【簡易版】
この日は1種類のハッシュ値の添付ファイルのみばらまかれていました。
また、beblohのC2がすぐにダウンしたため、こちらではursnifまで取得できてはいません。

■日時
2019/06/05 15:30-

■件名
請求番号: nnnn-nnnnnnnnn
決済確定のお知らせ
個人負担分ご案内
6月ご請求書
【おいくらご請求書の送付】2019年6月
５月分　請求書の件
（5月分）請求書の送付
請求書の送付

■添付ファイル
ご請求書（2019年5月).xls
1216b873e0564174095552d3f955adc1
https://app.any.run/tasks/3b35ab20-1e50-484f-8b2f-95bd1352bb84/

■通信先
・ダウンロード
hxxps://firedron[.]top/uploads/IMG0065.jpg
https://www.virustotal.com/gui/file/e55e3c3295a79b9e5ba3dd3436a6e87da3ec9d1a55fd5c31064cf4862a7582d8/details
※拡張子偽装されているが、beblohのexeファイル

・ursnif部品
hxxps://firedron[.]top/uploads/EcoDoc.rar

・C2 (bebloh )
hxxps://firedron[.]top/
5.8.88[.]85

・C2 (ursnif )
hxxps://paderson[.]top/images/
5.188.231[.]109
※5/30と同一のC2です。