12(火) 『【楽天市場】注文内容ご確認（自動配信メール）』の調査

6/7同様に、楽天市場を騙った不審メールの配布がありました。 ■日時2018/06/12 16:00頃 - 19:30頃■件名【楽天市場】注文内容ご確認（自動配信メール） ■送信者order[@]rakuten.co.jp ■メール内リンクURLua.elpanal.com[.]uy上記を例に、全て下記IPアドレス…

2018-06-25

2018/06/07(木) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

当日の楽天市場をかたったものと同一のハッシュの不審メールのバラマキがありました。 ■日時2018/06/07 17:20頃 - 20:20頃 ■件名【速報版】カード利用のお知らせ(本人ご利用分) ■送信者info[@]mail.rakuten-card.co[.]jp 以下、楽天市場をかたったものと同一…

2018-06-25

2018/06/07(木) 『写真送付の件』の調査

続いて、添付ファイル付の不審メールのバラまきを確認しています。 ■日時2018/06/07 15:35頃 - 18:00頃 ■件名写真送付の件 ■添付ファイル (数字4桁)_写真.xls ■取得するファイル添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。hxxp://…

2018-06-25

2018/06/07(木) 『【楽天市場】注文内容ご確認（自動配信メール）』の調査

前日に引き続き、メール内のリンクから誘導しダウンロードさせるタイプの不審メールの配布がありました。 ■日時2018/06/07(木) 14:55頃 - 17:35頃■件名【楽天市場】注文内容ご確認（自動配信メール）■送信者order[@]rakuten.co.jp ■添付ファイルなし ■メール…

2018-06-18

2018/06/06(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。この件名でのバラマキは5/30以来でした。配信で使用するドメインやマルウェア等は同一のため、同じ攻撃者によるものと思われます。配信量は楽天市場…

2018-06-18

2018/06/06(水) 『【楽天市場】注文内容ご確認（自動配信メール）』の調査

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。この件名でのバラマキは5/11以来でした。配信量は同件名で通常の1/3程度と少量でした。 ■日時2018/06/06(水) 14:55頃 - 17:10頃 ■件名【楽天市場】注文内容ご確認（自動配信メール） ■送信者ord…

2018-06-10

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査その2

以下の記事の続きになります。 bomccss.hatenablog.jp 前回調査をした際に、以下の疑問がわきました。もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組…

2018-06-10

2018/06/05(火) 『2018.5月分請求データ送付の件.6月請求データ.xls』『6月分請求データ送付の件』『6月請求データ.xls』の調査

タイトルが長くなってしまいました。 6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水…

2018-06-10

2018/06/05(火) 『のご注文について』の調査

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この件名のものは一番配布数が少なかったです。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水) 16:55頃 - 17:10頃 ■件名のご注文について ■本文JC3によ…

2018-06-10

2018/06/05(火) 『請書及び請求書のご送付』『RE: 請求書XLSについて』の調査

添付ファイルが付いていてbeblohを取得するタイプのばらまきがありました。配布されている数はリンクからマルウェアを落とすタイプと比較すると1/5～1/10程度と少量です。 ■日時2018/06/05(火) 15:15頃 - 16:35頃 ■件名請書及び請求書のご送付RE: 請求書XLS…

2018-06-05

2018/05/31(木) 『2018.5月分請求データ送付の件』の調査

5/15(火)、16(水)、5/22(火)、前日5/30(水)に配布があったものと同じ件名で不審メールの送信がありました。この添付ファイルを複数日に渡って実行を繰り返しましたが、同一ハッシュのマルウェアを取得しました。5/30(水)よりは件数は多いですが、楽天を騙っ…

2018-06-05

2018/05/30(水) 『【速報版】カード利用のお知らせ(本人ご利用分)』の調査

楽天関係をかたった不審メールの配信がありました。新しい件名のパターンですが、誘導先URLやダウンロードされるマルウェアは同日の「Airdrop申請内容をご確認ください」と同じでした。また、5/11までの楽天を騙ったメールとC2ドメイン hxxp://chklink[.]clu…

2018-06-05

2018/05/30(水) 『2018.5月分請求データ送付の件』の調査

5/15、16に配布があったものと同じ件名で不審メールの送信がありました。 ■日時2018/05/30(水) 15:35頃 - 15:50頃件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)と同一です■件名2018.5月分請求データ送付の件.2018.5月分請求データ送付の件F…

2018-06-01

2018/05/30(水) 『Airdrop申請内容をご確認ください』の調査

新しい件名での不審メールのばらまきがありました。配信された件数はこれまでの楽天市場を騙ったメールの配信と同規模と想定されます。 ■日時05/30 14:20頃 - 21:00頃 ■件名Airdrop申請内容をご確認ください※17:00頃までは配信ミスと思われる「=?UTF-8?B?QWl…

2018-05-23

2018/05/22(火)　『2018.5月分請求データ送付の件』の調査

毎週火曜日、不審メールのばらまきが起こりやすい曜日です。.xlsファイル添付のursnifへの感染を狙ったものです。 ■日時2018/05/22 15:55 - 17:35 頃まで ※件名、本文共に5/15(火)、5/16(水)と同一です。■件名2018.5月分請求データ送付の件.2018.5月分請求デ…

2018-05-20

2018/05/16(水) 『2018.5月分請求データ送付の件』の調査

3日連続で、xls形式の添付ファイルがついたメールのばらまきがありました。これも前日同様に、bebloh、ursnifの流れです。送信量は前日と同程度でした。 ■日時2018/05/16 15:50 - 2018/05/16 20:45 頃 ■件名以下、5種類を確認しています。2018.5月分請求デー…

2018-05-17

2018/05/15(火) 『2018.5月分請求データ送付の件』の調査

前日に引き続き、xls形式の添付ファイルがついたメールのばらまきがありました。これも前日同様に、bebloh、ursnifの流れです。前日の3種類の合算と同程度の送信量でした。 ■日時2018/05/15(火) 15:35 - 2018/05/16(水) 8:45 頃 ■件名2018.5月分請求データ送…

2018-05-17

2018/05/14(月) 『指定請求書』『注文書、請書及び請求書のご送付』の調査

5/14(月)に更に同一ハッシュのマルウェアへの感染を狙った別の件名でのxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。同一日時で3回も件名を変えてばらまかれるのは珍しいです。なお、同一件名でのばらまきは5/8(火)にありましたが…

2018-05-17

2018/05/14(月) 『発注分』の調査

さらに5/14(月)に件名「印鑑の発注について」と入れ替わる形でごく少数ですが、件名「発注分」でも同様のxls添付ファイルからbebloh,ursnifへ感染するメールの送信がありました。 ■日時2018/05/14(月) 16:55 - 2018/05/14(月) 19:35 頃 ■件名発注分 ■添付フ…

2018-05-17

2018/05/14(月) 『印鑑の発注について』の調査

5/14(月)にxlsファイルが添付された不審メールのばらまきがありました。送信量は少数です。 ■日時2018/05/14(月) 15:55 - 2018/05/14(月) 16:50 頃 ■件名印鑑の発注について ■本文 ■添付ファイル全行団発注.xlshttps://www.hybrid-analysis.com/sample/38bf…