不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様41社 URLアクセスした
弊社お客様4社

2019/03/07
※2019/03/07 更新
03/06から発生していたバンキングマルウェアに感染させるメールの受信・URLアクセスをブロック

件名：
2019ご請求の件
Re: 2019ご請求の件
指定請求書
Fw:指定請求書
Fwd:指定請求書
Re:指定請求書
注文書、請書及び請求書のご送付
-注文書、請書及び請求書のご送付
Fw:注文書、請書及び請求書のご送付
Fwd:注文書、請書及び請求書のご送付
Re:注文書、請書及び請求書のご送付
【仮版下送付】
【電話未確認】
FW: 【再送】2019/2

添付ファイル名：
(nnnnn)-(nnnnn)_3.2019_n.XLS
2019.(nn-nnnnn)-(nn-nnnnn)_.xls
nnn_資料_nnnn.XLS
3.2019(nnnnn).nnnnn.xls

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値：
23e85ee19a2f46f4f462e72995b6a91616ea2f315908c1566c36cd0afc3aa200
242e2204916bed88b609de716c73bbae757efb29dae863e66c5692682d47adc2
66242a82beff9eedc3d61d04e8dc90369660f4d541269f40fdd1dd336f3ebd35


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxps://mger[.]co/img/bycYJ[.]png
hxxps://images2[.]imgbox[.]com/aa/36/95SxVQiA_o[.]png
hxxp://images2[.]imagebam[.]com/34/7d/0b/39d26e1152285004[.]png
↓
hxxps://i[.]postimg[.]cc/kn50Ph3h/6A[.]png
hxxps://i[.]imgur[.]com/wRli0qz[.]png
↓
hxxps://images2[.]imgbox[.]com/25/39/dMnX3Y3Q_o[.]png
hxxps://i[.]imgur[.]com/vwN9O7y[.]png
↓
hxxp://baderson[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル5
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://mger[.]co/img/bycYJ[.]png
hxxps://images2[.]imgbox[.]com/aa/36/95SxVQiA_o[.]png
hxxp://images2[.]imagebam[.]com/34/7d/0b/39d26e1152285004[.]png
hxxps://i[.]postimg[.]cc/kn50Ph3h/6A[.]png
hxxps://i[.]imgur[.]com/wRli0qz[.]png
hxxps://images2[.]imgbox[.]com/25/39/dMnX3Y3Q_o[.]png
hxxps://i[.]imgur[.]com/vwN9O7y[.]png
　2019年3月6日
　　[アップローダー]→[脅威情報サイト]（※1）を追加

hxxp://baderson[.]com/
　2019年3月6日
　　[カテゴリ外]（※2）→[脅威情報サイト]（※1）を追加

（※1）i-FILTER Ver.10のみ
（※2）「推奨フィルタ―設定」でブロック可能