bomb_log

セキュリティに関するbom

2018/06/06(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。
この件名でのバラマキは5/30以来でした。
配信で使用するドメインマルウェア等は同一のため、同じ攻撃者によるものと思われます。
配信量は楽天市場の件名と同程度で通常の1/3程度と少量でした。

 

■日時
2018/06/06(水) 16:25頃 - 18:10頃

■件名
【速報版】カード利用のお知らせ(本人ご利用分)

■送信者
info[@]mail.rakuten-card.co[.]jp

■本文

f:id:bomccss:20180618231652p:plain

■添付ファイル
なし

以下は同日の件名が「【楽天市場】注文内容ご確認(自動配信メール)」と同一の内容です。

■メール内リンクURL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
等、IPが185.236.202[.]149に解決されるドメインに誘導されます。
https://www.virustotal.com/#/ip-address/185.236.202.149

■ダウンロードされるファイル
リンク先URLにアクセスすると、ダウンローダスクリプトへリダイレクトされダウンロードされます。
Chrome等でアクセスするとダウンロードされるファイルは「楽天銀行の重要な情報.pdf.js」です。
楽天銀行の重要な情報.pdf.js
https://www.hybrid-analysis.com/sample/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735?environmentId=120
IEでアクセスすると.zipファイルをダウンロードし、中にjsファイルが含まれています。

■追加ダウンロードURLおよびダウンロードされるマルウェア
上記ファイルを実行すると、以下のパスへアクセスし、不正送金マルウェアursnifを取得し実行します。
hxxp://bn.wonderingwriter[.]com/020.bin
https://www.hybrid-analysis.com/sample/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd?environmentId=120

マルウェアの動き
jsを実行すると、コマンドプロンプトからPowerShellが実行され、ursnifがダウンロードされ、実行されます。今回のケースでは020.binがリネームされ29021.exeとして実行されます。
その後29021.exeがcontrole.exeからrundll32.exeを実行します。
そこから先はプロセスの動きとしては追えないですが、挙動から最終的にはExplorer.exeにインジェクションしていました。

f:id:bomccss:20180618230653p:plain

■C2
ursnifが接続する先は以下の2種です。
設定ファイルを取得する先
hxxp://dwupg[.]icu
マルウェアが取得した情報を送信する先
hxxp://ne.winzzer[.]com

■通信の動き

f:id:bomccss:20180618231026p:plain

 

IoC
○URL
hxxp://af.paulrudyjr[.]com
hxxp://aq.waynetelliermagic[.]com
hxxp://ci.marriage-matters[.]com
hxxp://cy.marriage-matters[.]com
hxxp://ge.lakeshoreranch[.]com
hxxp://lk.paulrudyjr[.]com
hxxp://ma.normettarudy[.]com
hxxp://pr.dupreelakes[.]com
hxxp://st.doctorloanguy[.]com
hxxp://um.dupreelakes[.]com
hxxp://bn.wonderingwriter[.]com/020.bin
hxxp://dwupg[.]icu
hxxp://ne.winzzer[.]com
○IP
185.236.202[.]149
○HASH(SHA256)
fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735
601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd