不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様3社 URLアクセスした
弊社お客様0社

2020/06/02
※2020/06/04 更新
06/02から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスを検知

件名：
Invoice #-00nnnnnn
Payment Notification 0000000nnnnnn
Reminder: Invoice  561846
Invoice  814176
Invoice 00982735
Credit Card Refund #1nnnnn

※太赤字の「n」はランダムな数字が入ります。


添付ファイル名：
invoice_00nnnnnn_1nnnnnnnnnnnn.xlsm
Invoice_nnnnnn.xlsm
Card_Refund_1nnnnn.xlsm
Invoice_Receipt_1nnnnn.xlsm
Invoice_Refund_1nnnnn.xlsm
Payment_Information_Refund_163975.xlsm
receipt_refund_1nnnnn.xlsm

※太赤字の「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
7a0af8308b9f34d8bceced23b99bca01a60befb8750bd987a91ccf7dc7721357
57b364e68a8640420dddf3124a6a2ae92983a98e0b0cacec1669a7700dccb519


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://blueaol[.]com/
hxxps://falseblueaol[.]com/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://penesonga[.]com/
hxxps://truepenesonga[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxps://blueaol[.]com/
hxxps://falseblueaol[.]com/
カテゴリ状況：06月02日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://penesonga[.]com/
hxxps://truepenesonga[.]com/
カテゴリ状況：06月04日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]


（※1）「推奨フィルタ―設定」でブロック可能