不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様21社 URLアクセスした
弊社お客様0社

2021/04/14
※2021/04/14 更新
04/13から発生していたマルウェア（formbook）に感染させると考えられるメールの受信・URLアクセスを検知

件名：
RE: INVOCE
Cabletech 按发货日期 20210410
RE: 回复：RE: 回复：PROFORMA INVOICE NEEDED

※上記以外の件名が利用されている可能性があります。


添付ファイル名：
SWIFT COPY_PDF.gz
AGREEMENT.gz

※上記以外にも存在する可能性があります。


添付ファイルハッシュ値：
3e43a0c193bbd78bf18e1a9e06b06c647039bae68764b81703cede03b6dbf181
56a6539e8267f147058c0c0c320612fd089f4b2de3fe6d8c73384f6764f4fa43

※観測できた全ハッシュ値を掲載しております。


感染プロセス
メール受信
↓
添付ファイルを開き
↓
gz内のEXEを実行
↓
C2通信へ


通信先一覧：
hxxp://www[.]riceandginger[.]com/fcn/
hxxp://www[.]middlehambooks[.]com/klf/
※接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxp://www[.]riceandginger[.]com/fcn/
カテゴリ状況：04月13日 [違法ソフト・反社会行為]
追加済みまたは反映予定：[脅威情報サイト]

hxxp://www[.]middlehambooks[.]com/klf/
カテゴリ状況：04月13日 [脅威情報サイト]