不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様2社 URLアクセスした
弊社お客様0社

2022/12/20
※2022/12/20 更新
マルウェア感染させると考えられるURLを検知（2022/12/20）

■IoC（※1）



Type:
IOC:
Signature:


URL
hxxps://asbogadajuli[.]tk/Eze/PWS/fre[.]php
hxxp://asbogadajuli[.]tk/Eze/PWS/fre[.]php
LokiBot


URL
hxxp://adobetmcdn[.]net:443/ru_RU/index[.]html
hxxps://adobetmcdn[.]net/healthmanagement[.]exe
hxxp://103[.]233[.]253[.]147:8088/jquery-3[.]3[.]1[.]min[.]js
hxxp://103[.]42[.]31[.]253:5555/g[.]pixel
hxxp://119[.]29[.]1[.]212:8077/activity
hxxp://150[.]95[.]30[.]232:10443/messages/4Fw3hNRhdmeQWx0gPJ4nnUaV9GnxQphyRD
hxxp://152[.]136[.]212[.]69:55001/g[.]pixel
hxxp://162[.]14[.]82[.]171:12345/activity
hxxp://198[.]167[.]204[.]119/pixel
hxxp://39[.]106[.]90[.]73:40001/cm
hxxp://39[.]98[.]50[.]48/lib/v2/wcp-consent[.]js
hxxp://42[.]192[.]19[.]75:8891/jquery-3[.]3[.]1[.]min[.]js
hxxp://43[.]139[.]225[.]176:88/ptj
hxxp://43[.]142[.]77[.]246:10020/dot[.]gif
hxxp://47[.]114[.]151[.]215:8088/dot[.]gif
hxxp://47[.]92[.]223[.]223:801/cx
hxxp://77[.]73[.]134[.]23:445/c/msdownload/update/others/2020/10/29136388_
hxxp://81[.]71[.]162[.]183:8081/j[.]ad
hxxp://82[.]157[.]145[.]115:888/en_US/all[.]js
hxxp://cloudmane[.]online:445/c/msdownload/update/others/2020/10/29136388_
hxxp://eserverx[.]com/ku[.]css
hxxp://n1x[.]io:9900/match
hxxp://sso[.]twistettransistor[.]com/search[.]css
hxxp://sso[.]twistettransistor[.]com:8080/favicon[.]css
hxxp://twistettransistor[.]com/search[.]css
hxxp://twistettransistor[.]com:8080/template[.]css
hxxp://wustat-microsoft[.]com:8090/api/3
hxxp://www[.]twistettransistor[.]com/favicon[.]css
hxxp://www[.]twistettransistor[.]com:8080/search[.]css
hxxps://103[.]233[.]253[.]147:2000/jquery-3[.]3[.]1[.]min[.]js
hxxps://135[.]148[.]97[.]180:8443/__utm[.]gif
hxxps://15[.]164[.]155[.]60/www/handle/doc
hxxps://170[.]64[.]138[.]9/push
hxxps://185[.]163[.]45[.]132/ga[.]js
hxxps://43[.]139[.]7[.]93/updates[.]rss
hxxps://77[.]73[.]134[.]23:8443/c/msdownload/update/others/2020/10/29136388_
hxxps://cloudmane[.]online:8443/c/msdownload/update/others/2020/10/29136388_
hxxps://cmdatabase[.]com/groupcp[.]html
hxxps://eserverx[.]com/modules[.]css
hxxps://wustat-microsoft[.]com/api/3
Cobalt Strike


URL
hxxp://103[.]171[.]1[.]58/SssgRpjWU57[.]u32
Agent Tesla


URL
hxxp://89[.]208[.]104[.]172/Amadey_[.]exe
hxxp://rap3[.]lol/lol/Amadey[.]exe
hxxp://62[.]204[.]41[.]79/tT7774433/index[.]php
hxxp://62[.]204[.]41[.]79/U7vfDb3kg/index[.]php
hxxp://77[.]73[.]134[.]66/v7eWcjs/index[.]php
Amadey


URL
hxxp://109[.]206[.]243[.]176/armv4l
hxxp://109[.]206[.]243[.]176/armv5l
hxxp://109[.]206[.]243[.]176/i586
hxxp://109[.]206[.]243[.]176/i686
hxxp://109[.]206[.]243[.]176/mipsel
hxxp://109[.]206[.]243[.]176/powerpc
hxxp://109[.]206[.]243[.]176/sh4
hxxp://109[.]206[.]243[.]176/x86
Bashlite


URL
hxxp://23[.]106[.]123[.]49/lapov[.]exe
DanaBot


URL
hxxps://85f26[.]fate[.]truelance[.]com/subscribeEvent
FAKEUPDATES


URL
hxxp://103[.]14[.]111[.]110/alakim[.]exe
Formbook


URL
hxxp://104[.]36[.]231[.]18/download/r[.]dll
IcedID


URL
hxxps://peb[.]co[.]il/wp-content/themes/twentytwentyone/inc/NEFT_Transactions[.]zip
Kutaki


URL
hxxp://31[.]41[.]244[.]228/zodo/ladia[.]exe
RedLine Stealer


URL
hxxp://rap3[.]lol/lol/Smoke[.]exe
SmokeLoader


URL
hxxp://103[.]14[.]111[.]110/neojik[.]exe
hxxp://rqiscogroup[.]me/j/j[.]jpg
hxxp://rqiscogroup[.]me/j/j[.]txt
hxxps://www[.]tractorandinas[.]com/clcontent/wopngduxgf[.]exe
Ave Maria




※1「i-FILTER」アクセスログを検索し端末を特定してください
    不要なアクセスを避けるため、一部変更しております。


■製品対応状況（※2）
▽i-FILTER（※3）
・[脅威情報サイト]カテゴリでブロック可能

※2 ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。
※3 暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。