添付ファイル付のメールで不正送金マルウェアへの感染を狙った不審メールのばらまきがありました。 ■日時2018/7/3(水) ■件名写真送付の件写真添付 ■添付ファイル2018.[※].写真.xls※にはメールアドレスの@の前の部分(name@domain.comの場合name)が入りますhtt…

添付ファイル付の不審メールのばらまきがありました。添付ファイルを実行すると、不正送金マルウェアursnifに感染します。記録としてインジケータ等を記載します。 ■日時2018/07/02(月) 6:10頃～ ■件名7月度発注書送付invoice／証明書注文書をお送りいたしま…

楽天をかたったメールで、メール内リンクから不正送金マルウェアursnifへの感染を狙ったばらまきメールがありました。 ■日時2018/6/29 ■件名【速報版】カード利用のお知らせ(本人ご利用分) ■差出人info[@]mail.rakuten-card.co.jp ■メール本文内のリンク（例…

様々な件名でエクセルファイルが添付された不審メールがばらまかれていました。添付ファイルを実行すると不正送金マルウェアursnifに感染します。 ■日時2018/06/28（木）15:20頃～ ■件名スナップ写真写真写真添付写真送ります。写真送付の件添付写真あり ■添…

楽天をかたった不審メールで、メール内リンクからダウンロードされるファイルを実行すると、不正送金マルウェアに感染します。インジケータ等のみを記載シておきます。 ■日時2018/06/26 16:25 - ■件名【楽天カード】カードご請求金額のご案内 ■送信者info[@]…

添付ファイルを開きマクロを実行すると感染する不審メールのばらまきです。マルウェアbeblohおよびursnifに感染します。主にインジケータ等のみ記載しておきます。 ■日時 2018/06/26(火) 16:00 - ■件名注文書の送付（2018.06.26）注文書よろしくお願いします…

三度不審メールが来ました。添付ファイル添付型です。 ■日時2018/07/18(水) 17:50頃 - 18:50頃まで ■件名18/07 製造依頼 ■添付ファイル2018追加製造.xlshttps://www.hybrid-analysis.com/sample/a67f1f172d846bb7b2e82d2d9d423d0fe12292f2eb4c04e5341acffaa7…

複数種類の件名に添付ファイルがついた不審メールを観測しました。なお、観測はできませんでしたが、前日7/18でも同様の件名で同じマルウェアを取得するものが一部ばらまかれていたようです。 ■日時2018/07/18(土) 16:40頃 - 17：00頃 ■件名ご確認下さい 資…

楽天をかたった不審メールのばらまきによる不正送金マルウェアへの感染を狙った攻撃を観測しました。 ■日時2018/07/18(水) 14:35頃 ~ ■件名カード利用のお知らせ ■送信者nfo[@]mail.rakuten-card.co[.]jp ■メール内リンク先URLhxxp://pl.declarationvideo[.]…

2018/07/10の添付ファイル付の不審メールのばらまきの情報です。 ■日時 2018/07/10(火) 17:50頃～ ■件名書類について写真写真送ります。現場写真見積書再送付致します【至急】対応お願い致します【その２】 ■本文 幾つかのパターンを確認しています。※冒頭挨…

何故か1週間空きましたが、また日本をターゲットにした不審メールの配信がありました。 ■日時2018/06/25(月) 15:50頃 - 17:10頃 ■件名2018.6月分請求データ送付の件6月度発注書送付ご請求書を添付致しておりますのでメールに添付された請求書デー添付ファイ…

更に6/14に件名が変更され、不審メールのばらきがありました。 ■日時2018/6/14(木) 17:10頃-18:00頃 ■件名2018.6月分請求データ送付の件6月請求データ※件名の頭に.、Fwd: 、Fwd: Re:、Re: 、Re: Re: がつく場合があります。 ■添付ファイル名n.nnn.請求・支払…

6/12,13に引き続き、6/14にも添付ファイル型の不審メールの配信がありました。 ■日時2018/06/14 16:20頃-16:40頃 ■件名【振込み確認書】18.06.14 ■添付ファイル【振込み確認書】18.06.14.xlshttps://www.hybrid-analysis.com/sample/9ff97c6be8bf57509583280…

6/13には添付ファイルがついた不審メールの件名が変化しました。ここ最近の添付ファイル型不審メールは同一のマルウェアを取得しに行くメールで件名が配信途中から種類が増えるものが多いような気がします。 ■日時 2018/06/13(水) 17:30頃 - 20:45頃 ■件名注…

6/12に引き続き、6/13も添付ファイル付の不審メール の配信を確認しています。 ■日時2018/06/13(火) 16:25頃 - 17:30頃 ■件名請求書を送りますFwd: 6月分請求書リスト ■添付ファイル名経理部.（請求書）.xlshttps://www.hybrid-analysis.com/sample/412a40cf…

楽天市場をかたったメールに引き続き、楽天カードをかたったメールの配信がありました。また、翌日にも一時的に同一件名、同一検体ハッシュで配信がありました。ともに、楽天市場をかたったメールと検体は一緒です。 ■日時2018/06/12(火) 16:35頃 - 19:35頃2…

楽天市場をかたったばらまきに引き続き、xlsファイル添付するタイプの不審メールの配信を確認しました。 ■日時2018/6/26 17:30頃 - 18:00頃 ■件名写真添付写真送付の件 ■添付ファイル 2018.(※）_写真.xls※：任意の数字列https://www.hybrid-analysis.com/sam…

6/7同様に、楽天市場を騙った不審メール の配布がありました。 ■日時2018/06/12 16:00頃 - 19:30頃■件名【楽天市場】注文内容ご確認（自動配信メール） ■送信者order[@]rakuten.co.jp ■メール内リンクURLua.elpanal.com[.]uy上記を例に、全て下記IPアドレス…

当日の楽天市場をかたったものと同一のハッシュの不審メールのバラマキがありました。 ■日時2018/06/07 17:20頃 - 20:20頃 ■件名【速報版】カード利用のお知らせ(本人ご利用分) ■送信者info[@]mail.rakuten-card.co[.]jp 以下、楽天市場をかたったものと同一…

続いて、添付ファイル付の不審メール のバラまきを確認しています。 ■日時2018/06/07 15:35頃 - 18:00頃 ■件名写真送付の件 ■添付ファイル (数字4桁)_写真.xls ■取得するファイル添付ファイルを実行すると以下へアクセスし、マルウェアを取得します。hxxp://…

前日に引き続き、メール内のリンクから誘導しダウンロードさせるタイプの不審メールの配布がありました。 ■日時2018/06/07(木) 14:55頃 - 17:35頃■件名【楽天市場】注文内容ご確認（自動配信メール）■送信者order[@]rakuten.co.jp ■添付ファイルなし ■メール…

2018/6/6に楽天市場を騙った不審メールから引き続き、楽天カードを騙った不審メールの配信を確認しました。 この件名でのバラマキは5/30以来でした。配信で使用するドメインやマルウェア等は同一のため、同じ攻撃者によるものと思われます。配信量は楽天市場…

2018/6/6に楽天市場を騙った不審メールの配信を確認しました。 この件名でのバラマキは5/11以来でした。配信量は同件名で通常の1/3程度と少量でした。 ■日時2018/06/06(水) 14:55頃 - 17:10頃 ■件名【楽天市場】注文内容ご確認（自動配信メール） ■送信者ord…

以下の記事の続きになります。 bomccss.hatenablog.jp 前回調査をした際に、以下の疑問がわきました。 もし、次に別のbeblohの配布があってから再びこのbeblohを実行して、同じursnifを取得するのか、新たな別のursnifを取得するのかで、beblohの配信の仕組…

タイトルが長くなってしまいました。 6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この3つの件名のものは同一の添付ファイル名で配布されていました。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水…

6/5(水)にはxlsの添付ファイルが付いた不審メールの配布が複数回ありましたが、この件名のものは一番配布数が少なかったです。bebloh取得から先は別件名と同一の動きとなります。 ■日時2018/06/05(水) 16:55頃 - 17:10頃 ■件名のご注文について ■本文JC3によ…

添付ファイルが付いていてbeblohを取得するタイプのばらまきがありました。配布されている数はリンクからマルウェアを落とすタイプと比較すると1/5～1/10程度と少量です。 ■日時2018/06/05(火) 15:15頃 - 16:35頃 ■件名請書及び請求書のご送付RE: 請求書XLS…

5/15(火)、16(水)、5/22(火)、前日5/30(水)に配布があったものと同じ件名で不審メールの送信がありました。この添付ファイルを複数日に渡って実行を繰り返しましたが、同一ハッシュのマルウェアを取得しました。5/30(水)よりは件数は多いですが、楽天を騙っ…

楽天関係をかたった不審メールの配信がありました。新しい件名のパターンですが、誘導先URLやダウンロードされるマルウェアは同日の「Airdrop申請内容をご確認ください」と同じでした。また、5/11までの楽天を騙ったメールとC2ドメイン hxxp://chklink[.]clu…

5/15、16に配布があったものと同じ件名で不審メールの送信がありました。 ■日時2018/05/30(水) 15:35頃 - 15:50頃 件名、本文ともに※件名、本文共に5/15(火)、5/16(水)、5/22(火)と同一です■件名2018.5月分請求データ送付の件.2018.5月分請求データ送付の件F…