5/14(月)に更に同一ハッシュのマルウェアへの感染を狙った別の件名でのxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。
同一日時で3回も件名を変えてばらまかれるのは珍しいです。
なお、同一件名でのばらまきは5/8(火)にありましたが、送信量は半分程度でした。それでもこの日の3種の中では一番の量です。

■日時
2018/05/14(月) 17:55 - 2018/05/14(月) 22:00 頃

■件名
注文書、請書及び請求書のご送付
-注文書、請書及び請求書のご送付
Fwd:注文書、請書及び請求書のご送付
Re:注文書、請書及び請求書のご送付
RE:注文書、請書及び請求書のご送付
指定請求書
-指定請求書
Fwd:指定請求書
Fw:指定請求書
Re:指定請求書

■本文

■添付ファイル名
(14.5.2018).nnn.m.xls
※nnnは数字3桁、mは数字１桁
https://www.hybrid-analysis.com/sample/754d8c985da6a1863ef0623b6833ce98d1e77440523bae5d5d11490f1392d307

添付ファイルを開き、マクロを有効化すると次のファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/watchm
https://www.hybrid-analysis.com/sample/3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43/5af9379e7ca3e1623b272353
IP: 95.213.199[.]61
直前までばらまかれていた件名「印鑑の発注について」と同一ドメインの別パスへ取得しに行きますが、取得するファイルは同一のハッシュになります。
そのため、Hybrid Analysisではこのwatchmではなくpagerとしてまとめられているようです。

以降は一緒です。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
IP: 85.13.140[.]187
https://www.hybrid-analysis.com/sample/3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87?environmentId=100

■C2通信先(https)
どちらのマルウェアもexplorer.exeにインジェクションし、以下へ通信します。
○bebloh
conishiret[.]com
IP: 95.213.199[.]61
※beblohをダウンロードするサイトと同じIPです。
○ursnif
minotaris[.]com
IP: 47.74.233[.]56

■IoC
○URL
hxxp://momerton[.]com/watchm
hxxp://heizlastberechnung[.]net/referenzen/kvmstr[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
47.74.233[.]56
95.213.199[.]61
○HASH(SHA256)
754d8c985da6a1863ef0623b6833ce98d1e77440523bae5d5d11490f1392d307
3dc51d99abbc34eb81ed976bcc20adf212af482a31097aa9ed2cd7bc0aaf8a43
3f91953d2a706ec145a46a295b16f56d2c3d47d66a25115f723709960e385c87