不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様14社
URLアクセスした
弊社お客様6社
-
2019/12/12
※2019/12/13 更新
12/12から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
12月賞与
2019冬・業績賞与支給
ご入金額の通知・ご請求書発行のお願い 3897426-2019_12_12
請求書の件です。 104-2019_12_12
請求書の件です。 71658521-20191213
請求書送付のお願い 09932 2019_12_12
※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
添付ファイル名:
ご入金額の通知・ご請求書発行のお願い 3897426-2019_12_12.doc
請求書の件です。 104_2019_12_12.doc
請求書の件です。 71658521-20191213.doc
請求書の件です。 V1N704-2019.12.12.doc
請求書送付のお願い 09932-2019_12_12.doc
請求書送付のお願い 7279 .doc
請求書送付のお願い NVQX-2019_12.doc
賞与支払届.doc
添付ファイルハッシュ値:
c765ecf47cc4ba7c01f89d2a7349570cd9ffe689498c807227fadcc78f291da2
9244555839867c2a9ff601f504296bd455ea31b7f90b9ca83fc938e01d074d3c
7eef3e40c5fe9e85bad4b2299a8ba6c37727189761a0ff114307b5b50952b508
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://rugoztech-developers[.]com/Works/h24o-wo5-4470713/
hxxp://mouas[.]xyz/wp-admin/ULSovayvw/
hxxp://hikam[.]info/wp-content/ivGVQgX/
hxxp://planex-001-site5[.]atempurl[.]com/calendar/qb8sy2al-t4x-396024704/
hxxp://dynamicsecurityltd[.]com/h5my/kXPorpZ/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://autofilings[.]com/srv/i2j2olz-aw2h3fm-418557842/
hxxp://blvdlounge[.]com/1c9l1/WcedjG/
hxxp://sougyou-shien[.]net/wp/tfm9-wvu8n6kku-5449234/
hxxp://triptravel[.]co/wp-content/udJxvmE/
hxxp://wildfhs[.]com/cgi-bin/fxl-u2o7kabdgn-6070550/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装レベル4以上
・添付ファイル偽装判定
アンチスパム
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxp://rugoztech-developers[.]com/Works/h24o-wo5-4470713/
hxxp://mouas[.]xyz/wp-admin/ULSovayvw/
hxxp://hikam[.]info/wp-content/ivGVQgX/
hxxp://planex-001-site5[.]atempurl[.]com/calendar/qb8sy2al-t4x-396024704/
hxxp://dynamicsecurityltd[.]com/h5my/kXPorpZ/
12月12日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
ダウンロードフィルター(※3)
hxxps://autofilings[.]com/srv/i2j2olz-aw2h3fm-418557842/
hxxp://blvdlounge[.]com/1c9l1/WcedjG/
hxxp://sougyou-shien[.]net/wp/tfm9-wvu8n6kku-5449234/
hxxp://triptravel[.]co/wp-content/udJxvmE/
12月13日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
ダウンロードフィルター(※3)
hxxp://wildfhs[.]com/cgi-bin/fxl-u2o7kabdgn-6070550/
12月13日 [IT情報・サービス]→[脅威情報サイト](※2)を追加
ダウンロードフィルター(※3)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
(※3)i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。