【簡易版】

■件名
Fw:
Fw:Jin'in sakugen

■送信者
Haruto Tanaka
※偽装されたものであり、メールアドレスは様々

■本文
「この度は、楽天市場 をご利用いただきまして誠にありがとうございます。
運送状況を、お知らせ致します。
ご注文番号：1569129288
----------------------------------------------------
運送会社：佐川急便
詳細状況は添付資料にて送りますので、ご確認ください
Haruto Watanabe
+81 (ランダムな9桁の数字)」

■添付ファイル
Doc.doc.zip -> doc.js
doc.zip -> doc.js
等

参考：https://www.daj.jp/bs/d-alert/bref/?bid=31&year=2019&month=6

添付ファイル名：
1.doc.rar
1.doc.zip
1.zip
19062019.doc.zip
Doc.doc.zip
M.doc.zip
New Document.doc.zip
New.doc.zip
NewDocument.zip
doc.doc.zip
doc.zip
new.zip
report.zip

添付ファイルハッシュ値：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■通信先
hxxp://mondaydrem[.]ru/x.doc
拡張子偽装されてますが、ursnifのexeファイルです。
https://www.virustotal.com/gui/file/0eaa4c797ede1afd32f2cfce63999cb3b375773f4805cd42e006f5d805985091/detection
https://app.any.run/tasks/e76ab579-57e1-480d-849e-8336e7219d3f/

■ursnif通信先
hxxp://interruption[.]ru/jd/t32.bin　※IP未解決
hxxp://adonis-medicine[.]at/images/~　※IP未解決
・C2
hxxp://marcoplfind[.]at/images/~

■パラメータ
version=217068
id=1000