bomb_log

セキュリティに関するbom

2018/11/06(火) 『10月5日日付の管理費請求書』『10月課金請求リスト』『10月請求書 郵送のご連絡』『11月請求書連絡』『【再送】30年10月分請求書』『ご請求書』『別注お支払いの件』『請求書』『~請求書11月1日~』『注文書の件』『申請書類の提出』『立替金報告書の件です。』『納品書フォーマットの送付』『請求データ送付します』の調査

11/6に不審メールのばらまきがありました。
10/24の復活以降、4回目のばらまきです。

 

■日時
2018/11/06(火) 17:30頃 - 21:40頃

■件名
10月5日日付の管理費請求書
10月課金請求リスト
10月請求書 郵送のご連絡
11月請求書連絡
【再送】30年10月分請求書
ご請求書
別注お支払いの件
請求書
~請求書11月1日~

以下の件名は18:45頃より追加されました。

注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します

■本文
本文が幾つかのパターンの組み合わせで複数の形式がありますが、サンプルは以下です。

f:id:bomccss:20181112165813p:plain

f:id:bomccss:20181112165826p:plain

f:id:bomccss:20181112165839p:plain

f:id:bomccss:20181112165849p:plain

詳細は以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201811.html#d20181106a
https://www.jc3.or.jp/topics/v_log/201811.html#d20181106b

 

■添付ファイル名
20181106nnnnn.xls
※nnnnnは数字5桁

・サンプル
SHA256: 81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
https://www.virustotal.com/#/file/81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804/detection
https://www.hybrid-analysis.com/sample/81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804/5be14bf67ca3e1677d6f4560
https://app.any.run/tasks/322f67ac-d2e8-4c68-84da-09102ae36b5f
https://www.joesandbox.com/analysis/88303/0/html
https://www.vmray.com/analyses/81e10dc5acf7/report/overview.html

f:id:bomccss:20181112181447p:plain

以下は18:45頃より追加されたものです。

Doc0611201820nnnnnnnn.xls
※nnnnnnnnはランダムな数字8桁

・サンプル
SHA256: 4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab
https://www.virustotal.com/#/file/4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab/detection
https://www.hybrid-analysis.com/sample/4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab/5be168e57ca3e124cb6d3e58
https://www.vmray.com/analyses/4095b31681f9/report/overview.html

f:id:bomccss:20181112181609p:plain

 

どちらのタイプの添付ファイルも同様の動作・通信を行います。

 

■プロセスの動き
今回、procmonを動作できなかった(動かすとブルースクリーンになる)ため、プロセスツリーをキャプチャできていませんが、AnyRunから参照すると以下の流れです。

f:id:bomccss:20181112185550p:plain

プロセスの動きとして新しい手口であるのは、find.exeやfindstr.exeを利用してコマンドを作成している点です。
動作としては今回もステガノグラフィを使用しており、画像ファイルにアクセスした後、画像ファイルから更にコマンドを取得して、PowerShellで実行しています。

■通信先
通信先をまとめると以下の動きとなります。

f:id:bomccss:20181112191139p:plain


最初にアクセスが発生するのは、以下の画像ファイルで、これはステガノグラフィを行う為です。
hxxps://images2.imgbox[.]com/90/f1/gat2MVsK_o[.]png
IP: 208.99.84[.]104

f:id:bomccss:20181112191116p:plain


次に通信が発生するのは以下であり、ダウンローダマルウェアのbeblohです。
hxxp://olideron[.]com/connmouse
IP: 188.237.190[.]24
SHA256: 75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783
https://www.virustotal.com/#/file/75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783/detection
https://www.vmray.com/analyses/75ca5c2caf52/report/overview.html
https://app.any.run/tasks/0bc5e79b-5f81-4d73-b1b4-cdce981daa41

・C2
beblohは10分程度すると、以下のC2と約5分毎に通信を行います。
hxxps://pogertan[.]com
IP: 216.58.199[.]228

C2と通信をすると、以下の不正送金マルウェア、ursnifをダウンロードします。
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
IP: 217.160.0[.]251
SHA256: dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4
https://www.virustotal.com/#/file/dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4/detection
https://www.vmray.com/analyses/dba40065b6ef/report/overview.html

・C2
ursnifは以下どちらかのC2へ通信します。
hxxps://niperola[.]com
IP: 5.8.88[.]247
hxxps://bagersim[.]com
IP:  107.150.102[.]158

IoC
●URL
hxxps://images2.imgbox[.]com/90/f1/gat2MVsK_o[.]png
hxxp://olideron[.]com/connmouse
hxxps://pogertan[.]com
hxxp://iglesiamistral[.]org/audio/ceeb/educat[.]exe
hxxps://niperola[.]com
hxxps://bagersim[.]com
●IP
208.99.84[.]104
188.237.190[.]24
216.58.199[.]228
217.160.0[.]251
5.8.88[.]247
107.150.102[.]158
●HASH(SHA256)
81e10dc5acf7b150591d147c1101fed72d90648f1ec40a20798836d07258b804
4095b31681f998c808b2e7338fa8adec82c9f5049df457c9f0c0fc562e2a48ab
75ca5c2caf5216140f8e3e34160bdc64ce59d75fce1feeaa809ec18f01427783
dba40065b6efc6ae10e26ba608817ff04bdbc976e07016d78d0b4a63492e3ae4