不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様11社
URLアクセスした
弊社お客様0社
-
2021/01/13
※2021/01/14 更新
01/12から発生していたバンキングマルウェア(Dridex)に感染させると考えられるメールの受信・URLアクセスを検知
件名:
Freightquote Invoice
添付ファイル名:
INVnnnnnnnnnn_20210111nnnnnn.xlsm
Invnnnnnnnnnn-20210111nnnnnn.xls
※太赤字の「n」はランダムな数字が入ります。
添付ファイルハッシュ値:
1e66c639f157fa066c2e4070a46cb0af32548f4fba63684120513433059cd26d
01af3b5c1e2ed68272f542233aece70269a9e977815347a4b9c86bb2d97c086e
※他にも多数のハッシュ値ファイルがあると思われます。
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://www[.]range[.]com[.]sa/
hxxps://www[.]rkinstitute[.]org/
hxxps://magnifiedhealth[.]co[.]za/
hxxp://dating[.]khokhas[.]co[.]za/
hxxp://mroadlines[.]gtranzit[.]com/
hxxp://mnt[.]unq[.]gtranzit[.]com/
hxxps://grand-detective[.]com/
hxxp://investigatorsnorthwest[.]co[.]uk/
hxxps://events[.]kreativekoncepts-ng[.]com/
hxxps://tuayudaesoterica[.]com/
hxxp://projects[.]gvtechnolab[.]in/
hxxp://mycarechoice[.]com[.]au/
hxxps://dxres[.]info/
hxxps://serumev[.]com/
hxxp://shafiexports[.]com[.]pk/
hxxp://xandarsa[.]com/
hxxp://tsongpu[.]com/
hxxps://hype-loterie[.]fr/
hxxps://rostra-holding[.]ru/
hxxp://iqtraders[.]atwebpages[.]com/
hxxps://www[.]mac-movil[.]com/
hxxps://cmg[.]ma/
hxxps://mbaedx[.]com/
hxxp://pypgroup[.]co/
hxxps://dropzone[.]nthdimension[.]co[.]za/
hxxp://infotech[.]news/
hxxps://mindmap[.]monster/
hxxp://naldcoin[.]website/
hxxp://smsportal[.]olaitanoluwasegunglobalent[.]org[.]ng/
hxxps://bydspa[.]cl/
hxxps://dw2[.]co[.]id/
hxxps://intranet[.]iep-lacatolica[.]pe/
hxxps://view[.]marketfresh[.]com[.]ph/
hxxp://meranaturaleza[.]com[.]ar/
hxxp://maxtox[.]com[.]pk/
hxxp://luisjj[.]dscproskahuer[.]mx/
hxxp://static[.]peronti[.]com[.]br/
hxxps://app[.]wind[.]net[.]ar/
hxxps://smshost[.]pk/
hxxp://dataintelect[.]co[.]za/
hxxp://conetica[.]com[.]mx/
hxxps://ppdb[.]smk-ciptaskill[.]sch[.]id/
hxxp://okingokoth[.]co[.]ke/
hxxps://media-server[.]skyinternet[.]com[.]pk/
hxxp://speech2text[.]ai/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://impulsetest[.]co[.]uk/
hxxp://truxiellogroup[.]com/
hxxps://www[.]urban-mosaic[.]com/
hxxp://salonprem[.]ru/
hxxp://pm[.]kezto[.]co[.]uk/
hxxps://elcookcore[.]com/
hxxp://sihtc[.]gtranzit[.]com/
hxxp://omescortcargo[.]com/
hxxp://148[.]72[.]88[.]102/
hxxp://ozelenenie[.]pp[.]ua/
hxxp://jobmonster[.]atwebpages[.]com/
hxxp://laboratoriostabbler[.]com/
hxxps://uralflex[.]com/
hxxp://www[.]sustaino2[.]com/
hxxp://tamarackdaycare[.]ca/
hxxps://dom-chel74[.]ru/
hxxps://education[.]scrollx[.]in/
hxxp://tcet-talk[.]info/
hxxp://caledoniehousesitting[.]com/
hxxps://9ehosting[.]com/
hxxps://11[.]tecmultimedia[.]pt/
hxxps://benditoassociates[.]com/
hxxp://suddisagara[.]com/
hxxp://cooltcat[.]com/
hxxp://inmindppe[.]com/
hxxp://www[.]maapaaevents[.]com/
hxxp://medicalconsultants[.]ie/
hxxps://dev[.]decentwebsites[.]com/
hxxp://immunoboosters[.]com/
hxxp://wexfashion[.]com/
hxxps://ypsilon[.]net[.]ar/
hxxp://mmogollon[.]com[.]mx/
hxxps://viralizi[.]id/
hxxps://conceptimagine[.]ro/
hxxp://vegainwest[.]pl/
hxxps://dsenterprize[.]co[.]za/
hxxp://bahia[.]consultoriass[.]es/
hxxps://datxanhgemskyworldvn[.]com/
hxxp://helloprintcv[.]com[.]br/
hxxps://www[.]gfischool[.]org/
hxxps://midas-mortgage[.]com/
hxxps://sctask[.]smartconnexxionz[.]com/
hxxps://www5[.]ritamartins[.]pt/
hxxp://opinionglobal[.]com[.]do/
hxxps://gatewayips[.]com/
※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。
▽i-FILTER
hxxps://magnifiedhealth[.]co[.]za/
hxxp://dating[.]khokhas[.]co[.]za/
hxxp://mroadlines[.]gtranzit[.]com/
hxxp://mnt[.]unq[.]gtranzit[.]com/
hxxps://grand-detective[.]com/
hxxp://investigatorsnorthwest[.]co[.]uk/
hxxps://events[.]kreativekoncepts-ng[.]com/
hxxps://tuayudaesoterica[.]com/
hxxp://projects[.]gvtechnolab[.]in/
hxxp://mycarechoice[.]com[.]au/
hxxps://dxres[.]info/
hxxps://serumev[.]com/
hxxp://shafiexports[.]com[.]pk/
hxxp://xandarsa[.]com/
hxxp://tsongpu[.]com/
hxxps://hype-loterie[.]fr/
hxxps://rostra-holding[.]ru/
hxxp://iqtraders[.]atwebpages[.]com/
hxxps://www[.]mac-movil[.]com/
hxxps://cmg[.]ma/
hxxps://mbaedx[.]com/
hxxp://pypgroup[.]co/
hxxps://dropzone[.]nthdimension[.]co[.]za/
hxxp://infotech[.]news/
hxxps://mindmap[.]monster/
hxxp://naldcoin[.]website/
hxxp://smsportal[.]olaitanoluwasegunglobalent[.]org[.]ng/
hxxps://bydspa[.]cl/
hxxps://dw2[.]co[.]id/
hxxps://intranet[.]iep-lacatolica[.]pe/
hxxps://view[.]marketfresh[.]com[.]ph/
hxxp://meranaturaleza[.]com[.]ar/
hxxp://maxtox[.]com[.]pk/
hxxp://luisjj[.]dscproskahuer[.]mx/
hxxp://static[.]peronti[.]com[.]br/
hxxps://app[.]wind[.]net[.]ar/
hxxps://smshost[.]pk/
hxxp://dataintelect[.]co[.]za/
hxxp://conetica[.]com[.]mx/
hxxps://ppdb[.]smk-ciptaskill[.]sch[.]id/
hxxp://okingokoth[.]co[.]ke/
hxxps://media-server[.]skyinternet[.]com[.]pk/
hxxp://speech2text[.]ai/
hxxp://salonprem[.]ru/
hxxp://pm[.]kezto[.]co[.]uk/
hxxps://elcookcore[.]com/
hxxp://sihtc[.]gtranzit[.]com/
hxxp://omescortcargo[.]com/
hxxp://148[.]72[.]88[.]102/
hxxp://ozelenenie[.]pp[.]ua/
hxxp://jobmonster[.]atwebpages[.]com/
hxxp://laboratoriostabbler[.]com/
hxxps://uralflex[.]com/
hxxp://www[.]sustaino2[.]com/
hxxp://tamarackdaycare[.]ca/
hxxps://dom-chel74[.]ru/
hxxps://education[.]scrollx[.]in/
hxxp://tcet-talk[.]info/
hxxp://caledoniehousesitting[.]com/
hxxps://9ehosting[.]com/
hxxps://11[.]tecmultimedia[.]pt/
hxxps://benditoassociates[.]com/
hxxp://suddisagara[.]com/
hxxp://cooltcat[.]com/
hxxp://inmindppe[.]com/
hxxp://www[.]maapaaevents[.]com/
hxxp://medicalconsultants[.]ie/
hxxps://dev[.]decentwebsites[.]com/
hxxp://immunoboosters[.]com/
hxxp://wexfashion[.]com/
hxxps://ypsilon[.]net[.]ar/
hxxp://mmogollon[.]com[.]mx/
hxxps://viralizi[.]id/
hxxps://conceptimagine[.]ro/
hxxp://vegainwest[.]pl/
hxxps://dsenterprize[.]co[.]za/
hxxp://bahia[.]consultoriass[.]es/
hxxps://datxanhgemskyworldvn[.]com/
hxxp://helloprintcv[.]com[.]br/
hxxps://www[.]gfischool[.]org/
hxxps://midas-mortgage[.]com/
hxxps://sctask[.]smartconnexxionz[.]com/
hxxps://www5[.]ritamartins[.]pt/
hxxp://opinionglobal[.]com[.]do/
hxxps://gatewayips[.]com/
カテゴリ状況:01月12日 [カテゴリ外](※1)
追加済みまたは反映予定:[脅威情報サイト]
hxxp://www[.]range[.]com[.]sa/
hxxps://www[.]rkinstitute[.]org/
hxxp://impulsetest[.]co[.]uk/
hxxp://truxiellogroup[.]com/
hxxps://www[.]urban-mosaic[.]com/
カテゴリ状況:01月12日 [企業・ビジネス・業界団体]
追加済みまたは反映予定:[脅威情報サイト]
上記すべてのURL:ダウンロードフィルター(※2)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。