Olivia
Online
Pinned Tweet
このアカウントでは、マルウェアに感染させることを狙った日本語のメールの情報を発信しています。
私または知人が確認した情報をもとに発信していますが漏れもあるかと思います。
確認ない時は発信ありません。
同じ内容を以下でも発信しています。
https://t.co/GIHppt8dat
https://t.co/mZv9wB7KrV
20260120_御見積依頼の件[.]zip -> js
https://t.co/wfdwlvSmQC
https://t.co/dC91c5FbKQ
含まれるjsファイルは同一hash
https://t.co/u8OdtZC3CW
■通信先
hxxps[:]//mail.avicennaalliedhealthinstitute[.]org/stubob.ps1
https://t.co/9L92QmBEzD
マルウェア #Formbook
添付ファイルからマルウェア感染を狙った日本語のメールが確認されています。
■日時
2026/06/17(水)
■件名
注文書(西日本常盤商行
御見積依頼の件 (Regarding your request for a quote)
■添付ファイル
常盤注文書0687-0408[.]zip -> js
https://t.co/lhV3MKNUwk
https://t.co/wZ64mWdk5u
日本語マルウェアメールの接到を確認しています。
件名: 注文書(西日本常盤商行
添付ファイル: 常盤注文書0687-0408[.]zip -> js
MD5: cc1c94d0037e1c054fe03918bd377aa2
通信先: mail[.]avicennaalliedhealthinstitute[.]org/stubob[.]ps1
Sample: https://t.co/a0Ff478ALL
![tdatwja's tweet photo. 日本語マルウェアメールの接到を確認しています。
件名: 注文書(西日本常盤商行
添付ファイル: 常盤注文書0687-0408[.]zip -> js
MD5: cc1c94d0037e1c054fe03918bd377aa2
通信先: mail[.]avicennaalliedhealthinstitute[.]org/stubob[.]ps1
Sample: https://t.co/a0Ff478ALL https://t.co/erjaHxzRT8](https://pbs.twimg.com/media/HLEezG5bcAAisLx.png)
日本語マルウェアメールの接到を確認しています。
件名: 注文書(西日本常盤商行
添付ファイル: 常盤注文書0687-0408[.]zip -> js
MD5: cc1c94d0037e1c054fe03918bd377aa2
通信先: mail[.]avicennaalliedhealthinstitute[.]org/stubob[.]ps1
Sample: https://t.co/a0Ff478ALL
Who to follow
moto_sato 
@58_158_177_102
企業のCSIRTの人兼企業のCTOの人。シンクホールは趣味。書き込む内容は所属に関係しているものもありますが、意見や見解は個人的なもの。意識低い低い系/User side Cyber Security Researcher & sinkholer
piyokango
@piyokango
セキュリティインコです🐣Podcast #セキュリティのアレ に参加中🎤よろしくお願いします🐦プロフィール画像はアレティさんに描いて頂きました😃
海外ニュースはBlueskyで発信中です https://t.co/TZpzE9Nwzv
ラック公式
@lac_security
サイバーセキュリティ&システムインテグレーション企業、株式会社ラックの公式Xです!
注意喚起や最新のセキュリティ情報などを公式メディア「LAC WATCH」で発信中📢
▶︎https://t.co/VyxU1id5yz
お問合せ ▶︎ https://t.co/MyqBxaEmjA
■通信先
hxxp[:]//118.190.173[.]171:80/app/api/validActiveCode
hxxp[:]//118.190.173[.]171:80/app/api/validActiveCodeFree
108.187.7[.]80:443
メール本文中リンクからマルウェア感染を狙った日本語のメールが確認されています。
■日時
2026/06/17(水)
■件名
【楽楽明細】電子インボイス発行完了のお知らせ(20260616_104650)
■リンク
hxxps[:]//nifecomthlixzjj[.]top/
■ダウンロードファイル
20260616_104650[.]zip -> .img ->
日本語マルウェアメールの接到を確認しています。
件名: 【楽楽明細】電子インボイス発行完了のお知らせ(20260616_104650)
添付リンク: nifecomthlixzjj[.]top
ダウンロードファイル: 20260616_104650.zip -> img -> usbscreendriver.exe -> libwdi.dll
通信先: 108[.]187[.]7[.]80
![tdatwja's tweet photo. 日本語マルウェアメールの接到を確認しています。
件名: 【楽楽明細】電子インボイス発行完了のお知らせ(20260616_104650)
添付リンク: nifecomthlixzjj[.]top
ダウンロードファイル: 20260616_104650.zip -> img -> usbscreendriver.exe -> libwdi.dll
通信先: 108[.]187[.]7[.]80 https://t.co/9mGU6glqEs](https://pbs.twimg.com/media/HLEbt56bUAA6FMW.png)
https://t.co/nwecNUnBhi
usbscreendriver.exe 正規ファイルの悪用
https://t.co/MptXhL74IO
libwdi.dll マルウェアローダー
https://t.co/zLGtbjJte4
PeLoader 暗号化されたマルウェア
https://t.co/wM2xlVBur6
https://t.co/pweQTwvbRR
https://t.co/iq27RyO5po
どちらも.jsファイルは同一ファイル
https://t.co/LKAZ7kCLSW
https://t.co/AKTOvYYMVT
ローダー #DonutLoader -> 情報窃取系マルウェア #AgentTesla
■C2
ftp[:]//ftp.enogcaen-br[.]com:21
C2は以下と同じ
https://t.co/LFsR7I52rr
添付ファイルからマルウェア感染を狙った日本語のメールが確認されています。
■日時
2026/06/09(火)
■件名
Re: 請求書
■添付ファイル
請求書.rar -> .js
https://t.co/EmcuHcXdHQ
https://t.co/75qSsITtln
https://t.co/RrdPnOXiwO
ローダー #DonutLoader -> 情報窃取系マルウェア #AgentTesla
添付ファイルからマルウェア感染を狙った日本語のメールが確認されています。
■日時
2026/06/10(水)
■件名
件名:発注書
■添付ファイル
発注書.rar -> .js
https://t.co/udUDkWhnjW
■件名
件名:未払い請求書について
■添付ファイル
未払いの請求書について.rar -> .js
https://t.co/zOhj6Wp1Mn
日本語マルウェアメールの接到を確認しています。
件名: 件名:発注書
添付ファイル: 発注書.rar -> js
MD5(発注書.JS): 6cec0bed47c107b5205d1e15a89978f2
通信先: ftp[.]enogcaen-br[.]com
Sample: https://t.co/9qQss8OWiv
![tdatwja's tweet photo. 日本語マルウェアメールの接到を確認しています。
件名: 件名:発注書
添付ファイル: 発注書.rar -> js
MD5(発注書.JS): 6cec0bed47c107b5205d1e15a89978f2
通信先: ftp[.]enogcaen-br[.]com
Sample: https://t.co/9qQss8OWiv https://t.co/4smd9aezQs](https://pbs.twimg.com/media/HKk_bUmaoAAxGdC.png)
hxxps[:]//faipa[.]vip/pdfcore8.Dll
https://t.co/3bLKI3snB9
マルウェア #ValleyRAT
■C2
43.128.26[.]132:779
43.128.26[.]132:778
C2は6/4の以下と同じ
https://t.co/8xIqI2Yfgv
添付ファイルからマルウェア感染を狙った日本語のメールが確認されています。
昨日のメール文面違いがあったようです。途中の通信先は異なりますがC2は同じです。
■日時
2026/06/04(木)
■件名
給与および職位名称改定に関する確認の徹底について(重要)
■添付ファイル
給与および役職変更.doc
メール本文中リンクからマルウェア感染を狙った日本語のメールが確認されています。
連日同一件名文面でリンク先が変化。
■日時
2026/06/11(木)
■件名
電子請求書明細書
■リンク
hxxps[:]//faipa[.]vip/
■ダウンロード
20260611121147_A054ED7FCEE0EA7D5A8[.]zip -> N0.A054ED7FCEE0EA7D5A8[.]COM
日本語マルウェアメールの接到を確認しています。
リンクにアクセスする時間によって落ちてくるファイルが変化します。
最終的な通信先は共通しています。
件名: 電子請求書明細書
添付リンク: hrxjp[.]vip/er0L
faipa[.]vip/
通信先: 43[.]128[.]26[.]132
![tdatwja's tweet photo. 日本語マルウェアメールの接到を確認しています。
リンクにアクセスする時間によって落ちてくるファイルが変化します。
最終的な通信先は共通しています。
件名: 電子請求書明細書
添付リンク: hrxjp[.]vip/er0L
faipa[.]vip/
通信先: 43[.]128[.]26[.]132 https://t.co/LfzMV8qDFf](https://pbs.twimg.com/media/HKk2P7zaMAARa8-.png)
6/12 12時頃確認。ファイルは6/11 13時以降変わってないと見られる。
https://t.co/uIjoPp6mGp
https://t.co/MjUJU2Py1h
https://t.co/AhLMQQv6eK
ダウンローダー
■通信先
hxxps[:]//faipa[.]vip/20260611121147.exe
https://t.co/kGVb77oKgJ
正規ファイルの悪用
https://t.co/GR3AbLhYXt
https://t.co/FTvAaaRF0w
- pdfcore8.Dll
https://t.co/qfSkMDGtY7
正規ファイルの悪用とマルウェア #ValleyRAT
直接マルウェアを含んだzipへと変化しています。
ファイル名が恐らく作成日時(UTC+8)と推測されるため、6/10 15時半以降は変化ないと見られます。
C2は変化なし
■通信先
hxxps[:]//laonashijie-1433552157.cos.ap-hongkong.myqcloud[.]com/20260610105308.exe
https://t.co/kGVb77oKgJ
正規ファイルの悪用
hxxps[:]//laonashijie-1433552157.cos.ap-hongkong.myqcloud[.]com/pdfcore8.Dll
https://t.co/fKyKtMvBau
マルウェア #ValleyRAT
時間によってリンク先からダウンロードされるファイルが変わるという報告。
https://t.co/OAYxVnapPk
先ほど確認した際には以下でした。
■リンク
hxxps[:]//hrxjp[.]vip/er0L
■ダウンロードファイル
20260610142656[.]zip -> VatN0.20260610142656.EXE, pdfcore8.Dll
https://t.co/o28uHXz748
日本語マルウェアメールの接到を確認しています。
リンクにアクセスする時間によって落ちてくるファイルが変化します。
最終的な通信先は共通しています。
件名: 電子請求書明細書
添付リンク: hrxjp[.]vip/er0L
faipa[.]vip/
通信先: 43[.]128[.]26[.]132
同一事例の観測報告。
https://t.co/ERJrIjTcDW
日本語マルウェアメールの接到を確認しています。
件名: 件名:出荷について - JAP-東京:MRS <氏名>様のお引越し
添付ファイル: 出荷について - JAP-東京:MRS <氏名>様のお引越し.rar -> js
MD5: ee2f3a4d3e4e54a3bdf3564c293e7942
通信先: ftp[.]piovau[.]com
Sample: https://t.co/cfb4Nt7l37
![tdatwja's tweet photo. 日本語マルウェアメールの接到を確認しています。
件名: 件名:出荷について - JAP-東京:MRS <氏名>様のお引越し
添付ファイル: 出荷について - JAP-東京:MRS <氏名>様のお引越し.rar -> js
MD5: ee2f3a4d3e4e54a3bdf3564c293e7942
通信先: ftp[.]piovau[.]com
Sample: https://t.co/cfb4Nt7l37 https://t.co/0TqP1VZAIx](https://pbs.twimg.com/media/HKlEpgGawAAOwoe.png)
添付ファイルからマルウェア感染を狙った日本語のメールが確認されています。
■日時
2026/06/09(火)
■件名
出荷について - JAP-東京:MRS メイ・タナカ様のお引越し
■添付ファイル
出荷について - JAP-東京:MRS メイ・タナカ様のお引越し.rar -> .JS
https://t.co/DomnNDFTEp
【2026/06/10】日本語で書かれたばらまき型攻撃メール(AgentTesla/DonutLoader)に関する注意喚起 https://t.co/b1st295qRw
https://t.co/riXbpMiab0
https://t.co/rrwFqzDDXr
ローダー #DonutLoader -> 情報窃取系マルウェア #AgentTesla
■C2
ftp[:]//ftp.piovau[.]com:21
【2026/06/10】日本語で書かれたばらまき型攻撃メール(AgentTesla/DonutLoader)に関する注意喚起 https://t.co/b1st295qRw
■ダウンロードファイル
20260610105308_A07CE5BA525EBBCCF73[.]zip -> No.A07CE5BA525EBBCCF73.CMD
https://t.co/Bu698E3KJ1
https://t.co/4TO0ENhkYP
https://t.co/09EzG00H9W
https://t.co/yKbNK5nStD
ダウンローダー
Last Seen Users on Sotwe
ema
Seen from United Kingdom
sonajs
Seen from Mexico
Gavat Kocaların Boynuz Yeme Mekanı
Seen from Turkey
וُܦ࠭ߺࡋߺآܩߺ ܩߺآܭܚࡅߺ®️
Laiبa_Xxx🫦
Seen from Pakistan
ลูกคุณหนู.....กับกระจู๋ลูกคนจน
Seen from Thailand
アイウエオ
Seen from Japan
sm
Seen from Vietnam
tossy
Seen from Japan
Trai đẹp cu bự🥵
Seen from Vietnam
Most Popular Users
Elon Musk
@elonmusk
240.3M followers
Barack Obama
@barackobama
119.3M followers
Donald J. Trump
@realdonaldtrump
111.6M followers
Cristiano Ronaldo
@cristiano
109.7M followers
Narendra Modi
@narendramodi
106.9M followers
Rihanna
@rihanna
97.5M followers
NASA
@nasa
92.1M followers
Justin Bieber
@justinbieber
90.7M followers
KATY PERRY
@katyperry
87.2M followers
Taylor Swift
@taylorswift13
81M followers
Lady Gaga
@ladygaga
72.6M followers
Kim Kardashian
@kimkardashian
69.6M followers
Virat Kohli
@imvkohli
69.2M followers
YouTube
@youtube
68.6M followers
Bill Gates
@billgates
63.6M followers
The Ellen Show
@theellenshow
62.5M followers
Neymar Jr
@neymarjr
61.9M followers
CNN
@cnn
61.9M followers
X
@x
60.9M followers
Selena Gomez
@selenagomez
60.3M followers