不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様34社 URLアクセスした
弊社お客様1社

2019/04/15
※2019/04/19 更新
04/15から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
Fw:
Fw:HR
Fw:list of employees to reduce
Fw: staff reduction
Payment deadline
Fax
Jin'in sakugen
Re:


添付ファイル名：
1.doc.zip
d.doc.zip
doc.doc.zip
doc.zip
doc2.zip
document.zip
document2.zip
list.doc.zip
list.zip
newdoocument.doc.zip
xls.zip

1.doc.rar
d.doc.rar
doc.doc.rar
doc.rar
list.doc.rar
newdoocument.rar
xls.rar

1.doc.js
DOC.js
xls.js


添付ファイルハッシュ値：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※その他多数あり

感染プロセス
メール受信
↓
圧縮された添付ファイルを解凍し、jsファイルを実行
または、添付のjsファイルを実行
↓
hxxp://instant-payments[.]ru/read.exe
または
hxxp://guebipk-mvd[.]ru/readx.exe
または
hxxp://news-medias[.]ru/report.exe

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル5
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxp://instant-payments[.]ru/read.exe
　2019年4月10日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
　　
hxxp://guebipk-mvd[.]ru/readx.exe
　2019年4月16日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

hxxp://news-medias[.]ru/report.exe
　2019年4月18日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加


（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ