bomb_log

セキュリティに関するbom

トップ > 2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」(ZLoader)の調査

2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」(ZLoader)の調査

久しぶりにEmotet以外の日本語の添付ファイル付きの不審メールのばらまきが発生しました。
内容について分析します。

 

 

■件名
【お振込口座変更のご連絡】

 

■本文

経理ご担当者様
いつも大変お世話になっております。
株式会社ジャパントラストの佐々木です。

今月分のご入金より振込口座の変更をさせていただきたいのですが、
ご対応可能でしょうか?

新たな振込先に関しましては、
現在、手続き中で10月13日に完了予定となります。

本日中に仮のご請求書データをお送り致しまして
手続き完了次第、正式なご請求書データをお送り致します。

急なご連絡になってしまい大変申し訳ございませんが、
ご対応をいただけますと大変助かります。

--
今後とも何卒よろしくお願いいたします。

 

■添付ファイル
nnnnnnnnn.zip
解凍すると nnnnnnnnn.xls
※nnnnnnnnnは9桁の乱数
例: 215124617.zip -> 215124617.xls

<見た目>

f:id:bomccss:20201024024915p:plain

※開こうとすると警告が出ます。「はい」を選択すると上記が表示されます。

f:id:bomccss:20201024025132p:plain


Hashは複数あります。下記以外にも複数あると考えられます。

▼Hash
MD5: acbe6522dde86db6e1ad31476a46bc5d
SHA1: c18d8dd93297db358384b7635c955c306362e305
SHA256: c0c71b7403bc65e9716d9e103c2d4e28ce971d371b18f4922c64f631a83c9744
サンプル
https://app.any.run/tasks/4d505a1a-c75a-45c9-93f9-6a2231aefb1a/


▼Hash
MD5 90050e800c314c42fc5c7836b1239f1aMD5 90050e800c314c42fc5c7836b1239f1aSHA-1 efe7f37154cdace529b5651e3ab47d6902e98f08SHA-256 1c9ed06fcb9f89e9b1d772f4825dfb6f2b4c3d9dc68c0a0db9515b505b58f814

▼Hash
MD5 9fcb972ebe50a93e734c1705c0ed1b4bMD5 9fcb972ebe50a93e734c1705c0ed1b4bSHA-1 c7e605bf7ef0aa02d4db4286d83adcf6fc464e1dSHA-256 386afd578afcc7c33eea1007c8ab29b71434ea4194a49bfbdea0fdca34e64f7f


■通信先
hxxp://159.89.9[.]74/campo/t/t
※IPのGeolocationが日本でないと ups.com へリダイレクトされる
 日本のIPからは別のURLにリダイレクトされてファイルがダウンロードされる(と思われる)が、リダイレクト先のURLについて情報なし。

ペイロード
上記からダウンロードされるのはマルウェアZLoader

▼Hash

MD5:12368655038e920cb2ada7d34fac40dd
SHA1: fca002da98c91b019a3fab4639a4b6e4d0de43d7
SHA256: 9f654fe304bd80d1114c515362319c59bc569a54cb445aacdf47672d56815da1

サンプル
https://tria.ge/201013-xs83jp8xjs
https://www.capesandbox.com/analysis/70636/
https://app.any.run/tasks/91ba0c09-595e-4091-9d93-bfe868c46534/

■プロセスの動き
t.exeを実行すると、msiexec.exeが実行され、そこにインジェクションして動作します。(プロセス上の親子関係は現れないです)

f:id:bomccss:20201024033151p:plain

msiexec.exeからの端末調査のコマンドの実行などの挙動が伺えます。

f:id:bomccss:20201024033056p:plain



ファイルは自身をコピーします。その際、C:\users\(username)\Appdata\Roaming配下に様々なフォルダを作成し、その中の一つにコピーします。フォルダ名はランダムと思われます。

f:id:bomccss:20201024025707p:plain

f:id:bomccss:20201024025755p:plain


■永続化
ZLoaderはレジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)に自身を登録します。

f:id:bomccss:20201024025818p:plain

また、それ以外に感染の痕跡として、以下のレジストリキーに値を入れます。
HKEY_CURRENT_USER\Software\Microsoft\toxm
HKEY_CURRENT_USER\Software\Microsoft\(ランダム)\(ランダム)
f:id:bomccss:20201024033258p:plain
これらのレジストリキーがあれば感染していると判断できます。


■config

○Botnet ID: r1

○C2
hxxps://freebreez[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://makaronz[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://ricklick[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://litlblockblack[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://vaktorianpackif[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://hbamefphmqsdgkqojgwe[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://hoxfqvlgoabyfspvjimc[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://yrsfuaegsevyffrfsgpj[.]com/LKhwojehDgwegSDG/gateJKjdsh.php

rc4.plain
e858071ef441a9a66f1a0506fc20b8c3

rsa_pubkey.plain
-----BEGIN PUBLIC KEY-----
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgHpFzCGFAP0unkZ2zHNtVYQsOAsR
e2ENNwJ8gkPfbj9t6WQ9dCAGalAGg7auX/u2ZhvlmUtM4o9cN5t5P6N3Lkcdpfs8
nutVvaHHDS2kfSMfNGBGCZyrKHW0prtiBPlCwM6Cis3KVTjp1MUcSAgKHsPbGeSX
pMsguw2fOZhNdlizAgMBAAE=
-----END PUBLIC KEY-----

f:id:bomccss:20201024025939p:plain



 
■関連分析
今回のばらまきメールについて、2点、他のばらまきメールとの関連が伺えるものがあります。

・デコイ画像(ファイルを開いたときに表示されるおとり画像)

f:id:bomccss:20201022103255j:plain

このデコイ画像は昨今世間で流行っているマルウェアEmotetのデコイ画像の一つとして利用されています。
Emotetは最近になって他のアクター(Dridex)のデコイ画像を使用するケースがあり、それと同様に今回のアクターがEmotetのデコイ画像を使用した可能性も考えられます。

また、似た画像は2018年12月のUrsnif-Bの攻撃でも使用されています。
https://app.any.run/tasks/be1d7fff-07fb-4619-a8cb-b0fdecb09031/

・メール文面
メールの文面について、検索をしてみると、以下の情報がヒットします。

・FFRIセキュリティ » 【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起 [2017/06/13/]
https://www.ffri.jp/blog/2017/06/2017-06-13.htm
サンプル: https://www.hybrid-analysis.com/sample/dac7161b56bd7677d99cb91dbb63cee897592e85872bdfe0912b715a5c000def/593f92a1aac2ed613fe5a552
通信先: hxxp://es[.]alphacreativeentertainment[.]com/4999[.]bin
ペイロードhttps://www.hybrid-analysis.com/sample/c7f78d4c2693ffe5c2b65018f642b54b0dd69bee02c2d744445b91f4a3eefee3?environmentId=100
・「ジャパントラスト」を騙る巧妙な迷惑メールが流行中!絶対に開かないようにしよう  [2017/06/13]
https://sodicom.jp/blog/2017/06/13/ittechnology/5934/
・株式会社ジャパントラストの佐々木 康人を名乗る支払い関連メールは詐欺メールです! [2017/07/25]
http://nomoresagimail.blogspot.com/2017/07/blog-post_25.html
・ジャパントラストを騙ったウイルス付きメールに注意 | E Flat B倉庫 Blog [2017/07/28]
https://eflat.jp/blog/?p=3887
添付ファイル: https://www.hybrid-analysis.com/sample/93a8123cb12df135562912f00960bf7c22b113c77d6be700ad4016c86251fa01?environmentId=100
通信先 : hxxp://en.dresden45[.]com/1.xls
ペイロードhttps://www.hybrid-analysis.com/sample/a8e98a5a52908e3e2f573bdd72eb8610475c025e6259d35fb2e0e72221d7b637/597a7bf87ca3e12442360e07
通信先 : hxxp://en.dresden45[.]com/f.bin
ペイロードhttps://www.hybrid-analysis.com/sample/256df94ce775d48a1f143666940c9ac4b8db01066bb29159dbe06bf1a800ed1b/597a7ed97ca3e129b73dbf75
・JC3 | 注意情報 [2017/11/22]
https://www.jc3.or.jp/topics/v_log/201711.html#d20171122a
・【注意】件名 「 Re:お振込口座変更のご連絡 」でジャパントラストをかたるウイルスメールが拡散中  [2017/11/22] ※9/14受信のコメントあり
https://matomame.jp/user/yonepo665/0a068a6c04c19a169b72
・「映音堂」と「株式会社ジャパントラスト」を騙るメールは詐欺(サギ)メールなのでご注意ください!
https://nomoresagimail.blogspot.com/2017/11/blog-post_22.html
・詐欺・迷惑メール ジャパントラスト Re:お振込口座変更のご連絡
https://www.wakai-ojisan.com/entry/884/ 

2017年7-11月頃にばらまきメールで出ていたものと同じ文面になります。これらのメールから感染するのはUrsnif-Bです。
文面が同じもののため、同一アクターの可能性が考えられます。
ただし、過去にUrsnif-Aの文面をTA505が盗んで日本向けに使用したケースを観測していますので、メール文面だけで同一アクターと決めつけるのは難しいと言えます。

なお、Ursnif-BについてはJSAC2020にて発表を行っていますので、以下を参照ください。

日本を狙うばらまきメールキャンペーンの脅威動向分析と対策 

jsac.jpcert.or.jp

 

■参考情報

 

 

 

 

www.cc.uec.ac.jp

 

以上