bomb_log

セキュリティに関するbom

トップ > 2019/06/03(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

2019/06/03(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

簡易版です。

 

■日時
2019/06/03 8:00-

 

■件名
Fw:

 

■送信者
Haruto Watanabe
※偽装されたものであり、メールアドレスは様々

 

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。
運送状況を、お知らせ致します。
ご注文番号:156967479
----------------------------------------------------
運送会社:佐川急便
詳細状況は添付資料にて送りますので、ご確認ください
Haruto Watanabe
+81 (ランダムな9桁の数字)」

 

■添付ファイル
doc.doc.js
https://app.any.run/tasks/09c0bd11-864d-41d5-85b2-9344baa1d360/
https://www.virustotal.com/gui/file/02638eda5874939a760e16e51e1645008b71eec3dc0311df98ed2049bfecc6e3/detection
https://app.any.run/tasks/09c0bd11-864d-41d5-85b2-9344baa1d360/

その他、複数のファイル名とハッシュ値が存在する
参考:https://www.daj.jp/bs/d-alert/bref/?bid=27&year=2019&month=6

添付ファイル名:
1.zip
doc.doc.zip
doc.zip
document.zip
kaku.zip
New document.doc.zip
New document.zip
new.zip
1.rar
doc.rar
document.rar
kaku.rar
New document.rar

添付ファイルハッシュ値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  

■通信先
・ダウンロード先
hxxp://big-partynew[.]ru/1.doc
https://www.virustotal.com/gui/file/ff2aa9bd3b9b3525bae0832d1e2b7c6dfb988dc7add310088609872ad9a7e714/detection
※不正送金マルウェアのursnifの実行ファイル(拡張子偽装)です。

・C2
hxxp://11totalzaelooop11[.]club/jd/t32.bin (t64.bin) ※IP未割り当て
hxxp://adonis-medicine[.]at/images/…

・ursnifパラメータ
version=217068
id=1002