bomb_log

セキュリティに関するbom

2018/12/13(木)『【楽天市場】注文内容ご確認(自動配信メール)』の調査

12/11に続き、12/13にも不審メールのばらまきがありました。時間は長かったですが、ばらまき量は前回よりも少量でした。
送信されるメールの内容は同じですが、マルウェアを生成する方法は変わっていました。


■日時
2018/12/13(木) 15:30頃 ~ 21:30頃
※早いところでは14:50頃から来ていたとのことです。

■件名
楽天市場】注文内容ご確認(自動配信メール)

■送信者
rakuten_order[@]applecare.joshshadid.com
rakuten_order[@]applecustomer.cncntrte.com
rakuten_order[@]applecustomer.joshshadid.com
rakuten_order[@]applecustomer.shadidphotography.com
rakuten_order[@]applecustomer.themodernvillas.com
rakuten_order[@]appleonlinesupport.cncntrte.com
rakuten_order[@]appleonlinesupport.shadidphotography.com
rakuten_order[@]appleonlinesupport.themodernvillas.com
rakuten_order[@]applesupport.cncntrte.com
rakuten_order[@]applesupport.joshshadid.com
rakuten_order[@]applesupport.shadidphotography.com
rakuten_order[@]secureonline.cncntrte.com
rakuten_order[@]secureonline.joshshadid.com
rakuten_order[@]secureonline.shadidphotography.com
rakuten_order[@]secureonline.themodernvillas.com
rakuten_order[@]supportapple.shadidphotography.com
rakuten_order[@]supportapple.themodernvillas.com
rakuten_order[@]supportappleonline.joshshadid.com
rakuten_order[@]supportappleonline.themodernvillas.com

■本文(例)

f:id:bomccss:20181223174948p:plain
メール内のリンク(どこでも)は以下になります。

■メール内リンク先URL
全て以下IPに紐付くドメインです。
IP: 195.123.233[.]150
https://www.virustotal.com/#/ip-address/195.123.233.150

hxxp://tr.kiraneproject[.]com
hxxp://iu.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://tr.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://efg.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://ngf.kiraneproject[.]com
hxxp://re.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://efb.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://iu.ffoc[.]net
hxxp://tr.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://re.ffoc[.]net
hxxp://nnmj.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://rth.anchorartists[.]com
hxxp://efg.anchorartists[.]com
hxxp://efb.anchorartists[.]com
hxxp://re.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://iu.anchorartists[.]com
hxxp://eu.anchorartists[.]com
hxxp://fgyt.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com


■リンクからダウンロードされるファイル
上記ドメインへアクセスすると、下記ファイルへとリダイレクトされダウンロードされます。
注文内容ご確認.zip

f:id:bomccss:20181223175023p:plain

 

zipファイルの中身を解凍すると、以下のようになります。

f:id:bomccss:20181223175038p:plain

f:id:bomccss:20181223175051p:plain


この中の「注文内容ご確認」のショートカットがダウンローダ型のマルウェアです。

SHA-256: 7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815
https://www.hybrid-analysis.com/sample/7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815?environmentId=100


ショートカットの中身は以下になります。

f:id:bomccss:20181223175122p:plain

f:id:bomccss:20181223175133p:plain


以下のファイルを取得しにいきます。
hxxp://ktr.kiraneproject[.]com/pohaq/info.ps1

このファイルの中身は以下になります。

f:id:bomccss:20181223175151p:plain

これを実行されると、以下のようなコマンドが実行されます。

f:id:bomccss:20181223175254p:plain

 

以下のファイルを取得し、それを「cerutil -decode」により実行ファイル(マルウェア)へと変換します。
hxxp://ktr.kiraneproject[.]com/pohaq/fit.txt

このファイルの中身は以下になります。

f:id:bomccss:20181223175207p:plain



作成されるファイルは以下です。

SHA-256: 0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85
https://www.virustotal.com/#/file/0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85/detection
https://www.hybrid-analysis.com/sample/0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85?environmentId=100
https://app.any.run/tasks/239bcb25-295e-4791-a7cc-86bfb4d39822
https://app.any.run/tasks/e78ce229-2ae7-43ee-8ff2-63323415ab08


不正送金マルウェアのursnifです。


感染後の動きは12/11のものと同様です。

■通信先
まず、以下のURLへ接続し、torのモジュールをダウンロードしようとします。
hxxp://185.82.216[.]62/images/1.png
※32bit環境で動作すると1.pngを、64bit環境で動作すると2.pngをダウンロードします。
実際には、上記URLが稼動していないため、接続失敗となっています。

また、以下のファイルをダウンロードします。これは正規のテキストファイルです。
hxxp://www.apache.org/licenses/LICENSE-2.0.txt
このファイルに含まれる文字列からC2のURLを自動生成します。これはDGA(Domain Generation Algorithm)と呼ばれる手法です。

実際に使われているC2は以下になります。
hxxp://grantingcopyrighttheca[.]online

IPアドレスは複数が紐付いています。
https://www.virustotal.com/#/domain/grantingcopyrighttheca.online

 

以上です。


IoC
●URL
hxxp://tr.kiraneproject[.]com
hxxp://iu.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://tr.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://efg.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://uyj.kiraneproject[.]com
hxxp://ngf.kiraneproject[.]com
hxxp://re.kiraneproject[.]com
hxxp://eu.kiraneproject[.]com
hxxp://efb.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://iu.ffoc[.]net
hxxp://tr.ffoc[.]net
hxxp://rth.ffoc[.]net
hxxp://eu.ffoc[.]net
hxxp://fgyt.ffoc[.]net
hxxp://re.ffoc[.]net
hxxp://nnmj.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://ngf.ffoc[.]net
hxxp://rth.anchorartists[.]com
hxxp://efg.anchorartists[.]com
hxxp://efb.anchorartists[.]com
hxxp://re.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://iu.anchorartists[.]com
hxxp://eu.anchorartists[.]com
hxxp://fgyt.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://ytu.anchorartists[.]com
hxxp://uyj.anchorartists[.]com
hxxp://nnmj.anchorartists[.]com
hxxp://ktr.kiraneproject[.]com/pohaq/info.ps1
hxxp://ktr.kiraneproject[.]com/pohaq/fit.txt
hxxp://185.82.216[.]62/images/1.png
hxxp://grantingcopyrighttheca[.]online
IPアドレス
IP: 195.123.233[.]150
●Hash(SHA256)
7e7bee88bdd25ab9cc402e8a14ee08615618c55c977993646c89ffd95bc90815
0207c06879fb4a2ddaffecc3a6713f2605cbdd90fc238da9845e88ff6aef3f85
●Mail sender
rakuten_order[@]applecare.joshshadid.com
rakuten_order[@]applecustomer.cncntrte.com
rakuten_order[@]applecustomer.joshshadid.com
rakuten_order[@]applecustomer.shadidphotography.com
rakuten_order[@]applecustomer.themodernvillas.com
rakuten_order[@]appleonlinesupport.cncntrte.com
rakuten_order[@]appleonlinesupport.shadidphotography.com
rakuten_order[@]appleonlinesupport.themodernvillas.com
rakuten_order[@]applesupport.cncntrte.com
rakuten_order[@]applesupport.joshshadid.com
rakuten_order[@]applesupport.shadidphotography.com
rakuten_order[@]secureonline.cncntrte.com
rakuten_order[@]secureonline.joshshadid.com
rakuten_order[@]secureonline.shadidphotography.com
rakuten_order[@]secureonline.themodernvillas.com
rakuten_order[@]supportapple.shadidphotography.com
rakuten_order[@]supportapple.themodernvillas.com
rakuten_order[@]supportappleonline.joshshadid.com
rakuten_order[@]supportappleonline.themodernvillas.com