不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様39社
URLアクセスした
弊社お客様4社
-
2019/01/07
※2019/02/26 更新
01/01から継続的に発生していたランサムウェアに感染させるメールの受信・URLアクセスをブロック
件名:
A. 01/01~07
:)
:-)
:-D
:D
;)
;-)
B. 01/08~17
8)
8-)
:)
:*
:-)
:-D
:D
;)
;-)
Always thinking about you
Felt in love with you!
I love you
Just for you!
My letter just for you
My love letter for you
Please read and reply
This is my love letter to you
Wrote my thoughts down about you
Wrote the fantasy about us down
Wrote this letter for you
You are my love!
C.01/27~
:)
:*
:-)
:-*
:D
;)
;*
;-)
;D
人名 ;)
Do you like it?
Do you like my photo?
I love you!
Just for you
Keep it private!
Love
Love you
My photo
My photo for you
Our photo
Photo of us
Seen this photo?
Take a look please
You are my love
Your opinion needed
※太赤字の「人名」(女性有名人の名前)はアルファベットが入ります。
D. 02/25~
:)
:-)
:D
:-D
;)
;*
;D
Don't show anyone!
I love you!
Is this you??
Is this your photo?
Keep this private
Our photo
Photo just for you
Photo of last party
Rate my new photo please!
You are my love!
You look so ugly here
You will be shocked!
人名!
※太赤字の「人名」(有名人の名前)はアルファベットが入ります。
添付ファイル名:
A.
IMGnnnnnn_2018-JPG.zip
IMG0-nnnnnn_2018-JPG.zip
B.
Love_You_nnnnnn-2019-txt.zip
Love_You_-nnnnnn-2019-txt.zip
Love_You_2019_nnnnnn-txt.zip
Love_You_2019_-nnnnnn-txt.zip
C.
PIC0nnnnnn2019-jpg.zip
PIC0-nnnnnn2019-jpg.zip
※太赤字の「n」(6~10文字の数値)はランダムな数字が入ります。
D.
PIC0nnnnnn-JPG.zip
PIC0nnnnnn-JPG.zi_
※太赤字の「n」(6~10文字の数値)はランダムな数字が入ります。
添付ファイルハッシュ値:
※多数あり
感染プロセス
A.
メール受信
↓
Zip圧縮された添付ファイルを解凍し、jsファイルを実行
↓
※以降の通信は外部情報と弊社ログ情報から推測
hxxp://92[.]63[.]197[.]48/m/mb.exe
hxxp://92[.]63[.]197[.]48/m/tm[.]exe
hxxp://92[.]63[.]197[.]48/tm[.]exe
hxxp://92[.]63[.]197[.]48/m/1[.]exe
B.
メール受信
↓
Zip圧縮された添付ファイルを解凍し、jsファイルを実行
↓
hxxp://slpsrgpsrhojifdij[.]ru/krablin[.]exe?hGBp
または
hxxp://92[.]63[.]197[.]60/m/sexy[.]exe
または
hxxp://92[.]63[.]197[.]153/mcdonalds[.]exe
C.
メール受信
↓
Zip圧縮された添付ファイルを解凍し、jsファイルを実行
↓
hxxp://92[.]63[.]197[.]153/blowjob[.]exe
または
hxxp://92[.]63[.]197[.]153/krabler[.]exe
D.
メール受信
↓
Zip圧縮された添付ファイルを解凍し、jsファイルを実行
↓
hxxp://92[.]63[.]197[.]153/test[.]exe
または
hxxp://92[.]63[.]197[.]153/krabaldento[.]exe
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装レベル5
・添付ファイル偽装判定
・送信元偽装判定
アンチスパム
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxp://92[.]63[.]197[.]48/
2019年01月03日
[カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
2019年01月07日
[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加
hxxp://slpsrgpsrhojifdij[.]ru/krablin[.]exe?hGBp
2019年01月08日
[IT情報・サービス]→[脅威情報サイト](※2)に変更
hxxp://92[.]63[.]197[.]60/
2019年01月15日
[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加
hxxp://92[.]63[.]197[.]153/
2019年01月17日
[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ