2019/12/16(月)週 添付ファイル付不審メール(Emotet -> Trickbot)の調査
日本向けEmotetの送信は止まる気配がなく、継続してばらまかれ続けています。
平日は毎日、土日は止まることが多いですが、稀に土曜日にも配信されることがあります。
なお、2019年は12/20を最後に、Emotetのメール配信は休止しています。
■日時
2019/12/16(月) 16:00頃 - 2019/12/20(金)
■追加ペイロード
Emotetに感染すると、更に不正送金マルウェアのTrickbotに感染することを確認しています。
■件名
▼変化
12/18から、クリスマス関連の件名が出てきました。
クリスマスにKFCは日本のみの風習ですが、それを理解していたようです。ただし、テーブルの予約、という本文で、持ち帰りで食べる、というところまでは理解していなかったようです。
・メリークリスマス
・KFC
・KFCテーブル
また、12/18から、賞与関連の件名が=※■□▼◆◎●★☆でデコられるようになりました。
賞与関連の件名は世界的に利用されていましたが、件名がデコられるようになったのは、日本のみのようです。
▼該当期間に観測した、日本語本文の件名一覧
・返信型
[実際のメール件名]
RE: [実際のメール件名]
・偽装返信型
[受信者メールアドレス]
・請求書関係
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
3月の請求書
表示用のアカウントの請求書
請求書
特別請求書
確認レター
請求書の送信
請求書ステータスの更新
あなたの請求書
・汎用件名
コメント
データ
・クリスマス関係
メリークリスマス
KFC
KFCテーブル
・賞与関係
11月賞与
12月賞与
19.12月賞与関係会社請求について
2019冬・業績賞与支給
2019月賞与
届
払
払届
月賞与
賞与
賞与支
賞与支払
賞与支払届
賞与支給に際しての社長メッセージ
* 賞与支払届 *
** 払 **
** 賞与支給に際しての社長メッセージ **
= 賞与支払 =
== 賞与支払 ==
== 賞与支払届 ==
== 賞与支給に際しての社長メッセージ ==
=== 20.12月賞与関係会社請求について ===
=== 賞与支払 ===
※ 19.12月賞与関係会社請求について ※
※ 賞与支払届 ※
※※ 19.12月賞与関係会社請求について ※※
※※ 賞与 ※※
※※ 賞与支払 ※※
※※ 賞与支払届 ※※
※※ 賞与支給に際しての社長メッセージ ※※
※※※ 2019冬・業績賞与支給 ※※※
※払※
※賞与支払※
■ 払届 ■
■ 賞与支払 ■
■ 賞与支給に際しての社長メッセージ ■
■□ 12月賞与 ■□
■□ 賞与支払届 ■□
■□■ 20.12月賞与関係会社請求について ■□■
■□■ 賞与支払 ■□■
■□■ 賞与支給に際しての社長メッセージ ■□■
□■ 賞与支払届 □■
□□□ 賞与支払届 □□□
▼▼ 賞与支払届 ▼▼
▼▼ 賞与支給に際しての社長メッセージ ▼▼
▼▼▼ 20.12月賞与関係会社請求について ▼▼▼
▼▼▼ 払 ▼▼▼
▼賞与支払届▼
◆ 12月賞与 ◆
◆ 19.12月賞与関係会社請求について ◆
◆ 2019冬・業績賞与支給 ◆
◆ 届 ◆
◆ 賞与支 ◆
◆ 賞与支払届 ◆
◆◆ 12月賞与 ◆◆
◆◆ 払 ◆◆
◆◆ 賞与支 ◆◆
◆◆ 賞与支給に際しての社長メッセージ ◆◆
◆◆◆ 賞与支払 ◆◆◆
◎ 払届 ◎
◎ 賞与支 ◎ Itochu.co
◎ 賞与支給に際しての社長メッセージ ◎ Itochu.co
◎◎ 賞与支払届 ◎◎
◎◎◎ 20.12月賞与関係会社請求について ◎◎◎
◎◎◎ 2019冬・業績賞与支給 ◎◎◎
●● 12月賞与 ●●
●● 賞与支払 ●●
●●● 12月賞与 ●●●
★ 賞与支払届 ★
★ 賞与支給に際しての社長メッセージ ★
★★★ 届 ★★★
★★★ 賞与支 ★★★
★★★ 賞与支払届 ★★★
☆ 賞与支払届 ☆
☆12月賞与☆
☆☆☆ 賞与 ☆☆☆
☆届☆
☆賞与☆
2019/12/04(火) 『令和元年度職員録』の調査
2日続けてTA505のばらまきと思われる添付ファイル付きの不審メールのばらまきを確認しています。
■日時
2019/12/04(火) 9:00-
■件名
訂正 12/04業務報告
■添付ファイル
営業報告入力フォー2019.xls
■サンプル
https://app.any.run/tasks/64904e28-914d-4a76-b83b-dc219a304693/
添付ファイルはget2 downloader と思われます
■通信先
msonebox[.]com
※MS関連のドメインではない
同通信先で恐らく海外向けの本日の検体
https://app.any.run/tasks/713268bc-f71c-4104-8332-2999f20bc4e1/
同通信先は11/29にも使われていたようです。
https://app.any.run/tasks/c98b75f5-7f82-4964-afd2-ae438cc48fcf/
https://app.any.run/tasks/449229ff-0f3e-4eba-ac95-a7464faa111b/
2019/12/03(火) 『令和元年度職員録』の調査
TA505 によるばらまきと思われる添付ファイル付きの不審メール のばらまきがありました。
■日時
2019/12/03 07:30頃 -
■件名
令和元年度職員録
■送信者(偽装)
山口 陽弘
※実際の送信元アドレスは様々ものが使われており、なりすましと考えられます。
■添付ファイル名
SKM_C30819111NNNNNN.xls
※NNNNNNは数字6桁
■検体
https://app.any.run/tasks/310efd82-c4c3-4cf2-919c-f77749cbd9db/
※ハッシュは他にも複数あり
get2 downloader と思われます
■通信先
hxxps://live-en.com
※11/27にも使用
同一通信先にアクセスする別のxlsファイルがあり(文面英語)、海外向けには恐らく別のファイル名でばらまかれていたと思われます。
メールの添付かメール内のリンクからの誘導かは不明です。
■ファイル名
bill_001_1019.xls
■検体
https://app.any.run/tasks/437d161f-f6c3-4dde-80c2-de0cd8a0d9a1/