日本の大学を詐称する日本語ばらまき型メールの解析結果 | ScanNetSecurity
2023.02.07(火)

日本の大学を詐称する日本語ばらまき型メールの解析結果

 日本電気株式会社(NEC)は11月25日、日本の大学を詐称する日本語で書かれたばらまき型メールについての解析を、同社セキュリティブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
大学を詐称するメールの外観
大学を詐称するメールの外観 全 1 枚 拡大写真

 日本電気株式会社(NEC)は11月25日、日本の大学を詐称する日本語で書かれたばらまき型メールについての解析を、同社セキュリティブログで発表した。

 日本の大学を詐称するばらまき型メールは2022年7月末から定期的に確認されており、直近では10月28日に確認されており、NECでも当該ばらまき型メールを検知している。Emotet以外にメール本文が日本語で書かれたばらまき型メールは多くなく、NECでは注意が必要としている。

 NECが10月28日に検知したばらまき型メールでは、メール本文に添付されたファイルを開くように誘導する内容が記載され、メールには詐称している大学のロゴ画像や署名が含まれていた。

 メールに添付されたExcelファイルでは、Officeアプリケーションの脆弱性を悪用し、脆弱なバージョンのアプリケーションを使用していた場合、当該ファイルの開封で不正接続先への通信が発生する。

 NECで、不正なOfficeファイルにどのような処理が含まれているかを oletools に含まれるoleid で分析したところ、Excelファイルにシート保護がされていること、VBAマクロやExcel4.0マクロが使われていないこと、CVE-2017-11882 もしくは CVE-2018-0802を悪用している可能性が判明した。

 oledumpでOffice文書ファイルに含まれているデータを抽出し、抽出したシェルコードを scdbg で解析したところ、不正ファイルは不正接続先「https[://]192.3.223[.]212/140/vbc.exe」へ通信を行い、通信先からファイルをダウンロードして「C:\Users\Public\vbc.exe」に保存、その後、当該ファイルを実行しウイルス感染させると予想されるとのこと。

 さらに不正接続先のファイルを解析した結果、不正通信先からダウンロードされる実行ファイルは「Lokibot」と呼ばれる情報窃取を目的としたウイルスであることが分かっている。

 NECでは対策として、不審なメールの添付ファイルは開かないこと、ソフトウェアは最新のものを使用することを挙げている。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ファイル誤添付メール送信で戒告の懲戒処分

    ファイル誤添付メール送信で戒告の懲戒処分

  2. 教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

    教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

  3. 不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

    不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

  4. 三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

    三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

  5. 尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

    尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

  6. 給油所でシステム障害発生 8時間給油停止に

    給油所でシステム障害発生 8時間給油停止に

  7. 東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

    東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

  8. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  9. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

    「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  10. WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

    WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

ランキングをもっと見る