2020/01/13(月)週 添付ファイル付不審メール(Emotet -> Trickbot)の調査
2020年は1/13からEmotetのメール配信が世界的に再開されました。
Emotetの休みは2019/12/20-2020/01/12までの約3週間でした
変わらず、EmotetからTrickbotへも感染します。
なお、EmotetからTrickbotへ感染するのは、日本だけでなく、世界的にも同様の観測がなされています。
■サンプル
https://app.any.run/tasks/57cee0b8-45fd-4fe4-a8dd-1d8a851e423b/
■日時
2020/01/13(月) 22:00頃 - 2020/01/18(土)
■メール件名
▼件名の変化
・2020/01/14-
会議開催通知という件名で、非常に良く出来た日本語のメールが使用されるようになりました。会議の詳細は添付ファイルを確認してください、として添付ファイルを開かせる手口です。
会議関連の件名は世界よりも先行して使用されていたと思われます。
・2020/01/18-
件名が宛先名と同一で、本文が、あなたのPCをハッキングしました、というものでセクストーションと同じ形です。支払いの方法は添付ファイルを確認してください、として添付ファイルを開かせる手口です。
世界的にも同様の内容でメールが送信されています。
件名が宛先名と同じというのは、12月までは偽装返信型と呼んでいたものと同じです。
▼日本語件名一覧
・返信型
Re: [実際のメール件名]
[実際のメール件名]
・Hacked系
[ユーザ名]
※本文がハッキングしました、というもの。
・請求書関連
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
・会議関係(2020/01/14~)
会議開催通知
会議への招待
※本文の日本語が巧妙
・汎用件名
コメント
データ
ドキュメント
メッセージ
メッセージを繰り返す
リマインダー
新バージョン
最後のオプション
現在のバージョン
一覧
備考
情報
助けて
・汎用関係に追加(2020/01/16-17頃まで使用)
助けが必要
助けてください
問題
質問..
・賞与関係(~2020/01/16頃まで使用)
届
月賞与
12月賞与
2019月賞与
2019/12/16(月)週 添付ファイル付不審メール(Emotet -> Trickbot)の調査
日本向けEmotetの送信は止まる気配がなく、継続してばらまかれ続けています。
平日は毎日、土日は止まることが多いですが、稀に土曜日にも配信されることがあります。
なお、2019年は12/20を最後に、Emotetのメール配信は休止しています。
■日時
2019/12/16(月) 16:00頃 - 2019/12/20(金)
■追加ペイロード
Emotetに感染すると、更に不正送金マルウェアのTrickbotに感染することを確認しています。
■件名
▼変化
12/18から、クリスマス関連の件名が出てきました。
クリスマスにKFCは日本のみの風習ですが、それを理解していたようです。ただし、テーブルの予約、という本文で、持ち帰りで食べる、というところまでは理解していなかったようです。
・メリークリスマス
・KFC
・KFCテーブル
また、12/18から、賞与関連の件名が=※■□▼◆◎●★☆でデコられるようになりました。
賞与関連の件名は世界的に利用されていましたが、件名がデコられるようになったのは、日本のみのようです。
▼該当期間に観測した、日本語本文の件名一覧
・返信型
[実際のメール件名]
RE: [実際のメール件名]
・偽装返信型
[受信者メールアドレス]
・請求書関係
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
3月の請求書
表示用のアカウントの請求書
請求書
特別請求書
確認レター
請求書の送信
請求書ステータスの更新
あなたの請求書
・汎用件名
コメント
データ
・クリスマス関係
メリークリスマス
KFC
KFCテーブル
・賞与関係
11月賞与
12月賞与
19.12月賞与関係会社請求について
2019冬・業績賞与支給
2019月賞与
届
払
払届
月賞与
賞与
賞与支
賞与支払
賞与支払届
賞与支給に際しての社長メッセージ
* 賞与支払届 *
** 払 **
** 賞与支給に際しての社長メッセージ **
= 賞与支払 =
== 賞与支払 ==
== 賞与支払届 ==
== 賞与支給に際しての社長メッセージ ==
=== 20.12月賞与関係会社請求について ===
=== 賞与支払 ===
※ 19.12月賞与関係会社請求について ※
※ 賞与支払届 ※
※※ 19.12月賞与関係会社請求について ※※
※※ 賞与 ※※
※※ 賞与支払 ※※
※※ 賞与支払届 ※※
※※ 賞与支給に際しての社長メッセージ ※※
※※※ 2019冬・業績賞与支給 ※※※
※払※
※賞与支払※
■ 払届 ■
■ 賞与支払 ■
■ 賞与支給に際しての社長メッセージ ■
■□ 12月賞与 ■□
■□ 賞与支払届 ■□
■□■ 20.12月賞与関係会社請求について ■□■
■□■ 賞与支払 ■□■
■□■ 賞与支給に際しての社長メッセージ ■□■
□■ 賞与支払届 □■
□□□ 賞与支払届 □□□
▼▼ 賞与支払届 ▼▼
▼▼ 賞与支給に際しての社長メッセージ ▼▼
▼▼▼ 20.12月賞与関係会社請求について ▼▼▼
▼▼▼ 払 ▼▼▼
▼賞与支払届▼
◆ 12月賞与 ◆
◆ 19.12月賞与関係会社請求について ◆
◆ 2019冬・業績賞与支給 ◆
◆ 届 ◆
◆ 賞与支 ◆
◆ 賞与支払届 ◆
◆◆ 12月賞与 ◆◆
◆◆ 払 ◆◆
◆◆ 賞与支 ◆◆
◆◆ 賞与支給に際しての社長メッセージ ◆◆
◆◆◆ 賞与支払 ◆◆◆
◎ 払届 ◎
◎ 賞与支 ◎ Itochu.co
◎ 賞与支給に際しての社長メッセージ ◎ Itochu.co
◎◎ 賞与支払届 ◎◎
◎◎◎ 20.12月賞与関係会社請求について ◎◎◎
◎◎◎ 2019冬・業績賞与支給 ◎◎◎
●● 12月賞与 ●●
●● 賞与支払 ●●
●●● 12月賞与 ●●●
★ 賞与支払届 ★
★ 賞与支給に際しての社長メッセージ ★
★★★ 届 ★★★
★★★ 賞与支 ★★★
★★★ 賞与支払届 ★★★
☆ 賞与支払届 ☆
☆12月賞与☆
☆☆☆ 賞与 ☆☆☆
☆届☆
☆賞与☆
2019/12/04(火) 『令和元年度職員録』の調査
2日続けてTA505のばらまきと思われる添付ファイル付きの不審メールのばらまきを確認しています。
■日時
2019/12/04(火) 9:00-
■件名
訂正 12/04業務報告
■添付ファイル
営業報告入力フォー2019.xls
■サンプル
https://app.any.run/tasks/64904e28-914d-4a76-b83b-dc219a304693/
添付ファイルはget2 downloader と思われます
■通信先
msonebox[.]com
※MS関連のドメインではない
同通信先で恐らく海外向けの本日の検体
https://app.any.run/tasks/713268bc-f71c-4104-8332-2999f20bc4e1/
同通信先は11/29にも使われていたようです。
https://app.any.run/tasks/c98b75f5-7f82-4964-afd2-ae438cc48fcf/
https://app.any.run/tasks/449229ff-0f3e-4eba-ac95-a7464faa111b/
