bomb_log

セキュリティに関するbom

トップ > 2018/05/30(水) 『Airdrop申請内容をご確認ください』の調査

2018/05/30(水) 『Airdrop申請内容をご確認ください』の調査

新しい件名での不審メールのばらまきがありました。
配信された件数はこれまでの楽天市場を騙ったメールの配信と同規模と想定されます。

 

■日時
05/30 14:20頃 - 21:00頃

■件名
Airdrop申請内容をご確認ください
※17:00頃までは配信ミスと思われる「=?UTF-8?B?QWlyZHJvcOeUs+iri+WGheWuueOCkuOBlOeiuuiqjeOBj+OBoOOBleOBhA==」という件名で配信されていましたが、デコードすると同一です。
■送信者
no-reply[@]noahcoin.co

■本文

f:id:bomccss:20180601000258p:plain

■添付ファイル
なし

■メール内リンク先URL
hxxp://cg.drinkyourveggies[.]info/
hxxp://cu.momstrikesagain[.]com/
hxxp://cx.theblueprintsound[.]com/
hxxp://fr.upscalerealestatemarketing[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://gy.loriannaharrison[.]net/
hxxp://li.mamabasy[.]com/
hxxp://mx.dannyfaragher[.]com/
hxxp://pf.dancingwiththemoment[.]com/
hxxp://ps.loriannaharrison[.]com/

どのサイトもIPは以下に解決されます。
IP: 137.74.249[.]110

■ダウンロードされるファイル
もっと詳しくの情報はこちら.PDF.js
ブラウザがIEであれば、「もっと詳しくの情報はこちら.zip」ファイルの中に「qlqfzrwvjxvjx.PDF.js」が含まれています。
https://www.hybrid-analysis.com/sample/7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497
https://www.hybrid-analysis.com/sample/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7

■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ダウンローダファイルを実行すると、以下へアクセスし不正送金マルウェアursnifを取得します。
hxxp://pf.mrprana[.]com/101010.bin
IP: 137.74.249[.]110
https://www.hybrid-analysis.com/sample/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a?environmentId=100

マルウェアの動き
ダウンローダはcmd.exeからpowershell.exeを実行し、ファイルをダウンロードします。
ダウンローダはダウンロードしたファイルを自動実行するようになっており、Templel20.exeとして動作した後、control.exe等を経由した後、explorer.exeにインジェクションします。f:id:bomccss:20180601000359p:plain

■C2通信先
mp.tallervaldez.com
IP: 176.9.164[.]253
hxxp://chklink.club
IP: 47.74.132[.]234

■通信一覧

f:id:bomccss:20180601000435p:plain

IoC
○URL
hxxp://cg.drinkyourveggies[.]info/
hxxp://cu.momstrikesagain[.]com/
hxxp://cx.theblueprintsound[.]com/
hxxp://fr.upscalerealestatemarketing[.]com/
hxxp://gq.loriannaharrison[.]net/
hxxp://gy.loriannaharrison[.]net/
hxxp://li.mamabasy[.]com/
hxxp://mx.dannyfaragher[.]com/
hxxp://pf.dancingwiththemoment[.]com/
hxxp://ps.loriannaharrison[.]com/
hxxp://pf.mrprana[.]com/101010.bin
hxxps://mp.tallervaldez[.]com
hxxp://chklink[.]club
○IP
137.74.249[.]110
176.9.164[.]253
47.74.132[.]234

○HASH(SHA256)
7124f1a527c245d5096a9afdb5059bc189de5f578970721c32aa21abe412e497
5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7
f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a