bomb_log

セキュリティに関するbom

2018/05/30(水) 『2018.5月分請求データ送付の件』の調査

5/15、16に配布があったものと同じ件名で不審メールの送信がありました。
 

■日時
2018/05/30(水) 15:35頃 - 15:50頃

件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)と同一です
■件名
2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件

■本文

f:id:bomccss:20180605104406p:plain

■添付ファイル
nnn.[nn].201805請求データ.xls
※添付ファイルのネーミングルールのみ、変化しています。

f:id:bomccss:20180605104445p:plain

https://www.hybrid-analysis.com/sample/c95c3388d9a36bb1c9362195b321ed4e0728eb69424422187e976597b33425b5?environmentId=100

■通信一覧

f:id:bomccss:20180605105649p:plain

マルウェアの動き

f:id:bomccss:20180605110551p:plain

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生します。
hxxp://monerotan[.]com/itunesync
47.91.44[.]13
https://www.hybrid-analysis.com/sample/d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c?environmentId=120
itunesyncファイルは自身のコピーをマイドキュメント上に作成され、その後explorer.exeを起動し、そこにインジェクションします。

f:id:bomccss:20180605112115p:plain
explorer.exeのメモリ内を確認すると実行プログラム(MZから始まるバイナリ)があることが確認できます。f:id:bomccss:20180605115215p:plain

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとursnifがダウンロードされます。
hxxp://brightonline[.]org/mrt_ms.exe
50.87.150[.]249
https://www.hybrid-analysis.com/sample/86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad?environmentId=120
ursnifは自身のコピーをC:\(users)\AppData\Roaming\Api-clen\AudiCore.exeにコピーします。
ただし、このファイルを実行したのが、31日不審メールの配信があってからのため、beblohが取得したursnifのファイルが31日に配布したursnifの可能性もあります。30日のursnifの情報を取得できていないため、真偽は不明です。

f:id:bomccss:20180605120245p:plain
ursnifがIE(iexplore.exe)にインジェクションしている様子です。f:id:bomccss:20180605120840p:plain

■C2通信先
C2は以下で共にIPは47.91.44[.]13です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com

■ursnifにより収集される情報
感染時に端末の情報(IPやインストールされているプログラム、パッチ適用状態、実行されているプロセス等)が取得され、C2へ送信されます。
それ以外に銀行サイトへアクセスした際にログイン情報(含むパスワード)等を取得されます。(入力した情報は適当です)

f:id:bomccss:20180605123152p:plain

f:id:bomccss:20180605123210p:plain


IoC
○URL
hxxp://monerotan[.]com/itunesync
hxxp://brightonline[.]org/mrt_ms.exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.44[.]13
50.87.150[.]249
○HASH(SHA256)
c95c3388d9a36bb1c9362195b321ed4e0728eb69424422187e976597b33425b5
d3ef4a529cec9d8d65baac63edc8b9fcdb852cf1b20b483e26808497e2a21e1c
86ec8fef2ffbca6ed079c5594f1274dc56a67eb6e5873b7a4ceef0e7eb8901ad