bomb_log

セキュリティに関するbom

2019/10/18(金) Ursnifの調査

主に海外向けのursnif だと思われますが日本でも感染している事例を見つけました。
主に感染しているのは、US,JP,AU,GB,ITですが、それ以外にも様々な地域が感染しているのを確認しています。
感染は9/30頃から始まっていた可能性が高いです。

 

誘導の手段の全体像は不明です。
イタリア向けには以下を使用していたようです。

 

・サンプル
MD5:ed16fe67d8d29f1873d9e784d428f8fc
https://app.any.run/tasks/dc4f77f6-d8fb-4acd-aaa2-b35c0c63bb2a/

・ダウンロード元通信先
hxxp://proboxingfans[.]com/pagkype32.php
・C2
hxxp:/link.emilystravel1[.]com

 

・パラメータ
key=10291029JSJUYNHG
version=214085
id=7070
soft=3
server=12

 

このUrsnifのkeyは主にイタリアやアメリカ向けに、盗んだメールへの返信としてパスワード付きzipファイルを添付する手法を使っています。
(盗んだメールへの返信にすることで、信頼している相手からのメールだと錯覚させ、パスワード付きzipファイルにすることで、セキュリティ製品によるスキャンを回避し、添付ファイルを実行し感染さるという手法を取っています。
感覚的な話ですが、添付ファイルの開封率としては、他の手法に比べて高いものだと感じています。)

ただ、今回観測したケースはvbsから誘導するものであり、idも少し異なっているため、同じアクターでない可能性があります。
情報を持っている方がいらしたら、教えてください。