普段観測しているスパムボットCutwailからは主に日本とイタリア向けにマルウェア付きの不審メールがばらまかれています。
7/29には、宛先の国を絞らず、広い範囲に向けてメールをばらまいているのを観測しました。
このメールは過去イタリア向けに使用していたursnifと同種の設定をもったursnifへと感染させるものでしたが、今回はursnifから更に別のマルウェアがダウンロードされてきました。
ダウンロードされたものは最終的にスパムボットCutwailであり、自身の配信基盤の増強を図ったものと考えられます。

■日時
2019/07/29(月) 

■件名
DHL DOCUMENTS; BL, CI; S1800{DIGIT[6]}_H00{DIGIT[5]}

■添付ファイル名
S1800{DIGIT[6]}_H00{DIGIT[5]}.xls

MD5: 5130d899e803e7360dbeb090b1532837

■サンプル
https://www.virustotal.com/gui/file/950841a89bb1d56e69eac5d320db7f76d74be1f2a53100194900f5dbbe21fe2b/details
https://app.any.run/tasks/7394b56c-8529-4ed3-aba8-cc0e6b1d7a31/

■通信先
・添付ファイルの通信先
hxxps://riuytessl[.]xyz/o.php
※ダウンロードされたファイルからursnifが取り出されます。
・Fake C2 （正規サイトへの通信）
正規サイトへ通信を発生し、不審な通信であることを隠そうとしている、また、本当のC2を隠そうとしていると考えられます。
microsoft.com
update.microsot.com
avast.com

・C2
hxxps://riuytessl[.]xyz
46.21.147[.]29
hxxps://newupprolods[.]club

■パラメータ
key : 10291029JSJUYUON
soft=3
version=214084
server=12
id=4780
crc=1

■設定情報
(参考) https://pastebin.com/ykACn84a
 

よくある、ursnifのバラマキとしては、通常はここまでです。
（FaceC2はこの直近でイタリア向けのursnifのバラマキで使われているのを確認していますが、興味深い手法であり注目すべき部分でもあります。）

更に、今回のバラマキで注目すべき点は、ursnifが別のマルウェアをダウンロードしたことです。
直接確認したわけではありませんが、MALWARE-TRAFFICE-ANALYSIS.NETによると、ursnifが別のマルウェア、ダウンローダpushdoをダウンロードしたようです。
https://www.malware-traffic-analysis.net/2019/07/29/index.html

■通信先
hxxp://kafafirek[.]cz/demo/PhotoA.rar

ursnifは上記より、ダウンローダpushdoをダウンローダします。
pushdoはスパムボットのcutwailに感染させます。

・サンプル
https://app.any.run/tasks/366132f5-3f73-4ed1-8edb-d2cd527fc994/

このPushdoのコンフィグについて、Vitali Kremez(@VK_Intel)さんが分析してくれています。
https://twitter.com/VK_Intel/status/1155974316925710342

これによると、Pushdoが接続しに行くドメインのconfigの内容は以下の様です。
https://raw.githubusercontent.com/k-vitali/Malware-Misc-RE/master/2019-07-29-pushdo-spam-domains-cfg-from-gozi-vk.txt.raw

Pushdoはこれらのドメインの中にあるC2に接続した時に、Cutwailを取得します。その際、Pushdoが持っている別の設定によって、どのグループ用のCutwailが取得されるかが決まっているようです。
今回のPushdoによって取得されるものは、今回の起点となったメールを送っているスパムボットCutwailそのものです。

MALWARE-TRAFFICE-ANALYSIS.NETの記事を見ても、Cutwailに感染後に送っているメールが、今回のものと同じ件名、添付ファイルとなっています。

つまり、今回のCutwailからのマルウェア付きメールの添付ファイルを開いてしまうと、自身もCutwailに感染し、マルウェア付きメールを送ってしまうのです。
このことから、今回のばらまきの目的は、スパムボットとしての基盤の強化を目的としたものだと考えられます。
これまで日本やイタリアに限定してメールを送っていたものが、今回に限っては地域を限定せずにメールを送っていた理由も、ursnifに感染させることではなく、Cutwailに感染させることが目的だったため、地域を限定する必要がなかったからだと考えられます。
（ursnifは不正送金を目的としており、感染者が使用するだろう銀行などを設定に持つ必要があるため、地域を限定して感染さえていると考えられます。）

過去、このCutwailは同じようにCutwail自身に感染させるようなメールのばらまきを送ったことも確認されています。
(参考) 国内ネットバンキングを狙うマルウェアスパムボットネットに「潜入調査」
https://blog.trendmicro.co.jp/archives/14538
把握している範囲では、ここ1年程はこういった自身の配信基盤の増強活動は確認していませんでしたが、恐らくは感染数がアンチウイルスソフトによる駆除や端末交換などで徐々に減少していったものと考えられます。
そのため、今回のような自信の配信基盤の増強を行ったと考えられます。

このところ、Cutwail/ursnifを使っている攻撃者はメールをばらまく間隔を空けています（このメールの後日本向けは観測していません）が、攻撃をやめる気配はなく、準備をしているものと考えられます。
引き続き、監視していきます。