bomb_log

セキュリティに関するbom

2018/05/14(月) 『印鑑の発注について』の調査

5/14(月)にxlsファイルが添付された不審メールのばらまきがありました。
送信量は少数です。

■日時
2018/05/14(月) 15:55 - 2018/05/14(月) 16:50 頃

■件名
印鑑の発注について

■本文

f:id:bomccss:20180517215804p:plain

■添付ファイル
全行団 発注.xls
https://www.hybrid-analysis.com/sample/38bfb6973c5d3c3f083f5102a0e06b45bfd0353b29a0683b5c8bb7be4799b7c8?environmentId=100

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/pager
IP: 47.74.233[.]56
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43?environmentId=100

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
今回C2との接続はhttpsに変更されていました。
○bebloh
conishiret[.]com
IP: 95.213.199[.]61
○ursnif
minotaris[.]com
IP: 47.74.233[.]56
※beblohをダウンロードするサイトと同じIPです。

■通信のまとめ

f:id:bomccss:20180517215246p:plain

 

IoC
○URL
hxxp://momerton[.]com/pager
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
conishiret[.]com
minotaris[.]com
○IP
47.74.233[.]56
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
38bfb6973c5d3c3f083f5102a0e06b45bfd0353b29a0683b5c8bb7be4799b7c8
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87