不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様25社 URLアクセスした
弊社お客様0社

2021/09/03
※2021/09/06 更新
09/02から発生していたマルウェア（AgentTesla）に感染させると考えられるメールの受信を検知

件名：
Payment Advice - Ref: [HSBC1057025201] / RFQ Priority Payment / Customer Ref: [PI107057QT20]
Urgent Invoice
見積依頼

※上記以外の件名が利用されている可能性があります。


添付ファイル名：
HSBC Customer Information.7z
HSBC Payment Advice.7z
Kokosha_2635,pdf.7z
PO copys.pdf.z

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
6106c050de378e825ce908e3454f445c483d7c02e9dbdde27adacd9ef61e964b
67831d0bd8a8dbd27f8179817ecf35f8a8a801f5137865c39ab0c302e405acc3
0d04ebc9bb31d8853675af76a86bb426af47f73dce3c2af8397ed11cda10177c
2b69d63f7b3dbffd28fa1296cdb208461f06760f8f8dfa1b7033d56249457d69

※観測できた全ハッシュ値を掲載しております。


感染プロセス
メール受信 
↓
添付ファイル.7z、または.z(実体rar)を解凍
↓
.exe実行により感染


通信先一覧：
hxxps://img[.]neko[.]airforce/files/hkusjc

※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxps://img[.]neko[.]airforce/files/hkusjc
カテゴリ状況：09月06日 [脅威情報サイト]