不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様4社 URLアクセスした
弊社お客様0社

2020/08/18
※2020/08/19 更新
08/18から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
ビジネス会議への招待 ●●●
ミーティング ●●●
会議への招待 ●●●
ミーティング ●●●
ミーティング ●●●
ビジネス会議への招待 ●●●
会議への招待 ●●●
通知 ●●●

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）通知 2020 08 18


添付ファイル名：
請求書送付のお願い ●●●.doc
通知 ●●●.doc
規制 ●●●.doc
別添 ●●●.doc
取扱説明書 ●●●.doc
ビジネス会議への招待.doc
ミーティング.doc
仕事への招待.doc
会議への招待.doc
Untitled ●●●.doc
invoice.doc

※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）取扱説明書 August 18 2020.doc
　　

添付ファイルハッシュ値：
78592ac8692e506cbf84de53eb9e18f8758944a5bd60a40fdc7a5b11218af2c5
f7c7bbc0bd1fe9a1043e5ddfd97295ac7e82f132ce882e4172067a5b0a756ba6
b37662b99a19d79dec3a378e39e493a0bb3aa04273af77811609a96c91e88611
af21281b4932f7474f36d0c7ec0021c79258434f9371ccd3a59035f66f682ac2
98b8ad7ad36042dfa1359120a38724e21ceeba7375bec204748003bc4afd2e6d

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://identisoft[.]pt/istore/uyg0iy068972/
hxxp://digitalumesh[.]tech/cgi-bin/mUl/
hxxp://cidadehoje[.]pt/wp-includes/mDobpkdtbyht707/
hxxp://conferenceroom[.]ge/wp-content/kEUjjuivo101725/
hxxp://www[.]xindisk[.]com/w48o/TZJS/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。

▽i-FILTER
hxxp://identisoft[.]pt/istore/uyg0iy068972/
hxxp://digitalumesh[.]tech/cgi-bin/mUl/
hxxp://conferenceroom[.]ge/wp-content/kEUjjuivo101725/
hxxp://www[.]xindisk[.]com/w48o/TZJS/
カテゴリ状況：08月18日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxp://cidadehoje[.]pt/wp-includes/mDobpkdtbyht707/
カテゴリ状況：08月18日 [ニュース][TV・ラジオ]
追加済みまたは反映予定：[脅威情報サイト]


上記すべてのURL：ダウンロードフィルター(※2)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。