2日続けてTA505のばらまきと思われる添付ファイル付きの不審メールのばらまきを確認しています。 ■日時2019/12/04(火) 9:00- ■件名訂正 12/04業務報告 ■添付ファイル営業報告入力フォー2019.xls ■サンプルhttps://app.any.run/tasks/64904e28-914d-4a76-b83b…

TA505 によるばらまきと思われる添付ファイル付きの不審メール のばらまきがありました。 ■日時2019/12/03 07:30頃 - ■件名令和元年度職員録 ■送信者（偽装）山口 陽弘※実際の送信元アドレスは様々ものが使われており、なりすましと考えられます。 ■添付ファ…

日本をターゲットとして注力して狙っているのか、メールテンプレートの変化が激しかったです。また、世界的にみてもEmotetの活動が活発で、様々な変化がありました。 ■日時2019/12/09 16:00頃 - 2019/12/13 ■sample Emotethttps://app.any.run/tasks/dde3e91…

引き続き、ほぼ平日は毎日のようにEmotetのばらまきが発生しています。 JPCERT/CCからEmotet感染が疑われる時のFAQが公開されています。 マルウエアEmotetへの対応FAQhttps://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html ■日時12/2 16時-12/3 9時-12/4 16…

日本語EmotetからのTrickbotのばらまきが再び始まりました。なお、11/27にはEmotetに関してJPCERT/CCから注意喚起を発行しています。脅威から未然防止策、事後対応策まで記載されていますので、そちらも合わせて参照ください。 マルウエア Emotet の感染に関…

11/22(金)に、再び日本語件名のemotetの不審メールのばらまきが行われました。前回のEmotetのばらまき(10/24)から約一月ぶりです。その間、日本語件名のばらまき型Emotetはありませんでしたが、ずっと返信型Emotetを観測しています。返信型Emotetだけが飛ん…

昨年もありました、気象庁をかたった不審メールが出ていたようです。偶然か意図してか、昨年と同日に発生したようです。 なお、昨年のものについては、以下の記事が参考になります。https://piyolog.hatenadiary.jp/entry/20181112/1541970943https://www.pa…

前の週に続き、日本語のEmotetのばらまきメールがばらまかれました。今回も前回同様、次のマルウェアとして、Trickbotに感染します。 ■日時2019/10/22 - 2019/10/24 ■件名（日本語のみ抜粋、英語のものもある）コメントデータドキュメントメッセージメッセー…

主に海外向けのursnif だと思われますが日本でも感染している事例を見つけました。主に感染しているのは、US,JP,AU,GB,ITですが、それ以外にも様々な地域が感染しているのを確認しています。感染は9/30頃から始まっていた可能性が高いです。 誘導の手段の全…

10/14週も日本語のEmotetのばらまきがありました。今回は追加で感染させられるマルウェアがTrickbotでした。 ■日時2019/10/15（火） ～ 2019/10/18（金） ■件名日本語の件名はどうやら毎回一定で以下のようです。※件名の後ろに日付や人名等が付いている場合…

9月に続き、日本語のemotetのばらまきがありました。 一部では返信型emotetもあるようです。件名にRE: がついており、と過去メール送受信した履歴が付いたメールですが、添付ファイルにマクロ付きのWordファイルがついてきます。この添付ファイルもemotetへ…

2018/11、2019/2、2019/4に続き、4度目の日本語のEmotetのばらまきが発生しました。 ■日時2019/09/27（金） ■件名（これ以外もあり）ドキュメントドキュメント <名前>メッセージメッセージを繰り返す <名前>リマインダーリマインダー <名前>情報情報 <名前>…

前の記事のメールの返信にhtmlファイルを添付して、その中に含まれるリンクからファイルをダウンロードする攻撃を、実際にサイトが動作している状態を確認しました。この挙動は1週間以上同じ状態でした。 ■日時2019/09/24 ■誘導先URLhxxp://viewdocument.sva…

以下のURLへ誘導するメールが9/17頃に出ていたようです。※自分で稼働を確認はしていないが、AnyRunで動作しているものを確認。メールの返信に添付ファイルとしてhtml形式のファイルが添付され、その中のリンクからファイルをダウンロードするように誘導する…

Webmoneyをかたってマルウェアへ誘導するメールの第二弾です。 ■件名Webmoneyご購入の受注確認 ■送信者（詐称）ウェブマネー <mailmagazine[@]webmoney.ne[.]jp> ■誘導先URLhxxp://185.251.249[.]172/→リダイレクトhxxps://www.mowebmong-you[.]com/IP:103.100.211[.]61https://urlscan.io/res</mailmagazine[@]webmoney.ne[.]jp>…

Facebookをかたっていたものが、同日中にWebmoneyをかたったものに変化しました。 ■日時2019/09/22 12:30- ■件名Webmoneyご購入の受注確認 ■送信者(詐称)ウェブマネー <mailmagazine[@]webmoney[.]ne[.]jp> ■URLhxxps://www.kopsmg[.]com/IP: 103.100.211[.]61https://urlscan.io/result/f274a22</mailmagazine[@]webmoney[.]ne[.]jp>…

Facebookをかたった日本語のばらまきメールの3日目です。 ■件名【Facebook】変更の提示 ■送信者(詐称)"Facebook" <registration[@]facebookmail[.]com> ■URLhxxps://www.king-fackbook[.]com/IP: 103.100.211[.]61https://urlscan.io/result/3d479fe9-5590-4cfb-8ecd-04d5674ff487/https://app.a</registration[@]facebookmail[.]com>…

前日からばらまかれているFacebookを騙ってマルウェアをダウンロードさせるメールが、URLが変わって再びばらまかれました。 ■日時2019/09/21 7:00- ■件名[Facebook]--変更の提示 ■送信者(詐称)"Facebook" <registration[@]facebookmail[.]com> ■URLhxxps://www.oitunmy[.]com/https://urlscan.io</registration[@]facebookmail[.]com>…

地下鉄カード、LINE、をかたっていたアクターが今度はFacebookをかたって日本語のマルウェア付きメールをばらまいているのを確認しました。 ■日時2019/09/20 ■件名Facebook変更の提示Facebook--変更の提示[Facebook]--変更の提示 ■送信者(詐称): "Facebook" <registration[@]facebookmail[.]com></registration[@]facebookmail[.]com>…

LINEをかたってマルウェアへ誘導するメールの第三段です。 ■日時2019/09/02（日） ■件名:[LINE]-ヒント保護メカニズム ■送信者（詐称）:"LINE" <do_not_reply[@]line[.]me> ■メール内リンクURLhxxps://www.tingdianjifen[.]comIP:154.221.22[.]233 ※変わらず サイトイメージhttps://url</do_not_reply[@]line[.]me>…

LINEをかたってマルウェアへ誘導するメールの第二弾がばらまかれていました。 ■日時2019/09/01(日) ■件名・13:30頃～14:00頃「LINE 重要ヒント保護メカニズム」・14:00頃～「LINE-ヒント保護メカニズム」 ■メール内誘導先URLhxxps://www.uitengone[.]comIP: …

東京メトロをかたってマルウェアへ誘導していたメールが、LINEをかたったものに変わっていますが、誘導先のドメインは同じであり、同様にgh0stcringeへ感染を狙ったものです。 ■日時2019/08/30（金）18:00頃- ■送信者（詐称） "LINE" <do_not_reply[@]line[.]me> ■件名LINE重要ヒント保</do_not_reply[@]line[.]me>…

東京メトロをかたってgh0stcringeへ感染させるメールの第三弾です。 ■日時2019/08/29 19:30 - 2019/08/30 12:00頃 ■件名地下鉄カードのポイントの現金返還キャンペーン ■送信者(詐称)【東京メトロ】 <info[@]tokyometro-train-mail[.]jp> ■メール内リンクURLhxxps://www.juminkehe[.]com/IP: 154</info[@]tokyometro-train-mail[.]jp>…

東京メトロをかたった（小規模な）ばらまきメールの第二弾がありました。ダウンロードされるファイルを少し細工したのみで、通信先等は変化ありません。 ■日時2019/08/29(火) ■件名地下鉄カードのポイントの現金返還キャンペーン ■送信者【東京メトロ】 <info[@]tokyometro-train-mail[.]jp> ■誘</info[@]tokyometro-train-mail[.]jp>…

これまで知られていない新しいタイプのマルウェアへの感染を狙ったばらまきメールを観測しました。地下鉄カード（って何？）の番号を入力させる東京メトロをかたったメールです。 ■日時2019/08/27(火) ■件名地下鉄カードのポイントの現金返還キャンペーン ■…

■日時2019/08/09（金）～2019/08/10（土） ■件名Fw:Jin'in sakugen ■本文お世話になります。これは解雇される従業員のリストです。 ■添付ファイル2019-08-09.html ■添付ファイル内のリンク先URLhxxps://palabogados[.]com リンク先にアクセスするっと301でリ…

普段観測しているスパムボットCutwailからは主に日本とイタリア向けにマルウェア付きの不審メールがばらまかれています。7/29には、宛先の国を絞らず、広い範囲に向けてメールをばらまいているのを観測しました。このメールは過去イタリア向けに使用していた…

約1月ぶりにバラマキがありました。件名が日本語のものになっています、通信先ドメインは6/19のものと同一です。 ■日時2019/07/16 4:30頃 - ■件名支払文書 ■添付ファイルInvoice-nnnnnn.zip -> Invoice-nnnnnn.js※nnnnnnは数字6桁412b8b20401348383085f05239…

【簡易版】 ■日時2019/06/19 9:00- ■件名Fw: ■添付ファイルreport.zip -> report.jshttps://www.virustotal.com/gui/file/44d8920aedb1db31dacc00e629196b8350be5657eae3652915f3420fe79b7d35/detection ■通信先hxxp://bibicity[.]ru/x.exeursnif exehttps:/…

この日のursnifへの感染を狙った日本語のばらまきメールでは、幾つか変化がありました。 ・ダウンローダのxlsファイル内で端末情報を取得し、beblohに観戦前にC2サーバに送信すること。・beblohのDGAのアルゴリズムが変化した・beblohのC2の稼働が変化した …