不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様6社 URLアクセスした
弊社お客様0社

2020/10/27
※2020/10/27 更新
10/27から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
TRADE LICENSE 2020
failure notice

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。


添付ファイル名：
9JX4-00040522574929.doc
B-14561247606.doc
FR09228898884.doc
K0062311133596.doc
M700096415.doc
N057458018.doc
OG4R-79045.doc
P0715045.doc
invoce N  Q70 26 10.doc
2-0067948.doc

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
e4e2b59b96de572796b1b3d7aa8cdaf3527ec0435e4855c01e7a2442d6caccf3
c6837f0ac871c07b7e1330f74ba054bffcf4b9d45e482669cfa35f7447229353

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://madrushdigital[.]com/wp-admin/OJ5Uu5J/
hxxp://heankan[.]bio/js/T8oCHm/
hxxps://jupitermarinesales[.]com/wp-content/cache/xLWIP/
hxxps://lovetraveltoday[.]com/localisationl/0zwJxNkMRK/
hxxps://unikaryapools[.]com/wp/JWUG4n/
hxxp://www[.]akdgroup[.]co[.]in/jio/8vSciyhM/
hxxp://ufak2[.]com/demo/2hhpCYzwTL/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxp://heankan[.]bio/js/T8oCHm/
hxxps://jupitermarinesales[.]com/wp-content/cache/xLWIP/
hxxps://lovetraveltoday[.]com/localisationl/0zwJxNkMRK/
hxxps://unikaryapools[.]com/wp/JWUG4n/
hxxp://www[.]akdgroup[.]co[.]in/jio/8vSciyhM/
hxxp://ufak2[.]com/demo/2hhpCYzwTL/
カテゴリ状況：10月27日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://madrushdigital[.]com/wp-admin/OJ5Uu5J/
カテゴリ状況：10月27日 [IT情報・サービス]
追加済みまたは反映予定：[脅威情報サイト]

上記すべてのURL：ダウンロードフィルター(※2)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。