不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様15社
URLアクセスした
弊社お客様5社
-
2019/12/19
※2019/12/20 更新
12/18から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
12月賞与
2019冬・業績賞与支給
Christmas Eve
KFC ●●●
KFCテーブル ●●●
Support Greta Thunberg
Support Greta Thunberg - Time Person of the Year 2019
ご入金額の通知・ご請求書発行のお願い ●●●
パスワードの送付について
届
払
払届
納品計画書
請求書の件です。 ●●●
請求書送付のお願い ●●●
賞与
賞与支
賞与支払
賞与支払届
賞与支給に際しての社長メッセージ
※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※上記件名の前後に、■◆※◎などの記号が含まれる場合があります。
例)☆☆ 賞与支 ☆☆
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
例)請求書送付のお願い 69354-2019_12_18
添付ファイル名:
12月賞与.doc
2019冬・業績賞与支給.doc
KFC ●●●.doc
KFCテーブル ●●●.doc
Support Greta Thunberg - Time Person of the Year 2019.doc
Support Greta Thunberg - Time Person of the Year.doc
The biggest demonstration.doc
the biggest demonstration.doc
ご入金額の通知・ご請求書発行のお願い ●●●.doc
メリークリスマス ●●●.doc
届.doc
払.doc
払届.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
賞与.doc
賞与支.doc
賞与支払.doc
賞与支払届.doc
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
例)請求書送付のお願い 23452527-8ML8Q2.doc
添付ファイルハッシュ値:
a592148c679c693b10d97f6264c6e42fa58cfb0ac1533acecc132870249382a9
674d80befff9f75d8834b1ffde25b89e18f5dafab1675c918559866e7db8c889
8090adb36895df2204e1c347145ce497edaab5bfd34a935cc64a271d3dd2f0ee
d56126c1a995b08b9a058de9101b8017fbcba9450ff193263a59aeb19b52c190
e8f4adbc33575dfdc6cc8046ec0478baee34237bda285c3e9fd4798aea4ea516
540e2c75eeef3107cbbad0013018fab14ff7484bec3946c1c9f395b942af1237
※他にも多数のHASH値ファイルがあると思われます。
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://apkiasaani[.]com/wp-includes/YDpCjo/
hxxp://dathachanhphongthuy[.]com/wp-content/4jul9js6-nees-96/
hxxp://d4[.]gotoproject[.]net/calendar/stg8bg-eqs8q528-652549445/
hxxp://ekobygghandel[.]se/wp-content/tflGWFifb/
hxxp://feroscare[.]klyp[.]co/CRM/4w74w-ubw-364157142/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://stephenmould[.]com/contactus_exported/eozs-mdw7rvw71i-8994/
hxxps://epress[.]ie/lh/3p8lflb9zj-tpl2kti9-31/
hxxp://kitex[.]annagroup[.]net/cgi-bin/0fz82bv80-qdc4agro-21350/
hxxp://saras[.]annagroup[.]net/cgi-bin/jUQXDz/
hxxp://annaaluminium[.]annagroup[.]net/cgi-bin/ujMUbX/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://smartmobilelearning[.]co[.]za/test/BQwVaG/
hxxps://vorminfunctie[.]nl/cgi-bin/kmxxr1-xuu9upx87c-520086/
hxxp://caretodayuk[.]co[.]uk/wp-admin/homegq47-5y2hhwi-593494/
hxxp://biztreemgmt[.]com/wordpress/wp-theme/css/zsa-42sykdkuj3-529206/
hxxp://bftmedia[.]se/Frihamnsbrand/p60lg61cv-g8w9cd5-9668099500/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://fanitv[.]com/sandbox/oQmLZD/
hxxp://bicheru-cycling[.]ro/bbr/IEScmzh/
hxxp://lesdebatsdecouzon[.]org/lddc/7wpe2-kckbz4za-25568/
hxxps://4vetcbd[.]com/cgi-bin/CqCjQxYqx/
hxxp://zlatebenz[.]mk/wp-content/6nlkz6y-lmfk-9136296721/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装レベル4以上
・添付ファイル偽装判定
アンチスパム
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxp://apkiasaani[.]com/wp-includes/YDpCjo/
hxxp://dathachanhphongthuy[.]com/wp-content/4jul9js6-nees-96/
hxxp://d4[.]gotoproject[.]net/calendar/stg8bg-eqs8q528-652549445/
hxxp://ekobygghandel[.]se/wp-content/tflGWFifb/
12月18日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://feroscare[.]klyp[.]co/CRM/4w74w-ubw-364157142/
12月18日 [企業・ビジネス・業界団体](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://stephenmould[.]com/contactus_exported/eozs-mdw7rvw71i-8994/
hxxps://epress[.]ie/lh/3p8lflb9zj-tpl2kti9-31/
hxxp://kitex[.]annagroup[.]net/cgi-bin/0fz82bv80-qdc4agro-21350/
hxxp://saras[.]annagroup[.]net/cgi-bin/jUQXDz/
hxxp://annaaluminium[.]annagroup[.]net/cgi-bin/ujMUbX/
12月18日 [カテゴリ外](※1)
12月19日 [違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxps://smartmobilelearning[.]co[.]za/test/BQwVaG/
hxxp://caretodayuk[.]co[.]uk/wp-admin/homegq47-5y2hhwi-593494/
hxxp://bftmedia[.]se/Frihamnsbrand/p60lg61cv-g8w9cd5-9668099500/
12月19日 [カテゴリ外](※1)
12月20日 [違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://biztreemgmt[.]com/wordpress/wp-theme/css/zsa-42sykdkuj3-529206/
12月19日 [企業・ビジネス・業界団体]
12月20日 [違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxps://vorminfunctie[.]nl/cgi-bin/kmxxr1-xuu9upx87c-520086/
12月19日 [IT情報・サービス]
12月20日 [違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://lesdebatsdecouzon[.]org/lddc/7wpe2-kckbz4za-25568/
12月20日 [企業・ビジネス・業界団体][脅威情報サイト](※2)
hxxp://zlatebenz[.]mk/wp-content/6nlkz6y-lmfk-9136296721/
hxxp://bicheru-cycling[.]ro/bbr/IEScmzh/
hxxps://4vetcbd[.]com/cgi-bin/CqCjQxYqx/
12月20日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxps://fanitv[.]com/sandbox/oQmLZD/
12月20日 [IT情報・サービス]→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
上記すべてのURL:ダウンロードフィルター(※3)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
(※3)i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。