2018/06/07(木) 『写真送付の件』の調査
続いて、添付ファイル付の不審メール のバラまきを確認しています。
■日時
2018/06/07 15:35頃 - 18:00頃
■件名
写真送付の件
■添付ファイル
(数字4桁)_写真.xls
■取得するファイル
添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。
hxxp://tonetdog[.]com/ecotime
95.213.237[.]119
beblohと思われますが、実行中にプロセスがクラッシュして動作しません。
■追加でダウンロードされるファイル
先週のbeblohを動かしたところ、以下からursnifを取得しました。恐らくはこれが想定される取得すべきマルウェアと思われます。
hxxp://brightonline[.]org/datalook[.]exe
IP: 50.87.150[.]249
■C2
beblohとursnifのC2ドメインは先週より変化はありませんでした。
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
IPは変化しており、共に以下です。
95.213.237[.]119