不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様8社 URLアクセスした
弊社お客様1社

2019/04/15
※2019/04/15 更新
04/12から発生していたマルウェアEmotetに感染させるメールの受信・ URLアクセスをブロック

件名：
請求書を添付してください
あなたの請求書
サービス請求書
支払明細通知書
支払請求書
未請求書
毎月の請求書
注意事項：請求書
読んでください
特別請求書
期限切れ請求書
請求書の請求


添付ファイル名：
nnnnnnnn-nnnnnn.doc
nnnnnnnn_nnnnnn.doc
※太赤字の「n」は、前半8-10桁程度、後半が6-8桁程度の数字が入ります。


添付ファイルハッシュ値：
636c93930f056e403a2bdb2298f18c0b14542c0224fd0ba6ba3056d1367f9c75
af77939a3206c6beeb32606423daeb8236413630ddd3846ac300d741d8809108
9bb3d3a40c0a57ee9a52bab10b2ec0efbf7d665238c421a68c266d356b81a671
1eb3cc2781765f1c81bdef0390ba79fc2066fd1bd8ff5571baa64f4b0ca3441f
112278e446cc3c7f538089cae3eaf962b06218cae4bcd8fb9a0b493bc380507f
4558edbe3b57be5c595405ba601a13ae09c679a01f851ae43f8c34e6d3c34be0
bb96f404b090c1e4c7853dadaad4846d135969a401747c87ee93b760fc844331


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://aussiescanners[.]com/forum/1IXQRH/ 
hxxp://fumicolcali[.]com/wblev-6pox5-vpckk/4ih2/ 
hxxp://azedizayn[.]com/26192RX/qW/ 
hxxps://sundarbonit[.]com/cgi-bin/mlEH/
hxxp://aupa[.]xyz/hJPug-2q3uyQ3NsqIgkO_tdeRPHsz-fF/dwvK/
↓
187[.]137[.]162[.]145:443
187[.]188[.]166[.]192:80
65[.]49[.]60[.]163:443
88[.]215[.]2[.]29:80
※弊社で観測したIPアドレスを載せています。環境等により異なる可能性があります。
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル2以上
　　・添付ファイル偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxp://aussiescanners[.]com/forum/1IXQRH/
　2019年4月12日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxp://fumicolcali[.]com/wblev-6pox5-vpckk/4ih2/
　2019年4月12日
　　[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加

hxxp://azedizayn[.]com/26192RX/qW/
　2019年4月15日
　　[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加

hxxps://sundarbonit[.]com/cgi-bin/mlEH/
　2019年4月15日
　　[IT情報・サービス][違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加

hxxp://aupa[.]xyz/hJPug-2q3uyQ3NsqIgkO_tdeRPHsz-fF/dwvK/
　2019年4月15日
　　[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加

187[.]137[.]162[.]145:443
187[.]188[.]166[.]192:80
65[.]49[.]60[.]163:443
88[.]215[.]2[.]29:80
　2019年4月15日
　　[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加


（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ