bomb_log

セキュリティに関するbom

2018/06/25(月)『2018.6月分請求データ送付の件』『6月度発注書送付』『ご請求書を添付致しておりますので』『メールに添付された請求書デー』『添付ファイルをご確認下さい。』の調査

何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。

 

■日時
2018/06/25(月)  15:50頃 - 17:10頃

■件名
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
メールに添付された請求書デー
添付ファイルをご確認下さい。

■本文
同じ件名でも空白、7月分請求データという記載があるもの、請求書を添付致しました、というようにパターンがあるようです。人物名も幾つかあるようです。

f:id:bomccss:20180625232521p:plain

f:id:bomccss:20180625232532p:plain

■添付ファイル
Excel形式の添付ファイルがあります。ファイル内の指示に従い「編集を有効にする」をクリックし、「コンテンツの有効化ボタン」をクリックするとマクロを実行され、ユーザに見えないところでマルウェアを取得します。
(nnnn)_6月.xls
※nnnnは数字4桁
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for '4817_6_.xls'

 ■ダウンロードされるURLおよびダウンロードされるファイル(bebloh)
ExcelからマクロでダウンロードするURLおよびファイルは以下でうす。ダウンローダマルウェアのbeblohと呼ばれるものです。
hxxp://gobertonis[.]com/photo
47.74.148[.]105
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'photo.exe'

■追加でダウンロードされるURLおよびダウンロードされるファイル(ursnif)
beblohに感染後5分程度するとC2へアクセスし、ダウンロード先URLを取得し、ursnifをダウンロードします。
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
84.244.181[.]208
Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'mrts_ps.exe'

■C2通信先
以前と変化はありませんでした。
○bebloh
hxxps://bdv4cc9rub[.]com
○ursnif
hxxps://vachiderk[.]com

 

IoC
○URL
hxxp://gobertonis[.]com/photo
hxxp://wimkegravestein[.]nl/language/overrides/mrts_ps[.]exe
hxxps://bdv4cc9rub[.]com
hxxps://vachiderk[.]com

 ○IP
47.74.148[.]105
84.244.181[.]208

○HASH(SHA256)
78857f96c2216323344b2790391fe3207b137bcfe75ac795242cd515bddc13c8
b2b1370ede349d538770309749f7197cdf0983b90bfb1aaf5e9483bfda7c5361
2c21e78c2ae52a2aedc97822579343b2f8e63455de97645d6dc52a50d3a2fe31