LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 24
Details
EventID: 24
Event Time: Oct. 25, 2020, 9:32 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 173.194.68.27
Source Address darcy.downey@gmail.com
Destination Address james@letsdefend.io
E-mail Subject Covid-19 News!
Device Action Blocked
Covid-19 News! From: darcy.downey@gmail.com Oct. 25, 2020, 9:32 p.m. To: james@letsdefend.io Oct. 25, 2020, 9:32 p.m. Hey, did you read breaking news about Covid-19. Open it now! Attachments 1ceda3ccc4e450088204e23409904fa8.zip
playbook
Are there attachments or URLs in the email?
Attachments
1ceda3ccc4e450088204e23409904fa8.zip
Answer:Yes
Analyze Url/Attachment
Attachments 1ceda3ccc4e450088204e23409904fa8
Attachmentsは、
$ md5sum 2740_48961172733_412.doc 1ceda3ccc4e450088204e23409904fa8 2740_48961172733_412.doc
.docのvbaの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
のものに似ている。つまり、emotetですな。
VirusTotal 44/61: https://www.virustotal.com/gui/file/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb/5f99f7145b27a34ae23c038f
ANYRUN: https://app.any.run/tasks/bb6c540e-b217-401c-a5b2-86a60b9fdc99/
関連URLやIPはemotetと繋がりがあるとのレポートがあり、ANYRUNにはemotetのタグが。vbaの難読化の仕方は、マルウェアごとに癖があると考えていることからマルウェアファミリーに当たりをつけていけるのではと思っている。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Blocked
Answer:Not Delivered
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| darcy.downey@gmail.com | E-mail Sender | |
| 1ceda3ccc4e450088204e23409904fa8 | MD5 Hash | emotet document |
End
Covid-19関連であったり、最近であればUkraineに関連するような話題であったりの怪しいメールには気をつけましょう。
