2020/10/16(木) 添付ファイル付不審メール「支払いの詳細 - 注文番号」「【2020年10月】請求額のご連絡」(ZLoader)の調査
2020/10/14と同種と考えられる、日本語ばらまきメールを観測しました。
件名や通信先が異なる2種類のメールが来ていますが、感染するマルウェアは同一hashで同じモノ、マルウェアZLoaderです。
2020/10/14はこちら。
●ケース1
■件名
支払いの詳細 - 注文番号
■本文
この E-Mail はお客様のお支払い情報とお客様のご注文が処理されることを確認する
ためのものです。 ご注文が完了すると、別送で E-Mail を送信します。
このメッセージの最後に記載されている請求書をご確認ください。
●ケース2
■件名
【2020年10月】請求額のご連絡
■本文
【ご請求額の通知 】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつもお世話になっております。
前月のご請求額が確定いたしましたのでお知らせいたします。
請求書、および明細を(XLS)/(PDF)形式の添付書類にてお送りいたしますので、
ご確認ください。
なお、設定漏れによるノーショー、キャンセルのご予約は請求対象 となっております。あらかじめご了承ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ご請求額
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2020年10月分 4,086円(税込)
請求書、および明細は添付書類をご確認ください。
●ケース1,2
■添付ファイル
nnnnnn.zip -> nnnnnn.xls
※nnnnnnは数字6桁
例: 842358.zip -> 842358.xls
<見た目>
※開こうとすると警告が出ます。「はい」を選択すると上記が表示されます。
※どちらのケースでも見た目は同じ。hash、通信先が異なる
●ケース1
■サンプル
・ https://app.any.run/tasks/d94aa079-3ada-4280-8b73-1ef33b698bd8/
MD5: 845386A107D54CBBF8452779BD687161
SHA1: 38EA631C74665F6847DCF995D58271686C481CB1
SHA256: 0B4D15D0CE4617E9C83198B70AF7CF736DAEB93977A9107FF62517EE2A13B95B
・ https://app.any.run/tasks/e8acfbc2-0211-4f91-bcc6-ddb66b8a6b63/
MD5: 629347D067EA06E15BCFBD44B0F50956
SHA1: C947AAB302541BF288860FF907DF0327D830EFC1
SHA256: E6DAE65ADCE0BBA7F4ED879522AF20866A2DD0B4097D996F9849215E436F90A8
・ https://app.any.run/tasks/7d12005b-80da-405d-9ede-6499579c73ca/
MD5: 957F3DB4142A10DF34DBD1C75E30D7E6
SHA1: BF72419ED3AD3D5B7E83BCBF85D604B982476B2A
SHA256: 72BF22567FE5E7A6B0A319D2AF8836A77AEDC40AA98779AD124EA2C08FF7DB0B
■通信先
hxxp://pickthismotel[.]xyz/campo/b/b
(159.65.125[.]229)
->リダイレクト
hxxp://montessori123.net/2.exe
(202.92.4[.]34)
●ケース2
■サンプル
・https://app.any.run/tasks/ea9083bf-4324-417e-b80a-8606ea083821/
MD5: 6A7FA20B8891990A948F138C7E05A890
SHA1: B8F0C964386A054C34ACB3EBD6071B05812ACF68
SHA256: 4F3562743781503D4F24066DF6C4FE9313F34077E603BBC6FCECC83D3B2EF6AE
・https://app.any.run/tasks/9e5c79ef-587e-466c-a03a-56869ddbfc34/
MD5: A7FBAB134E02F77ED2D7F1D1069DBE02
SHA1: 5FBF2B3BBD33AC24678B5FFB8829CED204991588
SHA256: 7416C3BB39997CD516B8CE9BC84C6F964E49778CD29BCA9000DFE44A5382A960
■通信先
hxxp://hellomydad[.]xyz/campo/b/b
(159.65.125[.]229)
->リダイレクト
hxxp://cateringmuslimcemangi[.]com/2.exe
(156.67.211[.]40)
どちらの場合も、日本のIPから初回アクセス時のみリダイレクトし取得、感染されると思われます。
それ以外のケースではups.comへとリダイレクトされ、マルウェアは取得されません。
以下はケース1,2共に同じ動きとなります。
●ケース1,2
■ペイロード
どちらの添付ファイル、通信先からも同じhashのマルウェアがダウンロードされます。
マルウェアZLoaderです。
https://app.any.run/tasks/4de1f28e-5695-467d-af0e-07c4653462d6/
MD5: F001A34284907EFFCCD73401F3C67024
SHA1: 9646D4BCE167034408E00DA8E8E0B967C8D824CA
SHA256: C3843E4E47FDD596EA21993CB29DB052BD6D0393E6BCC62821F12A5552781FEC
■プロセス
ZLoaderはまず約10分程度(マシンスペックに依存する可能性あり)、data.txtというファイルを作っては消して、ということを行い時間を引き伸ばしています。
これは主にsandbox回避のためのスリープ処理のようなものと考えられます。
その後、ZLoaderはmsiexec.exeを実行します。C2と通信が行われるとC2から様々なZLoaderのモジュールが与えられ、msiexecにインジェクションされます。
■永続化
ZLoaderは感染後、C:\users\(username)\Appdata\Roaming配下に様々なフォルダを作成し、その中の一つに自身をコピーします。フォルダ名はランダムと思われます。
コピーしたZLoaderをレジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)に登録します。これによってログイン後に自動実行されるようになり、永続化がなされます。
また、それ以外に感染の痕跡として、以下のレジストリキーに値を入れます。
HKEY_CURRENT_USER\Software\Microsoft\toxm
HKEY_CURRENT_USER\Software\Microsoft\(ランダム)\(ランダム)
これらのレジストリキーがあれば感染していると判断できます。
■通信
■config
https://www.capesandbox.com/analysis/71755/
Type: Zloader Config
Botnet name: r1
Campaign ID: r1
RC4 key: e858071ef441a9a66f1a0506fc20b8c3
C2 address:
hxxps://notsweets[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://olpons[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://karamelliar[.]org/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://dogrunn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://azoraz[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
■WebInjects
このZLoaderからは日本の金融機関を狙ったWebInjectsを確認しています。
ZLoaderに感染した状態で、インターネットバンキングやカード会社のWebサイトにアクセスすると、認証情報が窃取されたり、不正送金される恐れがあります。
なお、対象の組織については金融ISACへ情報共有しています。
■関連分析
・添付ファイル
同じ画像を使った同じxls添付による攻撃、という点で、10/14と10/16は同じ攻撃キャンペーンと考えてよいかと思われます。
・メール文面
このメール文面も過去に見たことがあります。
●ケース1
・JC3 | 注意情報 [2017/6/29]
https://www.jc3.or.jp/topics/v_log/201706.html#d20170629c・JC3 | 注意情報 [2017/7/5]
https://www.jc3.or.jp/topics/v_log/201707.html#d20170705c
過去このメールが使われた際にはbeblohからUrsnif-Bに感染するものでした。
●ケース2
・JC3 | 注意情報 [2017/5/15]
https://www.jc3.or.jp/topics/v_log/201705.html#d20170515c
・JC3 | 注意情報 [2019/5/7]
https://www.jc3.or.jp/topics/v_log/201905.html#d20190507c
この文面では2017年にはUrsnif-Bに感染し、2019年にはbeblohからUrsnif-Aに感染します。
10/14のメール文面はUrsnif-Bのものだけでしたが、今回のケースではUrsnif-AとUrsnif-Bがどちらも使っていたメール文面でした。
双方のアクターと関係性があるのか、Ursnif-AがUrsnif-Bの文面を過去盗んで使っていてそのどちらかと関係性があるのか、またはJC3などのHPよりメール文面を盗んだのか、結論を出すことはできなさそうです。
・ZLoader
このmaldocから取得されるZLoaderですが、以下のZloaderと同じC2を使用しています。
https://app.any.run/tasks/074f1fc2-f031-475c-af9d-5cdbedf1a3ce/
Zloader Config
Botnet name: SG
Campaign ID: SG
RC4 key: e858071ef441a9a66f1a0506fc20b8c3
address:
hxxps://notsweets[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://olpons[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://karamelliar[.]org/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://dogrunn[.]com/LKhwojehDgwegSDG/gateJKjdsh.php
hxxps://azoraz[.]net/LKhwojehDgwegSDG/gateJKjdsh.php
Emotetから二次感染するZloaderですが、Botnet name/Campaign IDが違います。
同じアクターなのか、同じインフラを使用しているのかは分かりません。
■参考情報
とりあえず
— abel (@abel1ma) 2020年10月15日
10月16日4時ごろから不審メールがきています。
件名
支払いの詳細 - 注文番号
添付
zipファイル に excelファイル格納
通信先
hxxp://hellomydad[.]xyz/campo/b/b
2020/10/16 朝から添付ファイル付きの日本語の不審メールを確認しています。
— bom (@bomccss) 2020年10月15日
10/14と同じキャンペーンと考えられます。
■件名
支払いの詳細 - 注文番号
■添付ファイル名https://t.co/JY4innN6YW -> 842358.xlshttps://t.co/ScEbibXdAo pic.twitter.com/P0niGv4H1G
日本語マルウェアの接到を確認しています#maldoc in Japanese #zloader
— moto_sato (@58_158_177_102) 2020年10月16日
件名 : 支払いの詳細 - 注文番号
件名 : 【2020年10月】請求額のご連絡
sample : https://t.co/8Y4EaNoraQhttps://t.co/ryDSrrszYa (1/63)https://t.co/t80MmCBCT9https://t.co/Hnbt6BoPhl pic.twitter.com/TAxJlfL0pj
【2020/10/16】Subject, 本文が日本語のばらまき型攻撃メールに関する注意喚起 https://t.co/nRFwczJVZS
— 国立大学法人電気通信大学 情報基盤センター (@itc_uec) 2020年10月16日