2019/10/22(火) 添付ファイル付不審メール(Emotet -> Trickbot)の調査
前の週に続き、日本語のEmotetのばらまきメールがばらまかれました。
今回も前回同様、次のマルウェアとして、Trickbotに感染します。
■日時
2019/10/22 - 2019/10/24
■件名(日本語のみ抜粋、英語のものもある)
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
一覧
現在のバージョン
最後のオプション
助けて
情報
新バージョン
備考
※件名に追加で人名、組織名、日付が入る場合あり
■添付ファイルおよび通信先(サンプル)
・10/22
https://app.any.run/tasks/f7b4a0ed-156d-42a7-9bbb-527cd1ebc940/
通信先
hxxp://www.quwasolutions.com/wp-includes/u3qtj/
hxxps://www.rccgfaithimpact.org/a/fXdqOez/
hxxp://shreeagaramschool.com/agaram/ogAHP/
hxxps://billiontexting.com/sdlkitj8kfd/xse6jxl/
hxxp://www.lemongrasshostel.net/sdlkitj8kfd/j2y/
・10/23
サンプル
https://app.any.run/tasks/a2106440-7127-451f-a60f-9474c3feb00d/
通信先
hxxps://ariastock[.]com/wp-admin/OiYUXyMm/
hxxps://ddrcsangrur[.]com/wp-includes/o8b/
hxxp://www[.]rbcfort[.]com/wp-admin/rd62/
hxxps://bobmaritime[.]com/9bm/ldr/
hxxps://www[.]todofitnessperu[.]com/wp-admin/3wtne/
■追加ペイロード
10/23に日本のIPでEmotetを観測したところ、追加ペイロードとしてtrickbot(gtag:mor29)に感染しました。
先日のgtagと似ている(数字が増えているだけ)なので、同じアクターの可能性があります。
先日までTrickbotは国内を対象としていなかったですが、10/18より不正送金用のWebInjectionの対象に国内金融機関も加え始めたようです。
この対象となっている金融機関は10/10にEmotetから追加ペイロードとして感染させられるUrsnifとほぼ同様のものが対象となっていました。
一つのアクターが2つのマルウェアを使っているのか、2つのアクターがそれぞれ対象リストと設定をもっているのか、気になるところです。
■Emotet config
RSA Public Key :
-----BEGIN PUBLIC KEY-----
MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAM426uN11n2LZDk/JiS93WIWG7fGCQmP
4h5yIJUxJwrjwtGVexCelD2WKrDw9sa/xKwmQKk3b2fUhwnHXjoSpR7pLaDo7pEc
iJB5y6hjbPyrSfL3Fxu74M2SAS0Arj3uAQIDAQAB
-----END PUBLIC KEY-----
IP 0 : 190.16.101.10:80
IP 1 : 190.217.1.149:80
IP 2 : 45.56.122.75:80
IP 3 : 85.25.92.96:8080
IP 4 : 94.177.253.126:80
IP 5 : 187.188.166.192:80
IP 6 : 192.241.220.183:8080
IP 7 : 189.132.130.111:8080
IP 8 : 186.109.91.136:80
IP 9 : 186.92.11.143:8080
IP 10 : 203.99.182.135:443
IP 11 : 91.109.5.28:8080
IP 12 : 70.32.94.58:8080
IP 13 : 70.45.30.28:80
IP 14 : 203.99.187.137:443
IP 15 : 190.228.212.165:50000
IP 16 : 51.38.134.203:8080
IP 17 : 203.99.188.11:443
IP 18 : 184.82.233.15:80
IP 19 : 154.120.227.206:8080
IP 20 : 157.7.164.178:8081
IP 21 : 190.13.146.47:443
IP 22 : 186.146.110.108:8080
IP 23 : 162.241.134.130:8080
IP 24 : 75.154.163.1:8090
IP 25 : 201.217.113.58:8080
IP 26 : 178.249.187.150:7080
IP 27 : 190.117.206.153:443
IP 28 : 152.170.220.95:80
IP 29 : 187.143.219.242:8080
IP 30 : 144.76.62.10:8080
IP 31 : 143.95.101.72:8080
IP 32 : 200.55.168.82:20
IP 33 : 138.186.179.235:8080
IP 34 : 203.99.188.203:990
IP 35 : 200.90.86.170:8080
IP 36 : 186.84.173.153:80
IP 37 : 95.216.207.86:7080
IP 38 : 216.70.88.55:8080
IP 39 : 212.112.113.235:80
IP 40 : 181.61.143.177:80
IP 41 : 216.75.37.196:8080
IP 42 : 5.189.148.98:8080
IP 43 : 187.154.175.124:8080
IP 44 : 190.96.118.15:443
IP 45 : 113.52.135.33:7080
IP 46 : 181.197.2.80:443
IP 47 : 190.113.146.128:8080
IP 48 : 201.196.15.79:990
IP 49 : 83.169.33.157:8080
IP 50 : 181.36.42.205:443
IP 51 : 176.58.93.123:80
IP 52 : 23.253.207.142:8080
IP 53 : 138.197.140.163:8080
IP 54 : 181.47.235.26:993
IP 55 : 185.45.24.254:7080
IP 56 : 172.104.70.207:8080
■Trickbot Config
ver 1000479
gtag mor29
autorun [[('ctl', 'GetSystemInfo'), ('name', 'systeminfo')], [('name', 'pwgrab')]]
servs
144.91.79.9:443
172.245.97.148:443
85.204.116.139:443
185.62.188.117:443
185.222.202.76:443
144.91.79.12:443
185.68.93.43:443
195.123.238.191:443
146.185.219.29:443
195.133.196.151:443
91.235.129.60:443
23.227.206.170:443
185.222.202.192:443
190.154.203.218:449
178.183.150.169:449
200.116.199.10:449
187.58.56.26:449
177.103.240.149:449
81.190.160.139:449
200.21.51.38:449
181.49.61.237:449
46.174.235.36:449
36.89.85.103:449
170.233.120.53:449
89.228.243.148:449
31.214.138.207:449
186.42.98.254:449
195.93.223.100:449
181.112.52.26:449
190.13.160.19:449
186.71.150.23:449
190.152.4.98:449
170.82.156.53:449
131.161.253.190:449
200.127.121.99:449
45.235.213.126:449
31.128.13.45:449
181.10.207.234:449
201.187.105.123:449
201.210.120.239:449
190.152.125.22:449
103.69.216.86:449
128.201.174.107:449
101.108.92.111:449
190.111.255.219:449
■TrickbotのC2宛通信
■Trickbotのファイル
■Trickbotの永続化
以上
