不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様48社 URLアクセスした
弊社お客様12社

2019/05/30
※2019/06/07 更新
05/30から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します
5/30送り状Ｎｏ報告
5月請求書の件
お支払案内書
FW: 【重要連絡】
FW: 【（株) . 】
nnnnn発注分
※太赤字の「n」はランダムな数字が入ります。


添付ファイル名：
請求書_nnnnnnn.xls
30052019nnnnnnnn.xls
3D_D O C nnnnnn 30052019nnnn=
D O C nnnnnn 30052019nnnnn.XLS
※太赤字の「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
6f1bcd419a827a9dbdbfef3dfd228d75fdb9844a58f62c9d7a1584dbfb18046a
75d36c18778804666ea78c47498ea7e4e29e788d36866bcbd35db32d64ba2fc5
042af9f28133aedbd4cb819eec856ccfb9efcf25976aac3ff479d589d9db26bf


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://berdiset[.]top/uploads/QuotaManager
↓
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxp(s)://paderson[.]top/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・送信元偽装判定
　　・本文偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://berdiset[.]top/uploads/QuotaManager
　2019年5月30日
　　[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
hxxp(s)://paderson[.]top/
　2019年6月5日
　　[IT情報・サービス]→[脅威情報サイト](※2)に変更

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ