不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様16社 URLアクセスした
弊社お客様0社

2021/09/16
※2021/09/17 更新
09/15から発生していたマルウェア（AgentTesla）に感染させると考えられるメールの受信・URLアクセスを検知

件名：
Payment Advice - Ref: [HSBC1057025201] / RFQ Priority Payment / Customer Ref: [PI107057QT20]
paid invoice

※上記以外の件名が利用されている可能性があります。


添付ファイル名：
HSBC Customer Information.7z
HSBC Payment Advice.7z
invoice.pdf.z

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
40c16da071e7aa38cfd9e856ba7c77f8682b6cd1f49af637511e605f7d427087
31b434e86130a13b5d19f3e0c1fd14a08fc3824a82541c7b89c9f46affda52eb
e71fdf43bfd45cfdba1e062bf2d28696e307ef45c89cb2b4d43c2e54d88d09d3

※観測できた全ハッシュ値を掲載しております。


感染プロセス
メール受信 
↓
7z又はzを解凍
↓
exe実行で感染


通信先一覧：
hxxps://qrextechnologies[.]com/barrr09_HVPbNJre68[.]bin

※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxps://qrextechnologies[.]com/barrr09_HVPbNJre68[.]bin
カテゴリ状況：09月15日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

（※1）「推奨フィルタ―設定」でブロック可能