古い「お知らせ」 (obsolated info)
02-19, 2020
ロシアをおもな発信源とし、09で始まる送信アドレスドメイン部を有するPhishing 攻撃のリストを復活しました。送信アドレスドメイン部は2019年夏以降、ほぼ変化していません。
Local part (user name): noreply@, apple_support@ and account-security-noreply@..
Domain part: Suspicious 56 domain-part of sender addresses used for Phishing (Fake Apple, Rakuten, Amazon)
A proposed "general" ruleset to prevent the above-mentioned Phishing messages (regexp).
/^noreply@09.*/.
/^apple_support@09.*/.
/^account-security-noreply@09.*./
/@0-99\.com$//
/@0u90\.co\.jp$//
02-15, 2020
Amazon AWS からの「疑わしい」迷惑メール (大半はPhising攻撃)の送信に用いられた送信者アドレスドメイン部のリストを復活(Updated)しました。
Suspicious domain-part of sender addresses sent from Amazon AWS (as of 02-15, 2020)
01-23, 2020
これまで 181.41.216.128/27 から送信されていた、送信者アドレスにロシアのドメインを持つsnowshoe攻撃の送信領域が、185.143.223.0/24に変化しました。
01-15, 2020
2020年 1月15日、emotetの送信が再開されたようです。
12-31, 2019
2019年12月24日以降、emotetの送信は休止しているようです。
12/14
Emotetの送信に用いられたことが判明している送信者アドレスのリストを更新しました。
送信に用いられた送信者アドレス
11/28
Emotetの送信に用いられている送信者アドレスの検出を始めました・
11/26
これまで193.32.160.128/27(STELLAR ADVANCED CONCEPTS Dubai UAE)から送信されていた、送信者アドレスにロシアのドメインを持つsnowshoe攻撃の送信領域が、181.41.216.128/27 に変化しました。
11/19
下述のメールについて、ごくわずかですが、zen.spamhaus.orgをすり抜けるものが見つかりました。 APTの様相は呈していないように思われますが、送信者アドレスには、国内の会社、大学等のアドレスも用いられており(アカウント部は未確認です)、ドメイン部が実在していますので送信者アドレスのドメイン部は阻止に使えません。現時点では正しいheloを送信していますので、heloまたは送信サーバのIPアドレスに対する阻止リストは奏効しています。
11/18
昨晩から、ロシアを主な送信元とするPhishing攻撃の特徴が変化しはじめています。ペイロードが変化している可能性が考えられます。
送信サーバはほとんど変わっていませんが、送信者アドレス(アカウント部、ドメイン部とも)に日本国内の会社・機関等の実在のアドレスがまた用いられるようになりました。
ちなみに、現時点では、zen.spamhaus.orgでほとんど阻止できています。