不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様59社 URLアクセスした
弊社お客様20社

2019/05/27
※2019/05/28 更新
05/27から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
注文書、請書及び請求書のご送付
-注文書、請書及び請求書のご送付
Fw:注文書、請書及び請求書のご送付
Fwd:注文書、請書及び請求書のご送付
RE:注文書、請書及び請求書のご送付
Re:注文書、請書及び請求書のご送付
2019ご請求の件
Re: 2019ご請求の件
FW: 【再送】2019/2
指定請求書
-指定請求書
Fw:指定請求書
Fwd:指定請求書
RE:指定請求書
Re:指定請求書
(修正依頼）
【仮版下送付】
【電話未確認】
修正版
写真添付
写真送付の件
出荷明細添付
券類発注書
発注分　追加
紙看板送付の件


添付ファイル名：
5.(nnnnn)-nnnnn.xls
2019_nnnnn_nnnnn.xls
3D_D  O  C  N.nnnnnn 2019_05=
D  O  C  N.nnnnnn 2019_05.XLS
※太赤字の「n」は最大6桁のランダムな数字が入ります。


添付ファイルハッシュ値：
531f1134ab8e3cdab18c02af57cd6e64843e696dece9aef0aa88910f3914b0c7
cb0b8a2c1ca33d89a2181e58a0948bd88f478a39af45d0b54c53913cd89a5aba
da8ed41834d775e686ce129518e23b9e5f6fb74dc0a55f66d2242862566a3cf0


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://paterdonga[.]com/uploads/HelpPaneS
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxps://pilodirsob[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル5
　　・添付ファイル偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://paterdonga[.]com/uploads/HelpPaneS
hxxps://pilodirsob[.]com/
　2019年5月27日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ