bomb_log

セキュリティに関するbom

2018/05/11(金) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

さらに件名が5/9(水)と同じものに変更され、同一のマルウェアへの感染を狙った不審メールのばらまきがあり、日付が変わっても続きました。
誘導先リンクの一部やその後ダウンロードされるファイルのハッシュ値は同一であり、同じ攻撃者が実施しているものと思われます。
ばらまき量は通常程度でした。

■日時
2018/05/11(金) 18:45 - 2018/05/12 3:25 頃

※以下、件名、送信者、本文は4/19(木)-4/20(金),4/24(火)-4/27(金),5/8(火)-5/9(水)のものと同様です。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■本文

f:id:bomccss:20180429033022p:plain

※お店の名前や注文番号は複数種類あり

■メール内リンク先URL
hxxp://az.eleccionesveracruz2018[.]com/
hxxp://ba.quierodisfrutar[.]com/
hxxp://bm.hojeadasalmundo[.]com.mx/
hxxp://bv.blackcurrentmusic[.]com/
hxxp://cf.scriptkicker[.]com/
hxxp://cl.chiefinspectorheat[.]com/
hxxp://gg.scriptkicker[.]com/
hxxp://gw.ojeadasalmundo[.]com.mx/
hxxp://ie.elabrazospa[.]com/
hxxp://ma.simaroligas[.]com/
hxxp://om.busterhouse[.]com/
hxxp://ps.grupoonza[.]com.mx/
hxxp://ps.kathytamaura[.]com/
hxxp://sg.nycedit[.]com/
hxxp://sm.quierodisfrutar[.]com/
hxxp://tg.elabrazospa[.]com/
hxxp://to.grupoonza[.]mx/
hxxp://uz.simaroligas[.]com/
hxxp://za.matthewflugger[.]com/
複数あり、内1件は同日の件名が「カード利用のお知らせ」のものと同一のURLを示していました。
こちらのURLも同じく以下のIPとなります。
IP: 149.255.36[.]140

■ダウンロードされるファイル
「カード利用のお知らせ」と同じハッシュ値のファイルが取得されます。
もっと詳しくの情報はこちら.PDF.js
https://www.hybrid-analysis.com/sample/5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
ダウンローダマルウェアです。

■追加ダウンロードURLおよびダウンロードされるマルウェア
同じく、以下へアクセスし不正送金マルウェアursnifを取得します。
hxxp://cu.culturallycreativetravel[.]com/10.bin
IP: 149.255.36[.]140
https://www.hybrid-analysis.com/sample/20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f?environmentId=100
https://cape.contextis.com/analysis/8576/

f:id:bomccss:20180516011618p:plain


マルウェアの動き
ダウンローダのjsを実行すると、コマンドプロンプトからPowerShellを実行し、ダウンロードURLへとアクセスし、ursnifをダウンロードし、実行します。

f:id:bomccss:20180516001813p:plain

ursnifはwmiprvse.exekからプロセスが起動され、C:\Users\(ユーザ名)\AppData\Local\TempPhT52.exEにursnif自身のコピーをコピーした後、control.exeを呼び出し、更にrundll32.exeを実行します。f:id:bomccss:20180516002330p:plain
このプロセスの流れはこれまでよりもより解析し辛いものとなっています。
ursnif本体は実行する中で自身を
C:\Users\(ユーザ名)\AppData\Roaming\Microsoft\AltTudit\にコピーします。
この後、恐らくexplorer.exeにインジェクションしたのだと思われます。

f:id:bomccss:20180516010611p:plain

explorer.exeを親プロセスとしてコマンドプロンプトから以下のコマンドが実行されています。
cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\(ユーザ名)\AppData\Local\Temp\6920.bi1"
端末のIPを問合せした結果をファイルに記載しているものと思われます。


■C2通信先
C2の通信先も同様です。
hxxp://chklink[.]club/images/2.png
IP: 95.213.237[.]203
(32bit版OSで実行した場合には1.pngへアクセスします。)

f:id:bomccss:20180516011411p:plain

tor dllをダウンロードする通信ですが、これまでは403 Forbidden だったものが、今回はアクセスが成功しています。

定期的にアクセスするC2のアドレスは以下です。
hxxp://sd[.]shares2go[.]com
IP: 89.33.64[.]57
通信はGETメソッドで行われます。

■通信一覧
ここまでの通信をまとめると画像のようになります。

f:id:bomccss:20180516011618p:plain
これまでC2へPOSTメソッドで送信していた.binファイルは今回は恐らくtor通信と思われるもので外部へ送信されていました。
POST通信の発生がほぼなく、代わりにHTTPS443ポートの通信後にtorで使われる9001ポートやその他不審なポートでの通信が発生していました。

f:id:bomccss:20180516013228p:plain

f:id:bomccss:20180516013741p:plain

f:id:bomccss:20180516013759p:plain


■収集される情報
.binファイルで送信されるファイルに含まれる内容ですが、前日までは端末の情報やキー入力内容、銀行サイトへのアクセスした際のWebアクセスログが主に収集されていました。
更に本日から、銀行サイトにアクセスした場合にはそこから3分間動画が撮影されるようになっていました。

f:id:bomccss:20180516014612p:plain
f:id:bomccss:20180516015602p:plain
はてなブログでは動画をアップロードはできないようですので、動画のキャプチャを載せておきます。
ブラウザの背後のTempフォルダ内に8CEA.aviが出来ているのが分かります。
その動画からキャプチャを撮っています。


IoC
○URL
hxxp://az.eleccionesveracruz2018[.]com/
hxxp://ba.quierodisfrutar[.]com/
hxxp://bm.hojeadasalmundo[.]com.mx/
hxxp://bv.blackcurrentmusic[.]com/
hxxp://cf.scriptkicker[.]com/
hxxp://cl.chiefinspectorheat[.]com/
hxxp://gg.scriptkicker[.]com/
hxxp://gw.ojeadasalmundo[.]com.mx/
hxxp://ie.elabrazospa[.]com/
hxxp://ma.simaroligas[.]com/
hxxp://om.busterhouse[.]com/
hxxp://ps.grupoonza[.]com.mx/
hxxp://ps.kathytamaura[.]com/
hxxp://sg.nycedit[.]com/
hxxp://sm.quierodisfrutar[.]com/
hxxp://tg.elabrazospa[.]com/
hxxp://to.grupoonza[.]mx/
hxxp://uz.simaroligas[.]com/
hxxp://za.matthewflugger[.]com/
hxxp://cu.culturallycreativetravel[.]com/10.bin
hxxp://sd[.]shares2go[.]com
hxxp://chklink[.]club/images/2.png

○IP
149.255.36[.]140
89.33.64[.]57
95.213.237[.]203

○HASH(SHA256)
d3adf98d035d9be5a45e4c9287c3bbf6253789b4e6ea4f95f046894aafb39ecc
5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991
20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f