不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様12社
URLアクセスした
弊社お客様0社
-
2020/10/15
※2020/10/16 更新
10/14から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
failure notice
※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。
添付ファイル名:
●●●.doc
作業計画.doc
請求書●●●.doc
追加分も.doc
給与.doc
契約する.doc
アンケート.doc
注文.doc
更新の請求書.doc
※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
例)2020.10.doc
添付ファイルハッシュ値:
fa5a38d39b28bcc84ad1a699a6b74b39632454d14cf52ada165173ec48c3a085
5f6369edf681e49b7082de7505b14b3069d2a9548558ce40191c8f5ed9f62156
aad785610db9d5e5050e9e10154cc7c96c6c25c9d307dbdca3fdb53d045d8e96
da89280ea65f1ab4e0cadd400249619e943f468ddea0e145ad1b5dc18ff280b1
29f5b0b59ebe46d3c12889abb6eff1c5fcab54b1f27310a78ee43b163eae96f5
e45726a4fd9526c5ecaba368e47f6d71ffd7601ba0a24741d46f0338d836e31b
e4b483b40f264f50fde1eb81de35754036272d0af70eae1447febaeafe1b5e35
e1d858dded1e424b3b40923cd0b858ccf5956677bcc307d2bc37b4776573de96
※他にも多数のハッシュ値ファイルがあると思われます。
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://transfersuvan[.]com/wp-admin/07HDv9jur/
hxxp://colfarse[.]com[.]ar/colfar/A/
hxxp://ruralagricola[.]com[.]br/wp-admin/HZ5sy3nL7/
hxxp://vzminternational[.]com[.]br/wp-content/bD4sA/
hxxp://intc[.]solutions/wp-content/ig9N/
hxxp://helionspharmaceutical[.]com/wp-admin/gO0/
hxxp://uniteddatabase[.]net/wp-admin/SjcXyYo/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://como[.]love/wp-includes/3DZZL1XX/
hxxp://zanuda[.]info/wp-admin/t4/
hxxp://rockstarcbd[.]com/www
hxxps://www[.]dhariyafarms[.]com/wp-content/uploads/jux5lbeh4/
hxxp://shopeeinfo[.]com/wp-includes/LCZpIII/
hxxps://skypipit[.]com/object-tracking/HIi9njT68/
hxxps://superadmin[.]creciendoconelarcoiris[.]com/mob_search/Xk/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://theusacommunity[.]com/wp-content/WH/
hxxp://jespersen[.]org/carter/J/
hxxp://e-machine[.]com[.]br/mailer/BjCInTq6b/
hxxp://nucleokardecistalace[.]org[.]br/wp-includes/nHEnWi/
hxxps://cearacultural[.]com[.]br/admin/itkfdUik4/
hxxps://www[.]infoquick[.]co[.]uk/business_card/RANADek/
hxxp://krais[.]co[.]il/wp-admin/b/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。
▽i-FILTER
hxxp://ruralagricola[.]com[.]br/wp-admin/HZ5sy3nL7/
hxxp://vzminternational[.]com[.]br/wp-content/bD4sA/
hxxp://intc[.]solutions/wp-content/ig9N/
hxxp://uniteddatabase[.]net/wp-admin/SjcXyYo/
hxxps://como[.]love/wp-includes/3DZZL1XX/
hxxp://zanuda[.]info/wp-admin/t4/
hxxp://rockstarcbd[.]com/www
hxxp://shopeeinfo[.]com/wp-includes/LCZpIII/
hxxps://skypipit[.]com/object-tracking/HIi9njT68/
hxxps://superadmin[.]creciendoconelarcoiris[.]com/mob_search/Xk/
カテゴリ状況:10月14日 [カテゴリ外](※1)
追加済みまたは反映予定:[脅威情報サイト]
hxxp://colfarse[.]com[.]ar/colfar/A/
hxxp://helionspharmaceutical[.]com/wp-admin/gO0/
hxxps://www[.]dhariyafarms[.]com/wp-content/uploads/jux5lbeh4/
カテゴリ状況:10月14日 [企業・ビジネス・業界団体]
追加済みまたは反映予定:[脅威情報サイト]
hxxp://transfersuvan[.]com/wp-admin/07HDv9jur/
カテゴリ状況:10月14日 [脅威情報サイト]
hxxp://theusacommunity[.]com/wp-content/WH/
hxxp://jespersen[.]org/carter/J/
hxxp://e-machine[.]com[.]br/mailer/BjCInTq6b/
hxxps://www[.]infoquick[.]co[.]uk/business_card/RANADek/
カテゴリ状況:10月15日 [カテゴリ外](※1)
追加済みまたは反映予定:[脅威情報サイト]
hxxps://cearacultural[.]com[.]br/admin/itkfdUik4/
カテゴリ状況:10月15日 [旅行・観光情報]
追加済みまたは反映予定:[脅威情報サイト]
hxxp://krais[.]co[.]il/wp-admin/b/
hxxp://nucleokardecistalace[.]org[.]br/wp-includes/nHEnWi/
カテゴリ状況:10月15日 [企業・ビジネス・業界団体]
追加済みまたは反映予定:[脅威情報サイト]
上記すべてのURL:ダウンロードフィルター(※2)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。
