不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様4社 URLアクセスした
弊社お客様0社

2020/06/16
※2020/06/18 更新
06/16から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスを検知

件名：
Payment Notification 00000nnn-nn
DHL ; S1800nnnnnn_H00nnnnn
DHL corresponding documents
DHL letter
DHL related documents
DHL: copy of document
ORGL SHIPPING DOCUMENTS : DHL
DHL Shipment Successful, Pickup Failure: Waybill 0791395537
DHL Shipment, customs invoice nnnnnnnnnn
DHL: shipment receipt,customs invoice nnnnnnnnnn

※太赤字の「n」はランダムな数字が入ります。


添付ファイル名：
Bill_Payment_00000nnn-nn.xlsm
06162020_84134.zip
DOCs_40773.zip
Doc_nnnnn.zip
Documents_nnnnn.zip
June2020_nnnnn.zip
awb_nnnnnnnnnn_invoice-receipt.xlsm

※太赤字の「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
c22d9e78e405a50881314ec4a79b7e34fec522d7a9ee1b8dbe5e8669861c6654
94737e6b49496356b1df987c498bc4e4f07551d803be346d37cbc33d6cb1cf2d
f8bcbdcee35ecafe53c58b8a35bf93db799e7a42136ecb7332d636745744c400


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://mismathouts[.]com/
hxxps://2020mismathouts[.]com/

または
メール受信
↓
zip圧縮された添付ファイルを解凍し、docファイルを開きマクロを有効化する
↓
hxxps://batriaruum[.]com/
hxxps://penotorc[.]com/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxps://usdousigninc[.]com/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxps://mismathouts[.]com/
hxxps://2020mismathouts[.]com/
カテゴリ状況：06月16日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://batriaruum[.]com/
hxxps://penotorc[.]com/
カテゴリ状況：06月16日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxps://usdousigninc[.]com/
カテゴリ状況：06月17日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

（※1）「推奨フィルタ―設定」でブロック可能