bomb_log

セキュリティに関するbom

トップ > 2018/06/05(火) 『請書及び請求書のご送付』『RE: 請求書XLSについて』の調査

2018/06/05(火) 『請書及び請求書のご送付』『RE: 請求書XLSについて』の調査

添付ファイルが付いていてbeblohを取得するタイプのばらまきがありました。
配布されている数はリンクからマルウェアを落とすタイプと比較すると1/5~1/10程度と少量です。

 

■日時
2018/06/05(火) 15:15頃 - 16:35頃

■件名
請書及び請求書のご送付
RE: 請求書XLSについて

■本文

f:id:bomccss:20180610152629p:plain


■添付ファイル
(nnnn)_サービス㈱様(請求書).xls
nnnnは任意の数字4文字
添付ファイルは複数のハッシュのものがあるようです。
https://www.hybrid-analysis.com/sample/df8f2415c56fea68db900f4fc1673a6fc83a245e919c611fe1076a4c5ca3a402?environmentId=100
https://www.virustotal.com/#/file/df8f2415c56fea68db900f4fc1673a6fc83a245e919c611fe1076a4c5ca3a402/analysis/
https://www.virustotal.com/#/file/a6203a6b3163b65c726df6f62cf47ce00a376ba6e3336b25eb120f7dd046bc32/detection

f:id:bomccss:20180610152313p:plain


■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
https://www.virustotal.com/#/file/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/detection
beblohと呼ばれるダウンローダマルウェアです。

f:id:bomccss:20180610155423p:plain

beblohはexplorer.exeを起動し、そこにインジェクションします。

beblohが起動したexplorer.exe(PID=1044)のメモリ領域に実行ファイルがあること、explorer.exeが外部と通信するのがわかります。 

f:id:bomccss:20180610155813p:plain

f:id:bomccss:20180610155827p:plain


■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログインを盗んだりします。
今回、beblohがursnifを取得するパスがリクエストを出す際はhttpで通信が発生しますが、サーバ側でhttp→httpsへリダイレクトしてそこからursnifを取得しています。
これは、https化することで通信内容を隠し見つけづらくする意図があるものと思われます。

f:id:bomccss:20180610161018p:plain

ursnif実行後、cmd.exeから様々なコマンドを実行し端末の情報を収集し、makecab.exeで圧縮して情報をC2に送ります。

f:id:bomccss:20180610160347p:plain

ursnifは自動起動の設定を以下に残します。

f:id:bomccss:20180610161226p:plain


■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com
beblohの取得先、C2ともに以下のIPです。これは先週の配布と同一のIPです。
https://www.virustotal.com/#/ip-address/47.91.56.122
beblohの取得先に使われるもう一つのIPも過去の配布で使われたドメインに紐付いています。
https://www.virustotal.com/#/ip-address/95.213.237.119


IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
df8f2415c56fea68db900f4fc1673a6fc83a245e919c611fe1076a4c5ca3a402
a6203a6b3163b65c726df6f62cf47ce00a376ba6e3336b25eb120f7dd046bc32
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252