前の記事のメールの返信にhtmlファイルを添付して、その中に含まれるリンクからファイルをダウンロードする攻撃を、実際にサイトが動作している状態を確認しました。
この挙動は1週間以上同じ状態でした。

■日時
2019/09/24

■誘導先URL
hxxp://viewdocument.svaultz[.]com
※同一IPのドメインは同じ挙動を示す。

■ダウンロードファイル
緊急.zip

■通信先
hxxp://securecheck.christianguidegh[.]com

ダウンロードされるのは Dreambot です。
d4f5e224bae2557eed57b52d5da89dda

■C2
hxxp://check.vivianmaierphotos[.]com/images/~
C2からは日本を狙ったインジェクション用configがダウウンロードされます。

■挙動
https://app.any.run/tasks/61a4753c-d09c-4656-ba5a-1a3b5f941ba2/

■config
key=s4Sc9mDb35Ayj8oO
version=217027
id=1111
soft=1
server=12