不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様24社 URLアクセスした
弊社お客様8社

2019/01/24
※2019/01/24 更新
01/24から発生していたバンキングマルウェアに感染させるメールの受信・URLアクセスをブロック

件名：
①2019注文
②2日受注数
③FW:
④RE: 20190124 FW:
⑤依頼
⑥出資金請求書(2019年1月24日)
⑦添付資料

添付ファイル名：
①20190124 D O Cnnnnn.XLS
②3D_20190124 D O Cnnnnn.XLS_

※太赤字の「n」はランダムな数字が入ります。

添付ファイルハッシュ値：
①ed6701b3be01b5529db4e8196fa6351aa859655ee4c01ea8f67cc8d781424811
②a3a4023b07cb617e77c6853073219b9435c4034bdc9e722c42b2acd0ba90c472
③f8beb595220aae7ad5d680960b7add83071eef56718f2b137f1fbfc35092d70b

-------------
※本件に関する追加情報等
一般財団法人日本サイバー犯罪対策センター【送信日】2019年1月24日部分
-------------

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
次のいずれかのストレージサービスにアップされた画像のURLにアクセス
hxxps://images2[.]imgbox[.]com/f1/52/9dGwQ4Mn_o[.]png
hxxps://i[.]imgur[.]com/ar2vFoS[.]png
hxxps://i[.]postimg[.]cc/wgRWyQPd/MAIN2[.]png?dl=1
hxxps://image[.]frl/i/4sc06puc57ewtzd[.]png
↓
さらに次のいずれかのストレージサービスにアップされた画像のURLにアクセス
↓
hxxps://images2[.]imgbox[.]com/2e/65/qGCb0Rja_o[.]png
hxxps://i[.]imgur[.]com/9Tf1m5c[.]png
hxxps://i[.]postimg[.]cc/dwc1cP5D/doctor[.]png?dl=1
↓
hxxp(s)://pintodoc[.]com/
hxxp(s)://ropitana[.]com/
hxxp(s)://pirenaso[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。

製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://images2[.]imgbox[.]com/f1/52/9dGwQ4Mn_o[.]png
hxxps://i[.]imgur[.]com/ar2vFoS[.]png
hxxps://i[.]postimg[.]cc/wgRWyQPd/MAIN2[.]png?dl=1
hxxps://image[.]frl/i/4sc06puc57ewtzd[.]png
hxxps://images2[.]imgbox[.]com/2e/65/qGCb0Rja_o[.]png
hxxps://i[.]imgur[.]com/9Tf1m5c[.]png
hxxps://i[.]postimg[.]cc/dwc1cP5D/doctor[.]png?dl=1
　2019年1月25日
　　[オンラインストレージ]→[脅威情報サイト]（※2）を追加

hxxp(s)://pintodoc[.]com/
hxxp(s)://ropitana[.]com/
　2019年1月24日
　　[カテゴリ外]（※1）→[違法ソフト・反社会行為]を追加
　2019年1月25日
　　[脅威情報サイト]（※2）を追加

hxxp(s)://pirenaso[.]com/
　2019年1月25日
　　[カテゴリ外]（※1）→[脅威情報サイト]（※2）を追加
（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ