2018/06/25(月)『2018.6月分請求データ送付の件』『6月度発注書送付』『ご請求書を添付致しておりますので』『メールに添付された請求書デー』『添付ファイルをご確認下さい。』の調査
何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。
■日時
2018/06/25(月) 15:50頃 - 17:10頃
■件名
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。
■本文
同じ件名でも空白、7月分請求データという記載があるもの、請求書を添付致しました、というようにパターンがあるようです。人物名も幾つかあるようです。
■添付ファイル
Excel形式の添付ファイルがあります。ファイル内の指示に従い「編集を有効にする」をクリックし、「コンテンツの有効化ボタン」をクリックするとマクロを実行され、ユーザに見えないところでマルウェアを取得します。
(nnnn)_6月.xls
※nnnnは数字4桁
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for '4817_6_.xls'
■ダウンロードされるURLおよびダウンロードされるファイル(bebloh)
ExcelからマクロでダウンロードするURLおよびファイルは以下でうす。ダウンローダ型マルウェアのbeblohと呼ばれるものです。
hxxp://gobertonis[.]com/photo
47.74.148[.]105
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'photo.exe'
■追加でダウンロードされるURLおよびダウンロードされるファイル(ursnif)
beblohに感染後5分程度するとC2へアクセスし、ダウンロード先URLを取得し、ursnifをダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
84.244.181[.]208
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'mrts_ps.exe'
■C2通信先
以前と変化はありませんでした。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com
■IoC
○URL
hxxp://gobertonis[.]com/photo
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
hxxps://bdv4cc9rub[.]com
hxxps://vachiderk[.]com
○IP
47.74.148[.]105
84.244.181[.]208
○HASH(SHA256)
78857f96c2216323344b2790391fe3207b137bcfe75ac795242cd515bddc13c8
b2b1370ede349d538770309749f7197cdf0983b90bfb1aaf5e9483bfda7c5361
2c21e78c2ae52a2aedc97822579343b2f8e63455de97645d6dc52a50d3a2fe31