piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

医療費通知の偽装メールについてまとめてみた

インシデントまとめ

2014年9月、10月頃より、健康保険組合等から医療費通知を偽装したメールが出回っており、添付ファイルを開くとマルウェアに感染する恐れがあると注意喚起が出されています。ここではその関連情報をまとめます。

医療費通知の偽装メールに関係する注意喚起

発信日時 喚起元 被害報告 注意喚起
2014年9月30日 富士重工業健康保険組合 あり(グループ会社社員) 健保名の不審メールにご注意下さい
2014年10月3日 荒川区 あり?(国民健康保険加入者宛) 医療費通知を装った不審なメールにご注意下さい。
2014年10月29日 UBS 健保組合からのお知らせを装ったウィルスメールにご注意下さい
2014年10月29日 HOYA健康保険組合 無し 医療費通知を装ったウィルスメールにご注意ください
2014年10月30日 インフォコム 当社を騙る電子メールにご注意ください「インフォコム?の名称を不正に使用した医療費通知に関する注意喚起」
2014年10月31日 住商連合健康保険組合 あり
(某大手商社)		 「医療費のお知らせ」を装ったウイルスメールにご注意ください!
  住友商事健康保険組合 「医療費のおしらせ」を装ったウイルスメールにご注意ください。(認証あり)
2014年11月5日 人材派遣健康保険組合 無し 健保組合からのお知らせを装ったウィルスメールにご注意ください
2014年11月6日 三菱レイヨン健康保険組合 医療費通知不審メールに対する注意喚起について(認証あり)
2014年11月7日 三菱化学健康保険組合 あり
(三菱系企業)		 健康保険組合を騙る不審メールにご注意下さい!
2014年11月10日 石油製品販売健康保険組合 無し 医療費通知に偽装した不審メールについて
  日本ケミコン健康保険組合 無し 医療費通知の偽装メールについて
  東京実業健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください【注意喚起】
  ダイヘン健康保険組合 無し 偽装の医療費のお知らせにご注意!!
  東京薬業健康保険組合 無し ウイルスメールにご注意ください!
  エスアールエルグループ健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください
  東京都土木建築健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください。
  中央大学健康保険組合 無し 医療費通知を装った不審なメールにご注意
  ロイヤル健康保険組合 無し 【注意喚起】医療費通知を装ったウイルスメールにご注意ください。
  日立健康保険組合 無し 【ご注意ください】 医療費通知を装う不審な電子メールについて
  昭和電工健康保険組合 無し 医療費通知を装ったウィルスメールにご注意ください!
  東京文具販売健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください
2014年11月11日 TOTO健康保険組合 無し ※医療費通知を装った不審メールにご注意ください。
  関東ITソフトウェア健康保険組合 無し 健康保険組合を騙る不審メールにご注意下さい!
  明電舎健康保険組合 無し 【注意喚起】健康保険組合からのお知らせ
  渡辺パイプ健康保険組合 無し 【2014.11.11】 医療費通知偽装メールについて
  大日本印刷健康保険組合 無し 医療費通知の偽装メールにご注意ください
  東糧健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください【注意喚起】
  日本旅行健康保険組合 無し 【注意喚起】医療費通知の偽装メールにご注意を!!
  東京証券業健康保険組合 無し 【医療費通知を装ったウイルスメールにご注意ください】
  三菱健康保険組合 無し 〜医療費通知の偽装メールにご注意ください!!〜
  八千代銀行健康保険組合 無し 医療費通知を装った不審なメールにご注意ください。
  計器健康保険組合 無し 医療費通知の偽装メールにご注意を!
  住友生命健康保険組合 無し 健康保険組合を装うウィルスメールにご注意ください
  三重県自動車販売健康保険組合 無し ニセの医療費通知メールにご注意ください。
  東京都情報サービス産業健康保険組合 無し 医療費通知の偽装メールにご注意ください
  福岡県情報サービス産業健康保険組合 無し 【注意喚起】医療費通知を装ったウイルスメールにご注意ください!
  サカタインクス健康保険組合 無し (PDF) 健保組合を装った「医療費通知」メールにご注意ください
2014年11月12日 豊田合成健康保険組合 無し 【重要】医療費通知に偽装した不審メールにご注意ください
  ブラザー健康保険組合 無し 健康保険組合を装った不審なメールにご注意ください。
  SCSK健康保険組合 無し 医療費通知の偽装メールについて(注意喚起)
  酒フーズ健康保険組合 無し ウイルスメールにご注意ください!
  日本信号健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください
  丸井健康保険組合 無し 【注意喚起】『医療費通知偽装メール』にご注意ください!!
2014年11月13日 大陽日酸健康保険組合 無し 医療費通知を装ったウイルスメールにご注意ください!
2014年11月14日 HOYA健康保険組合 ランダムに送信 医療費通知を装ったウィルスメールにご注意ください <続報>
メモ

メール関連

文面1

送信元メールアドレス:不明
差出人名:健康保険組合
件名:[(略)]医療費通知のお知らせ
本文:
本メールは、保険を利用して診察や診療を受けられた方に、医療費のご負担等をお知らせしています。

http://blog.trendmicro.co.jp/archives/10251
文面2

送信元メールアドレス:不明
差出人名:健康保険組合運営事務局
件名:[Password]医療費通知のお知らせ
本文:
先に送付しました電子メールの添付ファイルは,パスワード保護(ZIP形式)されています。
復号に必要なパスワードをお知らせします。
(マウスで”コピー&貼り付け”をすると,パスワード入力が簡便です)
==================================
パスワード (10桁)
(略)
==================================
 
Please enter the following password to open the zip file that is attached to the email I sent just before.
==================================
Password ( 10 figuers)
(略)
==================================

http://blog.trendmicro.co.jp/archives/10251
  • TrendMicroのBlogからの引用ではあるが、文面2は句読点ではなく全角カンマになっている。
ドロッパー実行後に表示されるWord文書(おとりファイル)
  • ファイル名 kptl.doc
  • 作成者 helloword
  • 作成日時 2014年9月17日 9時41分
  • フォント:SimSunが使われている
  • ファイル内容

健康保険組合運営事務局です。
 
【医療費通知】
本メールは、保険を利用して診察や診療を受けられた方に、医療費のご負担額等をお知らせしています。
 
以下のURLにアクセスして、医療費をご確認ください。
 
https://inf.kptl.jp/me/
 
健康保険組合運営事務局】
 
運営会社:インフォコム株式会社

マルウェア関連

標的型攻撃であり、Emdiviという検体名であることを@JojiHamadaさんに教えてもらいました

検体情報
  • とりあえずググって出てきた関係していそうなファイル群
  • 検体名:Backdoor.Emdivi(Symantec)/BKDR_EMDIVI(TrendMicro)
役割 ファイル名 SHA256 VT/Malwr
ドロッパー 医療費通知のお知らせ1.exe
医療費通知のお知らせ2.exe		 8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b VT Malwr
ドロッパー 健康保険のお知らせ.exe 4a2a9b6a5fedd8de12a963effb7b800b7953c017c8a73a8ef353d661c879d137 VT
おとりファイル kptl.doc b0f85be63892c65a57539982920b1c879723eee9d90a3d2f4f5aea04cfd75b42 VT
RAT leassnp.exe b99f08be6a476d359820c48345ddf4f2f0fcc1ca041f3630680635c675a1d7be VT Malwr
RAT 不明(EXTRAC32.exe?) f017218f05d225cdb62f3081c4dac4b09a3fb2b93c01096bd4141b67d3eb3bbf VT
RAT 不明(EXTRAC32.exe?) 5785c99592fa14192a706a31fbf2b2bc71fe9c38e438b95e0cf20bbc8a87d1f8 Malwr
RAT vmwere.exe 1209d8b3c83c72df781b805a2c17a0939c841384aadc32e4e9005536a3bba53f VT Malwr
通信先

RATが通信するC2サーバー

  • www.kaerunote.com (125.206.115.72)
    • /_module/book/index.php
    • /html/mainland/index.php
  • www.d1010318.hosting-sv.jp (125.206.115.72)
  • www.muku-mori.com (125.206.115.79)
    • /wp-includes/news/scripts/index.php

マクニカネットワークスのレポートによれば他にも多数ある模様。(歯抜けになっていた箇所はこちらを参考にした)

  • www.arkhe-will[.]jp/blog/tokuhan/book/index[.]php
  • www.ims.gr.jp/100[.]html
  • www.www[.]nishina.gr[.]jp/info/yougo/book/index[.]php
  • www.sakura-farm.com/blog/index[.]php
  • www.sekisan.biz/wp-content/plugins/akismet/state/index[.]php

2015年1月26日に追加されたC2のURL(歯抜けになっていた箇所はこちらを参考にした)

  • www.a-masato.jp/html/mainland/index.php
  • www.sofurin.or.jp/htm/copyright/folder/index.php
  • www.sofurin.or.jp/htm/copyright/folder/sc_flash/index.php
  • www.toko-ton.com/koushi/detail/index.php
  • www.toko-ton.com/koushi/detail/sc_flash/index.php
  • www.turitengu.jp/book/index.php
  • www.motoavanti.com/shinyo/backup/look/index.php
  • www.skyworld.co.jp/tenpo/look/index.php
  • www.iandeye.co.jp/blog/2014/index.php
  • www.katou-ai.com/images/fuck/index.php
  • www.sakurano***.com/blog/index.php

C2か不明ながらこれだけUDP(NTP?)の通信をしている。

  • 137.170.185.211:123
セキュリティベンダの解析レポート他

更新履歴

  • 2014/11/07 PM 新規作成
  • 2014/11/10 AM 注意喚起を追加
  • 2014/11/12 PM 注意喚起を追加
  • 2014/11/17 AM 注意喚起を追加
  • 2015年1月26日 PM マクニカの続報を追加

*1:医療費通知を偽装した電子メールにご用心、遠隔操作ウイルス感染も,ITpro,2014/11/07アクセス:魚拓