bomb_log

セキュリティに関するbom

2018/11/14(水)『/発注-181112』『支払依頼書』『【連絡 ※請求書】』の調査

11/14に不審メールのばらまきがあったようです。
こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。
情報共有いただいた内容から調査を行いました。

 

■日時
2018/11/14(水) 17:00頃 - 17:20頃

 

■件名
/発注-181112
支払依頼書
【連絡 ※請求書】


■本文
入手できていませんので、以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201811.html#d20181114b

 

■添付ファイル
(n)DOC20181114nnn.doc
nは数字1桁、nnnは数字3桁

・サンプル
SHA256:  8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9
https://www.virustotal.com/#/file/8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9/detection
https://www.hybrid-analysis.com/sample/8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9?environmentId=100
https://www.vmray.com/analyses/8ed61abc371d/report/overview.html
https://app.any.run/tasks/be375fd7-dc24-4f6b-a7c5-f96f5ed89fd5

f:id:bomccss:20181120193007p:plain

O365のフィッシングで使われているような、青い資料になっています…。

添付ファイルのマクロが付いており、「コンテンツを有効化」のボタンをクリックすると、マクロが動作します。
しかし、マクロが一部不具合があり、マルウェアには感染しません。

 

■マクロ

1段階目で動くのはcmd.exeです。
f:id:bomccss:20181120193312p:plain

2段階目
f:id:bomccss:20181120193346p:plain

3段階目はpowershellが動作します。
f:id:bomccss:20181120193409p:plain

これをデコードすると以下の様になります。
f:id:bomccss:20181120202112p:plain

 

マルウェア
以下のペイロードを取得する想定と思われます。
hxxp://niokrat[.]com/clifind.log
・サンプル
SHA256: fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834
https://www.virustotal.com/#/file/fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834/details
https://www.hybrid-analysis.com/sample/fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834?environmentId=120
https://www.vmray.com/analyses/fb4077e5ef55/report/overview.html

ダウンローダマルウェアのbeblohと思われます。
以下のC2へ通信は発生しますが、追加のマルウェアはダウンロードされません。
・C2
hxxps://abedirer[.]com
IP: 149.129.243[.]34

 

IoC
●URL
hxxp://niokrat[.]com/clifind.log
●IP
149.129.243[.]34
●HASH(256)
8ed61abc371da7cf5ed2d8b9b7fdf20b8ca1b924c19fc9e8d50ca1feaccb6ae9
fb4077e5ef55027b2972e94fe54eca985dfb933702f09a640a799f31b2181834