不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様41社
URLアクセスした
弊社お客様1社
-
2019/05/21
※2019/05/22 更新
05/21から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック
件名:
Fw:
添付ファイル名:
1.doc.rar
1.doc.zip
1.rar
1.zip
2233.zip
2765.zip
96.zip
Document.zip
INVOICE.zip
doc2.zip
doc3.zip
document.zip
new document.zip
添付ファイルハッシュ値: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感染プロセス
メール受信
↓
圧縮された添付ファイルを解凍し、vbsファイルまたはjsファイルを実行
↓
hxxp://www[.]binance-forever[.]ru/x[.]doc
hxxp://wex-notdead[.]ru/1[.]doc
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxp://11totalzaelooop11[.]club/jd/t32[.]bin
hxxp://adonis-medicine[.]at/images/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装レベル3以上
・添付ファイル偽装判定
・本文偽装判定
・送信元偽装判定
アンチスパム
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxp://www[.]binance-forever[.]ru/x[.]doc
2019年5月21日
[カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://wex-notdead[.]ru/1[.]doc
2019年5月22日
[カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://11totalzaelooop11[.]club/jd/t32[.]bin
hxxp://adonis-medicine[.]at/images/
[違法ソフト・反社会行為][脅威情報サイト](※2)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ