不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様4社 URLアクセスした
弊社お客様0社

2020/06/09
※2020/06/11 更新
06/08から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスを検知

件名：
DHL Overdue Account Notice - 1nnnnnnnnn
DHL enclosed invoices
DHL invoices for this period
DHL - invoice(s)
- invoice(s) apr 2020
enclosed invoices
Notification of Payment
Payment Advice
Payment Advice Notification
Payment Receipt
Payment Receipt ID: nnnnnnn - 10 Jun 2020
Receipt for Bill Payment

※太赤字の「n」はランダムな数字が入ります。


添付ファイル名：
DHL Overdue Account Notice - 1nnnnnnnnn.xlsm
nnn nnnnn nnnnn.xlsm
Credit Card Receipt nnnnnn.xlsm
IRS payment 570738.xlsm
PYMNT_ADVICE nnnnnn.xlsm
PYMNT_ADVICE_26356.xlsm
Receipt6 10 20 02637.xlsm
Receipt_Payment 285083.xlsm
Remittance Advice-PAY nnnnnn.xlsm
Remittance Advice-PAY-39103.xlsm
bill and payment 047616.xlsm
bill and payment6 10 20 49133.xlsm
bill and payment_27613.xlsm
payment 976878.xlsm
payment6 10 20 20481.xlsm

※太赤字の「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
e894ace959ac95fda393105d2905b0668ad93781c04be83f9f41fdf38edc1cbc
20ff54eb54bdb826df1b416a8c353a49723d9a36069aeaf516d2043bc41a6554
c1442825db496e97bd7f58d26ee270c461cb309617c610365730ea2416b4d3d3

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://mukaramba[.]com/
hxxps://truemukaramba[.]com/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://true1true[.]com/
hxxps://0true1true[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxps://mukaramba[.]com/
hxxps://truemukaramba[.]com/
カテゴリ状況：06月08日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://true1true[.]com/
hxxps://0true1true[.]com/
カテゴリ状況：06月10日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

（※1）「推奨フィルタ―設定」でブロック可能