bomb_log

セキュリティに関するbom

2018/08/07(火) 『<要返信:FAX>営業○・出荷×』『注文書[※数字4桁]』『インボイス Re: 進捗』の調査

Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。

 

■日時
2018/08/07 16:30 頃 - 19:00 頃

■件名
<要返信:FAX>営業○・出荷×
注文書[※数字4桁]
インボイス Re: 進捗

■添付ファイル
FAX[出荷].xls
※件名 <要返信:FAX>営業○・出荷× のもの
https://www.hybrid-analysis.com/sample/d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c/5b69464a7ca3e14611105ff7
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
https://www.hybrid-analysis.com/sample/8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21?environmentId=100
注文書_office.xls
※件名 注文書[※数字4桁] のもの
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
https://www.hybrid-analysis.com/sample/324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5?environmentId=100
※2018.08.07.xls
※件名 インボイス Re: 進捗 のもの
https://www.hybrid-analysis.com/sample/ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8/5b6965837ca3e1411e39b7b6

添付ファイルは複数種類ありますが、通信先等はどれも同じです。
添付ファイルを開きマクロを有効化すると、最終的にはマルウェアに感染します。

f:id:bomccss:20180810013934p:plain

このExcelにはマクロがついています。マクロの中身はこちらです。Excelが開きマクロが有効化されると Workbook_Open() が呼び出されshellが実行されます。

f:id:bomccss:20180810014229p:plain

このマクロを実行するとReplace等によりcmd.exe /c が作られ、その引数はoX関数により作られます。
oX関数ではcells(5,1)つまりはA5セルを引数としてC2関数にわたされます。A5セルの中身はこちらです。

f:id:bomccss:20180810014521p:plain

C2関数の部分は全て実行されるとmshta.exeからPowerShell.exeのスクリプトになります。

f:id:bomccss:20180810022215p:plain

f:id:bomccss:20180810014818p:plain


■通信先
添付ファイルのマクロが実行されると、上記流れにより、以下へとアクセスします。
hxxp://jiglid[.]com/out
IPは複数に紐付いています。
109.166.237.170
134.19.224.215
186.87.135.2
188.27.226.49
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2

f:id:bomccss:20180810020202p:plain

中身はよくわからないファイルとなっていますが、先程のPowerShellにより、この内容がxorされることで新たなPowerShellスクリプトが作成され、以下のファイルを取得します。
hxxp://jiglid[.]com/1.tmp

f:id:bomccss:20180810020701p:plain

このファイルはマイドキュメント配下に1.eというファイルとして作成されます。
これを更に変換をかけることで、LevelUpd.exeという実行ファイルになります。

 

■一次検体(URSNIF)

最後に作成されたexeファイルは不正送金マルウェアのURSNIFです。

●C2
hxxps://siberponis[.]com
IP:47.254.203[.]76

■プロセスの動き 
プロセスの動きは以下となります。

f:id:bomccss:20180810021403p:plain

Excel起動からsvchost.exeが起動するまでのコマンドは以下です。

f:id:bomccss:20180810023350p:plain

 URSNIF実行後の初期感染時の端末情報を取得する際のコマンドは以下です。

f:id:bomccss:20180810023427p:plain

■その他
自動起動の手法はこれまで通りマルウェア本体が設定されていました。
JC3のURSNIF感染判定サイトでは判定できませんでした。
銀行サイト等へアクセスした際に取得する情報はWebアクセスの情報とキーロガーで動画取得はありませんでした。

 

IoC
●URL
hxxp://jiglid[.]com/out
hxxp://jiglid[.]com/1.tmp
hxxps://siberponis[.]com
●IP
109.166.237.170
134.19.224.215
186.87.135.2
197.255.246.6
2.89.149.96
31.5.167.149
37.34.176.37
46.55.145.49
5.204.221.1
80.238.111.206
82.79.217.89
86.123.64.43
86.126.136.160
89.149.63.2
47.254.203.76
●HASH(SHA256)
d48a46e4a294755055ea59256450463b644236b32f62ecbb103b8f0337c4247c
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
8957623c094f3ccdec8102f37d72d39279ecaa6a00f61cfe0c16d34105401e21
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
324c2f02ac07b1610413d4f14a3f72b91bc322c1497ed01c15a5793192c1acd5
ae2a04b491f6f19d737b2693b26f7a5d54c724b66d48620577dfbc21f38690b8