何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。 ■日時2018/06/25(月) 15:50頃 - 17:10頃 ■件名2018.6月分請求データ送付の件6月度発注書送付ご請求書を添付致しておりますのでメールに添付された請求書デー添付ファイ…

更に6/14に件名が変更され、不審メールのばらきがありました。 ■日時2018/6/14(木) 17:10頃-18:00頃 ■件名2018.6月分請求データ送付の件6月請求データ※件名の頭に.、Fwd: 、Fwd: Re:、Re: 、Re: Re: がつく場合があります。 ■添付ファイル名n.nnn.請求・支払…

6/12,13に引き続き、6/14にも添付ファイル型の不審メールの配信がありました。 ■日時2018/06/14 16:20頃-16:40頃 ■件名【振込み確認書】18.06.14 ■添付ファイル【振込み確認書】18.06.14.xlshttps://www.hybrid-analysis.com/sample/9ff97c6be8bf57509583280…

6/13には添付ファイルがついた不審メールの件名が変化しました。ここ最近の添付ファイル型不審メールは同一のマルウェアを取得しに行くメールで件名が配信途中から種類が増えるものが多いような気がします。 ■日時 2018/06/13(水) 17:30頃 - 20:45頃 ■件名注…

6/12に引き続き、6/13も添付ファイル付の不審メール の配信を確認しています。 ■日時2018/06/13(火) 16:25頃 - 17:30頃 ■件名請求書を送りますFwd: 6月分請求書リスト ■添付ファイル名経理部.（請求書）.xlshttps://www.hybrid-analysis.com/sample/412a40cf…

楽天市場をかたったメールに引き続き、楽天カードをかたったメールの配信がありました。また、翌日にも一時的に同一件名、同一検体ハッシュで配信がありました。ともに、楽天市場をかたったメールと検体は一緒です。 ■日時2018/06/12(火) 16:35頃 - 19:35頃2…

楽天市場をかたったばらまきに引き続き、xlsファイル添付するタイプの不審メールの配信を確認しました。 ■日時2018/6/26 17:30頃 - 18:00頃 ■件名写真添付写真送付の件 ■添付ファイル 2018.(※）_写真.xls※：任意の数字列https://www.hybrid-analysis.com/sam…

6/7同様に、楽天市場を騙った不審メール の配布がありました。 ■日時2018/06/12 16:00頃 - 19:30頃■件名【楽天市場】注文内容ご確認（自動配信メール） ■送信者order[@]rakuten.co.jp ■メール内リンクURLua.elpanal.com[.]uy上記を例に、全て下記IPアドレス…

当日の楽天市場をかたったものと同一のハッシュの不審メールのバラマキがありました。 ■日時2018/06/07 17:20頃 - 20:20頃 ■件名【速報版】カード利用のお知らせ(本人ご利用分) ■送信者info[@]mail.rakuten-card.co[.]jp 以下、楽天市場をかたったものと同一…

続いて、添付ファイル付の不審メール のバラまきを確認しています。 ■日時2018/06/07 15:35頃 - 18:00頃 ■件名写真送付の件 ■添付ファイル (数字4桁)_写真.xls ■取得するファイル添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。hxxp://…

前日に引き続き、メール内のリンクから誘導しダウンロードさせるタイプの不審メールの配布がありました。 ■日時2018/06/07(木) 14:55頃 - 17:35頃■件名【楽天市場】注文内容ご確認（自動配信メール）■送信者order[@]rakuten.co.jp ■添付ファイルなし ■メール…

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。 この件名でのバラマキは5/30以来でした。配信で使用するドメインやマルウェア等は同一のため、同じ攻撃者によるものと思われます。配信量は楽天市場…

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。 この件名でのバラマキは5/11以来でした。配信量は同件名で通常の1/3程度と少量でした。 ■日時2018/06/06(水) 14:55頃 - 17:10頃 ■件名【楽天市場】注文内容ご確認（自動配信メール） ■送信者ord…

以下の記事の続きになります。 bomccss.hatenablog.jp 前回調査をした際に、以下の疑問がわきました。 もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組…

タイトルが長くなってしまいました。 6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水…

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この件名のものは一番配布数が少なかったです。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水) 16:55頃 - 17:10頃 ■件名のご注文について ■本文JC3によ…

添付ファイルが付いていてbeblohを取得するタイプのばらまきがありました。配布されている数はリンクからマルウェアを落とすタイプと比較すると1/5～1/10程度と少量です。 ■日時2018/06/05(火) 15:15頃 - 16:35頃 ■件名請書及び請求書のご送付RE: 請求書XLS…

5/15(火)、16(水)、5/22(火)、前日5/30(水)に配布があったものと同じ件名で不審メールの送信がありました。この添付ファイルを複数日に渡って実行を繰り返しましたが、同一ハッシュのマルウェアを取得しました。5/30(水)よりは件数は多いですが、楽天を騙っ…

楽天関係をかたった不審メールの配信がありました。新しい件名のパターンですが、誘導先URLやダウンロードされるマルウェアは同日の「Airdrop申請内容をご確認ください」と同じでした。また、5/11までの楽天を騙ったメールとC2ドメイン hxxp://chklink[.]clu…

5/15、16に配布があったものと同じ件名で不審メールの送信がありました。 ■日時2018/05/30(水) 15:35頃 - 15:50頃 件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)と同一です■件名2018.5月分請求データ送付の件.2018.5月分請求データ送付の件F…

新しい件名での不審メールのばらまきがありました。配信された件数はこれまでの楽天市場を騙ったメールの配信と同規模と想定されます。 ■日時05/30 14:20頃 - 21:00頃 ■件名Airdrop申請内容をご確認ください※17:00頃までは配信ミスと思われる「=?UTF-8?B?QWl…