不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様53社 URLアクセスした
弊社お客様9社

2019/06/17
※2019/06/18 更新
06/17から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック

件名：
FW: 請求書を送信致します。
Re: 請求書の送付
Re: 請求書送付のお願い
ご案内[お支払い期限:06月18日]
契約書雛形のご送付
請求書の件です。
請求書送付


添付ファイル名：
nnnnn_0001.xls
nnnn_nn_00n.XLS
0001_nnn_nnnn.XLS

※太赤字の「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
ba788469a01a0d131659d6e851ef3f6c568444960e09a4b2f260478b801a2e63
0f6fdc6c9d0181616920be9e10316bdbd97c324892db9bb87ab8b9a8a8f60ead
c674a64d2b9fc8fb2835ee74ea1783f02a5c305e4596ad78f16db2273ec12975

感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://images2[.]imgbox[.]com/fb/a9/wH2ykZbz_o[.]png
hxxps://i[.]imgur[.]com/h0P306h[.]png
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxps://timenard[.]top/
hxxps://tupeska[.]top/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・本文偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://images2[.]imgbox[.]com/fb/a9/wH2ykZbz_o[.]png
　2019年6月17日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgbox / imgbox]リスクレベル5（※2）

hxxps://i[.]imgur[.]com/h0P306h[.]png
　2019年6月17日
　　　[アップローダー]→[脅威情報サイト]（※1）を追加
　Webサービス制御
　　　[imgur / imgur]リスクレベル5（※2）

hxxps://timenard[.]top/
hxxps://tupeska[.]top/
　2019年6月17日
　　　[カテゴリ外]（※3）→[脅威情報サイト]（※1）で登録


（※1）i-FILTER Ver.10のみ
（※2）「Webサービス制御」機能でブロック可能
（※3）「推奨フィルタ―設定」でブロック可能