不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様13社
URLアクセスした
弊社お客様2社
-
2020/07/31
※2020/07/31 更新
07/31から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知
件名:
請求書の件です。 ●●●
ご入金額の通知・ご請求書発行のお願い ●●●
ミーティング ●●●
ビジネス会議への招待 ●●●
会議への招待 ●●●
※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
例)請求書の件です。 82275_2020_07_31
添付ファイル名:
●●● 請求書送付のお願い.doc
ご入金額の通知・ご請求書発行のお願い ●●●.doc
請求書の件です。 ●●●.doc
PO# 07312020.doc
ご入金額の通知・ご請求書発行のお願い ●●●.doc
ビジネス会議への招待.doc
ミーティング.doc
仕事への招待.doc
会議への招待.doc
●●● 請求書送付のお願い.doc
※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
例)7324_202007 請求書送付のお願い.doc
添付ファイルハッシュ値:
8720174dbaed005a6b50566b3309f992a9c5546b54c63419a4d44bc9c09a657b
8d7f5cd06bb06193bf56a6084659355f3087b32118304efa7f736950c5c3224d
3d8ef147ca84e9943fdc850171e2de9c05b0db3472cd05901e4f109e7fbe07f1
※他にも多数のハッシュ値ファイルがあると思われます。
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://mgbryant[.]com/backup/4l_3pw_nf7ete2ip9/
hxxps://mobilesbestprice[.]com/invoices/a_335s_codgt/
hxxp://microclan[.]com/o_9q_w5ibffiks6/
hxxps://mickreevesmodels[.]co[.]uk/micks_chat/5_6w_c14/
hxxp://mo-billy[.]com/aspnet_client/khgu_6_iqgg/
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://jambino[.]us/tv/DYsPb/
hxxp://www[.]kappetijn[.]eu/wp-admin/t5Uujywz88/
hxxp://killingworthlabs[.]com/wp-admin/n3tq5u168132549/
hxxp://kevinley[.]com/logon/LXkUb/
hxxp://movewithketty[.]com/cgi-bin/HISOotVOG/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。
▽i-FILTER
hxxp://mgbryant[.]com/backup/4l_3pw_nf7ete2ip9/
hxxps://mobilesbestprice[.]com/invoices/a_335s_codgt/
hxxp://microclan[.]com/o_9q_w5ibffiks6/
hxxp://mo-billy[.]com/aspnet_client/khgu_6_iqgg/
hxxp://jambino[.]us/tv/DYsPb/
hxxp://killingworthlabs[.]com/wp-admin/n3tq5u168132549/
hxxp://kevinley[.]com/logon/LXkUb/
カテゴリ状況:07月31日 [カテゴリ外](※1)
追加済みまたは反映予定:[脅威情報サイト]
hxxps://mickreevesmodels[.]co[.]uk/micks_chat/5_6w_c14/
hxxp://movewithketty[.]com/cgi-bin/HISOotVOG/
カテゴリ状況:07月31日 [IT情報・サービス]
追加済みまたは反映予定:[脅威情報サイト]
hxxp://www[.]kappetijn[.]eu/wp-admin/t5Uujywz88/
カテゴリ状況:07月31日 [企業・ビジネス・業界団体]
追加済みまたは反映予定:[脅威情報サイト]
上記すべてのURL:ダウンロードフィルター(※2)
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。