bomb_log

セキュリティに関するbom

2018/10/30(火)『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書〜』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

10/24に引き続き、10/30にも不審メールのばらまきを観測しました。
過去8月までに行われいてたように、火曜日のばらまきです。

 

■日時
2018/10/30(火) 18:10頃 - 21:20頃

■件名
10月請求書の件
2018年10月度 御請求書
RE: 10月分WO
【請求書、見積書送付】30/10-11
再)ご請求書〜
請求書送信のご連絡
預かり金依頼書の送付(追い金)

■添付ファイル(その1)
[nnn] 請求書(2018年10月).xls
※nnnは数字3桁
サンプル

・SHA256: cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3
https://www.virustotal.com/#/file/cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3/detection
https://www.hybrid-analysis.com/sample/cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3?environmentId=120
https://www.joesandbox.com/analysis/87288/0/html
https://www.vmray.com/analyses/cac15934c258/report/overview.html
https://app.any.run/tasks/d2b10e28-e4ba-43a8-8133-7d5820f68c6f
https://app.any.run/tasks/7e531e69-6988-4b8e-b3ca-72f3bdb410a9
https://app.any.run/tasks/8769316a-2fc0-40db-b353-f7be6b295af9
https://app.any.run/tasks/893d89a5-9783-4f92-bea0-28c52f1f3384
https://app.any.run/tasks/3c362ab8-ccfc-47ef-93b3-9ad37c68694f

・SHA256: 8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f
https://www.virustotal.com/#/file/8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f/detection
https://www.hybrid-analysis.com/sample/8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f?environmentId=100
f:id:bomccss:20181108010606p:plain

 

一定の時間以降、同一の件名のメールに対し、別の添付ファイルでの配信に変化していました。添付ファイルの外見は異なりますが、動作は同じようです。

■添付ファイル(その2)
20181030nnnn.xls
※nnnnは数字4桁

・SHA256: f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371
https://www.virustotal.com/#/file/f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371/details
https://www.hybrid-analysis.com/sample/f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371?environmentId=100
https://app.any.run/tasks/b3b30c99-921e-4065-a73e-734561464ca7
https://app.any.run/tasks/ebd46085-98af-4f46-9c8c-d87161246eba
https://app.any.run/tasks/f22f100c-2d9e-4386-af5a-59b8ba519d34
https://app.any.run/tasks/13d40f47-5e59-40f8-bf16-cf2d918f18d9
https://app.any.run/tasks/eb846b2e-b705-46c2-8d39-65dc03c2d111
https://www.joesandbox.com/analysis/87186/0/html
https://www.joesandbox.com/analysis/87289/0/html
https://www.vmray.com/analyses/f39618fbdbb3/report/overview.html

f:id:bomccss:20181108011258p:plain

 

■通信先
通信は発生しません。
というのも、Excelに含まれるマクロから実行されるPowerShellのコードに誤りが含まれており、攻撃者が意図したであろう通信先への通信が発生していません。
つまり、マルウェア感染も発生しません。

 

攻撃者もコードをミスすることがあります。
過去にも不審メールのバラマキでダウンロードするjsファイルがうまく動作しない等を観察しています。

 

PowerShellのコードを動作するように正しく組み替えると、以下への通信が発生すると思われます。
hxxps://image.ibb.co/jrDJv0/hp.png
画像イメージとしては10/24と同様です。これはステガノグラフィと呼ばれる攻撃手法で、画像の中に攻撃コードが含まれています。

f:id:bomccss:20181026180500p:plain

先日のCrowdStrikeさんのblogにあった解析手法で同様にコードの抽出は可能です。

コードが抽出されるとクリップボードを経由後、以下のマルウェアを取得します。

 

マルウェア(ursnif)
不正送金マルウェア(バンキングトロジャン)のursnifです。
hxxp://martenod[.]com/worldtime
41.110.200[.]194
・SHA256:51BC32788B49ACA2384CD07DCE9F8AC63F07F52C27CF33C938E01C64C374EEE4https://www.virustotal.com/#/file/51bc32788b49aca2384cd07dce9f8ac63f07f52c27cf33c938e01c64c374eee4/detection
https://www.hybrid-analysis.com/sample/51bc32788b49aca2384cd07dce9f8ac63f07f52c27cf33c938e01c64c374eee4?environmentId=100
https://app.any.run/tasks/9396a7c5-4bd2-4324-8a95-71f18126cabb
https://www.vmray.com/analyses/51bc32788b49/report/overview.html

 

この検体のC2サーバは以下になります。
C2:hxxps://makarcheck[.]com
IP: 47.254.153[.]36

 

 

IOC
●URL
hxxps://image.ibb.co/jrDJv0/hp.png
hxxp://martenod[.]com/worldtime
hxxps://makarcheck[.]com
●IP
47.254.153[.]36
41.110.200[.]194
●SHA256
cac15934c258df2a1cc9c5359004f655e40a51cee6a255892e7884b0210425e3
8da48928f824f5f4da56c1bee55d1b8a42ee416bd3b1527bf88f2ea440c9285f
f39618fbdbb3788fa9444c84522a069b867e3237567ddd722f5e9a42838a4371
51bc32788b49aca2384cd07dce9f8ac63f07f52c27cf33c938e01c64c374eee4