不正URLへのアクセス、不正メールの受信

メール受信した
弊社お客様15社 URLアクセスした
弊社お客様4社

2020/08/26
※2020/08/28 更新
08/25から発生していたマルウェアEmotetに感染させると考えられるメールの受信・URLアクセスを検知

件名：
faktur ●●●
Fwd:●●●
Re: ●●●
請求書送付のお願い ●●●
請求書の件です。 ●●●
ご入金額の通知・ご請求書発行のお願い ●●●
請求書送付のお願い ●●●
 金曜日の会議のチェックリスト。
Singaravel

※上記以外にも、組織名や役職名や人名、実際に利用されたメールの件名などが引用されている可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）faktur 456


添付ファイル名：
Aug-28-732495-2020.doc
August-28-532788-2020.doc
Document ●●●.doc
Form.doc
INFO ●●●.doc
Instruction ●●●.doc
Instructions ●●●.doc
JOISGVB-20200828.doc
NQZPPH7-20200828.doc
PO# 08282020.doc
Untitled ●●●.doc
WLX16L-20200828.doc
document ●●●.doc
dokumento ●●●.doc
faktur ●●●
form-06451651.doc
impormasyon Y16369118.doc
inf ●●●.doc
thông ●●●
tài ●●●
●●● 請求書の件です。.doc
●●● 請求書送付のお願い.doc
ご入金額の通知・ご請求書発行のお願い ●●●.doc
ドキュメント ●●●.doc
取扱説明書 ●●●.doc
情報 ●●●.doc
次の会議の議題.doc
無題 ●●●.doc
規制 ●●●.doc
説明書 ●●●.doc
請求書の件です。 ●●●.doc
請求書送付のお願い ●●●.doc
金曜日の次の会議の議題.doc
instruction ●●●.doc

※上記以外にも存在する可能性があります。
※●●●には、ランダムな英数字やハイフンなどの記号、ドメインや日付と思われる文字列が含まれます。
　　例）faktur 456.doc


添付ファイルハッシュ値：
067e5606ea9873094344f9a63b1393f547ab2c796565c2e81d2a8b086fb88657
8b95d4ffc1c3fe1421295d23d5e892a4a88ec865de8b69096911dcaec1f818b2
a2bb217bf494a6cfc107f5203d6b71ce698040742ad36abe9c2d783e9e41d6dd
7e0d6fc8bc7a69d5e27e2130c83b434512af52a5337145098c2426f62abf97ee
792eda096682ec41dc263c9bed4ec08dc10635d2d7c1a6acbf6c2aa7703030dd
89e0b338c7727b06f338f7226e5fa31f2cd9c81b6c4e3b1699e17bedd6c8151e
9460a3a0277e188c82111a7f4ea2e513052ec8e6f775b4be5984a4d8507dbd33
be6cad2687aa456fa14bcb3441ab3c8091984cf988cd35b10cbba88ee64a8ccc
9885002303eeadd9a29e76d8e964b1a3e7a9c244cc25e1ce0fb05237370be949
17fc166b4bdb3891fdb42ff576af3650ceab880fef50b2dd5f66c533b58582c4
9502299478c87bd182d1710685d1c5a8e30850b73a928e5cc6be2a95c75762c3
334205a55afbb3a8cf1e74b1aab9ecead235f13cc7137f3c9ec4c0d948cd9bc2
a789207916ac506bc9a902207765bc6563d25e8c1f00a75536203afe66a87731

※他にも多数のハッシュ値ファイルがあると思われます。


感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://cryptokuota[.]com/assets/ayQUtnd403/
hxxp://fgajardo[.]com/pruebas/iTfVzJiNG/
hxxps://www[.]pharma-israel[.]org[.]il/wp-content/oJSUC/
hxxp://popweb[.]com[.]br/remedios/QUSArASDIIdPz/
hxxp://megasolucoesti[.]com/R9KDq0O8w/mg7e129370/
hxxp://idealli[.]com[.]br/journal/lhaci5i5315/
hxxp://airmaxx[.]rs/MbKoqsSL/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://www[.]novachem[.]com[.]tr/wp-includes/file/HDSTwTon/
hxxp://hdfilmkurdu[.]tk/fwecj/w5ghXyxtzp63449/
hxxp://retrocycle[.]cc/wp-content/Ulgocr0611/
hxxps://pc-a[.]co[.]th/wp-admin/3cu5a279445382/
hxxps://novavitta[.]com[.]br/site/sdxrk4616/
hxxp://miniessay[.]net/wp-includes/YhhuqdBFmjcZ/
hxxp://pemnas[.]ub[.]ac[.]id/wp-content/reUfk5i84877332/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://k3jewelry[.]com/catalog/vo8v336009/
hxxp://macdonaldandsons[.]com/cgi-bin/LJMK/
hxxp://marmolhi[.]com/Templates/attach/NqIiunEqIveJ/
hxxp://oxentevirtual[.]com[.]br/bin/DFOvoukcMEEbW/
hxxp://merkadito[.]mx/upload/attach/NfbfaatUaPs/
hxxp://www[.]nxos[.]cl/2015/upK44no361/
hxxps://iqx[.]co[.]uk/Newsletter/lOYwk/

または
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp://rickthewelder[.]com/dtbkup20110205/i/
hxxp://sitecgps[.]com/cgi-bin/7/
hxxp://tfbauru[.]com[.]br/cgi-bin/Lhe/
hxxps://paulburkphotography[.]com/_new_images/F/
hxxp://theeldestgeek[.]com/error/FS/
hxxp://uniquewv[.]com/cgi-bin/OVJ9qY/
hxxp://tuls[.]pl/cgi-bin/7a9/

※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。


製品対応状況
▽m-FILTER
偽装判定、アンチスパムの対応状況は
お客様のご利用設定、ご利用のバージョン、受信した個々のメールによって異なりますので
m-FILTERのアクセスログをご確認ください。


▽i-FILTER
hxxp://cryptokuota[.]com/assets/ayQUtnd403/
カテゴリ状況：08月25日[脅威情報サイト]

hxxp://fgajardo[.]com/pruebas/iTfVzJiNG/
hxxps://www[.]pharma-israel[.]org[.]il/wp-content/oJSUC/
hxxp://popweb[.]com[.]br/remedios/QUSArASDIIdPz/
hxxp://megasolucoesti[.]com/R9KDq0O8w/mg7e129370/
hxxp://idealli[.]com[.]br/journal/lhaci5i5315/
hxxp://airmaxx[.]rs/MbKoqsSL/
カテゴリ状況：08月25日[違法ソフト・反社会行為]
追加済みまたは反映予定：[脅威情報サイト]

hxxp://hdfilmkurdu[.]tk/fwecj/w5ghXyxtzp63449/
hxxp://retrocycle[.]cc/wp-content/Ulgocr0611/
hxxp://miniessay[.]net/wp-includes/YhhuqdBFmjcZ/
hxxp://pemnas[.]ub[.]ac[.]id/wp-content/reUfk5i84877332/
hxxp://k3jewelry[.]com/catalog/vo8v336009/
hxxp://marmolhi[.]com/Templates/attach/NqIiunEqIveJ/
hxxp://oxentevirtual[.]com[.]br/bin/DFOvoukcMEEbW/
hxxp://merkadito[.]mx/upload/attach/NfbfaatUaPs/
hxxp://rickthewelder[.]com/dtbkup20110205/i/
hxxp://sitecgps[.]com/cgi-bin/7/
hxxp://tfbauru[.]com[.]br/cgi-bin/Lhe/
hxxp://uniquewv[.]com/cgi-bin/OVJ9qY/
hxxp://tuls[.]pl/cgi-bin/7a9/
カテゴリ状況：08月28日 [カテゴリ外](※1)
追加済みまたは反映予定：[脅威情報サイト]

hxxp://www[.]novachem[.]com[.]tr/wp-includes/file/HDSTwTon/
hxxps://novavitta[.]com[.]br/site/sdxrk4616/
hxxps://iqx[.]co[.]uk/Newsletter/lOYwk/
hxxp://theeldestgeek[.]com/error/FS/
カテゴリ状況：08月28日[IT情報・サービス]
追加済みまたは反映予定：[脅威情報サイト]

hxxps://pc-a[.]co[.]th/wp-admin/3cu5a279445382/
hxxp://macdonaldandsons[.]com/cgi-bin/LJMK/
hxxp://www[.]nxos[.]cl/2015/upK44no361/
カテゴリ状況：08月28日[企業・ビジネス・業界団体]
追加済みまたは反映予定：[脅威情報サイト]

hxxps://paulburkphotography[.]com/_new_images/F/
カテゴリ状況：08月28日[企業・ビジネス・業界団体][IT情報・サービス]
追加済みまたは反映予定：[脅威情報サイト]

上記すべてのURL：ダウンロードフィルター(※2)

（※1）「推奨フィルタ―設定」でブロック可能
（※2）i-FILTER Ver.10.3以降、ファイルのダウンロードを制御することが可能です。