不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様53社 URLアクセスした
弊社お客様12社

2019/05/07
※2019/05/08 更新
05/07から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
(有償）注文書
FW:（通知）
RE: 通関
【訂正版】
建材発注書です
転送された画像 - From:
【2019年5月】請求額のご連絡


添付ファイル名：
nnnnn2019年5月.xls
nnnnn.XLS
3D_nnnnn.XLS_
※太赤字の「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
5cb85d5bc7bc3eb44c747915f1b26a8bd923d32a5290424eeccb64e750b0fbe9
2052b1c9455383827cc6d14da43249fd2172e6bdd82e1b782383391ac36baceb
25e9de4d275e3dd263494c353c696ae1a49adcedc9440b31403652e3286720ce


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://i[.]imgur[.]com/47xDq9v[.]png
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxps://images2[.]imgbox[.]com/1b/a6/9pJo30dK_o[.]png
↓
hxxp(s)://donersonma[.]com
hxxp(s)://lidersonef[.]com

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://i[.]imgur[.]com/47xDq9v[.]png
　2019年5月7日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgur / imgur]リスクレベル5（※2）

hxxps://images2[.]imgbox[.]com/1b/a6/9pJo30dK_o[.]png
　2019年5月7日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgbox / imgbox]リスクレベル5（※2）

hxxp(s)://donersonma[.]com
hxxp(s)://lidersonef[.]com
　2019年5月7日
　　　[カテゴリ外]（※3）→[脅威情報サイト]（※1）で登録


（※1）i-FILTER Ver.10のみ
（※2）「Webサービス制御」機能でブロック可能
（※3）「推奨フィルタ―設定」でブロック可能