2019/04/16(火) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査
2019/4/15に来たものと同一と思われるursnif(B)のばらまきが発生しました。
なお、昨年行われていたursnif(B)と同一のアクターと思われますが、配信経路は異なっていると考えられます。また、配信規模は小さくなっています。
※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます。
<簡易版>
■日時
2019/04/16 10:00-
■件名(2種類)
Fw:
Payment deadline
■本文
請求書支払い期限過ぎた
■添付ファイル例(3種類)
doc.doc.zip -> doc.doc.js
d.doc.zip -> d.doc.js
xls.rar -> xls.js
※添付はzipやrar等の圧縮ファイルで、解凍した中に含まれる.jsファイルがダウンローダ
■添付ファイルサンプル
473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643
https://app.any.run/tasks/f4e43255-81ea-4eb9-9d53-25d44625f62b
■通信先(ダウンロード先)
hxxp://guebipk-mvd[.]ru/readx.exe
■User-Agent
Google Chrome
■ペイロード
ursnif(Dreambot)
cab3cc3cef5ab8dd40dfb83d25422bcbf9e3a7d424b0824ed6c756aebeaaf787
https://app.any.run/tasks/0543c458-936c-4777-a09c-620edcd34dfa
■通信先(C2)
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当て
hxxp://adonis-medicine[.]at/images/(以下略)