bomb_log

セキュリティに関するbom

2019/04/17(水) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

この日で4/15,16,17と3日連続で、同一のアクターからと思われるursnif(B)のばらまきが発生しました。 ※件名、本文、添付ファイル等複数ある可能性があり、全てを網羅出来てはいない可能性があります。ただし、通信先は同じと考えられます。 ■日時4/17 9:30 …

2019/04/16(火)添付ファイル付不審メール(Emotet)の調査

日本語件名、本文のEmotetのばらまきが4/12,4/15に引き続き発生しました。マルウェアダウンロードの動作等は4/12と同様のため、その部分は簡略化して記載します。 ■件名請求書からの延滞請求書サービス請求書期限切れ請求書請求書ステータスの更新※件名の前…

2019/04/16(火) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

2019/4/15に来たものと同一と思われるursnif(B)のばらまきが発生しました。なお、昨年行われていたursnif(B)と同一のアクターと思われますが、配信経路は異なっていると考えられます。また、配信規模は小さくなっています。 ※件名、本文、添付ファイル等複数…

2019/04/15(月)添付ファイル付不審メール(Emotet)の調査

日本語件名、本文のEmotetのばらまきが4/12に引き続き発生しました。マルウェアダウンロードの動作等は4/12と同様のため、簡略化して記載します。 ■日時2019/04/15 16:30- ■件名(例)読んでください特別請求書確認して承認してください。[英字氏名]請求書を…

2019/04/15(月) 添付ファイル付不審メール(ursnif(B)/Dreambot)の調査

4/15に数ヶ月ぶりにursnif(B)と呼んでいる日本を狙った不正送金マルウェアへの感染を狙うアクターの不審メールのばらまきを観測しました。 ※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます…

2019/04/12(金) 添付ファイル付不審メール(emotet)の調査

日本語のemotetへの感染を狙った不審メールのばらまきを観測しました。日本語の件名、日本語の本文でemotetのばらまきが日本に来ることはかなり稀です。(昨年に1回あった程度)なお、海外でも同じタイミングでemotetのばらまきが発生しており、そちらはメー…

2019/04/10(水) 添付ファイル付不審メール(bebloh)の調査

恐らく不正送金マルウェアursnifへの感染を狙ったと思われる、ダウンローダbeblohに感染する日本語のばらまきメールを観測しました。 ■日時2019/04/10(水) 16:00頃- ■件名(5種類)4月分請求データ送付の件6月度発注書送付ご請求書を添付致しておりますので…

2019/04/03(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。 ■日時 2019/04/04(水) 14:30 頃 - 18:30 頃 ■件名(6種類)4月1日ご契約の件・初期…

2019/03/27(水) 添付ファイル付不審メール(bebloh/ursnif(A))の調査

3週間ぶりに、日本語の不審メールのばらまきがありました。メールに添付されているxlsファイルはダウンローダ型のマルウェアです。同じくダウンローダ型マルウェアのbeblohに感染する可能性があります。更に不正送金マルウェアのursnifに感染しますのでご注…

シンクホールによるursnif(B)の感染端末の分析

前記事の通り、シンクホールによりursnif(B)の観測を行っています。 bomccss.hatenablog.jp ursnif(B)のシンクホール化を初めたのは2/25からとなります。それ以降の約1ヶ月で分析できた内容についてとなります。 ※環境を整えながら観測をしているため、一部…

シンクホールの運用について

これまで当blogおよびtwitterにて、マルウェア感染の被害を減らす為の情報として活用できるように、主にマルウェアに誘導するばらまき型の不審メールの情報の蓄積や解析を行ってきました。 これまでは感染を防ぐ為の情報発信が主でしたが、今後は更に、感染…

2019/03/06(水) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

2019/03/06 16:30頃より 不審メール のばらまきを確認しています。添付のxlsファイルを日本語環境下で開くと、ダウンローダ型マルウェアbeblohに感染することを確認しています。beblohからursnifへ感染するという報告も確認しています。 ■日時2019/03/06 16:…

2019/02/28(木) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

火曜に引き続き、日本を狙った不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。火曜日と同じくursnif-A系(添付系)のアクターと思われます。今年に入ってからは週に2度ばらまくことはほぼなかったため、今後活発に活動する…

2019/02/26(火) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

前週に引き続き、日本を狙って不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。このばらまきメールはursnif-A系(添付系)のアクターです。ただ、このところ夜中は追加スクリプトが取得できなかったり、beblohから追加マルウ…

2019/02/25(月) 添付ファイル付不審メール(GandCrab/Phorpiex)の調査

2019年始より日本をターゲットに行われているランサムウェアGandCrabのばらまきメールが発生しました。単純な作りであり、たいていのスパムメールフィルタで止まっているものと思われます。ただ、非常に大量に継続的に実行しており、1日半以上たった現時点で…

2019/02/20(水) 添付ファイル付不審メール(bebloh/ursnif-A)の調査

月曜日にばらまきメールがあったのに、水曜日にも同じアクターからばらまきメールがありました。 このばらまきメールは月曜日と同様、以前より日本に対して不正送金マルウェアをばらまいているursnif-A系(添付系)のアクターです。 ■日時2019/02/20 17:00~ ■…

2019/02/20(水) 添付ファイル付不審メール(FlawedAmmyy)の調査

2/20の朝から、これまで日本をターゲットにしていなかったと思われる攻撃グループからのばらまきメールを観測しました。世界的これまで各地で行われていたものが日本にまで入ってきたようです。2/18のursnifのばらまきメールの件名、添付ファイル名、本文な…

2019/02/18(月) 添付ファイル付不審メールの調査

2019/02/18(月) 16:50頃より、 添付ファイル付の不審メールのばらまきが発生していました。20:30頃からは、同一の件名で異なる添付ファイルの不審メールのばらまきが発生していました。メールの内容や添付ファイルの動きはどちらも同じ動作を行います。 これ…

2018/12/13(木)『【楽天市場】注文内容ご確認(自動配信メール)』の調査

12/11に続き、12/13にも不審メールのばらまきがありました。時間は長かったですが、ばらまき量は前回よりも少量でした。送信されるメールの内容は同じですが、マルウェアを生成する方法は変わっていました。 ■日時2018/12/13(木) 15:30頃 ~ 21:30頃※早い…

2018/12/11(火)『【楽天市場】注文内容ご確認(自動配信メール)』の調査

7/25以来ですが、不正送金マルウェアへの感染を狙った、楽天をかたる不審メールのばらまきがありました。メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。ダウンロードされたファイルは実行しないようにご注意ください。 …

2018/11/14(水)『/発注-181112』『支払依頼書』『【連絡 ※請求書】』の調査

11/14に不審メールのばらまきがあったようです。こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。情報共有いただいた内容から調査を行いました。 ■日時2018/11/14(水) 17:00頃 - 17:20頃 ■件名/発注-18111…

2018/11/06(火) 『10月5日日付の管理費請求書』『10月課金請求リスト』『10月請求書 郵送のご連絡』『11月請求書連絡』『【再送】30年10月分請求書』『ご請求書』『別注お支払いの件』『請求書』『~請求書11月1日~』『注文書の件』『申請書類の提出』『立替金報告書の件です。』『納品書フォーマットの送付』『請求データ送付します』の調査

11/6に不審メールのばらまきがありました。10/24の復活以降、4回目のばらまきです。 ■日時2018/11/06(火) 17:30頃 - 21:40頃 ■件名10月5日日付の管理費請求書10月課金請求リスト10月請求書 郵送のご連絡11月請求書連絡【再送】30年10月分請求書ご請求書別…

2018/11/01(木) 『立替金報告書の件です。』『申請書類の提出』『注文書の件』『請求データ送付します』『納品書フォーマットの送付』『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書~』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

11/1(木)にも不審メール のばらまきがあったようです。こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。情報共有いただいた内容から調査を行いました。 ■日時2018/11/01(木) 18:00頃 - ■件名立替金報告書の…

2018/10/30(火)『10月請求書の件』『2018年10月度 御請求書』『RE: 10月分WO』『【請求書、見積書送付】30/10-11』『再)ご請求書〜』『請求書送信のご連絡』『預かり金依頼書の送付(追い金)』の調査

10/24に引き続き、10/30にも不審メールのばらまきを観測しました。過去8月までに行われいてたように、火曜日のばらまきです。 ■日時2018/10/30(火) 18:10頃 - 21:20頃 ■件名10月請求書の件2018年10月度 御請求書RE: 10月分WO 【請求書、見積書送付】30/10…

2018/10/24(水) 『注文書の件』『申請書類の提出』『立替金報告書の件です。』『納品書フォーマットの送付』『請求データ送付します』の調査

8/8以降止まっていた不正送金マルウェアへの感染を狙った不審メールのばらまきが再び発生しました。以下、調査内容となります。 ■日時2018/10/24(水) 15:50頃 - 21:10頃 ■件名注文書の件申請書類の提出立替金報告書の件です。納品書フォーマットの送付請求デ…

2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。 ■日時2018/8/8 17:00頃 - ■件名ご請求額の通知インボイスプロジェクト写真支払い文書請求・支払データ資料 ■添付ファイル名文書_nnnnn.iqy※nnnnnは数字5桁 ■通信先添付…

2018/08/07(火) 『<要返信:FAX>営業○・出荷×』『注文書[※数字4桁]』『インボイス Re: 進捗』の調査

Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。 ■日時2018/08/07 16:30 頃 - 19:00 頃 ■件名<要返信:FAX>営業○・出荷×注文書[※数字4桁]インボイス Re: 進捗 ■添付ファイルFAX[出荷].xls※件名 <要返信…

2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査

特殊な形式の添付ファイルがついた不審メールのばらまきを観測しました。添付ファイルは.iqyファイルであり、Excelに関連付けされており、開くと悪意あるサーバからマルウェアをダウンロードし、最終的には不正送金マルウェアに感染させます。 .iqyファイル…

2018/07/25(水) 『【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を』の調査

楽天をかたるメールで不正送金マルウェアへの感染を狙った、不審メールのばらまきがありました。メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。ばらまきがあった時間は比較的長期間で、ここ最近の中では大量のばらまき…

2018/07/5(木) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

メール内のリンクよりマルウェアをダウンロードさせるタイプの不審メールのばらまきがありました。メールの宛先には複数のアドレスが入っているので、不審と思えるかと思います。 ■日時2018/7/5 14:55頃~ ■件名【楽天市場】注文内容ご確認(自動配信メール…