bomb_log

セキュリティに関するbom

2018/06/13(水) 『注文書の件』の調査

6/13には添付ファイルがついた不審メールの件名が変化しました。
ここ最近の添付ファイル型不審メールは同一のマルウェアを取得しに行くメールで件名が配信途中から種類が増えるものが多いような気がします。

 

■日時

2018/06/13(水) 17:30頃 - 20:45頃

■件名
注文書の件

■添付ファイル
運輸注文書.pdf.xls
https://www.hybrid-analysis.com/sample/f0dd3c9e6d4650224147b7d57af63188ed00bd85c40163cdca271e670814acbb?environmentId=100

以下は同日別件名と同じです。

■ダウンロードするURLおよびマルウェア
添付ファイルを実行すると、以下のダウンローダマルウェアbebloh を取得します。
hxxp://zeraum[.]com/footerlogo.gif
https://www.hybrid-analysis.com/sample/69e3f671104eee450032d603b4afdf6e0eed82354a909d3b755a0813b5faba05?environmentId=100

■追加でダウンロードするURLおよびマルウェア
beblohを実行していると、更に以下の不正送金マルウェアursnif を取得します。
hxxp://wimkegravestein[.]nl/language/overrides/tv_pcdx[.]exe
https://www.hybrid-analysis.com/sample/7836911a246ded58a2f20d30d4a751d46784a3e41e9f66c408691f6c298e6afc?environmentId=100

■C2
先日から変化なしです。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com