LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 41
Details
EventID: 41
Event Time: Jan. 2, 2021, 3:39 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 104.140.188.46
Source Address david@cashbank.com
Destination Address mark@letsdefend.io
E-mail Subject Credit Card Statement
Device Action Blocked
Subject :Credit Card Statement From: david@cashbank.com Jan. 2, 2021, 3:39 p.m. To: mark@letsdefend.io Jan. 2, 2021, 3:39 p.m. --- Your credit card statement is attached. Attachments 9ed9ad87a1564fbb5e1b652b3e7148c8.zip
playbook
Are there attachments or URLs in the email?
Answer: Yes
Analyze Url/Attachment
9ed9ad87a1564fbb5e1b652b3e7148c8.zip
このzipには、3cc33ce58536242bc9b2029cd9475a287351a379ccbd12da6b8b7bf2cc68be89.exeが含まれていた。これは、
VirusTotal: https://www.virustotal.com/gui/file/3cc33ce58536242bc9b2029cd9475a287351a379ccbd12da6b8b7bf2cc68be89/detection
このプログラムは実行すると始めにPhoenixMiner.exeというプログラムを起動する。名前からはマイニングプログラムのように見える。
VirusTotal: https://www.virustotal.com/gui/file/938cb901511ceac91acd8b1eaadabd01688852ed1121250b1c5e587f9ee0512f/detection
マイニングではなさそうか。
これ以降の動きがよく分からなかったが、ANYRUNで同じものを発見した。
ANYRUN: https://app.any.run/tasks/933d3742-574e-44a6-909c-1644cea4ade0/
何だかんだでQuaserが出現するプログラムであったようだ。
Quasar RAT Malware Analysis, Overview by ANY.RUN
Answer: Malicious
Check If Mail Delivered to User?
Device Action Blocked
Answer: Not Delivered
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| david@cashbank.com | E-mail Sender | 104.140.188.46 |
| 9ed9ad87a1564fbb5e1b652b3e7148c8 | MD5 Hash | attachment - quaser malware |
104.140.188.46
VirusTotal: https://www.virustotal.com/gui/ip-address/104.140.188.46
AbuseIPDB: https://www.abuseipdb.com/check/104.140.188.46
ip-sc : https://ip-sc.net/ja/r/104.140.188.46
ドイツのIPで、サイバーアタックの攻撃元なのでblock!
cashbank[.]com
VirusTotal: https://www.virustotal.com/gui/domain/cashbank.com
cashbank[.]com自体は脅威としてレポートされているわけではない。
Log search - 104.140.188.46
| # | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|---|
| 334 | Jan, 02, 2021, 03:39 PM | Exchange | 104.140.188.46 | 53918 | 172.16.20.3 | 25 |
104.140.188.46へのアクセスはメールの受信のみ。
End
クレジットカードの明細は普段と同じところから同じように送られてきたら、分からず見てしまうかもしれない。なので、ファイルでの送信でなくオンラインでチェックできるようにするのが良いか。そのような場合には、メールにリンクを貼って利用者がアクセスし易いようにするが、今度はフィッシングが起こる可能性を考えるとメールリンクからではなく、自らページを探してアクセスするのが良いか。
何となく、今まで辿ってきていそうなサービスの変遷がイメージできた?
