bomb_log

セキュリティに関するbom

2018/06/05(火) 『のご注文について』の調査

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この件名のものは一番配布数が少なかったです。
bebloh取得から先は別件名と同一の動きとなります。

 

■日時
2018/06/05(水) 16:55頃 - 17:10頃

■件名
のご注文について

■本文
JC3によると以下です。

f:id:bomccss:20180610162555p:plain

添付ファイル
nnnnnn.(※).nn.xls
(※)ユーザー名、nnnnnnは数字6桁、nnは数字2桁
https://www.hybrid-analysis.com/sample/fa98832efd63fe8021c421b3ed47f818bb2db21b526928cb97489be79cd98514?environmentId=100

 

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
beblohと呼ばれるダウンローダマルウェアです。
この取得先は同日に配布のあった別件名『請書及び請求書のご送付』『RE: 請求書XLSについて』と同一となります。
そのため、以降の情報は同一となります。

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif(別名gozi、Dreambot)と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログイン情報を搾取します。

■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com

 

IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
fa98832efd63fe8021c421b3ed47f818bb2db21b526928cb97489be79cd98514
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252