bomb_log

セキュリティに関するbom

2019/08/27(火) 『地下鉄カードのポイントの現金返還キャンペーン』の調査

これまで知られていない新しいタイプのマルウェアへの感染を狙ったばらまきメールを観測しました。
地下鉄カード(って何?)の番号を入力させる東京メトロをかたったメールです。

 

■日時
2019/08/27(火)

■件名
地下鉄カードのポイントの現金返還キャンペーン

■送信者(詐称)
東京メトロ】 <info[@]tokyometro-train-mail[.]jp>

■メール内誘導先URL
hxxps://www.tokyometro-jifen-jp[.]com/

(参考)サイトのスキャン結果
https://urlscan.io/result/17e7a16e-89de-40ba-bbd5-be6f5c1498bb/
textboxに何か数字を入力し、次へ進むを押すと明細.exeがダウンロードされます

■ダウンロードURL
hxxps://www.tokyometro-jifen-jp[.]com/download

■サンプル
https://app.any.run/tasks/50d0958e-2bc9-4061-abff-e4bd2006f7fb/


■通信先
154.221.22[.]25 1988/tcp
150.109.37[.]173 1987/tcp ※通信成立せず
通信は通常利用しないようなポートを使っています。

このマルウェアは James (@James_inthe_box) さんによると、 gh0stcringe と呼ばれる種類で、追加のモジュールで動作するための1段階目のマルウェアとして動くようです。
https://www.binarydefense.com/gh0stcringeformerly-cirenegrat/

 

なお、メールはゆうちょ銀行を騙ったメール(件名:総合口座から送金できます 等)と同じIPから送られてきています。配信基盤は同一のものを使っていると考えられます。 
サイトもhttps化されていたり、何か数字を入れる箇所があったりと、フィッシングサイトのつくりが慣れているようにも感じられます。

また、サイトのソースコードマルウェアファイルのプロパティには中国語が含まれており、マルウェアの作者及びサイトの作者は中国語圏の人物である可能性が高いと考えられます。 

 

なお、類似する検体は幾つもありました。主にarphaCrashReport.exeが動いているものです。過去数ヶ月で少しずつ使われていたようですが、主に中国で使われていたのではないか、と考えられます。
https://app.any.run/tasks/97d46795-7ad2-4630-b1dd-1fed6415af8c/
https://www.virustotal.com/gui/file/07f62eac9e828b52ead49fab973f4d077373219b5e62dd07e5b83b4386359411/relations
https://www.virustotal.com/gui/file/7933ecee6a7f79787c2776cb27bf63843df27025ce84ac3abb1b858977809097/detection
https://www.virustotal.com/gui/file/c53dc4fbf5a10ca8eff48b3decb3125e234cba0fefd909c8d8926c929089d046/detection
https://www.virustotal.com/gui/file/e84212b579da522b647a087871f6bb049582b5f93898fdee75f7fa6fbb3fcce9/detection
https://www.virustotal.com/gui/file/3a13e092e9c857702ad930dbd32ff7e4819151b0eab88be26d0229d95a74b6db/detection
https://www.virustotal.com/gui/file/07f62eac9e828b52ead49fab973f4d077373219b5e62dd07e5b83b4386359411/detection
https://www.virustotal.com/gui/file/ebb69a346ea0845e6c5ce92f7a4014ff595bc7bcfc56a314111a76a304ba273a/detection
https://www.virustotal.com/gui/file/1dd5d8c5543974ee622e814fafad5678661a5b1c382aeb9a693354394eb9a678/detection
https://www.virustotal.com/gui/file/ba586e2e4941c4fe88c7bb8ab99701f0d0af1de31f4ba0587fa30c9b0e008018/detection
https://www.virustotal.com/gui/file/6b844c285c480861cfde209c1e8b92dc53baf3d94ccf0cc95d6f5c7b711aaf12/detection
https://www.virustotal.com/gui/file/0a33a629b53fb6c2ad8cba5b161fb509f04d155f183f108b802f36e7c381eec6/detection
https://www.virustotal.com/gui/file/0dbe272b89d4fbec893cf65d08e43c6f11f258a3070e353ee15d2255570722b7/detection
https://www.virustotal.com/gui/file/6c07de37d378191cf8b49c93250c02094d8ba07c476f86116a5919dfd08bdbaa/detection
https://www.virustotal.com/gui/file/2490e1b637aa645e42b4af3c5f6da4d618c487a82c78d62572337c629c8a7fa1/detection
https://www.virustotal.com/gui/file/38d5fd19b444ebb0d604bf832bfd5c06ff319642ef62b426653c3e9d10b1ecb1/detection
https://www.virustotal.com/gui/file/cfd80dc9d23633fe4585753de7ac87efb7cae22f54909b0236287cf735348d64/detection
https://www.virustotal.com/gui/file/c53dc4fbf5a10ca8eff48b3decb3125e234cba0fefd909c8d8926c929089d046/detection