bomb_log

セキュリティに関するbom

2018/11/01(木) 『立替金報告書の件です。』『申請書類の提出』『注文書の件』『請求データ送付します』『納品書フォーマットの送付』『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書~』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

11/1(木)にも不審メール のばらまきがあったようです。
こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。
情報共有いただいた内容から調査を行いました。

 

■日時
2018/11/01(木) 18:00頃 - 

■件名
立替金報告書の件です。
申請書類の提出
注文書の件
請求データ送付します
納品書フォーマットの送付

※この件名は10/24にばらまかれたものと同様です。

19:00頃より、以下の件名でもばらまきがあったようです。

■件名
10月請求書の件
2018年10月度 御請求書
RE: 10月分WO
【請求書、見積書送付】30/10-11
再)ご請求書~
請求書送信のご連絡
預かり金依頼書の送付(追い金)

※この件名は10/30にばらまかれたものと同様です。


■添付ファイル名(18時以降)
nnnn DOC20181101nnn.xls
※nnnnは数字4桁、nnnは数字3桁

・サンプル
SHA256: c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a
https://www.virustotal.com/#/file/c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a/detection
https://www.hybrid-analysis.com/sample/c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a?environmentId=100
https://www.joesandbox.com/analysis/87512/0/html
https://www.joesandbox.com/analysis/87674/0/html
https://www.vmray.com/analyses/c5e3ea84d236/report/overview.html
https://app.any.run/tasks/3a54682a-4cf7-4688-986a-5458004f88f7

f:id:bomccss:20181108170207p:plain

 

■添付ファイル名(19時以降)
-nnnnnnn.xls
※n…は数字7桁

■添付ファイル名
-nnnnnnn.xls※n数字7桁

・サンプル
SHA256: bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668
https://www.virustotal.com/#/file/bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668/detection
https://www.hybrid-analysis.com/sample/bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668?environmentId=120
https://www.joesandbox.com/analysis/87557/0/html

 

どちらの件名の添付ファイルも同様の動作・通信を行います。

 

■プロセスの動き
エクセルを開き、マクロを有効化すると、マクロが実行されます。
マクロから難読化されたcmd.exeが3段階で実行されます。
そこからWMIC.exeが実行され、さらにPowerShell.exeが実行されます。

f:id:bomccss:20181108170251p:plain

 

■接続先
最初に以下のファイルへアクセスします。
hxxps://images2.imgbox[.]com/52/30/CFHzOzP4_o.png
IP: 208.99.84[.]100

f:id:bomccss:20181108173332p:plain

画像ファイルですが、画像の中にスクリプトが含まれており、そのスクリプトを後段で実行します。
ステガノグラフィと呼ばれる手法です。
その後、以下の不正送金マルウェアursnifを取得します。

hxxp://martenod[.]com/ufolder
IP: 217.156.87[.]2

SHA256: 4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89
https://www.virustotal.com/#/file/4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89/detection
https://www.hybrid-analysis.com/sample/4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89?environmentId=100
https://www.vmray.com/analyses/4c603d763a2b/report/overview.html

なお、取得する際にUser-Agetは以下を使用します。
"Mozilla/5.0 (Windows NT; Windows NT 10.0; us-US) AppleWebKit/534.6 (KHTML, like Gecko) Chrome/7.0.0.500.0 Safari/534.6")

ファイルはダウンロード後、%Temp%\pviewer.exe としてファイルが実行されます。

 

■C2
hxxps://makarcheck[.]com
IP: 47.254.153[.]36

※C2は10/24のものと同じです。

 

IoC
●URL
hxxps://images2.imgbox[.]com/52/30/CFHzOzP4_o.png
hxxp://martenod[.]com/ufolder
hxxps://makarcheck[.]com
●IP
208.99.84[.]100
217.156.87[.]2
47.254.153[.]36
●HASH(SHA256)
c5e3ea84d2367239a3edff9074158e7af13b95edbc87d576c8d97e2536f3ba3a
bfe8ab19b3e3273999f7045651e745fad67690e314a5ae32a5f245c4576bc668
4c603d763a2b79e36492413ff788e1dd795bc09c67b2f4eccad5f339ebe44e89