bomb_log

セキュリティに関するbom

2019/08/29(木) 『地下鉄カードのポイントの現金返還キャンペーン』の調査

東京メトロをかたった(小規模な)ばらまきメールの第二弾がありました。
ダウンロードされるファイルを少し細工したのみで、通信先等は変化ありません。

■日時
2019/08/29(火)

■件名
地下鉄カードのポイントの現金返還キャンペーン

■送信者
東京メトロ】 <info[@]tokyometro-train-mail[.]jp>

■誘導先URL
hxxps://www[.]tokyometro-jifen-jp[.]com/
IP: 154.221.22[.]233
※前日と同一

■DL URL
hxxps://www[.]tokyometro-jifen-jp[.]com/明细[.]rar
https://app.any.run/tasks/5ee6ff12-5303-45e5-9e89-fd44234376a1/

■rarファイルに含まれるファイル
・Melody.exe
https://www.virustotal.com/gui/file/f48c92b46f9bb74e2035091b2bb789496eb97ff259da4ed2b4b5fcd26221568e/details
・nw_elf.dll
https://www.virustotal.com/gui/file/853f8979582040b82691a03675fc194d39b2a889e648a39f75784347e6bc5df6/details

exeはdllをサイドローディングするためのものと考えられます。(exe単体だと無害?)
DLLは8/27の gh0stcringe のexeファイルをDLL化しただけのマルウェアと考えられます。

■通信先
154.221.22[.]25 (1988/TCP)
150.109.37[.]173 (1987/TCP)
通信先に変化はありません。