2018/11、2019/2、2019/4に続き、4度目の日本語のEmotetのばらまきが発生しました。

■日時
2019/09/27（金）

■件名（これ以外もあり）
ドキュメント
ドキュメント <名前>
メッセージ
メッセージを繰り返す <名前>
リマインダー
リマインダー <名前>
情報
情報 <名前>
最後のオプション <名前>
現在のバージョン <名前>
新バージョン <名前>
一覧
一覧 20190927
備考
備考 20190927
コメント 20190927
助けて 20190927
Read
Urgent
New
List
Service
General
Mail

件名が日本語のものは本文も日本語です。
また、添付ファイルのハッシュはバラバラです

■添付ファイルサンプル
https://app.any.run/tasks/4c08a8dc-7c23-403e-a1c6-ec00f006c784/

添付ファイルの外見も複数確認されています。
マクロを有効化するとマルウェアに感染します。

■通信先(例)
hxxps://themodifiedzone[.]com/

■プロセスツリー
自身のコピーを何度か呼び出します。

ファイルは最終的に以下に格納されます。
※mapitonerフォルダ、mapitoner.exeは端末に依存するランダムな名前

なお、Emotetは主にダウンローダとして使用されるマルウェアで、感染すると日本向けには更に ursnif に感染させました。

■Ursnif
b1dfb9bec5e466129b9146a9ecf48c9a
https://app.any.run/tasks/d3f5818d-2324-47da-89bb-e09b698ea7b8/

■Ursnif C2 通信先
hxxp://myhomesitter[.]fun/images/~

■Ursnif パラメータ
key=YQiUrgpfMGxlbXo6
soft=3
version=217027
server=12
id=500

■通信

このUrsnifは更に別のキーを持ったDreambotをダウンロード、感染させます。
※google.comへのアクセス以前が1つ目のUrsnif、以降が二つ目のDreambotです。

今回のUrsnifはパラメータがsoft=3で、C2通信時のURLが.aviへのアクセスになります。
これは主に海外で使われている主流のUrsnifで、始めのC2への.aviの通信で本体となるペイロードをダウンロードし、その次の.favicon.icoのアクセスでその本体ペイロードを実行するためのスクリプトをダウンロードします。
そうして、それらをレジストリに書き込みます。ファイルレス型と呼ばれる、実行時のみマルウェア本体がメモリ上に作成されるタイプのマルウェアです。

■レジストリ

これ以外にHKCU\Software\Microsoft\Windows\CurrentVersion\Runに自動実行のキーが登録されます。
それが、上記のaeevviceを実行します。これはmshtaでAppVoderを読み込み、さらに実行のペイロードとしてautowmdmを読み込み、実行中のexplorer.exeにインジェクションすることでファイルレスとして実行されます。

■Dreambot C2
hxxp://cloud-start[.]at/images/
hxxp://mashallah[.]at/images/

■パラメータ
key=Gu9foUnsY506KSJ1
soft=1
version=217027
server=12
id=94

このDreambotは日本向けのWebInjectionConfigをダウンロードします。
WebInjectionConfigは9/24のUrsnif-b、key=s4Sc9mDb35Ayj8oOと同じです。
同じアクターが手を変えてEmotetを利用して配信してきた可能性があります。

なお、9/29、9/30にもEmotetに感染した場合でも同様にUrsnif->Dreambotがダウンロードされたようですが、若干パラメータが変わっていました。

・2019/9/29 Ursnif
MD5: 1e58a4d81186395fdde201ba0752ae23
■パラメータ
key=Gu9foUnsY506KSJ1
soft=1
version=217027
server=12
id=1000