piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ホテルオークラをなりすましたメールをまとめてみた

インシデントまとめ

2015年10月28日の朝から、ホテルオークラをなりすましたメールが確認されています。ここでは関連情報をまとめます。

公式の注意喚起

架空請求メールにつきまして

株式会社ホテルオークラOne Harmony事務局を名乗り、10月28日(水)9時頃、添付ファイル付きの架空請求メールが多数の方に送られているとの情報が寄せられております。弊社及び弊社グループホテルからはその様な請求行為は行っておらず、一連の請求メールにつきましては、弊社及び弊社グループホテルとは一切関係はございません。

現在原因調査中でございますが、この様なメールを受け取られた方は、添付ファイルは開かず、削除していただきますようお願いいたします。

http://www.hotelokura.co.jp/tokyo/


解析記事

送付されるスパムメール

確認されたスパムメール
No 件名 発信元詐称ドメイン 発信元IPアドレス*1 添付ファイル
1 【請求書】One Harmonyシステム利用料の送付 hotelokura.co.jp 14[.]169[.]64[.]239
42[.]112[.]87[.]255		 15030000138-0299.zip
スパムメールの本文
  • 10月27日に確認されていたメール同様、署名のみ記載されている。

***********************************
One Harmony 事務局
株式会社 ホテルオークラ
105-0001 東京都港区虎ノ門2-10-4
TEL: 03-3224-****
FAX: 03-3224-****
***********************************

添付されたマルウェア

  • ZIPファイルの中身は実行形式ファイルが1つ格納されている。
  • 実行形式ファイルはPDFを偽装したアイコンが使用されている。

No ファイル名 SHA256 実行後通信先
1 15030000138-0299.pdf.exe (Malwr) 0aa7a754acee45bfa539fde89ce1eb9cedebbe3ebc3ef69cbcff1ec695b1af52 ekozylazal[.]com
(94[.]242[.]59[.]195:80)

謝辞

このまとめは次の方の調査協力を受けて作成しています。ありがとうございます。

  • @ntsujiさん
  • AJさん

更新履歴

  • 2015年10月28日 PM 新規作成

*1:ネット上で報告が上がっているもの