2019/02/18(月) 添付ファイル付不審メールの調査
2019/02/18(月) 16:50頃より、 添付ファイル付の不審メールのばらまきが発生していました。
20:30頃からは、同一の件名で異なる添付ファイルの不審メールのばらまきが発生していました。
メールの内容や添付ファイルの動きはどちらも同じ動作を行います。
これらのばらまきは、以前より日本に対して不正送金マルウェアをばらまいている攻撃グループと思われます。
この添付ファイルを主に使用してくる攻撃者のグループのことを勝手にursnif/cutwail A系(添付系)と呼んでいます。
メールの件名、本文の情報については、以下のJC3のサイトにも情報があります。
https://www.jc3.or.jp/topics/v_log/201902.html#d20190218b
■日時
2019/02/18 16:50 -
■件名
20190218
2/18送り状No.
修正版
出荷明細添付
紙看板送付の件
券類発注書 (修正依頼)
2月分
発注分 追加
■本文(例)
■添付ファイル(16:50-)
nnnnn_2019年2月18.xls
※nnnnnは数字5桁
■添付ファイル名(20:30-)
nnnnn_nn_20190218.XLS
※nnnnnは数字5桁、nnは数字2桁
■ 添付ファイル外見
■添付ファイルサンプル(16:50-)
SHA256: 75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa
https://www.virustotal.com/#/file/75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa/details
https://www.hybrid-analysis.com/sample/75a46329eed0e0a2948f4c5e35a3fda1e0f3a23d059ba019de33c654ff0e84fa?environmentId=100
https://app.any.run/tasks/f931f284-edf5-4225-ba22-bcf056b72136
■添付ファイルサンプル(20:30-)
SHA256: 6602f118eea649f863e5662671686a3ae5e1067e1c1bcbed829d7ba8ab3390f6
https://www.virustotal.com/#/file/6602f118eea649f863e5662671686a3ae5e1067e1c1bcbed829d7ba8ab3390f6/detection
https://www.joesandbox.com/analysis/111173/0/html
https://www.hybrid-analysis.com/sample/6602f118eea649f863e5662671686a3ae5e1067e1c1bcbed829d7ba8ab3390f6?environmentId=100
https://app.any.run/tasks/91a29575-b076-49cf-be67-8a8f30b30eec
→日本語のPC環境で、添付ファイルを開きマクロを有効化すると、マルウェアに感染します。
■添付ファイルの動作
添付ファイルにはマクロがあり、有効化するとファイルを開く際に実行される関数Workbook_Open()により自動でマクロが動作します。
その際、動作している環境がマルウェアのターゲットである日本かどうかを確認しています。
その後、ステガノグラフィと呼ばれる画像ファイルに文字を隠す(今回であればスクリプト)手法を2度使用し、最後にDLLを作成し、それをexplorerにインジェクションします。
詳しい流れについては、@nao_sec さんの以下を参照ください。
Japanese #malspam -> FormatCurrency + Steganography + ThreeLetterWindowsLanguageName + Get-Culture + Invoke-ReflectivePEInjection -> #Beblohhttps://t.co/5HYSFZiblZhttps://t.co/uOAIvAW4BK pic.twitter.com/s7RpyFuQCU
— nao_sec (@nao_sec) February 18, 2019
■通信先(ステガノグラフィ)
どれも正規の画像アップロードサービス等を使っています。
上から順にアクセスして行き、一つアクセスできれば以降のURLへのアクセスはありません。
・stage 1
hxxp://imagehosting[.]biz/images/2019/02/14/in1.png
hxxp://images2.imagebam[.]com/f1/b1/50/dd7e561126561184.png
hxxps://mger[.]co/img/w84vm.png
hxxps://images2.imgbox[.]com/34/60/1Zc8BevK_o.png
・stage 2
hxxp://oi68.tinypic[.]com/2saxhrc.jpg
hxxps://thumbsnap[.]com/i/aqiAmg1b.png?0214
hxxps://i.postimg[.]cc/0jFwGVb3/l1.png
■マルウェアbebloh
これらのスクリプトが実行されると、最終的には以下のDLLファイルが作成され、実行されます。
これはダウンローダ型マルウェアのbeblohです。
実行されると、以下のC2サーバへ通信を行います。
(その前に外部と通信可能かgoogleに接続確認を行います)
○bebloh - C2
hxxps://panisdar[.]com
C2サーバから追加でダウンロードするURLを取得していると考えられ、C2へ接続すると更に以下のファイルをダウンロードします。
(以前はC2接続までにスリープ処理がありましたが、今は見かけられません)
hxxp://vedrunaccff[.]org/img/sm/history.rar
このファイルはrar形式ですが、rarファイルではありません。(exeでもありません)
このファイルをbeblohが何らかの処理(不明)を行い、不正送金マルウェアのursnifを作成し実行します。
■不正送金マルウェア ursnif
SHA256: c797fa74ffc33103b9b5db3d5010d7926231afc49beb5d1e61f8a29723a7d142
https://app.any.run/tasks/9d4b163e-73e9-4faf-8367-4d6ca532c23f
https://cape.contextis.com/submit/status/38087/
https://www.hybrid-analysis.com/sample/c797fa74ffc33103b9b5db3d5010d7926231afc49beb5d1e61f8a29723a7d142
https://www.virustotal.com/#/file/c797fa74ffc33103b9b5db3d5010d7926231afc49beb5d1e61f8a29723a7d142/detection
https://www.joesandbox.com/analysis/111234/0/html
ursnifが実行されるとPC上の様々な情報を取得します。以下は実行されるコマンドです。
cmd /C "systeminfo.exe > C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "net view >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "nslookup 127.0.0.1 >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "tasklist.exe /SVC >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "driverquery.exe >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
cmd /C "reg.exe query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /s >> C:\Users\UserName\AppData\Local\Temp\8E3B.bin1"
これらの情報を以下のC2サーバへ送信します。
○ursnif - C2
hxxps://papirson[.]com
■一連の動き
ここまでの一連の通信およびプロセスは以下となります。
以上です。
