この日で4/15,16,17と3日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。

※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。

■日時
4/17 9:30 頃 -

■件名
Fw:
Fw: staff reduction

■本文（2種類）
お世話になります。これは
解雇される従業員のリストです。

お支払い期限過ぎた

■添付ファイル例
newdoc.doc.zip ->newdoc.doc.js
473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643
https://app.any.run/tasks/a6ae851a-2c62-485e-b9b6-be5f752e75b8
list.xls.rar -> list.xls.js
doc.doc .zip -> doc.doc.js
1.xls.rar -> 1.xls.js
※添付はzipやrar等の圧縮ファイルで、解凍した中に含まれる.jsファイルがダウンローダ

■添付ファイルサンプル例
https://www.virustotal.com/#/file/dc751dfa7a9e79b054edacbaaeddd7b925a17bae2f46078ae647dd70eefd693b/details
https://www.virustotal.com/#/file/473c5c266e29c45fb602abc3170b2f7a7ad8f4ab37c5aad689156c09f6546643/details

■接続先
・マルウェア本体ダウンロード先
hxxp://guebipk-mvd[.]ru/readx.exe
※前日と同じドメイン、パスです。

■ペイロード
55488ce01710e4cd927b52f4a91c82dc6eba2325da70cb745599bbc864adae30
https://app.any.run/tasks/0facf15f-0f12-4d93-866a-21a2caed97c2
https://www.virustotal.com/#/file/5ec91c2fa41c27e0d082f0c773f3b1e822d39bc908064df112b30a0718f3a461/details
https://www.virustotal.com/#/file/79906eb8822c57340c9dd53059352a24c327b5bea44019623f2847d26abe4d5a/details
不正送金マルウェアのursnif(Dreambot)です。
前日と同じパスからダウンロードしていますが、ハッシュ値は異なります。
同じ日でもダウンロードする時間によってハッシュが異なっているようです。

■通信先
hxxp://11totalzaelooop11[.]club/jd/t32.bin ※IP未割り当てのため接続できない、x64環境ではt64.binへ接続
hxxp://adonis-medicine[.]at/images/～省略

以上