不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様24社 URLアクセスした
弊社お客様0社

2020/04/10
※2020/04/10 更新
04/09から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスを検知

件名：
Commercial Docs
Copy Attached
Correct payment letter
INVOICE NO. /-nnn PVT LTD. (FOB)
Payment advice_      00n0_000nnnnnnn_20200409
Inv. DUE FOR PAYMENT
Invoice for all amounts as was discussed
Payment
commercial Invoice for Pre-Alert
copies of documents

※太赤字の「n」はランダムな数字が入ります。
※上記以外の件名が利用されている可能性があります。


添付ファイル名：
DOC0nnnnn_2020_04_09.xls
DOC842725-20200409.xls
DOCsnnnnnn-20200409.xls
ATnnnnnn_20200409.xls
AT407747_2020-04-09.xls
Customer Invoice_N-052945_2020-04-09.xls
INV-nnnnnnn_20200409.xls
INV-0877529-2020-04-09.XLS
INVOICE #1nnnnnnn EXP2020_04.xls
Inv_nnnnnn-20200409.xls
Inv_320873_2020-04-09.xls

※太赤字の「n」はランダムな数字が入ります。
※上記以外のファイル名が利用されている可能性があります。

添付ファイルハッシュ値：
6d85a763dcae8ad9c21bace54e2657f3a326793c287c0ad0188ecaa2309f162a
dfbc696627e5156ec068adab59dd2b90806c20c082d2b7de16732a44dbfa241a
21197f41ffa9857e17f520dcb24a06bb5a05347833e96fb73b76534ae867fa91
6e73eee818a7ce59c0ef6d73a2505e7b6bb699273710a7d83897e500a14fee70


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://retustan[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル2以上
　　・添付ファイル偽装判定
　アンチスパム(※場合により判定されないものがあります)
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://retustan[.]com/
カテゴリ状況：04月09日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]


（※1）「推奨フィルタ―設定」でブロック可能