不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様8社
URLアクセスした
弊社お客様0社
-
2021/11/25
※2021/11/25 更新
11/24から発生していたマルウェア(Hancitor)に感染させると考えられるメールの受信・URLアクセスを検知
メール及び添付ファイルを開かないでください
■メール情報
件名:
You got invoice from DocuSign Electronic Signature Service
You got invoice from DocuSign Service
You got invoice from DocuSign Signature Service
You got notification from DocuSign Electronic Service
You got notification from DocuSign Electronic Signature Service
You got notification from DocuSign Service
You got notification from DocuSign Signature Service
You received invoice from DocuSign Electronic Service
You received invoice from DocuSign Electronic Signature Service
You received notification from DocuSign Electronic Service
You received notification from DocuSign Electronic Signature Service
You received notification from DocuSign Service
You received notification from DocuSign Signature Service
※上記以外の件名、添付ファイル名が利用されている可能性があります。
■IoC
通信先一覧:
hxxps://dev[.]tecnoaden[.]cl/adego/Files/alumnos/123456789/pectin[.]php
hxxps://courses[.]sibmbpreinduction[.]com/quizzical[.]php
hxxps://satunusantaranews[.]co[.]id/solitaire[.]php
hxxps://plasf[.]com/tenth[.]php
hxxps://room[.]sginicaragua[.]org/wp-includes/js/tinymce/plugins/charmap/conflagration[.]php
hxxps://www[.]rhythmvacations[.]com/pix[.]php
hxxps://plasf[.]com/julia[.]php
hxxps://orangeplasticmachinery[.]com/eucharist[.]php
hxxps://client[.]meetsusolutions[.]com/truculence[.]php
hxxps://cakefrostofficial[.]com/timbal[.]php
hxxps://orangeplasticmachinery[.]com/atlantic[.]php
hxxps://plasf[.]com/middleman[.]php
hxxps://www[.]rhythmvacations[.]com/dimwitted[.]php
hxxps://whizcraft[.]co[.]uk/personalties[.]php
hxxps://cakefrostofficial[.]com/lightened[.]php
hxxps://tnk-moflad[.]com/wp-content/plugins/updraftplus/vendor/kriswallsmith/assetic/src/smog[.]php
hxxps://mail[.]autokazakov[.]bg/root/ckeditor/plugins/a11yhelp/uncleaned[.]php
hxxp://alltestagain[.]lukehadaj[.]com[.]au/suety[.]php
hxxps://ukguk71[.]ru/libraries/vendor/joomla/registry/src/Format/benzoin[.]php
hxxps://client[.]meetsusolutions[.]com/breezy[.]php
hxxps://plasf[.]com/uncounted[.]php
hxxps://www[.]rhythmvacations[.]com/presidency[.]php
hxxps://start360up[.]com/wp-content/plugins/pirate-forms/gutenberg/css/pegmatitic[.]php
hxxps://iptel[.]cy/streambed[.]php
hxxps://anexo[.]app[.]yeshua[.]com[.]br/staunchness[.]php
hxxps://courses[.]sibmbpreinduction[.]com/mod/resource/classes/analytics/indicator/syncopation[.]php
hxxps://ukguk71[.]ru/libraries/vendor/joomla/registry/src/Format/devastate[.]php
hxxps://mail[.]autokazakov[.]bg/root/ckeditor/plugins/a11yhelp/minutiae[.]php
※「i-FILTER」アクセスログを検索し端末を特定してください
※「通信先一覧」は不要なアクセスを避けるため、一部変更しております。
■製品対応状況
▽m-FILTER
・偽装レベル5以上で隔離可能
・本文偽装判定(偽装キーワード)で判定
・送信元偽装判定(送信元認証失敗)で判定
・URLカテゴリ判定(未カテゴリURLあり)で判定
▽i-FILTER
・推奨フィルター(カテゴリ外)でブロック可能(部分的に有効)
・[脅威情報サイト]カテゴリでブロック可能なよう対処済み
※暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。
※ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。