不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様30社
URLアクセスした
弊社お客様13社
-
2020/01/14
※2020/01/17 更新
01/14から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
ご入金額の通知・ご請求書発行のお願い ●●●
会議開催通知
請求書の件です。 ●●●
請求書送付のお願い ●●●
※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
例)請求書送付のお願い 48135-20200114
添付ファイル名:
ご入金額の通知・ご請求書発行のお願い ●●●.doc
会議開催通知.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
※●●●には、ランダムな英数字やハイフンなどの記号、日付と思われる数字などが含まれます。
例)請求書送付のお願い 79833 20200114.doc
添付ファイルハッシュ値:
43498ed8ff77c2d33a7e40ffb51d83a2adf4272a01cbc2b24f50daf132deaeca
c912fbd5e3979ce3299c6cab4db775c4d86fcd1c779d4c2b402931f558484d99
22d41029edc6423a1abc90339db144ae2fad1154c6d336770d6dee252eaf1896
637e1e0af05d5dc69d582dcdfd8e4f2842202ca03ed3f843cd2892bfbc33d20a
b7d6a9d883ceb3098ae6e82cb15a930133fd838486587f4f1fee1145cfc87b3e
37e98c8ff3288199a2a4ae056b48dde6ad9ed9cbaf76e837ded084ad42271771
※他にも多数のHASH値ファイルがあると思われます。
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://cg[.]hotwp[.]net/wp-admin/b56-cf7ycs7-853921/
hxxp://parcerias[.]azurewebsites[.]net/wp-admin/sqTIPlE/
hxxp://blog[.]51cool[.]club/wp-admin/ZKhdjM/
hxxps://jewellink[.]com[.]au/wp-includes/1sih8lud-24ey29cny-8733215949/
hxxp://de[.]offbeat[.]guide/de/tletvwd-me4oo90-62479195/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://kinskin[.]zqlimy[.]com/wp-content/uploads/5dpg-zkh-4673886/
hxxp://www[.]immobilienstylist[.]com/wp-content/uploads/aNFqWnqI/
hxxp://himalayansaltexporters[.]com/photo-gallery/QWtpsvaVR/
hxxp://store[.]chonmua[.]com/wp-content/xFdvDQIe/
hxxps://lfc-aglan91[.]000webhostapp[.]com/wp-admin/ku93f-bqnr3-330911/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://47[.]93[.]96[.]145/cur/khzIPYZQP/
hxxps://bharathvision[.]in/yckcj/ij5xm-ocjs73v-4472595/
hxxp://94[.]191[.]92[.]139/wp-content/00b5-2s1-30968/
hxxps://cornwallhospice[.]com/pp3m3brilr/xhSPvz/
hxxps://a1college[.]ca/zcrb/j1yx-p79ioxyb-7243625072/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://mysql[.]flypig[.]group/index-hold/FLXQVHJ/
hxxp://cmsw[.]de/ftk/letGHBb/
hxxp://homelyhomestay[.]in/scss/h0ozs6oa-wfdd6x2ig-816277/
hxxp://doortechpalace[.]com/css/zsgeq2-8f65c2-5417/
hxxp://casalindamw[.]com/assets/fbTuizf/
または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://abeafrique[.]org/-/wv4y-6w5-3697/
hxxps://wlskdjfsa[.]000webhostapp[.]com/wp-admin/VbuFbbG/
hxxp://blog[.]eliminavarici[.]com/wp-includes/fQbmzw/
hxxp://87zn[.]com/wp-admin/be19e6-le6fjr-256/
hxxp://bbv[.]borgmeier[.]media/wp-includes/runyp-zsv8cv-3508006/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装レベル2以上
・添付ファイル偽装判定
アンチスパム(※場合により判定されないものがあります)
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxp://cg[.]hotwp[.]net/wp-admin/b56-cf7ycs7-853921/
hxxps://jewellink[.]com[.]au/wp-includes/1sih8lud-24ey29cny-8733215949/
hxxp://de[.]offbeat[.]guide/de/tletvwd-me4oo90-62479195/
01月14日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
01月15日 [脅威情報サイト](※2)を追加
hxxp://blog[.]51cool[.]club/wp-admin/ZKhdjM/
01月14日 [ブログ]→[違法ソフト・反社会行為]を追加
01月15日 [脅威情報サイト](※2)を追加
hxxp://parcerias[.]azurewebsites[.]net/wp-admin/sqTIPlE/
01月14日 [IT情報・サービス]→[違法ソフト・反社会行為]を追加
01月15日 [脅威情報サイト](※2)を追加
hxxp://himalayansaltexporters[.]com/photo-gallery/QWtpsvaVR/
hxxps://cornwallhospice[.]com/pp3m3brilr/xhSPvz/
01月15日 [企業・ビジネス・業界団体]→[違法ソフト・反社会行為]を追加
01月16日 [脅威情報サイト](※2)を追加
hxxps://bharathvision[.]in/yckcj/ij5xm-ocjs73v-4472595/
hxxps://a1college[.]ca/zcrb/j1yx-p79ioxyb-7243625072/
01月15日 [IT情報・サービス]→[違法ソフト・反社会行為]を追加
01月16日 [脅威情報サイト](※2)を追加
hxxp://kinskin[.]zqlimy[.]com/wp-content/uploads/5dpg-zkh-4673886/
01月15日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://www[.]immobilienstylist[.]com/wp-content/uploads/aNFqWnqI/
hxxp://store[.]chonmua[.]com/wp-content/xFdvDQIe/
hxxps://lfc-aglan91[.]000webhostapp[.]com/wp-admin/ku93f-bqnr3-330911/
hxxp://47[.]93[.]96[.]145/cur/khzIPYZQP/
hxxp://94[.]191[.]92[.]139/wp-content/00b5-2s1-30968/
01月15日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
01月16日 [脅威情報サイト](※2)を追加
hxxp://mysql[.]flypig[.]group/index-hold/FLXQVHJ/
hxxp://cmsw[.]de/ftk/letGHBb/
hxxp://homelyhomestay[.]in/scss/h0ozs6oa-wfdd6x2ig-816277/
hxxp://doortechpalace[.]com/css/zsgeq2-8f65c2-5417/
hxxp://casalindamw[.]com/assets/fbTuizf/
01月15日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
01月17日 [脅威情報サイト](※2)を追加
hxxp://blog[.]eliminavarici[.]com/wp-includes/fQbmzw/
01月16日 [ブログ]→[違法ソフト・反社会行為]を追加
01月17日 [脅威情報サイト](※2)を追加
hxxps://wlskdjfsa[.]000webhostapp[.]com/wp-admin/VbuFbbG/
01月16日 [違法ソフト・反社会行為]
01月17日 [脅威情報サイト](※2)を追加
hxxp://abeafrique[.]org/-/wv4y-6w5-3697/
01月16日 [カテゴリ外](※1)→[違法ソフト・反社会行為][脅威情報サイト](※2)を追加
hxxp://87zn[.]com/wp-admin/be19e6-le6fjr-256/
hxxp://bbv[.]borgmeier[.]media/wp-includes/runyp-zsv8cv-3508006/
01月16日 [カテゴリ外](※1)→[違法ソフト・反社会行為]を追加
01月17日 [脅威情報サイト](※2)を追加
上記すべてのURL:ダウンロードフィルター(※3)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
(※3)i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。