不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様5社 URLアクセスした
弊社お客様0社

2020/12/22
※2020/12/23 更新
12/22から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
2020冬・業績賞与支給
賞与
払
賞与支払届
Quotation Request for November

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。


添付ファイル名：
賞与支払.doc
賞与支払届.doc
賞与.doc
払届.doc
2020冬・業績賞与支給.doc
Invoice●●●.doc
project.doc
Important information.doc
Important.doc
order.doc
updated order.doc
Electronic invoice.doc
Here is your order.doc
Urgent information.doc
Urgently.doc
Very urgent information.doc
doc JD 527244.doc
doc-AF-9799.doc
estimate.doc

※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。


添付ファイルハッシュ値：
f906af5d030a5ba5dd957512341c5a802ab940cbb431e2a6c349b8299e22aaf3
504d2a8a2185bb71b0ef97fc758748a86ef4438a1b1c0b4926ef658381dd704f
a61add91d1ec99ec85463137cdefd5a4f56e2bc5885b00b4fdb840347ed6ab4e
7bec229183b1d7c4db03100936d45560c9c0813f6c13fbe3ac5f215e04b32094

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://aktuel[.]marduk[.]kim/dooxi-fuel-hf09b/Logs/
hxxp://braam[.]com[.]br/c/oaA7YWWX/
hxxp://zebaorganics[.]com/wp-admin/en-US/
hxxp://friendsofchrist10[.]com/streamlabs-obs-rarso/SIGNUP/
hxxp://guojiazui[.]com/b/y0QnnWbk/
hxxp://fi[.]bonitastores[.]com/n/WUGoZ/
hxxp://iog[.]com[.]cn/css/Sys/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://accionistas[.]balneariodealange[.]com/rumus-jitu-wkg6v/SIGNUP/
hxxp://andeanreach[.]com/System/
hxxps://fresh-flowers-galore[.]com/wp-content/SSChBp8P/
hxxps://travianbot[.]net/wp-admin/58Crtv/
hxxps://italymining[.]eu/wp-includes/en-US/
hxxp://biolandmedical[.]litofis[.]com/VGX/
hxxp://ciroiluminacion[.]litofis[.]com/wp-includes/eKWy/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://blog[.]vishou[.]net/admin/font/
hxxp://vod[.]vishou[.]net/data/6hCNth/
hxxps://unikaryapools[.]com/wp/Speech/
hxxps://www[.]themoviebazar[.]com/2007-bmw/Help/
hxxps://www[.]lixko[.]com/wp-includes/VGX/
hxxp://phasdesign[.]com/wordpress/MSInfo/
hxxps://ardenneweb[.]com/765779o900/re/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxp://aktuel[.]marduk[.]kim/dooxi-fuel-hf09b/Logs/
hxxp://braam[.]com[.]br/c/oaA7YWWX/
hxxp://zebaorganics[.]com/wp-admin/en-US/
hxxp://friendsofchrist10[.]com/streamlabs-obs-rarso/SIGNUP/
hxxp://guojiazui[.]com/b/y0QnnWbk/
hxxp://fi[.]bonitastores[.]com/n/WUGoZ/
hxxp://iog[.]com[.]cn/css/Sys/
hxxps://accionistas[.]balneariodealange[.]com/rumus-jitu-wkg6v/SIGNUP/
hxxp://andeanreach[.]com/System/
hxxps://fresh-flowers-galore[.]com/wp-content/SSChBp8P/
hxxps://travianbot[.]net/wp-admin/58Crtv/
hxxps://italymining[.]eu/wp-includes/en-US/
hxxp://biolandmedical[.]litofis[.]com/VGX/
hxxp://ciroiluminacion[.]litofis[.]com/wp-includes/eKWy/
hxxp://blog[.]vishou[.]net/admin/font/
hxxp://vod[.]vishou[.]net/data/6hCNth/
hxxps://unikaryapools[.]com/wp/Speech/
hxxps://www[.]themoviebazar[.]com/2007-bmw/Help/
hxxps://www[.]lixko[.]com/wp-includes/VGX/
hxxp://phasdesign[.]com/wordpress/MSInfo/
hxxps://ardenneweb[.]com/765779o900/re/
カテゴリ状況：12月22日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]


上記すべてのURL：ダウンロードフィルター(※2)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。