さらに5/14(月)に件名「印鑑の発注について」と入れ替わる形でごく少数ですが、件名「発注分」でも同様のxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。

■日時
2018/05/14(月) 16:55 - 2018/05/14(月) 19:35 頃

■件名
発注分

■添付ファイル
nnn_mm_14.5.xls
※nnnは3桁の数字、mmは2桁の数字
https://www.hybrid-analysis.com/sample/272d84a2adffe878c8d32abda2de4936017e8cd571074561715eca5086747049/5af944b17ca3e10f150c4a77
添付ファイルを開き、マクロを有効化すると次のファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/pager
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43/5af9379e7ca3e1623b272353
IP: 95.213.199[.]61
直前までばらまかれていた件名「印鑑の発注について」と同一のパスへ取得しに行きます。
ただし、IPはその際のC2に結びついていたIPです。この件名で送信する際にIPを変えたように思われます。
取得するファイルは同一のハッシュになります。

以降は一緒です。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100

■C2通信先(https)
どちらのマルウェアもexplorer.exeにインジェクションし、以下へ通信します。
○bebloh
hxxps://conishiret[.]com
IP: 95.213.199[.]61

※beblohをダウンロードするサイトと同じIPです。
○ursnif
hxxps://minotaris[.]com
IP: 47.74.233[.]56

■IoC
○URL
hxxp://momerton[.]com/pager
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
47.74.233[.]56
95.213.199[.]61
○HASH(SHA256)
272d84a2adffe878c8d32abda2de4936017e8cd571074561715eca5086747049
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87