1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。
※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。

■日時

2019/04/04(水) 14:30 頃 - 18:30 頃

■件名(6種類)
4月1日ご契約の件・初期費用のご請求書のご送付
RE: 【メール確認済】1/1
Re: 【再送】し依頼
【ご提出】
【連絡】2019.4.1
受注連絡

■本文
（例）

いくつかのパーツの組み合わせでとても多くのバリエーションがあります。
詳細は以下を参照ください。

注意情報｜一般財団法人日本サイバー犯罪対策センター

■添付ファイル

文書名 -scan-nnnn.xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6/details
(例)
文書名 -scan-6076.xls
文書名 -scan-4124.xls

 
■ 感染の動き
添付のxlsファイルを実行し、マクロを有効化すると感染活動が行われます。
動作する中でPowerShellをユーザ配下のフォルダにコピーして動作させています。これはセキュリティ製品の検知回避の狙いがあると考えられます。 

執筆時には既に１つ目の通信先が404でアクセスできず、全体の記録ができませんでしたが、動作としては、以下へ通信します。

■通信先

・追加スクリプト
hxxps://gerdosan[.]com/uploads/changed.pdf 

・ステガノグラフィ（双方同じ）
hxxps://images2.imgbox[.]com/c3/57/soU1A2HV_o.png
hxxps://i.imgur[.]com/CPHK1L5.png

・bebloh C2
hxxps://gerdosan[.]com/auth/ 

・bebloh 追加コード取得先
hxxps://gerdosan[.]com/uploads/docs.rar

・ursnif C2
hxxps://sumeriun[.]com
hxxps://lointora[.]com

通信先は恒例の正規のファイルアップロードサイトを利用したステガノグラフィがあります。
また、最初にbeblohのC2のuploadsフォルダ配下に対してアクセスし、追加のpsスクリプトをダウンロードして実行します。
beblohのDLLが作成され、explorer.exeにインジェクション後、C2にアクセスし追加のダウンロードを要求しますが、その時もC2のuploadsフォルダ配下からrar形式に偽装されたコードが送られ、そのコードからursnifが作成されます。

beblohのC2の管理パネルファイルアップローダ機能があるように思われますが、アクセス出来なくなる時間があること、またC2のIPアドレスが遷移することから、幾つかC2サーバがあり、それらを入れ替えながら稼働させていると考えられますが、追加のペイロードが取得できるC2としてはそのうちの一部だけなのかも知れません。

 ■ペイロード（マルウェア本体）

・bebloh (DLL)

 https://www.virustotal.com/#/file/b4711b3330d0c54ed70ad1987d029e39e189f1fc4b95ae3843a6750b8a939cc8/details 

・ursnif

https://www.virustotal.com/#/file/7200d267e37d25bf3badb0c9b81e3054505b318a6e89bc228a701341d42ee7b0/details

ursnifのコンフィグは先週と同じです。
<ursnif Config>
version: 3.0.36
server: 12
id: 1000
key: CBA17F7E892431A1
c2: sumeriun[.com
c2: lointora[.com

以上