不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様15社 URLアクセスした
弊社お客様1社

2020/02/04
※2020/02/06 更新
02/04から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
各位
請求書の件です。 ●●●
請求書送付のお願い ●●●

※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）請求書の件です。 20836179-2020_02_05


添付ファイル名：
●●● 請求書送付のお願い.doc
●●● 請求書の件です。.doc
各位.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
●●●.doc

※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）請求書の件です。 20836179-2020_02_05.doc


添付ファイルハッシュ値：
0c5e2d4ac205cfbd715b436c95e6441c245602df0329b46b39cefc625778cb71
fe95a5f68fe689f22c1ba6e479febd867fbb29760f0063700ad27d7d8b482d67
9c0d8eb2c0e899f1f31e9de7017aaff6d70980005e812ac41b19aca4a6bd6514
279d4effb263113a2413cb10d5c177bb3fb75854bea095c9fe3390c44bae266b

※他にも多数のHASH値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://luislar68[.]000webhostapp[.]com/wp-admin/6xr5u-1xog-29595/
hxxp://khomaynhomnhua[.]vn/dup-installer/tyl31xi-nmfh-643542/
hxxps://fa[.]khanneshinhotel[.]ir/wp-content/4t1l-arjubdm39c-2426433731/
hxxp://littlegreenwheel[.]com/wp-admin/20pav0-957-1402700868/
hxxps://rawdahtrust[.]org/rprlq/sxttm-hugpwh1-171/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://medical[.]hsh-bh[.]com/wp-admin/4xmE1404/
hxxps://elifehotel[.]com/cgi-bin/hzdXtyh/
hxxp://ceylongems[.]konektholdings[.]com/test/f01D/
hxxps://bankingdb[.]com/blog/eA/
hxxp://modahub[.]site/wp-admin/Ccq569913/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://ga-partnership[.]com/wp-admin/d0i-2eeblx-9930/
hxxp://linkgensci[.]com/resource/c3eu4q3-b5w2h61rdb-8197/
hxxp://baakcafe[.]com/wp-content/mhkrxe-d2h032l6-5086928236/
hxxps://wieland-juettner[.]de/tmp/gchr0th5-k14id-888563939/
hxxps://apo-alte-post[.]de/layouts/pdtCNPBN/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル2以上
　　・添付ファイル偽装判定
　アンチスパム(※場合により判定されないものがあります)
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://fa[.]khanneshinhotel[.]ir/wp-content/4t1l-arjubdm39c-2426433731/
カテゴリ状況：02月04日 [ホテル・宿泊施設]
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxps://luislar68[.]000webhostapp[.]com/wp-admin/6xr5u-1xog-29595/
hxxp://khomaynhomnhua[.]vn/dup-installer/tyl31xi-nmfh-643542/
hxxp://littlegreenwheel[.]com/wp-admin/20pav0-957-1402700868/
hxxps://rawdahtrust[.]org/rprlq/sxttm-hugpwh1-171/
カテゴリ状況：02月04日 [カテゴリ外](※1)
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://medical[.]hsh-bh[.]com/wp-admin/4xmE1404/
hxxps://elifehotel[.]com/cgi-bin/hzdXtyh/
hxxp://ceylongems[.]konektholdings[.]com/test/f01D/
hxxps://bankingdb[.]com/blog/eA/
hxxp://modahub[.]site/wp-admin/Ccq569913/
hxxp://ga-partnership[.]com/wp-admin/d0i-2eeblx-9930/
hxxp://linkgensci[.]com/resource/c3eu4q3-b5w2h61rdb-8197/
hxxps://apo-alte-post[.]de/layouts/pdtCNPBN/
カテゴリ状況：02月05日 [カテゴリ外](※1)
追加済みまたは反映予定：[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://baakcafe[.]com/wp-content/mhkrxe-d2h032l6-5086928236/
hxxps://wieland-juettner[.]de/tmp/gchr0th5-k14id-888563939/
カテゴリ状況：02月05日 [違法ソフト・反社会行為]、[脅威情報サイト](※2)

上記すべてのURL：ダウンロードフィルター(※3)


（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10のみ
（※3）i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。