bomb_log

セキュリティに関するbom

トップ > 2019/06/12(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

2019/06/12(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

【簡易版】

 

■日時
2019/06/12 9:00-

■件名
Fw:

■添付ファイル
1.doc.zip -> 1.doc.vbs
info.zip -> info.js

■通信先
hxxp://elievarsen[.]ru/1.doc
https://app.any.run/tasks/50168d8a-0a6b-47f8-8b6d-2ed6f2ba37c2
#ursnif
※拡張子偽装 ursnifのexeファイル

・C2
hxxps://marcoplfind[.]at/images/...

なお、IPが降られていない為アクセスはできないですが、以下にも接続を試みます。

hxxp://interruption[.]ru/jd/t64.bin
hxxp://adonis-medicine.at

また、感染してしまうとdnsクエリは以下に対しても出ます。
(一般的なip問い合わせサービスで悪性な通信先ではありません。)
resolver1.opendns[.]com
myip.opendns[.]com

・ursnif configパラメータ
version=217068
id=1000