不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様28社 URLアクセスした
弊社お客様3社

2019/02/27
※2019/02/27 更新
02/26から発生していたバンキングマルウェアに感染させるメールの受信・URLアクセスをブロック

件名：
-指定請求書
-注文書、請書及び請求書のご送付
2/1　【追加】
2/26　フォロー申請
2/26送り状
2月入金の残り
Fw:指定請求書
Fw:注文書、請書及び請求書のご送付
Fwd:指定請求書
Fwd:注文書、請書及び請求書のご送付
RE: 【依頼】
RE: 【発注分】
RE:指定請求書
RE:注文書、請書及び請求書のご送付
Re: 再送
Re:指定請求書
Re:注文書、請書及び請求書のご送付
【お願い】
クレームです。
工程表
御見積書
指定請求書
注文書、請書及び請求書のご送付
添付用納品書
確認事項とお願い
送り状番号ご[nnnn]
※太赤字の「n」はランダムな数字が入ります。


添付ファイル名：
[2019.2.26]_nnn_nn.xls
nnnnnnn_nnnn_2019_2_3.xls
xxx_nnnn_2019_2_3.xls
3D_xxx_nnnn_2019_2_3.xls_
3D_xxx_nnnn_2019_2_3.xls=
※太赤字の「x」は3～4文字のランダムな英数字、「n」はランダムな数字が入ります。


添付ファイルハッシュ値：
71e059ceecb85b737531bd1981f77c95fa10a70cd17ff916d4736ead2eeb94f0
130b3594b4fc049120d0664dd3f6c01bf72265e500f8e2f957e3aa7750fdfa1f
27f92ece7ba250d9f9da65916dda093db40fa79e634010dfe408eec95ebaf674
667e30b20e0986c7def59f66d871a579a32f150b61f64aefd431864b33dced12
2143421df567dc0d4c3c364cfc6be9cad3e529c29dd8e57b17d608bcd5246a4d


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxps://i[.]imgur[.]com/96vV0YR[.]png
hxxp://oi65[.]tinypic[.]com/2z8thcz[.]jpg
↓
hxxps://i[.]postimg[.]cc/bv5dMcK6/J2[.]png
hxxps://images2[.]imgbox[.]com/ff/22/6NkpoT2I_o[.]png
↓
hxxps://mopscat[.]com
hxxps://olkerona[.]com

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
　偽装レベル4
　　・添付ファイル偽装判定
　　・送信元偽装判定
　アンチスパム
　　・システムフィルター判定
→「隔離/削除設定」でブロック可能

▽i-FILTER
hxxps://i[.]imgur[.]com/96vV0YR[.]png
hxxp://oi65[.]tinypic[.]com/2z8thcz[.]jpg
hxxps://i[.]postimg[.]cc/bv5dMcK6/J2[.]png
hxxps://images2[.]imgbox[.]com/ff/22/6NkpoT2I_o[.]png
　2019年2月26日
　　[アップローダー]→[脅威情報サイト]（※1）を追加

hxxps://mopscat[.]com
hxxps://olkerona[.]com
　2019年2月26日
　　[カテゴリ外]（※2）→[脅威情報サイト]（※1）を追加

（※1）i-FILTER Ver.10のみ
（※2）「推奨フィルタ―設定」でブロック可能