不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様21社 URLアクセスした
弊社お客様0社

2021/08/27
※2021/08/27 更新
08/27から発生していたマルウェア（Warzone RAT）に感染させると考えられるメールの受信・URLアクセスを検知

件名：
PO#   nnnnnn 6020943651
PO#  nnnnnn nnnnnn
PO# HM00050746  nnnnnn

※上記以外の件名が利用されている可能性があります。


添付ファイル名：
PO# HM00050746# CICITEL MULTI TRADING Systems, Inc .xll

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
26b28023d8a2abed6b305a6ca837d25e4aeeec4fd43a07380fc4f61a38d660fc

※観測できた全ハッシュ値を掲載しております。


感染プロセス
メール受信
↓
添付ファイルxllを開き
↓
外部URLに通信

通信先一覧：
hxxp://crprus[.]xyz/css/wy[.]exe
hxxps://firebasestorage[.]googleapis[.]com/v0/b/taefgajbacladbvnkv[.]appspot[.]com/o/New%20Text%20Document[.]html


※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxp://crprus[.]xyz/css/wy[.]exe
カテゴリ状況：08月27日 [カテゴリ外](※1)(※2)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://firebasestorage[.]googleapis[.]com/v0/b/taefgajbacladbvnkv[.]appspot[.]com/o/New%20Text%20Document[.]html
カテゴリ状況：08月27日 [コンテンツサーバー](※3)
追加済みまたは反映予定：[フィッシング詐欺]

（※1）「推奨フィルタ―設定」でブロック可能
（※2）「ダウンロードフィルター」でブロック可能
　　　　i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。
（※3）「クレデンシャルプロテクション」でブロック可能