不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様6社 URLアクセスした
弊社お客様1社

2019/04/15
※2019/04/16 更新
04/15から発生していたマルウェアEmotetに感染させるメールの受信・ URLアクセスをブロック

件名：
毎月の請求書
請求書の請求


添付ファイル名：
nnnnnnnn_nnnnnn.doc
※太赤字の「n」は、前半8-10桁程度、後半が6-8桁程度の数字が入ります。


添付ファイルハッシュ値：
b9efa337bb020490860db5da805c1070416c28c3471cfc15cf10dad6e374baac
80a836c861b6a5d045d85aa9d3091035691b769ebdcd3b4de781f47c257049e7
697892e7d72df8da7fe245e5a82fb5cc53f5a34deba8b4f794eafb62cdcdc4b4
5a91b573157525fd97eb1adde4653a28f91c3b97fa28b30a3ddf45945c536b89


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://garammatka[.]com/
hxxp://rinconadarolandovera[.]com/
hxxp://gamvrellis[.]com/
hxxp://hadrianjonathan[.]com/
hxxp://warwickvalleyliving[.]com/
↓
187[.]137[.]162[.]145:443
45[.]33[.]35[.]103:8080
65[.]49[.]60[.]163:443
88[.]215[.]2[.]29

※弊社で観測したIPアドレスを載せています。環境等により異なる可能性があります。
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル2以上
　　・添付ファイル偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxp://garammatka[.]com/
hxxp://rinconadarolandovera[.]com/
hxxp://gamvrellis[.]com/
hxxp://hadrianjonathan[.]com/
hxxp://warwickvalleyliving[.]com/
　2019年4月15日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

187[.]137[.]162[.]145:443
45[.]33[.]35[.]103:8080
65[.]49[.]60[.]163:443
88[.]215[.]2[.]29
　2019年4月15日
　　[違法ソフト・反社会行為]→[脅威情報サイト](※2)を追加


（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ