メニュー

「研究留学生担当窓口(国立).rar」調査メモ

2016年3月3日 - malware
「研究留学生担当窓口(国立).rar」調査メモ

2016年2月23日付けで「広島修道大学情報センター」より「本学に届いた標的型攻撃メールの事例」という件名のおしらせが出ており、その中にはいくつかの攻撃メールの事例紹介されていたのですが一際、気になるものがありました。気になった理由は、最近の自身の周囲で観測されていた「ばらまき型」とは異なる件名、添付ファイル名であったからです。また、件名、ファイル名が特定の組織に向けたような印象を与えるファイル名であったことも気になった理由です。

今回は、そのメール関連について可能な範囲で調査を行いました。

「広島修道大学情報センター」のおしらせによると以下のような内容のメールであることが分かります。

差出人: [email protected]
件名 :研究留学生担当窓口(国立)
添付ファイル:研究留学生担当窓口(国立) .rar.
本文:なし

添付ファイル名で検索したところ「福井大学総合情報基盤センター」から「注意喚起」が2015年11月12日に出ていることが分かりました。
以下はサイトに掲載されているものの引用です。

国立大学を狙ったと思われる、電子メールを使った標的型攻撃がなされているという情報がありました。
該当するメールの特徴は以下のとおりとのことです。

差出人:ueyama_ayako(at)yahoo.co.jp
( (at) は @ に読み替えてください)
宛先:Bcc のみにメールアドレスが記載されています。
件名:研究留学生担当窓口(国立)
添付ファイル:研究留学生担当窓口(国立).rar

添付ファイルにはウイルスが含まれていますので、くれぐれも開封、実行しないようにご注意ください。

上記、注意喚起には「国立大学を狙ったと思われる、電子メールを使った標的型攻撃がなされているという情報がありました。該当するメールの特徴は以下のとおりとのことです。」と記載されていることから、どこかから得た注意喚起などによって得た情報であり、福井大学では受信していない可能性も考えられます。
その可能性を考慮すると公表はされていないもののいくつかの組織が受信しいることから注意喚起がどこかから出ているのではないかということも推測できます。

前述のおしらせ、注意喚起と全く同じものかどうかの確証はありませんが同名のファイル(拡張子違い)を入手することができましたのでそちらの調査も行いました。入手したファイルは「研究留学生担当窓口(国立).exe」というファイル名でアイコンはExcelのものです。
ec

ファイル名 MD5 SHA1
研究留学生担当窓口(国立).exe 301A72F63E92F262622D52547D8AFF4D 008ED63931E0997DA78A5112E456182180EE6F91

 
このファイルを仮想環境で実行した際に下図のようにUACによる確認が表示されました。
UAC

実行を許可せず「いいえ」を押した場合に下図のようなエラーが表示されました。
error
中国語でファイルを書き込みすることができないことを示すエラーのようです。
(注)ファイル実行の過程で中国語が表示されていますが、中国に関連する組織、人物がこのファイルを作成したことを裏付けるものではありません。

UACの確認を許可すると実行され、下図のようにExcelファイルが表示されました。
gouli_excel

下記のファイルが「C:\Program Files\」以下に作成されていました。

項番 ファイル名 MD5 SHA1
1 guoli.xls 6B7B0DE64608A24FF6E003CE2BAA07A9 DE27FD8F673A9ED37D54D04E6F1BE937144C00BA
2 winlogin.exe D20FC878662247ABC875762F920D882F A138600BB4FCFED015BBC7BC79536999A8FA55D5

(注)サンドボックスによる解析結果では上記の他にも
C:\Program Files\setting32.ini
C:\Program Files\__tmp_rar_sfx_access_check_36953
C:\Program Files\mshelp32.exe
がドロップされるとの結果がありました。

また、「研究留学生担当窓口(国立).exe」実行後に表示されたExcelファイルは項番1のものでした。
こちらのファイルは「VirusTotal」でのスキャン結果は無害なものでした。おそらくデコイファイルであると考えられます。
プロパティは、下図の通りです。
gouli_excel_p
プロパティにある値を信じるとするならばかなり古い時期に作られたファイルであると考えられます。このファイルの情報を元に同一ファイルがインターネット上に存在しないかを調べてみたところ同一のものではないのですが類似するファイルを見つけることができました。
simExcel

上記ファイルとマルウェアがドロップしたExcelファイルのプロパティの比較は下図の通りです。
propsim
赤枠で囲んだところが共通する部分です。「コンテンツの作成日時」が同じ日時になっていることからマルウェアがドロップするファイルもインターネットで見つけることができたファイルも元は同じファイルであり、更新されてきているファイルである可能性があると考えられます。そのためマルウェアがドロップしたファイルもインターネットから入手可能であったものである可能性があります。

次に項番2のファイルですが、こちらがマルウェア本体であると考えられます。
「VirusTotal」ではこのブログエントリ作成現在(2016/03/03)37 / 54という検出率でした

また、実行した後、通信を確認した結果項番2の通信先が「bullskingdom.com」であることが判明しました。
wireshark

判明した通信先を更に調査したところ過去にいくつかのマルウェアとの関連があったアドレスであることが判明しました。
bullskingdom.com

調査により判明したマルウェアのMD5ハッシュは以下の通りです。

5e44fac54285bb207101cdb3253360ec
039c78d827fda4076986efc842c0be2d
480500de4a293634cb839ef0e6790c8e
1687d84440c4c2996724ff8b3d025c17
475318a6ce8dc843fac434d88b9c0eca
633eadf518d0c674047fd016f7bf8513
450245a2b7ae5d42025034ee767e06f0
444b27c07c8619bc9b3529d43c4ce207
19766f9a9370532d31cedeab7a44fb78
301a72f63e92f262622d52547d8aff4d
45fb0441b3ed3896c3e2f04c03f6d60a
177ee501f6a3745dc39301689d543c73
040c2ad334ca636bed6309f90b7f65cb
2897c74909535d189b8d19d401fba037
05be70125b6f6e125f114914fa8b8340
5217ac3a3fbd3d1795e6a5427c47bf42

調査結果は以上です。

現在のところファイル名(デコイファイル含む)や送信されている組織などの情報から(国立)学校関連を狙った攻撃キャンペーンのような可能性が考えられますが、情報がまだ少ない状況です。今後、どのような情報が出てくるかを継続的に見る必要があると考えています。何か情報をお持ちの方いらっしゃいましたら可能な範囲で教えていただけると幸いです。