不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様7社 URLアクセスした
弊社お客様1社

2021/01/21
※2021/01/21 更新
01/21から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
新型コロナウイルス感染拡大防止対策に向けた当社の対応について

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。


添付ファイル名：
在宅勤務実施概要.doc
知らせ.doc
お知らせ.doc
新型コロナウイルス感染症への弊社の対応に関するお知らせ.doc
緊急.doc
緊急事態宣言.doc
サービスのご提供に関するお問い合わせ先.doc

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
c87e8a8570312a7177112ee5e498343640207f7426e389f530f07c2a881f3f0b
8a8b0db6174bb381555b705408741c10c6673661a1cac67b6013a3b53d858175
5376daf10aa7b453a39509112f587f1cacf15046fc4e8c8608512d30c63e5b5c
b3bf0aeadf5d0b5b1c4005b38fb94ec07bc8304c1db76b96ac7c557b3d3bd150
0df1c21cca1994d79eeb014e76fdc83811cbe9895596db8d18872299fffbd9e6

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://gethumvee[.]com/improvisate/HVTtdmsZ/
hxxp://arch[.]nqu[.]edu[.]tw/wordpress/w7F/
hxxp://hindumedia[.]in/microsporous/P7m/
hxxp://pageshare[.]net/sales/tzV/
hxxp://bgmtechnologies[.]com/4131325866/sg/
hxxp://popperandshow[.]com/248152296/ccXqKYPqQ/

※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxp://gethumvee[.]com/improvisate/HVTtdmsZ/
hxxp://arch[.]nqu[.]edu[.]tw/wordpress/w7F/
hxxp://pageshare[.]net/sales/tzV/
hxxp://popperandshow[.]com/248152296/ccXqKYPqQ/
カテゴリ状況：01月21日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxp://bgmtechnologies[.]com/4131325866/sg/
カテゴリ状況：01月21日 [企業・ビジネス・業界団体]
追加済みまたは反映予定：[脅威情報サイト]

hxxp://hindumedia[.]in/microsporous/P7m/
カテゴリ状況：01月21日 [IT情報・サービス]
追加済みまたは反映予定：[脅威情報サイト]

上記すべてのURL：ダウンロードフィルター(※2)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。