更に6/14に件名が変更され、不審メールのばらきがありました。

■日時
2018/6/14(木) 17:10頃-18:00頃

■件名
2018.6月分請求データ送付の件
6月請求データ
※件名の頭に.、Fwd: 、Fwd: Re:、Re: 、Re: Re: がつく場合があります。

■添付ファイル名
n.nnn.請求・支払データ.xls
nは数字1桁、nnnは数字3桁
https://www.hybrid-analysis.com/sample/6aa670bd806c6c690e900931da4f3ff78efc967a058a939fc75bb866ccfc21a9

以下、同日の別件名のものと同一です。

■ダウンロードするURLおよびマルウェア
Excelのマクロを実行すると、以下へ通信が発生し、ダウンローダ型マルウェアのbeblohを取得します。
hxxp://zeraum[.]com/mailout
https://www.hybrid-analysis.com/sample/60bd3a3642cbd5025e150f48688f11702a92d9c16ff254c4d0e8f57fc4621cc7

■追加でダウンロードするURLおよびマルウェア
beblohは更に以下のURLにアクセスし、不正送金マルウェアursnif をダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/synctm[.]exe
https://www.hybrid-analysis.com/sample/5805b0c068ac3c18910ed3b3952cb52a69acc5ef6e5afdd1666d7c5593578692?environmentId=100
bebloh,ursnifを取得するドメインは6/13と同じです。

■C2
変化はありません。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com