bomb_log

セキュリティに関するbom

トップ > 2019/03/27(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

2019/03/27(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

3週間ぶりに、日本語の不審メールのばらまきがありました。
メールに添付されているxlsファイルはダウンローダ型のマルウェアです。
同じくダウンローダマルウェアのbeblohに感染する可能性があります。
更に不正送金マルウェアのursnifに感染しますのでご注意ください。

メールの件名、本文、添付ファイルは主に2パターンありますが、どちらも通信先は同じです。

 

■日時

2019/03/27 17:00頃~

■件名(7種類)

3月→
3月の請求書を添付するので
Faxください
郵送願います
【ご請求書】【ライフラインのご連絡先】
請求書を添付いたします
こちらの入金期日は3月15日の午後12時までと

■添付ファイル

・201903.①._送付__nnnnnnnn.xls
 ※nnnnnnnnは数字8桁
https://www.virustotal.com/#/file/07395f413e04245a8f6cab5fa888c0f08878f07bac6ccc479aa89469bb443bd4/details

・20190327nnnnnn nnnn.xls
 ※数字6桁スペース数字4桁
https://www.virustotal.com/#/file/e2b647dc004532a5eaa72f29407fb06e4d3457596730814402602806fc8ab506/details

f:id:bomccss:20190328031201p:plain

■件名(2種類)

写真添付
写真添付の件

■添付ファイル

・2019年3月27日nnnnnnn.xls
 ※n..は数字7桁
https://www.virustotal.com/#/file/bdc6b56c659fefc41779bcd42064bc7ceae67a495407e786451747dea1539cc0/details

・{DIGIT[12]}{SYMBOL[1]}.xls
 ※数字12桁と英数字1桁です。
https://www.virustotal.com/#/file/48bb5bc1399e43b0c07527a69935f6b2254686dbcfa544af4019e2ac1592baff/details

f:id:bomccss:20190328031216p:plain

 

■プロセス
添付のxlsファイルを実行し、マクロを有効化すると感染活動が行われます。
初めにexeファイルを実行し、そこからWMIC.exeを実行します。
その後別プロセスとしてPowershellを実行し、32bitのエクスプローラを起動し、そこにbeblohをインジェクションします。

f:id:bomccss:20190328031725p:plain

f:id:bomccss:20190328031744p:plain

beblohがC2から命令を受け取った際には更にマルウェアのダウンロードがされ、ursnifに感染します。

■通信先
・追加スクリプトの取得先
hxxps://onbraker[.]com/image.rar
47.74.250[.]194
中身は難読化されたPowerShell スクリプトです。
 ursnifのダウンロードも上記ドメインから実施します。詳細なパスは不明です。

・beblohのC2
hxxps://podertan[.]com
5.188.60[.]40
・ursnifのC2
hxxps://sumeriun[.]com
5.8.88[.]205

f:id:bomccss:20190328032151p:plain

f:id:bomccss:20190328050549p:plain

 

■bebloh (DLL)

https://www.virustotal.com/#/file/a6fbfd13624dc34ff0dc1204d6eb7e9e1c12cbc2f3be37ca8dcb896ea7d9cef9/analysis/

なお、explorer.exeにインジェクションされているものはMZヘッダが消された状態です。

f:id:bomccss:20190328032604p:plain

 

■ursnif

以前と同様であれば、beblohがダウンロードする際にコンパイルするようで、同じ機能を持った検体ですがタイムスタンプが異なるためハッシュが同一にはなりません。
以下はどれも同じ検体です。
https://www.virustotal.com/#/file/929d07e53c2b5f8ac73829291d63ed17ebcc8bfe5fbf1a2afbae902d50f020fa/detection
https://app.any.run/tasks/001fb6a5-c942-4179-af69-4212c916a510
https://cape.contextis.com/analysis/55487/
https://www.joesandbox.com/analysis/99985
 

ursnfはPCのシャットダウン時にのみファイルとなり、起動後はメモリ上でのみ存在します。
感染中にセーフモードで起動すると以下の様に確認できます。

f:id:bomccss:20190328050531p:plain

f:id:bomccss:20190328050452p:plain

f:id:bomccss:20190328050506p:plain

f:id:bomccss:20190328050518p:plain



(参考)
beblohのC2
マルウェアにハードコードされた1つ目のC2アドレスにアクセス出来ない場合、以下のドメイン群へアクセスします。一部を記載しています。

oith3sgi.net (※シンクホール済)
gcgw21sb2hhywr.com
kgg9r4xgfc4w2z.net
mmp9hvkpcgotlh.com