不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様11社 URLアクセスした
弊社お客様0社

2021/05/25
※2021/05/25 更新
05/24から発生していたマルウェア（xloader）に感染させると考えられるメールの受信・URLアクセスを検知

件名：
RE: New Order_PO 1164_HD-F 4020 6K

※上記以外の件名が利用されている可能性があります。


添付ファイル名：
New Order_PO 1164_HD-F 4020 6K.PDF.z

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
056f9bbc8673ead39f440a2b778c9c63453d2b30e2371beab77316d0d7210584

※観測できた全ハッシュ値を掲載しております。


感染プロセス
メール受信
↓
添付ファイルを開き
↓
z（実体rar）解凍、EXEを実行
↓
C2へ通信


通信先一覧：
hxxp://www[.]locply[.]com/un8c/
※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxp://www[.]locply[.]com/un8c/
カテゴリ状況：05月24日 [カテゴリ外](※1)

（※1）「推奨フィルタ―設定」でブロック可能