• Details
• playbook
  • Are there attachments or URLs in the email?
  • Analyze Url/Attachment
    • Sender IP 146.56.209.252
    • Sender Domain zol.co[.]zw
    • Mail
    • URL link: https[:]//hredoybangladesh[.]com/content/docs/wvoiha4vd1aqty/
    • hredoybangladesh[.]com
  • Check If Mail Delivered to User?
  • Add Artifacts
• End

Details

EventID: 27
Event Time: Oct. 29, 2020, 7:25 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 146.56.209.252
Source Address ndt@zol.co.zw
Destination Address susie@letsdefend.io
E-mail Subject UPS Your Packages Status Has Changed
Device Action Blocked

playbook

Are there attachments or URLs in the email?

Answer:Yes

Analyze Url/Attachment

Sender IP 146.56.209.252

VirusTotal: https://www.virustotal.com/gui/ip-address/146.56.209.252/detection
AbuseIPDB: https://www.abuseipdb.com/check/146.56.209.252
ip-sc: https://ip-sc.net/ja/r/146.56.209.252

ip元は中国でShenzhen Tencent。SSHブルートフォース元として利用されている。

Sender Domain zol.co[.]zw

Hybrid-Analysis: https://www.hybrid-analysis.com/search?query=zol.co.zw
怪しいドメインではある。

Mail

UPS Your Packages Status Has Changed

From: ndt@zol.co.zw Oct. 29, 2020, 7:25 p.m.
To: susie@letsdefend.io Oct. 29, 2020, 7:25 p.m.
You have received a secure message from a Veterans United Employee.

Click below link by 2020-11-14 14:30 CDT to read your message. After that, open attachment.

https://hredoybangladesh.com/content/docs/wvoiha4vd1aqty/

URL link: https[:]//hredoybangladesh[.]com/content/docs/wvoiha4vd1aqty/

VirusTotal: https://www.virustotal.com/gui/url/2825a389272fd0e4b9923c98644a1786d4019ec7002c0a718b59dbe6d713a889
URLhaus: https://urlhaus.abuse.ch/url/698975/
現在はページ確認できないために分からないが、VTのレポートからはマルウェアダウンロードURLであるとのレポートがあり、URLhausからemotetやheodoに関連するとの報告がある。
URLhausにおいて報告されているリンクに関連するファイルとして最も新しいものは,
VirusTotal: https://www.virustotal.com/gui/file/360a5cb7eed923017b4ef07460e7652362cdf1fc0a902516addbb8e244e30134/detection/f-360a5cb
このファイルと同じハッシュのものをANYRUNで探すと、
ANYRUN: https://app.any.run/tasks/989ac1f3-9d9e-4854-80c1-f65b1b8cd1a2/
マクロからpowershellの実行、ダウンロードしたものを実行し、C2サーバとの連携や自動起動設定等々を行っている。

hredoybangladesh[.]com

ドメインもいくつかのベンダーに登録されている。
VirusTotal: https://www.virustotal.com/gui/domain/hredoybangladesh.com/detection

Answer:Malicious

Check If Mail Delivered to User?

Device Action Blocked

Answer: Not Delivered

Add Artifacts

End