bomb_log

セキュリティに関するbom

トップ > 2018/06/14(木) 『【振込み確認書】18.06.14』の調査

2018/06/14(木) 『【振込み確認書】18.06.14』の調査

6/12,13に引き続き、6/14にも添付ファイル型の不審メールの配信がありました。

 

■日時
2018/06/14 16:20頃-16:40頃

■件名
【振込み確認書】18.06.14

■添付ファイル
【振込み確認書】18.06.14.xls
https://www.hybrid-analysis.com/sample/9ff97c6be8bf57509583280c1519dc0ae6a1841ae3685d1321828bb1e76abdf4
https://www.hybrid-analysis.com/sample/b3612640b7f18c1fe0eb9f64ab82e27064aa4bdc76c629710c5cf8369fc75e06
■ダウンロードするURLおよびマルウェア
Excelのマクロを実行すると、以下へ通信が発生し、ダウンローダマルウェアのbeblohを取得します。
hxxp://zeraum[.]com/mailout
https://www.hybrid-analysis.com/sample/60bd3a3642cbd5025e150f48688f11702a92d9c16ff254c4d0e8f57fc4621cc7

■追加でダウンロードするURLおよびマルウェア
beblohは更に以下のURLにアクセスし、不正送金マルウェアursnif をダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/synctm[.]exe
https://www.hybrid-analysis.com/sample/5805b0c068ac3c18910ed3b3952cb52a69acc5ef6e5afdd1666d7c5593578692?environmentId=100
bebloh,ursnifを取得するドメインは6/13と同じです。

■C2
変化はありません。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
 hxxps://vachiderk[.]com