bomb_log

セキュリティに関するbom

2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。 ■日時2018/8/8 17:00頃 - ■件名ご請求額の通知インボイスプロジェクト写真支払い文書請求・支払データ資料 ■添付ファイル名文書_nnnnn.iqy※nnnnnは数字5桁 ■通信先添付…

2018/08/07(火) 『<要返信:FAX>営業○・出荷×』『注文書[※数字4桁]』『インボイス Re: 進捗』の調査

Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。 ■日時2018/08/07 16:30 頃 - 19:00 頃 ■件名<要返信:FAX>営業○・出荷×注文書[※数字4桁]インボイス Re: 進捗 ■添付ファイルFAX[出荷].xls※件名 <要返信…

2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査

特殊な形式の添付ファイルがついた不審メールのばらまきを観測しました。添付ファイルは.iqyファイルであり、Excelに関連付けされており、開くと悪意あるサーバからマルウェアをダウンロードし、最終的には不正送金マルウェアに感染させます。 .iqyファイル…

2018/07/25(水) 『【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を』の調査

楽天をかたるメールで不正送金マルウェアへの感染を狙った、不審メールのばらまきがありました。メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。ばらまきがあった時間は比較的長期間で、ここ最近の中では大量のばらまき…

2018/07/5(木) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

メール内のリンクよりマルウェアをダウンロードさせるタイプの不審メールのばらまきがありました。メールの宛先には複数のアドレスが入っているので、不審と思えるかと思います。 ■日時2018/7/5 14:55頃~ ■件名【楽天市場】注文内容ご確認(自動配信メール…

2018/07/04(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたったメールでマルウェアへの感染を狙った不審メールのばらまきを観測しました。 ■日時2018/7/4(木) ■件名【速報版】カード利用のお知らせ(本人ご利用分)【楽天カード】カードご請求金額のご案内 ■メール内リンク先 (例)hxxp:bm.ourmonthinital…

2018/07/03(水) 『写真送付の件』『写真添付』の調査

添付ファイル付のメールで不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。 ■日時2018/7/3(水) ■件名写真送付の件写真添付 ■添付ファイル2018.[※].写真.xls※にはメールアドレスの@の前の部分(name@domain.comの場合name)が入りますhtt…

2018/07/02(月) 『7月度発注書送付』『invoice/証明書』『注文書をお送りいたします』の調査

添付ファイル付の不審メールのばらまきがありました。添付ファイルを実行すると、不正送金マルウェアursnifに感染します。記録としてインジケータ等を記載します。 ■日時2018/07/02(月) 6:10頃~ ■件名7月度発注書送付invoice/証明書注文書をお送りいたしま…

2018/06/29(金) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

楽天をかたったメールで、メール内リンクから不正送金マルウェアursnifへの感染を狙ったばらまきメールがありました。 ■日時2018/6/29 ■件名【速報版】カード利用のお知らせ(本人ご利用分) ■差出人info[@]mail.rakuten-card.co.jp ■メール本文内のリンク(例…

2018/06/28(木) 『写真』『スナップ写真』『写真添付』『写真送ります。』『写真送付の件』『添付写真あり』の調査

様々な件名でエクセルファイルが添付された不審メールがばらまかれていました。添付ファイルを実行すると不正送金マルウェアursnifに感染します。 ■日時2018/06/28(木)15:20頃~ ■件名スナップ写真写真写真添付写真送ります。写真送付の件添付写真あり ■添…

2018/06/26(火) 『【楽天カード】カードご請求金額のご案内』の調査

楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。インジケータ等のみを記載シておきます。 ■日時2018/06/26 16:25 - ■件名【楽天カード】カードご請求金額のご案内 ■送信者info[@]…

2018/06/26(火) 『注文書の送付(2018.06.26)』『注文書よろしくお願いします。』の調査

添付ファイルを開きマクロを実行すると感染する不審メールのばらまきです。マルウェアbeblohおよびursnifに感染します。主にインジケータ等のみ記載しておきます。 ■日時 2018/06/26(火) 16:00 - ■件名注文書の送付(2018.06.26)注文書よろしくお願いします…

2018/07/18(水) 『18/07 製造依頼』の調査

三度不審メールが来ました。添付ファイル添付型です。 ■日時2018/07/18(水) 17:50頃 - 18:50頃まで ■件名18/07 製造依頼 ■添付ファイル2018追加製造.xlshttps://www.hybrid-analysis.com/sample/a67f1f172d846bb7b2e82d2d9d423d0fe12292f2eb4c04e5341acffaa7…

2018/07/18(水) 『ご確認下さい』『 資料添付します。』『再送』『表題の資料を送付いたします。』『 Fw: 資料』『 7月』『 上記書類を送付します。』『 申込書類の送付』の調査

複数種類の件名に添付ファイルがついた不審メールを観測しました。なお、観測はできませんでしたが、前日7/18でも同様の件名で同じマルウェアを取得するものが一部ばらまかれていたようです。 ■日時2018/07/18(土) 16:40頃 - 17:00頃 ■件名ご確認下さい 資…

2018/07/18(水) 『カード利用のお知らせ』の調査

楽天をかたった不審メールのばらまきによる不正送金マルウェアへの感染を狙った攻撃を観測しました。 ■日時2018/07/18(水) 14:35頃 ~ ■件名カード利用のお知らせ ■送信者nfo[@]mail.rakuten-card.co[.]jp ■メール内リンク先URLhxxp://pl.declarationvideo[.]…

2018/07/10(火) 『書類について』『写真』『写真送ります。』『現場写真』『見積書再送付致します』『【至急】対応お願い致します』『【その2】』の調査

2018/07/10の添付ファイル付の不審メールのばらまきの情報です。 ■日時 2018/07/10(火) 17:50頃~ ■件名書類について写真写真送ります。現場写真見積書再送付致します【至急】対応お願い致します【その2】 ■本文 幾つかのパターンを確認しています。※冒頭挨…

2018/06/25(月)『2018.6月分請求データ送付の件』『6月度発注書送付』『ご請求書を添付致しておりますので』『メールに添付された請求書デー』『添付ファイルをご確認下さい。』の調査

何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。 ■日時2018/06/25(月) 15:50頃 - 17:10頃 ■件名2018.6月分請求データ送付の件6月度発注書送付ご請求書を添付致しておりますのでメールに添付された請求書デー添付ファイ…

2018/06/14(木) 『2018.6月分請求データ送付の件』『6月請求データ』の調査

更に6/14に件名が変更され、不審メールのばらきがありました。 ■日時2018/6/14(木) 17:10頃-18:00頃 ■件名2018.6月分請求データ送付の件6月請求データ※件名の頭に.、Fwd: 、Fwd: Re:、Re: 、Re: Re: がつく場合があります。 ■添付ファイル名n.nnn.請求・支払…

2018/06/14(木) 『【振込み確認書】18.06.14』の調査

6/12,13に引き続き、6/14にも添付ファイル型の不審メールの配信がありました。 ■日時2018/06/14 16:20頃-16:40頃 ■件名【振込み確認書】18.06.14 ■添付ファイル【振込み確認書】18.06.14.xlshttps://www.hybrid-analysis.com/sample/9ff97c6be8bf57509583280…

2018/06/13(水) 『注文書の件』の調査

6/13には添付ファイルがついた不審メールの件名が変化しました。ここ最近の添付ファイル型不審メールは同一のマルウェアを取得しに行くメールで件名が配信途中から種類が増えるものが多いような気がします。 ■日時 2018/06/13(水) 17:30頃 - 20:45頃 ■件名注…

2018/06/13(水) 『請求書を送ります』『Fwd: 6月分請求書リスト』の調査

6/12に引き続き、6/13も添付ファイル付の不審メール の配信を確認しています。 ■日時2018/06/13(火) 16:25頃 - 17:30頃 ■件名請求書を送りますFwd: 6月分請求書リスト ■添付ファイル名経理部.(請求書).xlshttps://www.hybrid-analysis.com/sample/412a40cf…

2018/06/12(火) 『カード利用のお知らせ』の調査

楽天市場をかたったメールに引き続き、楽天カードをかたったメールの配信がありました。また、翌日にも一時的に同一件名、同一検体ハッシュで配信がありました。ともに、楽天市場をかたったメールと検体は一緒です。 ■日時2018/06/12(火) 16:35頃 - 19:35頃2…

2018/06/12(火) 『写真添付』『写真送付の件』の調査

楽天市場をかたったばらまきに引き続き、xlsファイル添付するタイプの不審メールの配信を確認しました。 ■日時2018/6/26 17:30頃 - 18:00頃 ■件名写真添付写真送付の件 ■添付ファイル 2018.(※)_写真.xls※:任意の数字列https://www.hybrid-analysis.com/sam…

2018/06/12(火) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

6/7同様に、楽天市場を騙った不審メール の配布がありました。 ■日時2018/06/12 16:00頃 - 19:30頃■件名【楽天市場】注文内容ご確認(自動配信メール) ■送信者order[@]rakuten.co.jp ■メール内リンクURLua.elpanal.com[.]uy上記を例に、全て下記IPアドレス…

2018/06/07(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

当日の楽天市場をかたったものと同一のハッシュの不審メールのバラマキがありました。 ■日時2018/06/07 17:20頃 - 20:20頃 ■件名【速報版】カード利用のお知らせ(本人ご利用分) ■送信者info[@]mail.rakuten-card.co[.]jp 以下、楽天市場をかたったものと同一…

2018/06/07(木) 『写真送付の件』の調査

続いて、添付ファイル付の不審メール のバラまきを確認しています。 ■日時2018/06/07 15:35頃 - 18:00頃 ■件名写真送付の件 ■添付ファイル (数字4桁)_写真.xls ■取得するファイル添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。hxxp://…

2018/06/07(木) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

前日に引き続き、メール内のリンクから誘導しダウンロードさせるタイプの不審メールの配布がありました。 ■日時2018/06/07(木) 14:55頃 - 17:35頃■件名【楽天市場】注文内容ご確認(自動配信メール)■送信者order[@]rakuten.co.jp ■添付ファイルなし ■メール…

2018/06/06(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。 この件名でのバラマキは5/30以来でした。配信で使用するドメインやマルウェア等は同一のため、同じ攻撃者によるものと思われます。配信量は楽天市場…

2018/06/06(水) 『【楽天市場】注文内容ご確認(自動配信メール)』の調査

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。 この件名でのバラマキは5/11以来でした。配信量は同件名で通常の1/3程度と少量でした。 ■日時2018/06/06(水) 14:55頃 - 17:10頃 ■件名【楽天市場】注文内容ご確認(自動配信メール) ■送信者ord…

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査その2

以下の記事の続きになります。 bomccss.hatenablog.jp 前回調査をした際に、以下の疑問がわきました。 もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組…