日本語件名、本文のEmotetのばらまきが4/12に引き続き発生しました。
マルウェアダウンロードの動作等は4/12と同様のため、簡略化して記載します。

■日時
2019/04/15 16:30-

■件名（例）
読んでください
特別請求書
確認して承認してください。
[英字氏名]請求書を添付してください
請求書
の請求書
請求書の請求
注意事項：請求書

■本文
おはようございます
お客様各位添付の請求書を見つけて、正しい銀行の詳細を確認してください。
(請求書の下部にあります)。
さようなら

■添付ファイル
数字8-10桁記号数字6-8桁.doc
※記号は_, ,-
（例）
696164927_4408052.doc

■添付ファイルサンプル（例）
※hashは他にも多数あると思われる。
80a836c861b6a5d045d85aa9d3091035691b769ebdcd3b4de781f47c257049e7
https://app.any.run/tasks/620abd44-7403-4c1c-880c-d811b133ce41
b9efa337bb020490860db5da805c1070416c28c3471cfc15cf10dad6e374baac
https://app.any.run/tasks/432bf798-b795-4f14-bb3e-a268f8798481
697892e7d72df8da7fe245e5a82fb5cc53f5a34deba8b4f794eafb62cdcdc4b4
https://app.any.run/tasks/bd97488f-b5a7-494d-853d-5af1ac5ad84b
5a91b573157525fd97eb1adde4653a28f91c3b97fa28b30a3ddf45945c536b89
https://app.any.run/tasks/eeaa4085-89cd-4de7-a5b5-e5673cd0a55d

■一次通信先　（Emotet取得先）
hxxp://garammatka[.]com/cgi-bin/o569U/
hxxp://rinconadarolandovera[.]com/calendar/5n5WY/
hxxp://gamvrellis[.]com/MEDIA/heuMx/
hxxp://hadrianjonathan[.]com/floorplans/vOec/
hxxp://warwickvalleyliving[.]com/images/wmGN/

■通信先 （ C2 ）（一部）
hxxp://88.215.2[.]29/
hxxp://187.137.162[.]145:443/
hxxp://65.49.60[.]163:443/
hxxp://45.33.35[.]103:8080/

■考察
C2のリストを見ると、4/12(金)の日本向けに（も）ばらまかれたC2と重複していることが分かります。
4/12のリストの1番初めにあった通信先がなくなり、以降は同一のように見えます。
同じアクターがばらまいているものと考えて良さそうです。