2019/04/03(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査
1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。
※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。
■日時
2019/04/04(水) 14:30 頃 - 18:30 頃
■件名(6種類)
4月1日ご契約の件・初期費用のご請求書のご送付
RE: 【メール確認済】1/1
Re: 【再送】し依頼
【ご提出】
【連絡】2019.4.1
受注連絡
■本文
(例)
いくつかのパーツの組み合わせでとても多くのバリエーションがあります。
詳細は以下を参照ください。
■添付ファイル
文書名 -scan-nnnn.xls
※nnnnは数字4桁
https://www.virustotal.com/#/file/a5294a62b4cd9eae6d53816f8335d4e4aa9e48e3947621383658ca595bea4da6/details
(例)
文書名 -scan-6076.xls
文書名 -scan-4124.xls
■ 感染の動き
添付のxlsファイルを実行し、マクロを有効化すると感染活動が行われます。
動作する中でPowerShellをユーザ配下のフォルダにコピーして動作させています。これはセキュリティ製品の検知回避の狙いがあると考えられます。
執筆時には既に1つ目の通信先が404でアクセスできず、全体の記録ができませんでしたが、動作としては、以下へ通信します。
■通信先
・追加スクリプト
hxxps://gerdosan[.]com/uploads/changed.pdf
・ステガノグラフィ(双方同じ)
hxxps://images2.imgbox[.]com/c3/57/soU1A2HV_o.png
hxxps://i.imgur[.]com/CPHK1L5.png
・bebloh C2
hxxps://gerdosan[.]com/auth/
・bebloh 追加コード取得先
hxxps://gerdosan[.]com/uploads/docs.rar
・ursnif C2
hxxps://sumeriun[.]com
hxxps://lointora[.]com
通信先は恒例の正規のファイルアップロードサイトを利用したステガノグラフィがあります。
また、最初にbeblohのC2のuploadsフォルダ配下に対してアクセスし、追加のpsスクリプトをダウンロードして実行します。
beblohのDLLが作成され、explorer.exeにインジェクション後、C2にアクセスし追加のダウンロードを要求しますが、その時もC2のuploadsフォルダ配下からrar形式に偽装されたコードが送られ、そのコードからursnifが作成されます。
beblohのC2の管理パネルファイルアップローダ機能があるように思われますが、アクセス出来なくなる時間があること、またC2のIPアドレスが遷移することから、幾つかC2サーバがあり、それらを入れ替えながら稼働させていると考えられますが、追加のペイロードが取得できるC2としてはそのうちの一部だけなのかも知れません。
・bebloh (DLL)
https://www.virustotal.com/#/file/b4711b3330d0c54ed70ad1987d029e39e189f1fc4b95ae3843a6750b8a939cc8/details
・ursnif
ursnifのコンフィグは先週と同じです。
<ursnif Config>
version: 3.0.36
server: 12
id: 1000
key: CBA17F7E892431A1
c2: sumeriun[.com
c2: lointora[.com
以上