2018/07/10(火) 『書類について』『写真』『写真送ります。』『現場写真』『見積書再送付致します』『【至急】対応お願い致します』『【その2】』の調査
2018/07/10の添付ファイル付の不審メールのばらまきの情報です。
■日時
2018/07/10(火) 17:50頃~
■件名
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】
■本文
幾つかのパターンを確認しています。
※冒頭挨拶文は本文文章とは別に以下のパターンがあります。
本日はありがとうございました。
お世話になります。
お世話になっております。
●パターンその1
(※冒頭挨拶文)
写真を添付致しますのでご確認下さい。
宜しくお願い致します。
●パターンその2
(※冒頭挨拶文)
ZIPにて写真を送ります。遅くなり申し訳ございません。
よろしくお願いします。
●パターンその3
(※冒頭挨拶文)
ZIPデータ送ります。
申し訳ないですが、ZIPの方で、写真の確認お願いします。
宜しくお願い致します。
●パターンその4
(※冒頭挨拶文)
念の為 図と写真を送ります。
よろしくお願いします。
●パターンその5
(※冒頭挨拶文)
写真です。
宜しくお願い致します。
■添付ファイル名
IMG_[*].zip
*にはメールアドレスの@以前が入ります。
添付ファイル内には、以下2つのファイルが存在します。
IMG_0447_1.jpg
IMG_0447_2.jpg.vbs ※マルウェアです。
https://www.hybrid-analysis.com/sample/4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d/5b446aec7ca3e131097bdf29
■マルウェアの動き(1)
zip内のvbsを実行すると、まず以下のbatファイルを取得し実行します。
hxxp://giarie[.]com/sc2.dat
IP: 92.53.66[.]244
このbatファイルの中ではbitsadminというプログラムを実行し、以下のファイルを取得し、C:\Users\(user名)\AppData\Local\Temp\certInfo.txtに書き込みます。
hxxp://giarie[.]com/no.bin
IP: 92.53.66[.]244
そのファイルを同フォルダ内のcertInf.txtにコピーした後、certutilコマンドでデコードし、C:\Users\(user名)\Documents\paint.exe として作成し、実行します。
作成されるマルウェアは以下のbeblohです。
■マルウェアの動き(2)
beblohを実行し5分程度過ぎると、以下C2へ通信を行います。
hxxps://wigermexir[.]com
IP:92.53.66[.]244
その直前、ブラウザでgoogle宛に通信を行います。恐らくは解析環境かの確認に利用されているのかと思います。
なお、確認後ブラウザは終了されます。他の用途でブラウザを開いていても閉じますので、おや?となります。
C2との通信後、以下からursnifを取得します。
hxxps://socco[.]nl/galleries/inistream.exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853
■マルウェアの動き(3)
ursnifに感染後、以下のC2と通信します。
hxxps://siberponis[.]com
IP:92.53.66[.]244
その後、端末情報を取得します。
■通信
一連の通信は以下のようになります。
■C2通信先
C2との通信はhttpsのため詳細なアクセス順序等不明ですが、メモリダンプの情報より、以下へアクセスしていると思われます。
●bebloh C2
hxxps://wigermexir[.]com/auth/api/(数字10桁)/index/?cgi-bin=login
hxxps://wigermexir[.]com/auth/data/(数字10桁)/img/
hxxps://wigermexir[.]com/auth/media/(数字10桁)/
hxxps://wigermexir[.]com/auth/tracker/user/(数字10桁)/
●ursnif C2
hxxps://siberponis[.]com/images/..(略)../v.bmp
hxxps://siberponis[.]com/images/..(略)../_2B.gif
hxxps://siberponis[.]com/images/..(略)../b1R.gif
hxxps://siberponis[.]com/images/..(略)../5.gif
hxxps://siberponis[.]com/images/..(略)../FYvMN.gif
以上です。
■IoC
●URL
hxxp://giarie[.]com/no.bin
hxxp://giarie[.]com/sc2.dat
hxxps://siberponis[.]com
hxxps://socco[.]nl/galleries/inistream.exe
hxxps://wigermexir[.]com
●IP
92.48.206[.]71
92.53.66[.]244
●hash(SHA256)
4165270459a38ca8da6ab6ff7c7b1ecf29c13f6b602788738b8da2f0119ae56d
81d016e80fddb754b20702be0218c8351cb040e0d3a108a1d972a68c86de4ce9
e8f5641239f2cfe0256c66155025070658b3b5fb29cd735fe38e0d0abc26e853