ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-11-07

医療費通知の偽装メールについてまとめてみた

| 23:34 |  医療費通知の偽装メールについてまとめてみたを含むブックマーク

2014年9月、10月頃より、健康保険組合等から医療費通知を偽装したメールが出回っており、添付ファイルを開くとマルウェア感染する恐れがあると注意喚起が出されています。ここではその関連情報をまとめます。

医療費通知の偽装メールに関係する注意喚起

発信日時喚起元被害報告注意喚起
2014年9月30日富士重工業健康保険組合あり(グループ会社社員)健保名の不審メールにご注意下さい
2014年10月3日荒川区あり?(国民健康保険加入者宛)医療費通知を装った不審なメールにご注意下さい。
2014年10月29日UBS健保組合からのお知らせを装ったウィルスメールにご注意下さい
2014年10月29日HOYA健康保険組合無し医療費通知を装ったウィルスメールにご注意ください
2014年10月30日インフォコム当社を騙る電子メールにご注意ください「インフォコム?の名称を不正に使用した医療費通知に関する注意喚起」
2014年10月31日住商連合健康保険組合あり
(某大手商社)
「医療費のお知らせ」を装ったウイルスメールにご注意ください!
 住友商事健康保険組合「医療費のおしらせ」を装ったウイルスメールにご注意ください。(認証あり)
2014年11月5日人材派遣健康保険組合無し健保組合からのお知らせを装ったウィルスメールにご注意ください
2014年11月6日三菱レイヨン健康保険組合医療費通知不審メールに対する注意喚起について(認証あり)
2014年11月7日三菱化学健康保険組合あり
(三菱系企業)
健康保険組合を騙る不審メールにご注意下さい!
2014年11月10日石油製品販売健康保険組合無し医療費通知に偽装した不審メールについて
 日本ケミコン健康保険組合無し医療費通知の偽装メールについて
 東京実業健康保険組合無し医療費通知を装ったウイルスメールにご注意ください【注意喚起】
 ダイヘン健康保険組合無し偽装の医療費のお知らせにご注意!!
 東京薬業健康保険組合無しウイルスメールにご注意ください!
 エスアールエルグループ健康保険組合無し医療費通知を装ったウイルスメールにご注意ください
 東京都土木建築健康保険組合無し医療費通知を装ったウイルスメールにご注意ください。
 中央大学健康保険組合無し医療費通知を装った不審なメールにご注意
 ロイヤル健康保険組合無し【注意喚起】医療費通知を装ったウイルスメールにご注意ください。
 日立健康保険組合無し【ご注意ください】 医療費通知を装う不審な電子メールについて
 昭和電工健康保険組合無し医療費通知を装ったウィルスメールにご注意ください!
 東京文具販売健康保険組合無し医療費通知を装ったウイルスメールにご注意ください
2014年11月11日TOTO健康保険組合無し※医療費通知を装った不審メールにご注意ください。
 関東ITソフトウェア健康保険組合無し健康保険組合を騙る不審メールにご注意下さい!
 明電舎健康保険組合無し【注意喚起】健康保険組合からのお知らせ
 渡辺パイプ健康保険組合無し【2014.11.11】 医療費通知偽装メールについて
 大日本印刷健康保険組合無し医療費通知の偽装メールにご注意ください
 東糧健康保険組合無し 医療費通知を装ったウイルスメールにご注意ください【注意喚起】
 日本旅行健康保険組合無し【注意喚起】医療費通知の偽装メールにご注意を!!
 東京証券業健康保険組合無し【医療費通知を装ったウイルスメールにご注意ください】
 三菱健康保険組合無し〜医療費通知の偽装メールにご注意ください!!〜
 八千代銀行健康保険組合無し医療費通知を装った不審なメールにご注意ください。
 計器健康保険組合無し医療費通知の偽装メールにご注意を!
 住友生命健康保険組合無し健康保険組合を装うウィルスメールにご注意ください
 三重県自動車販売健康保険組合無しニセの医療費通知メールにご注意ください。
 東京都情報サービス産業健康保険組合無し医療費通知の偽装メールにご注意ください
 福岡県情報サービス産業健康保険組合無し【注意喚起】医療費通知を装ったウイルスメールにご注意ください!
 サカタインクス健康保険組合無し(PDF) 健保組合を装った「医療費通知」メールにご注意ください
2014年11月12日豊田合成健康保険組合無し【重要】医療費通知に偽装した不審メールにご注意ください
 ブラザー健康保険組合無し健康保険組合を装った不審なメールにご注意ください。
 SCSK健康保険組合無し医療費通知の偽装メールについて(注意喚起)
 酒フーズ健康保険組合無しウイルスメールにご注意ください!
 日本信号健康保険組合無し医療費通知を装ったウイルスメールにご注意ください
 丸井健康保険組合無し【注意喚起】『医療費通知偽装メール』にご注意ください!!
2014年11月13日大陽日酸健康保険組合無し医療費通知を装ったウイルスメールにご注意ください!
2014年11月14日HOYA健康保険組合ランダムに送信医療費通知を装ったウィルスメールにご注意ください <続報>


メモ

メール関連

文面1

送信元メールアドレス:不明

差出人名:健康保険組合

件名:[(略)]医療費通知のお知らせ

本文:

本メールは、保険を利用して診察や診療を受けられた方に、医療費のご負担等をお知らせしています。

http://blog.trendmicro.co.jp/archives/10251
文面2

送信元メールアドレス:不明

差出人名:健康保険組合運営事務局

件名:[Password]医療費通知のお知らせ

本文:

先に送付しました電子メールの添付ファイルは,パスワード保護(ZIP形式)されています。

復号に必要なパスワードをお知らせします。

マウスで”コピー&貼り付け”をすると,パスワード入力が簡便です)

==================================

パスワード (10桁)

(略)

==================================

 

Please enter the following password to open the zip file that is attached to the email I sent just before.

==================================

Password ( 10 figuers)

(略)

==================================

http://blog.trendmicro.co.jp/archives/10251
  • TrendMicroのBlogからの引用ではあるが、文面2は句読点ではなく全角カンマになっている。
ドロッパー実行後に表示されるWord文書(おとりファイル)
  • ファイル名 kptl.doc
  • 作成者 helloword
  • 作成日時 2014年9月17日 9時41分
  • フォント:SimSunが使われている
  • ファイル内容

健康保険組合運営事務局です。

 

医療費通知】

本メールは、保険を利用して診察や診療を受けられた方に、医療費のご負担額等をお知らせしています。

 

以下のURLにアクセスして、医療費をご確認ください。

 

https://inf.kptl.jp/me/

 

健康保険組合運営事務局

 

運営会社:インフォコム株式会社

マルウェア関連

標的型攻撃であり、Emdiviという検体名であることを@JojiHamadaさんに教えてもらいました

検体情報
  • とりあえずググって出てきた関係していそうなファイル群
  • 検体名:Backdoor.Emdivi(Symantec)/BKDR_EMDIVI(TrendMicro)
役割ファイル名SHA256VT/Malwr
ドロッパー医療費通知のお知らせ1.exe
医療費通知のお知らせ2.exe
8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6bVT Malwr
ドロッパー健康保険のお知らせ.exe4a2a9b6a5fedd8de12a963effb7b800b7953c017c8a73a8ef353d661c879d137VT
おとりファイルkptl.docb0f85be63892c65a57539982920b1c879723eee9d90a3d2f4f5aea04cfd75b42VT
RATleassnp.exeb99f08be6a476d359820c48345ddf4f2f0fcc1ca041f3630680635c675a1d7beVT Malwr
RAT不明(EXTRAC32.exe?)f017218f05d225cdb62f3081c4dac4b09a3fb2b93c01096bd4141b67d3eb3bbfVT
RAT不明(EXTRAC32.exe?)5785c99592fa14192a706a31fbf2b2bc71fe9c38e438b95e0cf20bbc8a87d1f8Malwr
RATvmwere.exe1209d8b3c83c72df781b805a2c17a0939c841384aadc32e4e9005536a3bba53fVT Malwr
通信

RAT通信するC2サーバー

  • www.kaerunote.com (125.206.115.72)
    • /_module/book/index.php
    • /html/mainland/index.php
  • www.d1010318.hosting-sv.jp (125.206.115.72)
  • www.muku-mori.com (125.206.115.79)

マクニカネットワークスのレポートによれば他にも多数ある模様。(歯抜けになっていた箇所はこちらを参考にした)

  • www.arkhe-will[.]jp/blog/tokuhan/book/index[.]php
  • www.ims.gr.jp/100[.]html
  • www.www[.]nishina.gr[.]jp/info/yougo/book/index[.]php
  • www.sakura-farm.com/blog/index[.]php
  • www.sekisan.biz/wp-content/plugins/akismet/state/index[.]php

2015年1月26日に追加されたC2のURL(歯抜けになっていた箇所はこちらを参考にした)

  • www.a-masato.jp/html/mainland/index.php
  • www.sofurin.or.jp/htm/copyright/folder/index.php
  • www.sofurin.or.jp/htm/copyright/folder/sc_flash/index.php
  • www.toko-ton.com/koushi/detail/index.php
  • www.toko-ton.com/koushi/detail/sc_flash/index.php
  • www.turitengu.jp/book/index.php
  • www.motoavanti.com/shinyo/backup/look/index.php
  • www.skyworld.co.jp/tenpo/look/index.php
  • www.iandeye.co.jp/blog/2014/index.php
  • www.katou-ai.com/images/fuck/index.php
  • www.sakurano***.com/blog/index.php

C2か不明ながらこれだけUDP(NTP?)の通信をしている。

  • 137.170.185.211:123
セキュリティベンダの解析レポート他

更新履歴

  • 2014/11/07 PM 新規作成
  • 2014/11/10 AM 注意喚起を追加
  • 2014/11/12 PM 注意喚起を追加
  • 2014/11/17 AM 注意喚起を追加
  • 2015年1月26日 PM マクニカの続報を追加