2019/08/09(金) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査
■日時
2019/08/09(金)~2019/08/10(土)
■件名
Fw:Jin'in sakugen
■本文
お世話になります。これは
解雇される従業員のリストです。
■添付ファイル
2019-08-09.html
■添付ファイル内のリンク先URL
hxxps://palabogados[.]com
リンク先にアクセスするっと301でリダイレクトされ、以下のファイルがダウンロードされます。
Outlook_win10_zip.zip
※メールは観測してませんが、同一IP上の以下のドメインも同じ動作を示す
interexpressdelivery[.]com
djrudysilva[.]com
ptcspy[.]com
■ダウンロードファイル
Outlook_win10_zip.zip -> 2019-08-09.js
https://www.virustotal.com/gui/file/bfe057e08c0611616723f482bc52e30d73cf8a10847c24b704286765d2cae2bb/detection
https://www.virustotal.com/gui/file/39b0db9ea4e466e16ffc1b315285141e5f5276b21f05d9be1e8ca401c75cb190/detection
https://app.any.run/tasks/0394d7db-f7bd-4733-a128-9aaab2dda428/
ダウンロードされたファイルの中にはjs形式のダウンローダがあります。
実行すると以下へ通信しファイルを取得します。
■通信先
hxxps://hobby-l0bby[.]com/aloten.bin
https://www.virustotal.com/gui/file/170fb5a85a4ced558e24377594d9e6c6bf6d7427bc807b00c68af07b8e80f730/details
https://app.any.run/tasks/b9bb5378-6325-4e14-a05c-90bf8cdd3b17
取得されるファイルはダウンローダKPOTです。以下へ通信します。
■通信先
hxxp://195.123.228[.]220/yJrHEIWpcUJPhcX4/gate.php
hxxp://195.123.226[.]45/1011_2019-07-10_09-19.exe
メールがばらまかれている間には、2つ目の通信先のexeは404で取得されませんでした。
なぜ、exeをおかないのままバラマキ続けていたのかは不明です。(単なるミス?)
このパスで過去マルウェアが置かれていたことがあったことを確認しています。
それはファイル名にもあるように、2019/7/10頃には存在していたようです。
当時のファイルを実行した結果は以下です。
https://app.any.run/tasks/b2077090-62e4-4402-aec4-edf63120501a/
これまで日本向けにばらまかれていたursnif/Dreambotです。通信先も同一です。
■通信先
hxxp://marcoplfind[.]at/images/~
過去、このursnifに感染させるバラマキは日本では確認していません。
このursnifに感染させるマルウェアを調査したところ、以下が見つかりました。
https://app.any.run/tasks/f6c9ec57-ab15-429c-8eb9-1e18842aa2ce/
これも今回と同じくKPOTです。
ただ、このKPOTに感染させる経路(メールやEK等)は確認することが出来ませんでした。
KPOTが日本向けにこれまでバラマキで使われたことはありませんでした。そのため、7/10のKPOTは別の国をターゲットとしていた可能性があります。
7/10のursnif/Dreambotはコンフィグに日本だけでなく、イタリア、ポーランド、ブルガリアなども対象として持っています。そのため、それらの国のどこか向けにばらまかれていた可能性があります。