2019/02/28(木) 添付ファイル付不審メール(bebloh/ursnif-A)の調査
火曜に引き続き、日本を狙った不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。
火曜日と同じくursnif-A系(添付系)のアクターと思われます。
今年に入ってからは週に2度ばらまくことはほぼなかったため、今後活発に活動する傾向かもしれませんので、注意が必要です。
■日時
2019/02/28 16:30~
■件名
※指定請求書
※注文書、請書及び請求書のご送付
※にはRe:、Fwd:、Fw:、RE:、-、(なし)のどれかが入ります
■本文
※件名同様、本文も幾つかの組み合わせからランダムに生成されます。詳細はJC3の以下を参照ください。
■添付ファイル名
nnnnn_nnnnn_(2019.2).xls
※nnnnnは数字2桁-5桁■添付ファイルサンプル
SHA256: 21cc174826ce5e69aa60445f547b94bb0b544c5d66a01063e37abbfdc91a715f
https://www.virustotal.com/#/file/21cc174826ce5e69aa60445f547b94bb0b544c5d66a01063e37abbfdc91a715f/details
https://any.run/tasks/1ed3b74d-6c89-45f0-a64b-a13331845dac
※添付ファイルのハッシュ値は1つです。
添付ファイルにはExcelマクロがついており、マクロを有効にすると、ダウンローダが動きます。
ただし、マクロの中でデフォルトが日本語の環境かを調べており、そうでない場合は動作しません。日本語の環境であった場合に、ダウンローダが動作します。
(先週からのxlsにはマクロの保護機能が有効になっており直接参照できませんでしたが、今回は保護機能が有効になっていませんでした)
マクロの解析については、@nao_sec さんの以下の情報が参考になります。
Japanese #malspam xls -> Macro -> GetUserDefaultLCID + GetLocaleInfo + Get-Culture -> #Beblohhttps://t.co/rKNHVdM3Ufhttps://t.co/EFZDv2bKzE pic.twitter.com/L9jgofXz53
— nao_sec (@nao_sec) February 28, 2019
■通信先
マクロが動作すると、更にcmd.exe、powershell.exeが動き、以下のURLへアクセスし、ダウンロードします。
hxxps://benistora[.]com/uploads/audio.7z
※拡張子は.7zファイルですが、中身はスクリプトファイルです。
このスクリプトを更に動作させ、ダウンローダ型マルウェアのbeblohに感染します。
beblohは定期的(約10分毎)に以下のC2にアクセスします。
・bebloh-C2
hxxps://benistora[.]com/
IP: 5.188.60[.]66
メモリダンプからURLを抽出すると、以下です。cgi-binは1回のみのアクセスで恐らくはログイン、その後tools配下のパスに司令が置かれた場合に更に追加のダウンロードが動くと思われます。
hxxps://benistora[.]com/auth/cgi-bin/
hxxps://benistora[.]com/auth/tools/247xxxxxx/
このbeblohがC2からどういうタイミングで司令がくるのか、という点については不明瞭かです。動く場合もあれば、動かない場合もある、という感じです。
今回は一度感染後、再起動してもう一度感染させた時に追加のダウンロードが動きました。
beblohがursnifを取得するURLも恐らくはursnifのC2ドメインに同居していると思われますが、明確にはなっていません。
ursnifに感染すると定期的(約10分毎)に以下のドメインへアクセスします。
・ursnif-C2
hxxps://mopscat[.]com/images/
IP: 5.188.60[.]65
このエクセルから感染までの動きのプロセス、および通信は以下です。
■マルウェア
beblohとursnifは生成後、どちらもexplorer.exeにインジェクションされます。
beblohはexplorer.exeからダンプを取得しました。しかし、ファイルのマジックナンバーが(恐らく意図的に)00になっていたため、そのままでは動作しません。
動作はしませんが、サンプルは以下になります。
https://www.virustotal.com/#/file/0c7adcfc3337484f9ec2b064678a40ea9d82aa5e414700edb9f562dd1eae2051/detection
https://app.any.run/tasks/88f9501f-717c-477b-a623-9c3a047e0c6b
ursnifは作成後自身を消去しメモリ内で生息します。
今のursnifは自身の再実行の設定を、PCを落とすタイミングでPC内に設定をします。
PCを再起動しセーフモードで確認した場合の再実行の設定は以下になります。
このフォルダはursnif実行中はありません。このフォルダのショートカットが同フォルダのexe(ursnif)を実行します。
取得できたursnifのサンプルは以下になります。
SHA256: 2002fae3242905605b2683c26e742da15cd62ab063e394dd9e14c534b77e309e
https://www.virustotal.com/#/file/2002fae3242905605b2683c26e742da15cd62ab063e394dd9e14c534b77e309e/details
https://app.any.run/tasks/3b39af06-f56e-422f-af3b-06890052026a
なお、同様にursnifを取得していた moto_sato さんが取得しているursnifとはhashが異なるのが気になるところです。
https://app.any.run/tasks/1eb81a6c-b18e-4242-bc02-054dab875921
SHA256: 0a374444049303e5d693bf3de4ec3735de2ab5aa6654229aaa2c95c4257a9508
https://app.any.run/tasks/ed25f01f-d884-41e0-a2da-39950ae97ece
SHA256: a97787778ad5f369beafd12275b93f3919faf4bdbd2cf7fc16d002d9aee43e1d
ursnifに繋がりました
— moto_sato (@58_158_177_102) February 28, 2019
【通信先】
mopscat[.]com
【サンプル】https://t.co/YbIAt2a39fhttps://t.co/wS5UPGmDfn
以上。