不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様
15 URLアクセスした
弊社お客様
1
2020/02/04
※2020/02/06 更新
02/04から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
各位
請求書の件です。 ●●●
請求書送付のお願い ●●●

※上記以外にも、実際に利用されたメールの件名が引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
  例)請求書の件です。 20836179-2020_02_05


添付ファイル名:
●●● 請求書送付のお願い.doc
●●● 請求書の件です。.doc
各位.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
●●●.doc

※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
  例)請求書の件です。 20836179-2020_02_05.doc


添付ファイルハッシュ値:
0c5e2d4ac205cfbd715b436c95e6441c245602df0329b46b39cefc625778cb71
fe95a5f68fe689f22c1ba6e479febd867fbb29760f0063700ad27d7d8b482d67
9c0d8eb2c0e899f1f31e9de7017aaff6d70980005e812ac41b19aca4a6bd6514
279d4effb263113a2413cb10d5c177bb3fb75854bea095c9fe3390c44bae266b

※他にも多数のHASH値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://luislar68[.]000webhostapp[.]com/wp-admin/6xr5u-1xog-29595/
hxxp://khomaynhomnhua[.]vn/dup-installer/tyl31xi-nmfh-643542/
hxxps://fa[.]khanneshinhotel[.]ir/wp-content/4t1l-arjubdm39c-2426433731/
hxxp://littlegreenwheel[.]com/wp-admin/20pav0-957-1402700868/
hxxps://rawdahtrust[.]org/rprlq/sxttm-hugpwh1-171/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://medical[.]hsh-bh[.]com/wp-admin/4xmE1404/
hxxps://elifehotel[.]com/cgi-bin/hzdXtyh/
hxxp://ceylongems[.]konektholdings[.]com/test/f01D/
hxxps://bankingdb[.]com/blog/eA/
hxxp://modahub[.]site/wp-admin/Ccq569913/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://ga-partnership[.]com/wp-admin/d0i-2eeblx-9930/
hxxp://linkgensci[.]com/resource/c3eu4q3-b5w2h61rdb-8197/
hxxp://baakcafe[.]com/wp-content/mhkrxe-d2h032l6-5086928236/
hxxps://wieland-juettner[.]de/tmp/gchr0th5-k14id-888563939/
hxxps://apo-alte-post[.]de/layouts/pdtCNPBN/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
 偽装レベル2以上
  ・添付ファイル偽装判定
 アンチスパム(※場合により判定されないものがあります)
  ・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://fa[.]khanneshinhotel[.]ir/wp-content/4t1l-arjubdm39c-2426433731/
カテゴリ状況:02月04日 [ホテル・宿泊施設]
追加済みまたは反映予定:[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxps://luislar68[.]000webhostapp[.]com/wp-admin/6xr5u-1xog-29595/
hxxp://khomaynhomnhua[.]vn/dup-installer/tyl31xi-nmfh-643542/
hxxp://littlegreenwheel[.]com/wp-admin/20pav0-957-1402700868/
hxxps://rawdahtrust[.]org/rprlq/sxttm-hugpwh1-171/
カテゴリ状況:02月04日 [カテゴリ外](※1)
追加済みまたは反映予定:[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://medical[.]hsh-bh[.]com/wp-admin/4xmE1404/
hxxps://elifehotel[.]com/cgi-bin/hzdXtyh/
hxxp://ceylongems[.]konektholdings[.]com/test/f01D/
hxxps://bankingdb[.]com/blog/eA/
hxxp://modahub[.]site/wp-admin/Ccq569913/
hxxp://ga-partnership[.]com/wp-admin/d0i-2eeblx-9930/
hxxp://linkgensci[.]com/resource/c3eu4q3-b5w2h61rdb-8197/
hxxps://apo-alte-post[.]de/layouts/pdtCNPBN/
カテゴリ状況:02月05日 [カテゴリ外](※1)
追加済みまたは反映予定:[違法ソフト・反社会行為]、[脅威情報サイト](※2)

hxxp://baakcafe[.]com/wp-content/mhkrxe-d2h032l6-5086928236/
hxxps://wieland-juettner[.]de/tmp/gchr0th5-k14id-888563939/
カテゴリ状況:02月05日 [違法ソフト・反社会行為]、[脅威情報サイト](※2)

上記すべてのURL:ダウンロードフィルター(※3)


(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
(※3)i-FILTER Ver.10.3以降、ファイルのダウンロードをブロック可能。			

資料請求やご購入・お見積りなどに関するお問い合わせは、こちらの窓口をご利用ください。

ご購入前のお客様

●お電話でのお問い合わせ
03-5220-3090
平日9:00~18:00(土・日・祝日、弊社指定休業日を除く)
●オンラインフォームでのお問い合わせ
お問い合わせ・資料請求

ご購入後のお客様

●オンラインフォームでのお問い合わせ
お問い合わせ・資料請求