不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様13社 URLアクセスした
弊社お客様1社

2021/03/09
※2021/03/11 更新
03/08から発生していたマルウェアに感染させると考えられるメールの受信・URLアクセスを検知

件名：
Overdue Debt - PO Ref: 4600005967
RE : Pending Outstanding SOA(#367 & 9908)


添付ファイル名：
PO#289472.xlsx
outstanding SOA(#367 & 9908).xlsx


添付ファイルハッシュ値：
8759db54bdcf81e76b47aca9837db9cab4aa04d780576775505d0aa2d62f2281


感染プロセス
メール受信
↓
添付ファイルを開く
↓
外部の不正URLに通信する

通信先一覧
hxxp://bit[.]do/fPmnu
hxxp://joejoestdyhegrenfscx[.]dns[.]army/documenjt/regasm[.]exe
hxxp://becharnise[.]ir/fb7/fre[.]php
hxxp://kbfvzoboss[.]bid/alien/fre[.]php
hxxp://alphastand[.]trade/alien/fre[.]php
hxxp://alphastand[.]win/alien/fre[.]php
hxxp://alphastand[.]top/alien/fre[.]php

※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxp://joejoestdyhegrenfscx[.]dns[.]army/
カテゴリ状況：03月08日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxp://becharnise[.]ir/
カテゴリ状況：03月08日 [違法ソフト・反社会行為][脅威情報サイト]

hxxp://bit[.]do/fPmnu
カテゴリ状況：03月08日 [短縮URLサービス]
追加済みまたは反映予定：[脅威情報サイト]

hxxp://kbfvzoboss[.]bid/
hxxp://alphastand[.]trade/
hxxp://alphastand[.]win/
hxxp://alphastand[.]top/
カテゴリ状況：03月08日 [違法ソフト・反社会行為]
追加済みまたは反映予定：[脅威情報サイト]


上記すべてのURL：ダウンロードフィルター(※2)でブロック可能

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。