不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様19社 URLアクセスした
弊社お客様0社

2021/04/26
※2021/04/26 更新
04/23から発生していたマルウェア（formbook）に感染させると考えられるメールの受信・URLアクセスを検知

件名：
我司已匯$23856 (Our remitted $ 23856)
我们公司汇了$ 23856（我们汇了$ 23856）
Shipping documents

※上記以外の件名が利用されている可能性があります。


添付ファイル名：
PI.gz
SHIPPING DOCUMENT.gz
我司已匯$23856 (Our remitted $ 23856).gz.rar
我司已匯$23856 (Our remitted $ 23856)_PDF.gz

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
5b03193577fcef8a56df4c9a781c91eef18dc3aed4db5b292c03a6deb31ed856
87888482249bbeccb27643cde224c953552760047d827302c6f716080eed3f63
f94b9373a214640ec4eae6d51d670c709b0262771224d0d6fad148c373ff4ef3

※観測できた全ハッシュ値を掲載しております。


感染プロセス
メール受信
↓
添付ファイルを開き
↓
gz又はrar内のEXEを実行
↓
C2へ通信


通信先一覧：
hxxp://www[.]riceandginger[.]com/fcn/
hxxp://www[.]middlehambooks[.]com/klf/
※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxp://www[.]riceandginger[.]com/fcn/
hxxp://www[.]middlehambooks[.]com/klf/
カテゴリ状況：04月23日 [脅威情報サイト]