bomb_log

セキュリティに関するbom

2019/03/06(水) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

2019/03/06 16:30頃より 不審メール のばらまきを確認しています。
添付のxlsファイルを日本語環境下で開くと、ダウンローダマルウェアbeblohに感染することを確認しています。
beblohからursnifへ感染するという報告も確認しています。

 

■日時
2019/03/06 16:30~

■件名
【仮版下送付】
【電話未確認】
2019ご請求の件
Re: 2019ご請求の件
FW: 【再送】2019/2
※指定請求書
※注文書、請書及び請求書のご送付
※は-、Fw:、Fwd:、Re:、がつく場合があります。

■本文

f:id:bomccss:20190307025233p:plain

※ランダムに作成されるもののうちの一例です。
詳細は以下を参照ください。
https://www.jc3.or.jp/topics/v_log/201903.html#d20190306c

■添付ファイル名:
・nnn_資料_nnnn.XLS
※nnnは数字3桁、nnnnは数字4桁
・(nnnnn)-(nnnnn)_3.2019_n.XLS
※nnnnnは数字5桁
https://app.any.run/tasks/2aa82cd3-7c60-4ada-b999-3b3504cab7e0
https://www.virustotal.com/#/file/23e85ee19a2f46f4f462e72995b6a91616ea2f315908c1566c36cd0afc3aa200/details

・2019.(nn-nnnnn)-(nn-nnnnn)_.xls
※nn-nnnnnは2桁-5桁ランダム
https://www.virustotal.com/#/file/242e2204916bed88b609de716c73bbae757efb29dae863e66c5692682d47adc2/details

・3.2019(nnnnn).nnnnn.xls
※nnnnnは数字5桁
https://www.virustotal.com/#/file/66242a82beff9eedc3d61d04e8dc90369660f4d541269f40fdd1dd336f3ebd35/details

f:id:bomccss:20190307025355p:plain

今回もxlsのマクロ内でxlCountrySettingをチェックしていますので、日本語環境でのみ動作するものと思われます。

 

■通信先
ステガノグラフィの取得先(正規サイト)
・stage 1
hxxps://mger[.]co/img/bycYJ.png
hxxp://images2.imagebam[.]com/34/7d/0b/39d26e1152285004.png
hxxps://images2.imgbox[.]com/aa/36/95SxVQiA_o.png

・stage 2
hxxps://i.postimg[.]cc/kn50Ph3h/6A.png?dl=1
hxxps://i.imgur[.]com/wRli0qz.png

・stage 3
hxxps://images2.imgbox[.]com/25/39/dMnX3Y3Q_o.png
hxxps://i.imgur[.]com/vwN9O7y.png

 

■プロセスの動き
Excelからwmic.exeを実行し、その後プロセスツリーが途切れた先になりますが、wmiprvse.exeからPowerShellを実行し、新たに立ち上げたexplorer.exeに作成したdllをインジェクションして実行します。

f:id:bomccss:20190307090227p:plain

f:id:bomccss:20190307090241p:plain

 

■beblohのdll
https://www.virustotal.com/#/file/6badf0748ca6cbd4a1f1175dbb8a6dbbee1656c7086378418e1397bce025aa60/detection

 

■C2
C2ドメインは以下です。
・bebloh
baderson[.]com

・ursnif
mopscat[.]com
 ※2/28から変更なし
 なお、ursnifはbeblohがスクリプトをダウンロードして端末上でコンパイルして作成されると思われるため、同一の動きを行うものでも無数のハッシュ値を持つことになるため、注意が必要です。
2/28のursnifの検体を3つ確認しましたが、どれもタイムスタンプのバイトだけが異っていました。

 

※beblohのDGAドメイン(ほぼ未取得)
baderson.com
1ihrg2q4miuq2r.net
1onuubqj5c.net
2mz4etpivhbecj.com
312gkrp4cn.com
33jmkzrq13b.net
33og3xxrali.com
42cgrjzhxj9az.net
4cmsktujyj.net
4g2d2r53egq.net
4ha44hgxshl.net
5ackl3pdpl.net
92y9txj9w3f5ik.net
9aovmfdce2l1p.com
9iud9zvktd.com
aundt2fwtyf.net
b19h2kliyl.com
bsup2uomsmrg.net
ckh4t2i91ry1ab.com
daw1pd939tqnck.com
doulirs1kvv.com
efucesmlorwj.com
gamdbdzmj5.net
gwxwxqeftygifz.net
gxx1xr4q2gz.net
i3rvi45oa4ngkh.net
ivv2xpdlkg.com
jczmfnhjioc.net
kbqrgzrpxvp.net
klh5izd12czwkp.net
ltmkk3p4sz4.com
m1hgx9mqrpz.com
m4c4yhi5x5c.com
midvk94iu2lq1f.net
mujydb9hfdg1l.net
netmidvk94iu2lq1f.net
ohmcu9rdmom.net
oujhubcagparo.com
pn54kxvzc9srhm.com
qb5mhrr2mtzv.com
rcantwu9hxhygn.com
rvkdbirfxwwh.com
ry33yxwofw.com
sjbiuodqg3q1.net
tessq3rnx1b9.com
tq322zs1hthe.com
vg3yfaru4nib.net
vvn9lj4b4v.com
w3le251k91yoe9.net
w9gcdir1fnc.com
whel94yvk25y34.net
woto932zqrv4y2.com