
ばらまかれた件数はごく少数のようです。

■日時
2018/05/09 16:20 - 19:30 頃

■件名
注文請書・請求書をお送り致します。
注文請書・
請求書をお送り致します。
※恐らく送りたかった件名は一番上の件名だと思いますが、なぜか途中で切れた形で送られたもがあると思われます。

■本文

■添付ファイル
5.2018.nn.(※メールアドレス)-nn.xls ※nnは数字2桁
https://www.hybrid-analysis.com/sample/d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584?environmentId=100

■ダウンロード先URL
添付ファイルを開き、マクロを実行させると、以下へ接続しマルウェアを取得します。
hxxp://mokerton[.]com/onion
IPはタイミングにより幾つかのパターンがあったようです。
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65
このURLとIPは5/8(水)の『指定請求書』『注文書、請書及び請求書のご送付』の件名と同じになります。

■マルウェア一次検体（ダウンローダ/bebloh）
マクロによりダウンロードされるマルウェアはダウンローダ型マルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/272fb3d20ccb6d435ed0840a919e322c88ab68345e8d40240f3f34398df6f803

■マルウェア二次検体（不正送金マルウェア/ursnif）
beblohが更に別の不正送金マルウェアのursnifを以下よりダウンロードします。
hxxp://doctor-rich[.]com/oleos.exe
162.210.102.43
https://www.hybrid-analysis.com/sample/7cf903514a9b859e18f5138090135dfe2f9200864dc1177efca245cb36f00e74
このURLとIPは5/8(水)の『指定請求書』『注文書、請書及び請求書のご送付』の件名と同じになります。

■IoC
○URL
hxxp://mokerton[.]com/onion
hxxp://doctor-rich[.]com/oleos.exe

○IP
130.211.74[.]197
47.88.220[.]202
92.53.77[.]65
162.210.102[.]43

○HASH(SHA256)
d36d54919d143300a2b52252e7dd38fa4eb26bb958b7121c83edc9b14f235584
272fb3d20ccb6d435ed0840a919e322c88ab68345e8d40240f3f34398df6f803
7cf903514a9b859e18f5138090135dfe2f9200864dc1177efca245cb36f00e74