続いて、添付ファイル付の不審メール のバラまきを確認しています。

■日時
2018/06/07 15:35頃 - 18:00頃

■件名
写真送付の件

■添付ファイル 
(数字4桁)_写真.xls

■取得するファイル
添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。
hxxp://tonetdog[.]com/ecotime
95.213.237[.]119
beblohと思われますが、実行中にプロセスがクラッシュして動作しません。

■追加でダウンロードされるファイル

先週のbeblohを動かしたところ、以下からursnifを取得しました。恐らくはこれが想定される取得すべきマルウェアと思われます。
hxxp://brightonline[.]org/datalook[.]exe
IP: 50.87.150[.]249

■C2
beblohとursnifのC2ドメインは先週より変化はありませんでした。
hxxps://bdv4cc9rub[.]net
hxxps://vachiderk[.]com
IPは変化しており、共に以下です。
95.213.237[.]119