不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様92社
URLアクセスした
弊社お客様6社
-
2022/01/20
※2022/02/09 更新
01/17から発生していたマルウェア(Emotet)に感染させると考えられるメールの受信・URLアクセスを検知
メール及び添付ファイルを開かないでください
■IoC
通信先一覧:
hxxp://blakeriot[.]com/z38nil9/iVnbSQkfNb7UOaic19UqdM4f37z5Qo
hxxp://dispatch[.]com[.]bd/portal/TOMA_657048
hxxp://samritz1[.]atpvitaltesting[.]com/vg5c/965_8044
hxxp://chiukim[.]com/1nshiol/iLIrpGeSGV/
hxxps://www[.]cursossemana[.]com/wp-content/hwPhjzWAObGEmQeJcdTXei/
hxxp://18[.]213[.]26[.]141/wp-admin/896961238_79
hxxp://18mags[.]com/working2/630826006
hxxp://deti[.]czsv[.]dp[.]ua/wp/55539735-527
hxxp://drives[.]tims[.]se/78bac4t/qMozKSNwwVp4TUrXGUzD/
hxxp://elearning2014[.]siamtechu[.]net/cgi-bin/MMH_4163951
hxxp://guruservicesllc[.]com/gtiqc/18087723_51154
hxxp://kenangan[.]id/wp-admin/19336095001
hxxp://kids[.]tims[.]se/5poeow/CHeQHza2DaqpSNN8jA88i/
hxxp://nohaymp3[.]com/assets/35680011NTFJOZXAL-434784
hxxp://parkways[.]tims[.]se/hrmxjmq/jeophs_78894
hxxp://prucoast[.]com/cwud/5560576RWZDW46123
hxxp://prucoast[.]com/cwud/d00fv8x0pL1M1N7R3alNgku0r7v0/
hxxp://rajanraz[.]in/cd8zman/966707_62680
hxxp://rajanraz[.]in/cd8zman/IdyeTFbMHK/
hxxp://support[.]xpixely[.]com/j4qn4omky/42485-4
hxxp://tasty[.]tims[.]se/1acfh9l/32522860VKUJTMZ535128033
hxxp://veainterviews[.]com/includes/94343223VIUAN-9976421
hxxp://yonka-centr[.]ru/yk3f5e/032411937-2607850
hxxps://amazonas[.]apiperu[.]net[.]pe/0rjb/Ip/
hxxps://arhamdemo[.]arhamtechnology[.]com/wp-admin/PJBVI-48976642
hxxps://callao[.]apiperu[.]net[.]pe/assets/00485917-81
hxxps://callao[.]apiperu[.]net[.]pe/assets/674489-72871
hxxps://cusco[.]apiperu[.]net[.]pe/assets/491521837-543255
hxxps://junin[.]apiperu[.]net[.]pe/assets/4281391_0
hxxps://lambayeque[.]apiperu[.]net[.]pe/assets/2823-85860
hxxps://loreto[.]apiperu[.]net[.]pe/assets/C3ppTh8jUD735Hs/
hxxps://madrededios[.]apiperu[.]net[.]pe/assets/560060_5
hxxps://mentaos[.]kim[.]banjarbarukota[.]go[.]id/cgi-bin/981702_45257608
hxxps://mentaos[.]kim[.]banjarbarukota[.]go[.]id/cgi-bin/HD_95190
hxxps://piura[.]apiperu[.]net[.]pe/assets/399500738659
hxxps://prestashop01[.]aftershipdemo[.]com/tools/726053527_794
hxxps://quarkintl[.]id/wp-admin/393ZVGXOEKTR828215
hxxps://sanmartin[.]apiperu[.]net[.]pe/assets/80038-36409194
hxxps://sanmartin[.]apiperu[.]net[.]pe/assets/FQE_877642
hxxps://sejabreezy[.]com[.]br/-/293_728751
hxxps://silentunevents[.]com/br7h/39248188LUNNYZPK_76
hxxps://social[.]speaker20[.]com/b/207207
hxxps://social[.]speaker20[.]com/b/246806932
hxxps://theharringtonclub[.]com/cgi-bin/41383713LWY-8
hxxps://wordpress08[.]aftershipdemo[.]com/yqlo/TGwxAKnq95Mt0Cfy2TfCI/
hxxps://wordpress11[.]aftershipdemo[.]com/wordpress/23402
hxxps://wordpress12[.]aftershipdemo[.]com/wordpress/0883248-60
hxxps://wordpress13[.]aftershipdemo[.]com/jr4o/JWH683
hxxps://wordpress13[.]aftershipdemo[.]com/jr4o/Y-7589649
hxxps://wordpress14[.]aftershipdemo[.]com/wordpress/7237_390
hxxps://yoyoso[.]co[.]nz/idt/PtCZ5982425
hxxp://centre[.]ng/p9h5ndv/625249-772433
hxxp://dynmsol[.]com/wp-admin/k-8744534
hxxp://meigue[.]com/wp-admin/1215600SMVYHIPQ_8765467
hxxp://prod5[.]saffyr[.]com/Fox-C404/WVEA_5134829
hxxps://new[.]maashantiskills[.]com/wp-admin/682_43
hxxps://new[.]maashantiskills[.]com/wp-admin/8979339_018864
hxxp://charmsukh[.]vip/wp-includes/certificates/g_33941
hxxp://learning[.]fawe[.]org/wp-content/617_39840/
hxxp://milhojas[.]is/wp-admin/J_2667
hxxp://tradefactweb[.]azurewebsites[.]net/calendar/66466422_13
hxxps://kangharu[.]id/Docker/uKp82oM075ymf22/
※「i-FILTER」アクセスログを検索し端末を特定してください
※「通信先一覧」は不要なアクセスを避けるため、一部変更しております。
■製品対応状況
▽m-FILTER
・偽装レベル2以上で隔離可能
・本文偽装判定(URL不一致 / 偽装キーワード / イメージリンク)で判定(部分的に有効)
・送信元偽装判定(送信元認証失敗 / 送信元メールアドレス詐称 / メールアドレスの不一致 / 不正ドメイン / プライベートドメイン詐称)で判定(部分的に有効)
・URLカテゴリ判定(未カテゴリURLあり / 有害カテゴリURLあり)で判定(部分的に有効)
▽i-FILTER
・ダウンロードフィルターでブロック可能(部分的に有効)
・[脅威情報サイト]カテゴリでブロック可能なよう対処済み
※暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。
※ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。
