bomb_log

セキュリティに関するbom

2019/02/26(火) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

前週に引き続き、日本を狙って不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。
このばらまきメールはursnif-A系(添付系)のアクターです。
ただ、このところ夜中は追加スクリプトが取得できなかったり、beblohから追加マルウェアのダウンロードが行われないなど、挙動が不審です。
また、件名や添付ファイルの多様ななど、検知よけを工夫しているようにも思えます。

 

■日時
2019/02/26 16:30~

■件名(14種類)

工程表
2/1 【追加】
クレームです。
確認事項とお願い
2月入金の残り
RE: 【依頼】
【お願い】
添付用納品書
RE: 【発注分】
2/26 フォロー申請
Re: 再送
御見積書
2/26送り状
送り状番号ご[nnnn]

※nnnnは数字4桁


■添付ファイル(4種類)
・***_nnnn_2019_2_3.xls
※***は英数字3文字、nnnnは数字4桁
https://www.virustotal.com/#/file/2143421df567dc0d4c3c364cfc6be9cad3e529c29dd8e57b17d608bcd5246a4d/detection

・[2019.2.26]_nnn_nn.xls
※nnnは数字3文字、nnは数字2桁
https://www.virustotal.com/#/file/71e059ceecb85b737531bd1981f77c95fa10a70cd17ff916d4736ead2eeb94f0/detection

・nnnnnnn_nnnn_2019_2_3.xls
※数字7文字、数字4桁
https://www.virustotal.com/#/file/667e30b20e0986c7def59f66d871a579a32f150b61f64aefd431864b33dced12/detection

・[2019.2.26]_nnn_nn.xls
※nnnは数字3文字、nnは数字2桁
https://www.virustotal.com/#/file/27f92ece7ba250d9f9da65916dda093db40fa79e634010dfe408eec95ebaf674/detection

 

■通信先
●正規サイトの悪用
・stegano stege11
hxxps://i.imgur[.]com/96vV0YR.png
hxxp://oi65.tinypic[.]com/2z8thcz.jpg
・IPから国の識別(JPが返る)
hxxps://ipinfo.io/country
・stegano stage-2
hxxps://i.postimg[.]cc/bv5dMcK6/J2.png
hxxps://images2.imgbox[.]com/ff/22/6NkpoT2I_o.png
・stage-3 (beblohからの取得)
不明

●C2
・bebloh
hxxps://olkerona[.]com
・ursnif
hxxps://mopscat[.]com

 

・beblohペイロード
https://www.hybrid-analysis.com/sample/ebb3fca571b3611cf9232a9a0210f27ae53ca222a15897282e2c5b5c9b3c9970

 

以上です。