bomb_log

セキュリティに関するbom

2019/02/20(水) 添付ファイル付不審メール(FlawedAmmyy)の調査

2/20の朝から、これまで日本をターゲットにしていなかったと思われる攻撃グループからのばらまきメールを観測しました。世界的これまで各地で行われていたものが日本にまで入ってきたようです。
2/18のursnifのばらまきメールの件名、添付ファイル名、本文などを流用(盗用?)して、別のマルウェアFlawedAmmyy RAT への感染を狙ったものです。

 

■日時(JST)
2019/02/20 9:00~

■件名
紙看板送付の件

■本文(一部)
お世話になっております。
インボイスを送ります。
どうぞよろしくお願いいたします。

■添付ファイル (+ 通信先)※3種類
・nnnnn_nn_20190219.xls
https://www.joesandbox.com/analysis/111583/0/html
https://app.any.run/tasks/3088f233-146f-4ff1-b2cc-2df846d6bdf5
 → hxxp://195.123.209[.]169/control

・nnnnn_nn_20190219.xls
※nnnnnは数字5桁、nnは数字2桁https://www.virustotal.com/#/file/cdcf99a113bb8c8a911c6dc95bb478bae22776d28eb9fda3ed30ca547a8c5920/detection
 → hxxp://213.183.63[.]242/control

・nnnnn_nn_20190219.doc
※nnnnnは数字5桁、nnは数字2桁
https://www.virustotal.com/#/file/f54cbb5ec9b44f825ece3c7e14f3591062228078346580bcea39fd5a04bcc40a/detection
https://app.any.run/tasks/4b12aa2d-ff90-4ef1-aa78-58f73d79704e
→ hxxp://195.123.209[.]169/control


添付ファイルの隠されたシートにはマクロ(DDE)により開くと通信先のファイルをダウンロードします。
ダウンロードされたファイルはmsi形式のファイルで、マイクロソフトインストーラです。
マクロ内でダウンロードされたファイルを正規のインストーラを利用して端末にインストールし感染させます。

なお、Excelのシート名はロシア語でシート3となっています。

■FlawedAmmyy-C2
169.239.128[.]15

 

この攻撃を行っているアクターはTA505と呼ばれているようで
同一アクターと思われる海外の分析情報は以下です。
https://www.proofpoint.com/us/threat-insight/post/leaked-ammyy-admin-source-code-turned-malware
https://ti.360.net/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently-en/
http://www.antiy.net/p/be-aware-of-flawedammyy-remote-control-trojan-spread-by-spam/
https://cyware.com/news/a-deep-insight-into-the-prolific-ta505-threat-actor-groups-massive-campaigns-53967575

 

以上です。