bomb_log

セキュリティに関するbom

2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査

特殊な形式の添付ファイルがついた不審メールのばらまきを観測しました。
添付ファイルは.iqyファイルであり、Excelに関連付けされており、開くと悪意あるサーバからマルウェアをダウンロードし、最終的には不正送金マルウェアに感染させます。

.iqyファイルに関する注意喚起と対策はIPAより今年7月に出ています。
https://www.ipa.go.jp/files/000068065.pdf
上記を参照し、.iqyファイルをExcelに関連付けないことを推奨します。


■日時
2018/08/06(月) 16:30頃 - 18:40頃

■件名
お世話になります
ご確認ください
写真添付
写真送付の件

■添付ファイル
メールアドレスの@以前のユーザ名.数字5桁.iqy
(例)username.12345.iqy
添付ファイルを実行すると、.iqyファイルは通常Excelに関連付けされており、開くと「Microsoft Excelのセキュリティに関する通知」という警告のポップアップが出ます。「無効にする」を選択すれば問題ありませんが、「有効にする」を選択してしまうと、添付ファイルに記載のURLにファイルを取得しに行きその後マルウェアに感染してしまいます。

添付ファイルの中身は以下の通りです。3行目に記載のURLに接続します。

f:id:bomccss:20180810010923p:plain

■一次接続先
添付ファイルを実行すると同一ドメイン宛に計3回の接続が発生します。
こういった形式で通信が複数回発生するタイプは初めてです。

この接続先となるドメイン hxxp://jiglid[.]com には以下の大量のIPが紐付いています。これも今までには無かったパターンです。
109.224.31.205
124.43.17.103
155.133.93.30
185.42.194.116
185.94.4.228
188.254.205.37
190.140.20.205
190.158.226.15
193.33.1.19
194.204.25.137
195.222.40.54
212.237.112.81
37.143.207.7
37.152.176.90
41.226.17.116
46.40.123.136
46.59.109.240
5.13.77.39
5.204.191.64
62.73.70.146
66.181.168.248
77.81.21.110
78.38.114.17
79.185.30.107
81.12.175.59
82.77.53.5
84.238.147.24
84.54.187.24
88.81.78.98
89.238.207.5
89.44.244.88
89.45.19.18
89.45.19.24
91.139.200.135

 

添付ファイルを実行すると、まず以下のファイルを取得し、実行します。
hxxp://jiglid[.]com/sc4

f:id:bomccss:20180810011300p:plain

この中で更に以下へのアクセスを行います。

hxxp://jiglid[.]com/sc4-2[.]dat

f:id:bomccss:20180810011358p:plain

この中で、http://ipinfo.io/jsonへアクセスにIPが日本のものであれば、更に追加で以下のファイルを取得します。

hxxp://jiglid[.]com/ms[.]xlsx

このファイルはxlsx形式のファイルではなく、実際にはマルウェアであり、tempフォルダ配下にundocument.exeというファイル名で保存・実行し感染します。

このファイルはダウンローダマルウェアのbeblohです。
https://www.hybrid-analysis.com/sample/5533187aeae5b20d0628496f2ee671704bc806b16f4ce8b92468e9db3343957b?environmentId=100
C2: hxxps://wigermexir[.]com
IP:47.254.203[.]76

 

■二次検体
上記beblohはしばらくした後、C2サーバに接続し、以下の接続先から不正送金マルウェアのursnifをダウンロードし感染します。
ここの動作は同じです。
URL: hxxps://socco[.]nl/galleries/2018UP[.]exe
IP: 92.48.206[.]71
https://www.hybrid-analysis.com/sample/9e6535f7cda29e64af7711347271776cbe1242f33c745c61b5320c84eda5bc7e?environmentId=100
C2: hxxps://siberponis[.]com
IP:47.254.203[.]76

 

自動起動設定
ユーザログイン時に自動実行されるプログラムとしてマルウェア本体が登録されます。
7/25にあったファイルレス型のマルウェアの設置方法とは異なります。

f:id:bomccss:20180810012835p:plain

 

IoC
●URL
hxxp://jiglid[.]com/sc4
hxxp://jiglid[.]com/sc4-2[.]dat
hxxp://jiglid[.]com/ms[.]xlsx
hxxps://socco[.]nl/galleries/2018UP[.]exe
hxxps://wigermexir[.]com
hxxps://siberponis[.]com
●IP

109.224.31.205
124.43.17.103
155.133.93.30
185.42.194.116
185.94.4.228
188.254.205.37
190.140.20.205
190.158.226.15
193.33.1.19
194.204.25.137
195.222.40.54
212.237.112.81
37.143.207.7
37.152.176.90
41.226.17.116
46.40.123.136
46.59.109.240
47.254.203[.]76
5.13.77.39
5.204.191.64
62.73.70.146
66.181.168.248
77.81.21.110
78.38.114.17
79.185.30.107
81.12.175.59
82.77.53.5
84.238.147.24
84.54.187.24
88.81.78.98
89.238.207.5
89.44.244.88
89.45.19.18
89.45.19.24
91.139.200.135
92.48.206.71
●Hash(SHA256)
5533187aeae5b20d0628496f2ee671704bc806b16f4ce8b92468e9db3343957b
9e6535f7cda29e64af7711347271776cbe1242f33c745c61b5320c84eda5bc7e