日本語件名、本文のEmotetのばらまきが4/12,4/15に引き続き発生しました。マルウェアダウンロードの動作等は4/12と同様のため、その部分は簡略化して記載します。 ■件名請求書からの延滞請求書サービス請求書期限切れ請求書請求書ステータスの更新※件名の前…
2019/4/15に来たものと同一と思われるursnif(B)のばらまきが発生しました。なお、昨年行われていたursnif(B)と同一のアクターと思われますが、配信経路は異なっていると考えられます。また、配信規模は小さくなっています。 ※件名、本文、添付ファイル等複数…
日本語件名、本文のEmotetのばらまきが4/12に引き続き発生しました。マルウェアダウンロードの動作等は4/12と同様のため、簡略化して記載します。 ■日時2019/04/15 16:30- ■件名(例)読んでください特別請求書確認して承認してください。[英字氏名]請求書を…
4/15に数ヶ月ぶりにursnif(B)と呼んでいる日本を狙った不正送金マルウェアへの感染を狙うアクターの不審メールのばらまきを観測しました。 ※件名、本文、添付ファイル等複数あり、全てを網羅出来てはいないと思われます。ただし、通信先は同じと考えられます…
日本語のemotetへの感染を狙った不審メールのばらまきを観測しました。日本語の件名、日本語の本文でemotetのばらまきが日本に来ることはかなり稀です。(昨年に1回あった程度)なお、海外でも同じタイミングでemotetのばらまきが発生しており、そちらはメー…
恐らく不正送金マルウェアursnifへの感染を狙ったと思われる、ダウンローダbeblohに感染する日本語のばらまきメールを観測しました。 ■日時2019/04/10(水) 16:00頃- ■件名(5種類)4月分請求データ送付の件6月度発注書送付ご請求書を添付致しておりますので…
1週間ぶりに再度、不正送金マルウェアursnifへの感染を狙った日本語のばらまきメールを観測しました。※今回は執筆時点で通信先が404となっていたため、画像はほぼありません。 ■日時 2019/04/04(水) 14:30 頃 - 18:30 頃 ■件名(6種類)4月1日ご契約の件・初期…
3週間ぶりに、日本語の不審メールのばらまきがありました。メールに添付されているxlsファイルはダウンローダ型のマルウェアです。同じくダウンローダ型マルウェアのbeblohに感染する可能性があります。更に不正送金マルウェアのursnifに感染しますのでご注…
前記事の通り、シンクホールによりursnif(B)の観測を行っています。 bomccss.hatenablog.jp ursnif(B)のシンクホール化を初めたのは2/25からとなります。それ以降の約1ヶ月で分析できた内容についてとなります。 ※環境を整えながら観測をしているため、一部…
これまで当blogおよびtwitterにて、マルウェア感染の被害を減らす為の情報として活用できるように、主にマルウェアに誘導するばらまき型の不審メールの情報の蓄積や解析を行ってきました。 これまでは感染を防ぐ為の情報発信が主でしたが、今後は更に、感染…
2019/03/06 16:30頃より 不審メール のばらまきを確認しています。添付のxlsファイルを日本語環境下で開くと、ダウンローダ型マルウェアbeblohに感染することを確認しています。beblohからursnifへ感染するという報告も確認しています。 ■日時2019/03/06 16:…
火曜に引き続き、日本を狙った不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。火曜日と同じくursnif-A系(添付系)のアクターと思われます。今年に入ってからは週に2度ばらまくことはほぼなかったため、今後活発に活動する…
前週に引き続き、日本を狙って不正送金マルウェアursnifへの感染を狙った不審メール のばらまきを観測しています。このばらまきメールはursnif-A系(添付系)のアクターです。ただ、このところ夜中は追加スクリプトが取得できなかったり、beblohから追加マルウ…
2019年始より日本をターゲットに行われているランサムウェアGandCrabのばらまきメールが発生しました。単純な作りであり、たいていのスパムメールフィルタで止まっているものと思われます。ただ、非常に大量に継続的に実行しており、1日半以上たった現時点で…
月曜日にばらまきメールがあったのに、水曜日にも同じアクターからばらまきメールがありました。 このばらまきメールは月曜日と同様、以前より日本に対して不正送金マルウェアをばらまいているursnif-A系(添付系)のアクターです。 ■日時2019/02/20 17:00~ ■…
2/20の朝から、これまで日本をターゲットにしていなかったと思われる攻撃グループからのばらまきメールを観測しました。世界的これまで各地で行われていたものが日本にまで入ってきたようです。2/18のursnifのばらまきメールの件名、添付ファイル名、本文な…
2019/02/18(月) 16:50頃より、 添付ファイル付の不審メールのばらまきが発生していました。20:30頃からは、同一の件名で異なる添付ファイルの不審メールのばらまきが発生していました。メールの内容や添付ファイルの動きはどちらも同じ動作を行います。 これ…
12/11に続き、12/13にも不審メールのばらまきがありました。時間は長かったですが、ばらまき量は前回よりも少量でした。送信されるメールの内容は同じですが、マルウェアを生成する方法は変わっていました。 ■日時2018/12/13(木) 15:30頃 ~ 21:30頃※早い…
7/25以来ですが、不正送金マルウェアへの感染を狙った、楽天をかたる不審メールのばらまきがありました。メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。ダウンロードされたファイルは実行しないようにご注意ください。 …
11/14に不審メールのばらまきがあったようです。こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。情報共有いただいた内容から調査を行いました。 ■日時2018/11/14(水) 17:00頃 - 17:20頃 ■件名/発注-18111…
11/6に不審メールのばらまきがありました。10/24の復活以降、4回目のばらまきです。 ■日時2018/11/06(火) 17:30頃 - 21:40頃 ■件名10月5日日付の管理費請求書10月課金請求リスト10月請求書 郵送のご連絡11月請求書連絡【再送】30年10月分請求書ご請求書別…
11/1(木)にも不審メール のばらまきがあったようです。こちらでは観測できていませんので、今回のばらまきは通常よりも少ない量の配信だったと思われます。情報共有いただいた内容から調査を行いました。 ■日時2018/11/01(木) 18:00頃 - ■件名立替金報告書の…
10/24に引き続き、10/30にも不審メールのばらまきを観測しました。過去8月までに行われいてたように、火曜日のばらまきです。 ■日時2018/10/30(火) 18:10頃 - 21:20頃 ■件名10月請求書の件2018年10月度 御請求書RE: 10月分WO 【請求書、見積書送付】30/10…
8/8以降止まっていた不正送金マルウェアへの感染を狙った不審メールのばらまきが再び発生しました。以下、調査内容となります。 ■日時2018/10/24(水) 15:50頃 - 21:10頃 ■件名注文書の件申請書類の提出立替金報告書の件です。納品書フォーマットの送付請求デ…
8/6に続き、8/8にも.iqyファイルを添付した不審メール のばらまきを確認しています。 ■日時2018/8/8 17:00頃 - ■件名ご請求額の通知インボイスプロジェクト写真支払い文書請求・支払データ資料 ■添付ファイル名文書_nnnnn.iqy※nnnnnは数字5桁 ■通信先添付…
Excelの添付ファイルによるマルウェアへの感染を狙った不審メールのばらまきを観測しました。 ■日時2018/08/07 16:30 頃 - 19:00 頃 ■件名<要返信:FAX>営業○・出荷×注文書[※数字4桁]インボイス Re: 進捗 ■添付ファイルFAX[出荷].xls※件名 <要返信…
特殊な形式の添付ファイルがついた不審メールのばらまきを観測しました。添付ファイルは.iqyファイルであり、Excelに関連付けされており、開くと悪意あるサーバからマルウェアをダウンロードし、最終的には不正送金マルウェアに感染させます。 .iqyファイル…
楽天をかたるメールで不正送金マルウェアへの感染を狙った、不審メールのばらまきがありました。メール内のリンクをクリックし、ダウンロードされるファイルを実行すると感染します。ばらまきがあった時間は比較的長期間で、ここ最近の中では大量のばらまき…
メール内のリンクよりマルウェアをダウンロードさせるタイプの不審メールのばらまきがありました。メールの宛先には複数のアドレスが入っているので、不審と思えるかと思います。 ■日時2018/7/5 14:55頃~ ■件名【楽天市場】注文内容ご確認(自動配信メール…
楽天をかたったメールでマルウェアへの感染を狙った不審メールのばらまきを観測しました。 ■日時2018/7/4(木) ■件名【速報版】カード利用のお知らせ(本人ご利用分)【楽天カード】カードご請求金額のご案内 ■メール内リンク先 (例)hxxp:bm.ourmonthinital…