タイトルが長くなってしまいました。

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。
bebloh取得から先は別件名と同一の動きとなります。

■日時
2018/06/05(水) 17:40頃 - 18:50 頃

■件名
2018.5月分請求データ送付の件.6月請求データ.xls
6月分請求データ送付の件
6月請求データ.xls
※どれも件名の先頭に「.」「Fwd: 」「Fwd: Re:」「Re: 」「Re: Re: 」が付く場合があります。付かない場合もあります。

■本文

■添付ファイル
nnnnn-6月請求データ.xls
nnnnnは数字5桁
https://www.hybrid-analysis.com/sample/638a0bdd8e0f9df15e1bbe6e500ab0e25025eb4342749d64eae054976bfa9113?environmentId=100

添付ファイルにはマクロが付いています。

■ダウンロードURLおよびファイル(bebloh)
xlsファイルを開き、マクロを有効化し実行すると、以下宛の通信が発生し、マルウェアを取得します。
hxxp://tonetdog[.]com/updedge
47.91.56[.]122
95.213.237[.]119
https://www.hybrid-analysis.com/sample/445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec/5b1632aa7ca3e1715a4cf71d
beblohと呼ばれるダウンローダ型マルウェアです。
この取得先は同日に配布のあった別件名『請書及び請求書のご送付』『RE: 請求書XLSについて』『のご注文について』と同一となります。
そのため、以降の情報は同一となります。

■追加ダウンロードURLおよびファイル(ursnif)
beblohが動作してしばらくするとC2サーバと通信し、次のダウンロードするURLを取得します。そしてursnifがダウンロードされます。
hxxp://koos[.]cz/media/cms/css/helpdeskwidget.exe
https://www.hybrid-analysis.com/sample/2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252/5b16355e7ca3e104891d47d6
ursnif（別名gozi、Dreambot）と呼ばれる不正送金マルウェアです。銀行サイトへのアクセス情報、ログイン情報を搾取します。

■C2通信先
C2は以下で共に47.91.56[.]122です。どちらもhttps(443/tcp)の通信です。
○beblohのC2
bdv4cc9rub[.]net
○ursnifのC2
vachiderk[.]com

■IoC
○URL
hxxp://tonetdog[.]com/updedge
hxxp://koos[.]cz/media/cms/css/helpdeskwidget[.]exe
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
○IP
47.91.56[.]122
95.213.237[.]119
○HASH(SHA256)
638a0bdd8e0f9df15e1bbe6e500ab0e25025eb4342749d64eae054976bfa9113
445157da34a5130d4ff834ba123730461c2d034c7cdd8e0275438fa21afbfcec
2e02970ab033524d41326dfb3fd4e2713ec4af9d5001e6af7ca0a36ef5f88252