bomb_log

セキュリティに関するbom

2019/04/15(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

4/15に数ヶ月ぶりにursnif(B)と呼んでいる日本を狙った不正送金マルウェアへの感染を狙うアクターの不審メールのばらまきを観測しました。

 

※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます。

 ■日時
2019/04/15 10:30頃

■件名(3種)
Fw:
Fw:HR
Fw:list of employees to reduce

■本文(2種)
請求書支払期限過ぎた
従業員を解雇されたのリスト

■添付ファイル(6種)
domucment.zip -> document.js
doc.doc.rar -> doc.doc.js
doc.doc.zip -> doc.doc.js
doc2.zip -> doc.js
list.doc.rar -> list.doc.js
newdocument.doc.zip -> newdocument.doc.js

■サンプル
https://app.any.run/tasks/195bee6a-f6b0-4edf-a3f4-41ec7040747b
0272e27e87a8fc252f0b578352ae336ca45f7fce0be81739349220734fffaed8
ae2502987bcd9ef5fd0a69c74eb229f10fa75f0c5ef9667b5086022c3dd8b0e4
a903d07d638956c281699f6b461de14dc97198d8bfd25356eaaafb0eae663115
144a48710508c0f23fad99ca3df8c9f995f93659184db8729051beb5c45553ef
43bb25b251979bbc5c818e173b2b5f9f5c1cf5da17dda785f8c4d0974aff0f75
a8618b73af6706331e6e47d655bee5b0d08f3349ed7df70714c66296d000c1fc

■通信先 (追加ダウンロード)
hxxp://instant-payments[.]ru/read.exe

■User-Agent
Google Chrome

■ダウンロードされるファイル
read.exe
f5a5e7d86c3131b3f0a479fa55f35f8fa7c0ea7615b244752f96071156982071
https://app.any.run/tasks/b254c863-1acd-41ac-bb40-65c8ed860ad6
不正送金マルウェア ursnif です。

■通信先(C2)
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当て
hxxp://adonis-medicine[.]at/images/(以下略)

■ursnifに関する考察
このursnifですが、これまでursnif(B)と呼んでいたモノと同一の暗号鍵を使用しています。なお、ursnifと呼んでいますが、ursnifの亜種としてDreambotと呼ばれることもあります。
主に日本を狙って、楽天などを騙ってメール本文のリンクからjsファイルをダウンロードさせるタイプのアクターです。
これまで2018/12/28を最後に日本向けの活動を見せていなかったのですが、ついに再開したようです。

日本をターゲットにしていた、と考えていましたが、他の国向けにも多少は利用されていたようです。
以前の活動の話はSAS2019で関連する発表がありましたので、その発表の話と関連した分析は別の機会にするとして。

今回、日本向けにばらまかれる前に、既に他の国向けに利用されていたようでした。
同じC2通信先の検体をAnyRunで探してみると、以下のような検体が見つかります。
 oferta-.js https://app.any.run/tasks/07e37ee4-277f-48a5-b909-6359579329a7
 zamowenie.doc.zip https://app.any.run/tasks/36038596-c878-4a3a-99a6-61f7cb0cfa75
4/10-11にかけて、同じアクターがポーランドをターゲットとしてばらまきが行っていたようです。
あるいは、日本をメインターゲットとして、その前の試行だった可能性もあります。

なお、更に興味深い事として、同じ暗号鍵を使っていたursnifの検体を更に少し前に観測しています。
https://app.any.run/tasks/eac49776-037e-4157-a59b-472cf0664b49
それがこの検体ですが、一つのjsファイルからダウンローダを経由し、phorpiex、GandCrab、Miner、ursnifに感染させるものです。
これは2月末まで日本を標的として芸能人の名前の件名で主にGandCrabへの感染を狙ってメールのばらまきを行っていたのと同一のアクターと考えられます。
jsファイルの名前の付け方、jsファイルからダウンローダを経由し複数のマルウェアに感染させる動作、マルウェアを配布しているIPが同一であること、から同一のアクターであると考えられます。
しかし、このアクターがこれまで日本を狙っていたursnif-Bのアクターと同一と考えるには、手口の雑さから考えて違うと考えられます。

どんな活動が行われるのか、気をつけて分析していく必要があると感じています。

 

以上