不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様
5 URLアクセスした
弊社お客様
0
2020/12/22
※2020/12/23 更新
12/22から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
2020冬・業績賞与支給
賞与
払
賞与支払届
Quotation Request for November

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。


添付ファイル名:
賞与支払.doc
賞与支払届.doc
賞与.doc
払届.doc
2020冬・業績賞与支給.doc
Invoice●●●.doc
project.doc
Important information.doc
Important.doc
order.doc
updated order.doc
Electronic invoice.doc
Here is your order.doc
Urgent information.doc
Urgently.doc
Very urgent information.doc
doc JD 527244.doc
doc-AF-9799.doc
estimate.doc

※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。


添付ファイルハッシュ値:
f906af5d030a5ba5dd957512341c5a802ab940cbb431e2a6c349b8299e22aaf3
504d2a8a2185bb71b0ef97fc758748a86ef4438a1b1c0b4926ef658381dd704f
a61add91d1ec99ec85463137cdefd5a4f56e2bc5885b00b4fdb840347ed6ab4e
7bec229183b1d7c4db03100936d45560c9c0813f6c13fbe3ac5f215e04b32094

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://aktuel[.]marduk[.]kim/dooxi-fuel-hf09b/Logs/
hxxp://braam[.]com[.]br/c/oaA7YWWX/
hxxp://zebaorganics[.]com/wp-admin/en-US/
hxxp://friendsofchrist10[.]com/streamlabs-obs-rarso/SIGNUP/
hxxp://guojiazui[.]com/b/y0QnnWbk/
hxxp://fi[.]bonitastores[.]com/n/WUGoZ/
hxxp://iog[.]com[.]cn/css/Sys/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://accionistas[.]balneariodealange[.]com/rumus-jitu-wkg6v/SIGNUP/
hxxp://andeanreach[.]com/System/
hxxps://fresh-flowers-galore[.]com/wp-content/SSChBp8P/
hxxps://travianbot[.]net/wp-admin/58Crtv/
hxxps://italymining[.]eu/wp-includes/en-US/
hxxp://biolandmedical[.]litofis[.]com/VGX/
hxxp://ciroiluminacion[.]litofis[.]com/wp-includes/eKWy/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://blog[.]vishou[.]net/admin/font/
hxxp://vod[.]vishou[.]net/data/6hCNth/
hxxps://unikaryapools[.]com/wp/Speech/
hxxps://www[.]themoviebazar[.]com/2007-bmw/Help/
hxxps://www[.]lixko[.]com/wp-includes/VGX/
hxxp://phasdesign[.]com/wordpress/MSInfo/
hxxps://ardenneweb[.]com/765779o900/re/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxp://aktuel[.]marduk[.]kim/dooxi-fuel-hf09b/Logs/
hxxp://braam[.]com[.]br/c/oaA7YWWX/
hxxp://zebaorganics[.]com/wp-admin/en-US/
hxxp://friendsofchrist10[.]com/streamlabs-obs-rarso/SIGNUP/
hxxp://guojiazui[.]com/b/y0QnnWbk/
hxxp://fi[.]bonitastores[.]com/n/WUGoZ/
hxxp://iog[.]com[.]cn/css/Sys/
hxxps://accionistas[.]balneariodealange[.]com/rumus-jitu-wkg6v/SIGNUP/
hxxp://andeanreach[.]com/System/
hxxps://fresh-flowers-galore[.]com/wp-content/SSChBp8P/
hxxps://travianbot[.]net/wp-admin/58Crtv/
hxxps://italymining[.]eu/wp-includes/en-US/
hxxp://biolandmedical[.]litofis[.]com/VGX/
hxxp://ciroiluminacion[.]litofis[.]com/wp-includes/eKWy/
hxxp://blog[.]vishou[.]net/admin/font/
hxxp://vod[.]vishou[.]net/data/6hCNth/
hxxps://unikaryapools[.]com/wp/Speech/
hxxps://www[.]themoviebazar[.]com/2007-bmw/Help/
hxxps://www[.]lixko[.]com/wp-includes/VGX/
hxxp://phasdesign[.]com/wordpress/MSInfo/
hxxps://ardenneweb[.]com/765779o900/re/
カテゴリ状況:12月22日 [カテゴリ外](※1)
追加済みまたは反映予定:[脅威情報サイト]


上記すべてのURL:ダウンロードフィルター(※2)

(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。			

※ 特許取得済み(特許6716051号)/ Webサイトの改ざんの検知において特許を取得

  • お電話でのお問合せ 03-5220-3090 平日 9:00〜18:00 ※土・日・祝日、弊社指定休業日除く
  • DACデジタルアーツコンサルティングHP改ざん監視の
    運用委託のご相談
  • セキュリティ運用管理改善サービス

    デジタルアーツコンサルティング株式会社では、高度なサイバーセキュリティ対策が求められるエンタープライズ環境において、「Exabeam Smarter SIEM」を活用した「セキュリティ運用管理改善サービス」と従来サービスとの組み合わせにより、セキュリティ強化とICT利活用による最適な経営環境のセキュリティコンサルティングサービスを行っています。