この所、毎週水曜日（3/27,4/3,4/10,4/17）にばらまかれているbebloh/ursnifのばらまきが発生しました。

時刻により、3種類の件名、添付ファイル、本文の組み合わせがありますが、通信先は同一です。

■日時
2019/04/17 16:00 頃-

○16:00 頃
■件名(10 種)
Fw: 納品書の修正の件
4月分
FW: 【4月17日付】
【返信回答分】:
発注のお願い
FW: 【重要】
RE: お見積りの件
【添付書類】
・ご契約金計算書
請求書送付

■添付ファイル
170400n株式会社0nnnn.xls
※nは数字1桁

SHA256: d903c93164561ee4135920fba5d81f8b43d4586bfeef120aea8d87e6bcb17906
https://app.any.run/tasks/3344bc60-be30-47ed-80db-8b0a656b0135

○16:45 頃
■件名(10 種)
Fw: 納品書の修正の件
4月分
FW: 【4月17日付】
【返信回答分】:
発注のお願い
FW: 【重要】
RE: お見積りの件
【添付書類】
・ご契約金計算書
請求書送付

■添付ファイル名
新規 ドキュメントMicrosoft Excel0nn.xls
※nnは数字2桁

SHA256: 17c7c60f81e7fec52fde305710670af7e7712834da3343e83ca45d82c8f63c78
https://app.any.run/tasks/890836a3-97a8-486e-ab50-c821ba6251ac

○17:41 頃
■件名(2 種)
注依頼書の送付
備品発注依頼書の送付

■添付ファイル名
nnnnnnnnnnnnxx .xls
※nnnnnnnnnnnnは数字12桁、xxは英数字2桁

SHA256: e12690fcab618fdec5f0337b8d1cf5cc9e72516ab1fa134ea7bf4b46f3a9c43c
https://app.any.run/tasks/890836a3-97a8-486e-ab50-c821ba6251ac

添付ファイルを開き、マクロを実行するとマルウェアに感染する恐れがあります。
添付ファイルを開くと、一瞬powershellのウィンドウがポップアップします（すぐに消えます）ので、何か不審な動きをしている、と感ずけるかも知れません。

マクロは以下へ通信を行います。
通信先は一般の画像共有サイトですが、アクセスする画像にはステガノグラフィにより、画像の一部に悪意あるコードが含まれています。

■通信先（ステガノ）
hxxps://i.imgur[.]com/Vyjnb0D.png
hxxps://images2.imgbox[.]com/35/1c/s6iNsHg3_o.png

画像から取得されたコードを復元すると、以下のダウンローダ型マルウェアのbeblohになります。
なお、beblohの詳細についてはあゆむ(@AES256bit)さんの以下の記事が参考になります。
http://aes256bit.hatenablog.com/entry/2019/04/09/073259

■bebloh (DLL)
https://www.virustotal.com/#/file/08c73257797658dc869ff08f7287d415637fd8da13ba992b09f15faf904cc49a/details

beblohは以下へ定期的に通信を行います。

■通信先(bebloh C2)
hxxps://pidobrake[.]com

beblohはC2と通信後、一定の時間帯にはursnifをダウンロードします。
なお、ursnifがダウンロードされる時間帯については、C2でコントロールされており不定期と思われます。

ursnifがダウンロードされる際には、以下へアクセスし取得します。

■通信先 ( ursnif部品 )
hxxp:///ipunedtos[.]com/uploads/copies.rar

以上です。