bomb_log

セキュリティに関するbom

2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。

 

■日時
2018/8/8 17:00頃 - 

■件名
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料

■添付ファイル名
文書_nnnnn.iqy
※nnnnnは数字5桁

f:id:bomccss:20180810030314p:plain

■通信先
添付ファイルが実行されると、まず以下にアクセスを行います。
hxxp://jiglid[.]com/excel

f:id:bomccss:20180810031512p:plain

Cmd.exeからPowerShellで次に以下へアクセスします。
hxxp://jiglid[.]com/version

f:id:bomccss:20180810032506p:plain

ここまでの.iqyファイル、excelファイル、versionファイル、共に8/6で使用されたファイルと次のファイルへのリンクURLが異なるのみで同様の構成のファイルです。
.iqyファイルはアンチウイルスベンダが幾つか検知するようになりましたが、攻撃者が簡単に使いまわしが効く、やっかいな攻撃手法と言えます。

 

■一次検体
以下のファイルが最後のファイルで、不正送金マルウェアURSNIFです。
hxxp://jiglid[.]com/JP

https://www.hybrid-analysis.com/sample/87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57/5b6aa9197ca3e109b452ebe3
●C2:
hxxps://siberponis[.]com
IP: 47.254.203.76
hxxps://baferdifo[.]com

1つ目のC2はこれまでの攻撃キャンペーンでも目にしていたものですが、2つ目のC2はこれまでに見たことのないアドレスです。今後はこのアドレスがしばらくC2として使うものと思われます。
また、C2へのアクセスですが、これまでは443/tcphttpsでアクセスをしていましたが、今回よりhttpsではなく独自プロトコルで通信をするようになっています。
通常の443通信とは異なる通信を検知することで検知可能かも知れません。

 

IoC
●URL
hxxp://jiglid[.]com/excel
hxxp://jiglid[.]com/version
hxxp://jiglid[.]com/JP
hxxps://siberponis[.]com
hxxps://baferdifo[.]com
●IP
47.254.203.76
●HASH(SHA256)
87f0e03c2bb71d7fd620f5693700fca08eefe8f42803051a9d1c4f90e0c5fd57