不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様17社
URLアクセスした
弊社お客様3社
-
2020/10/06
※2020/10/06 更新
10/05から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
金曜日の会議のチェックリスト。
金曜日の次の会議の議題。
※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。
添付ファイル名:
10 05.doc
10_05.doc
10月.doc
2020 10月 05.doc
2020 10月.doc
2020.10.05.doc
202010月05.doc
20_10.doc
VPZUB-1020.doc
ご案内.doc
アンケート.doc
テスト結果.doc
ビル.doc
会議の議題.doc
作業計画.doc
報告.doc
報告書.doc
契約する.doc
更新のビル.doc
更新の給与.doc
次の会議の議題.doc
注文.doc
税金.doc
請求書.doc
資料.doc
追加分も.doc
※上記以外にも存在する可能性があります。
添付ファイルハッシュ値:
1201e68e57a4ed497b1d3bf8595c84e4ef2070af226c153cb55e352844ca3933
25f3446a50840a954e457ca61fef0e355573828ef721de5b65bcaae907512c35
3d3cf722b57d38da38edbc957b9ec859d32fd38280d4c7e0df30ec895a8b8858
404610c182d2666ad9f8b37074fdec89171be9e8f78f94fb6af98112e944dddc
884db067191cba16f790e392ebd0e235e01cac3191e8cd131a87f5d8b39bb772
bc4618a8784031498bed1d23d3fd68dcdaeccdf93d1df90b429c4e57e2ef262d
be998dee2e494c17b9947d151003414423451e08597d067600f17397a1e194ff
234df1ac0db313eb21884fa4070da91002807511ab73498a2e69497406717b87
00dcdd935eefe0c59c942ee712ad77edf022f7891ad99b2817eb610a4aa80855
1c81327cdc76b16298c2c6734539cd50617c1e0ce10019c5523770407b397c1a
34bcb54ea44a8be385f5538eb18fcd093b400e69c261d32eeda08e7390475d21
※他にも多数のハッシュ値ファイルがあると思われます。
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://www[.]radiostudioerre[.]it/MOBILE/N9iKnmisv/
hxxp://jegsnet[.]com/wp-content/X0/
hxxp://karlagaray[.]com/wp-includes/VSLc/
hxxps://laspanofashion[.]com/mail
hxxp://assoc[.]cinepu[.]com/img/rvmRw/
hxxps://mediafile[.]in/wp-includes/fUgGS/
hxxps://buildmarker[.]com/wp-content/uploads/Bp4bT0UT/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://webtalavera[.]com/site/8Xdk6wyg5141/
hxxp://vbcargo[.]hu/sms_mail/attach/uuOkTMUkW/
hxxp://vuurwerkhallen[.]nl/folder/hlEVHyR/
hxxp://www[.]1ca[.]co[.]za/beautyschool/xKi/
hxxp://www[.]allinternetbundles[.]com/qqp/file/NxbgET/
hxxps://honestycc[.]com[.]hk/v05/LSGFKMe/
hxxps://fuguluggage[.]com/wp-content/dr6x1066/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://www[.]nilkanthglobal[.]com/img/attach/cwAkwZPTL/
hxxps://artwork-hl[.]de/WordPress_02/file/lRYhNIhvv/
hxxp://b-lizzard[.]pt/CLIENTES/GoEmEwyA/
hxxp://bbonin[.]de/BingSiteAuth
hxxp://guarany[.]net/zefiro/BmruGlVCC/
hxxp://livefarma[.]com/wp-content/attach/nWhIF/
hxxp://bauer-total[.]de/ce_vcounter/jxg1125/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://116[.]91[.]240[.]96
hxxp://167[.]71[.]227[.]113:8080
hxxps://126[.]126[.]139[.]26
hxxp://190[.]85[.]46[.]52:7080
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。
▽i-FILTER
hxxp://jegsnet[.]com/wp-content/X0/
カテゴリ状況:10月05日 [IT情報・サービス]
追加済みまたは反映予定:[脅威情報サイト]
hxxp://assoc[.]cinepu[.]com/img/rvmRw/
カテゴリ状況:10月05日 [企業・ビジネス・業界団体]
追加済みまたは反映予定:[脅威情報サイト]
hxxps://fuguluggage[.]com/wp-content/dr6x1066/
カテゴリ状況:10月05日 [企業・ビジネス・業界団体][脅威情報サイト]
hxxp://webtalavera[.]com/site/8Xdk6wyg5141/
hxxp://vuurwerkhallen[.]nl/folder/hlEVHyR/
hxxp://vbcargo[.]hu/sms_mail/attach/uuOkTMUkW/
hxxps://www[.]nilkanthglobal[.]com/img/attach/cwAkwZPTL/
hxxp://livefarma[.]com/wp-content/attach/nWhIF/
hxxps://honestycc[.]com[.]hk/v05/LSGFKMe/
hxxp://guarany[.]net/zefiro/BmruGlVCC/
hxxp://b-lizzard[.]pt/CLIENTES/GoEmEwyA/
hxxp://bbonin[.]de/BingSiteAuth
hxxp://bauer-total[.]de/ce_vcounter/jxg1125/
hxxps://artwork-hl[.]de/WordPress_02/file/lRYhNIhvv/
hxxp://www[.]1ca[.]co[.]za/beautyschool/xKi/
hxxp://167[.]71[.]227[.]113:8080
hxxp://www[.]allinternetbundles[.]com/qqp/file/NxbgET/
カテゴリ状況:10月05日 [脅威情報サイト]
hxxp://www[.]radiostudioerre[.]it/MOBILE/N9iKnmisv/
hxxp://karlagaray[.]com/wp-includes/VSLc/
hxxps://laspanofashion[.]com/mail
hxxps://mediafile[.]in/wp-includes/fUgGS/
hxxps://buildmarker[.]com/wp-content/uploads/Bp4bT0UT/
hxxp://116[.]91[.]240[.]96
hxxps://126[.]126[.]139[.]26
hxxp://190[.]85[.]46[.]52:7080
カテゴリ状況:10月05日 [カテゴリ外](※1)
追加済みまたは反映予定:[脅威情報サイト]
上記すべてのURL:ダウンロードフィルター(※2)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。
