不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様
8 URLアクセスした
弊社お客様
0
2021/11/25
※2021/11/25 更新
11/24から発生していたマルウェア(Hancitor)に感染させると考えられるメールの受信・URLアクセスを検知
メール及び添付ファイルを開かないでください

■メール情報
件名:
You got invoice from DocuSign Electronic Signature Service
You got invoice from DocuSign Service
You got invoice from DocuSign Signature Service
You got notification from DocuSign Electronic Service
You got notification from DocuSign Electronic Signature Service
You got notification from DocuSign Service
You got notification from DocuSign Signature Service
You received invoice from DocuSign Electronic Service
You received invoice from DocuSign Electronic Signature Service
You received notification from DocuSign Electronic Service
You received notification from DocuSign Electronic Signature Service
You received notification from DocuSign Service
You received notification from DocuSign Signature Service

※上記以外の件名、添付ファイル名が利用されている可能性があります。


■IoC
通信先一覧:
hxxps://dev[.]tecnoaden[.]cl/adego/Files/alumnos/123456789/pectin[.]php
hxxps://courses[.]sibmbpreinduction[.]com/quizzical[.]php
hxxps://satunusantaranews[.]co[.]id/solitaire[.]php
hxxps://plasf[.]com/tenth[.]php
hxxps://room[.]sginicaragua[.]org/wp-includes/js/tinymce/plugins/charmap/conflagration[.]php
hxxps://www[.]rhythmvacations[.]com/pix[.]php
hxxps://plasf[.]com/julia[.]php
hxxps://orangeplasticmachinery[.]com/eucharist[.]php
hxxps://client[.]meetsusolutions[.]com/truculence[.]php
hxxps://cakefrostofficial[.]com/timbal[.]php
hxxps://orangeplasticmachinery[.]com/atlantic[.]php
hxxps://plasf[.]com/middleman[.]php
hxxps://www[.]rhythmvacations[.]com/dimwitted[.]php
hxxps://whizcraft[.]co[.]uk/personalties[.]php
hxxps://cakefrostofficial[.]com/lightened[.]php
hxxps://tnk-moflad[.]com/wp-content/plugins/updraftplus/vendor/kriswallsmith/assetic/src/smog[.]php
hxxps://mail[.]autokazakov[.]bg/root/ckeditor/plugins/a11yhelp/uncleaned[.]php
hxxp://alltestagain[.]lukehadaj[.]com[.]au/suety[.]php
hxxps://ukguk71[.]ru/libraries/vendor/joomla/registry/src/Format/benzoin[.]php
hxxps://client[.]meetsusolutions[.]com/breezy[.]php
hxxps://plasf[.]com/uncounted[.]php
hxxps://www[.]rhythmvacations[.]com/presidency[.]php
hxxps://start360up[.]com/wp-content/plugins/pirate-forms/gutenberg/css/pegmatitic[.]php
hxxps://iptel[.]cy/streambed[.]php
hxxps://anexo[.]app[.]yeshua[.]com[.]br/staunchness[.]php
hxxps://courses[.]sibmbpreinduction[.]com/mod/resource/classes/analytics/indicator/syncopation[.]php
hxxps://ukguk71[.]ru/libraries/vendor/joomla/registry/src/Format/devastate[.]php
hxxps://mail[.]autokazakov[.]bg/root/ckeditor/plugins/a11yhelp/minutiae[.]php

※「i-FILTER」アクセスログを検索し端末を特定してください
※「通信先一覧」は不要なアクセスを避けるため、一部変更しております。


■製品対応状況
▽m-FILTER
・偽装レベル5以上で隔離可能
    ・本文偽装判定(偽装キーワード)で判定
    ・送信元偽装判定(送信元認証失敗)で判定
    ・URLカテゴリ判定(未カテゴリURLあり)で判定
 
▽i-FILTER
・推奨フィルター(カテゴリ外)でブロック可能(部分的に有効)
・[脅威情報サイト]カテゴリでブロック可能なよう対処済み
 
※暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。
※ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。
			

※ 特許取得済み(特許6716051号)/ Webサイトの改ざんの検知において特許を取得

  • お電話でのお問合せ 03-5220-3090 平日 9:00〜18:00 ※土・日・祝日、弊社指定休業日除く
イベント・セミナー情報