【注意】安全保障や国際経済、国際政治に関連する方を狙った標的型メールにご注意ください

 

日付 : 2017/04/12 18:00頃
件名 :「中国の新シルクロード戦略とどう向き合うか」（仮）ご登場のお願い
＊一部抜粋＊
差出人:＊編集部を詐称したフリーメールアドレス＊
本文 :＊座談会の企画書を送る、といった内容＊
添付ファイル名：
「中国の新シルクロード戦略とどう向き合うか」（仮）ご登場のお願い.zip
↓ 添付解凍後のファイル名
「中国の新シルクロード戦略とどう向き合うか」（仮）ご登場のお願い.doc.lnk

File:「中国の新シルクロード戦略とどう向き合うか」（仮）ご登場のお願い.doc.lnk
Size: 1,844 bytes
MD5 : afac06f0eac11d307036263c9040cba2

↓ 上記LNKファイルを開いたときに作成され、表示されるもの（感染）

File:「中国の新シルクロード戦略とどう向き合うか」（仮）ご登場のお願い.doc
Size: 25,600 bytes
MD5 : 8cdaace261496bd1801c5110d114d443

■添付のLNKファイルを開いたときの通信先

103.56.112[.]87 (HK)

■補足
メールを表示するだけでは感染しません。
ZIPを開いた（解凍した）だけでは感染しません。
（ZIP解凍をすると、文章ファイルを模したアイコン画像が現れます）
（ショートカット（LNK)を示す矢印がアイコン画像にあります）

日付 : 2017/04/13 15:30頃
件名 : ゴルフコンペのご案内
差出人: ＊フリーメールアドレス＊ （yahoo、exciteなど）
本文 : ＊省略＊（ゴルフコンペの案内を騙り添付ファイルを開かせる内容）
添付ファイル名：
golf.zip
↓ 添付解凍後のファイル名
golf.docx
info\golf.docx
golf.lnk
info.lnk


■解凍後１　※wordアイコン。隠しファイルのため表示されない場合があります。
File: golf.docx
Size: 92,694 bytes
MD5 : 8c01f0b6e9b7d12aec7fb8b23e779d60

注: 上記ファイルを開くと、「ゴルフコンペ案内」として日時と場所の記載があります。

■解凍後２　※wordアイコン。解凍後1と同一ハッシュ。パスが異ります。
File: info\golf.docx
Size: 92,694 bytes
MD5 : 8c01f0b6e9b7d12aec7fb8b23e779d60

■解凍後３　ドキュメントアイコンのショートカット
File: golf.lnk
Size: 2506 bytes
MD5: 020c975c8a6c70af2797aed5fc154e26

注: ドキュメントファイルと勘違いして実行してしまう可能性があります。

■解凍後４　フォルダアイコンのショートカット
File: info.lnk
Size: 2476 bytes
MD5: c6b4e1a8fcc2034fec5717798ce5731c

注: フォルダと勘違いして実行してしまう可能性があります。

■通信先(誤クリック防止のため、一部ドットを[.]としております）

rain.news-online[.]net (5.56.133.100)
rain.getwordtext[.]net (216.158.236.122)
rain.applyassessment[.]com (94.242.199.181)

注: ProxyやUTM、次世代Firewallのログを調査いただく際には
　　ドメイン情報で検索いただくことを推奨いたします。

■補足
メールを表示するだけでは感染しません。
ZIPを開いた（解凍した）だけでは感染しません。
（ZIP解凍をすると、文章ファイルを模したアイコン画像が現れます）
（ショートカット（LNK)を示す矢印がアイコン画像にあります）