bomb_log

セキュリティに関するbom

トップ > 2018/05/16(水) 『2018.5月分請求データ送付の件』の調査

2018/05/16(水) 『2018.5月分請求データ送付の件』の調査

3日連続で、xls形式の添付ファイルがついたメールのばらまきがありました。
これも前日同様に、bebloh、ursnifの流れです。
送信量は前日と同程度でした。

■日時
2018/05/16 15:50 - 2018/05/16 20:45 頃

■件名
以下、5種類を確認しています。
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd:2018.5月分請求データ送付の件
Re:2018.5月分請求データ送付の件
Re: Re:2018.5月分請求データ送付の件

■本文
※前日同様です。

f:id:bomccss:20180517225653p:plain



■添付ファイル
(nn).201805請求データ.xls
※nnは数字2桁
https://www.hybrid-analysis.com/sample/eb2321fa91f40abd0140ecd7e4a1a5a67a0e9af615362cfb4eefa6272ac449c2?environmentId=100&lang=ja
添付ファイルを開き、マクロを有効化するとバックグラウンドでコマンドプロンプトが実行され、ファイルを取得します。

■ダウンロードされるファイル(bebloh)
通信先: hxxp://momerton[.]com/atsms
https://www.hybrid-analysis.com/sample/0a3732ea250ef4832f0659c51df2b1acf72474590ab5756758adfd72ef6a0901/5afbde2f7ca3e13f704b5926
IP: 95.213.199[.]61
前日、前々日と同一のドメイン名、IPから別のファイルを取得ます。
ダウンローダマルウェアのbeblohです。
ダウンロードされるとデスクトップに置かれ実行されますが、実行後に自身を見つかりづらいフォルダにコピーし、自動起動の設定をして、元の自分自身のファイルを削除します。
その後、C2と通信をし、追加でマルウェアを取得します。

■追加でダウンロードされるファイル(ursnif)
通信先: hxxp://cmuv[.]de/handbuch/dvdgif[.]exe
https://www.hybrid-analysis.com/sample/d164400714586c19cacf0c8e5343561b5b7f58ddb8e4a4da21bae4e9f227c438/5afbf26b7ca3e13f704b5949
IP: 217.160.231.149
これまでとは異なるIPからファイルを取得します。
不正送金型マルウェアのursnifです。

■C2通信先(https)
どちらのマルウェアexplorer.exeにインジェクションし、以下へ通信します。
どちらのドメインもbeblohをダウンロードするサイトと同じIPで、かつ前日から変化はありませんでした。
○bebloh
通信先: hxxps://conishiret[.]com
IP: 95.213.199[.]61
○ursnif
通信先: hxxps://minotaris[.]com
IP: 95.213.199[.]61

■通信のまとめ

f:id:bomccss:20180520235018p:plain

■プロセスの動き

f:id:bomccss:20180520235520p:plain

■取得する情報

f:id:bomccss:20180520235549p:plain

ursnifの感染初期に取得される情報は以下です。
systeminfoコマンド、NET WIEWコマンド、nslookup 127.0.0.1、tasklistコマンド、driverqueryコマンド、regコマンドのuninstallの一覧出力のコマンドを実行し、それらの結果をmakecabコマンドにより圧縮しています。
このファイルを外部に持ち出していると思われますが、これまでのhttpのPOSTメソッドでのデータ送信やtor通信も見かけませんでした。
また、以前発見した銀行サイトの動画撮影ですが、今回の検体では取得されませんでした。
攻撃者が別なのか、なにか意図して違うものを使い分けているのか、不明です。


IoC
○URL
hxxp://momerton[.]com/mtsms
hxxp://cmuv[.]de/handbuch/dvdgif[.]exe
hxxps://conishiret[.]com
hxxps://minotaris[.]com
○IP
85.13.140[.]187
95.213.199[.]61
○HASH(SHA256)
eb2321fa91f40abd0140ecd7e4a1a5a67a0e9af615362cfb4eefa6272ac449c2
0a3732ea250ef4832f0659c51df2b1acf72474590ab5756758adfd72ef6a0901
d164400714586c19cacf0c8e5343561b5b7f58ddb8e4a4da21bae4e9f227c438