月曜日にばらまきメールがあったのに、水曜日にも同じアクターからばらまきメールがありました。

このばらまきメールは月曜日と同様、以前より日本に対して不正送金マルウェアをばらまいているursnif-A系(添付系)のアクターです。

■日時
2019/02/20 17:00～

■件名(6種)
Fw: Re:
添付ファイル
このメールにはファイルを1件、添付しています
添付がコストです
【追加②】
回答：

■添付ファイル
17時～
・20190220(n)_nnnn_書類.XLS
※nは数字1桁、nnnnは数字4桁
https://www.virustotal.com/#/file/f143b542976786ffc045f3d8647bea4d0e480998d9a9f64452c5c839a0050a00/detection

19時～
・nnn-nn-20190220送付.xls
※nnnは数字3桁、nnは数字2桁
https://www.virustotal.com/#/file/12bb1efaf22b0ebe0e9a203d6486f52c67c27fd151bb6cc92edc778b362e50d1/detection

20時～
・Bookn.xls
※nは数字1桁
https://www.virustotal.com/#/file/7af5179363279d2907ebb4f08424985acb3fe7e52cc78291848dd0597f4aff65/detection

どの添付ファイルも基本的な動きは同じです。
複数種類のハッシュ、パターンを作ることでウイルス検知の回避を狙ったものと思われます。

■通信先
・追加スクリプトの取得先
hxxps://gamidron[.]com/StreamGame.rar　　　※実態はスクリプト
hxxp://conesdarz[.]com/uploads/amadeus.zip

・beblohの追加ペイロードの取得先
hxxp://vedrunaccff[.]org/img/sm/Save.rar
※実行ファイルではなく、ダウンロード後にbeblohがコンパイルしてursnifを作成します。
・ursnif-c2
hxxps://papirson[.]com　※月曜と同様

●bebloh
https://www.hybrid-analysis.com/sample/4dc9adb9e4928db316f26238459d473d76a9914312eb2faff635da786015bc37

以上です。