BreachForumsドメインのDNS徹底調査 | WhoisXML API

脅威レポート

BreachForumsドメインのDNS徹底調査

2023年3月21日、英語圏のブラックハットハッカー向けフォーラム「BreachForums」が、連邦捜査局(FBI)によって閉鎖されました1 オーナーのConor Brian Fitzpatrickが逮捕された直後のことでした。

しかし最近になって、初代管理者のBaphometとShinyHuntersというハッキンググループによる新しい運営陣のもとでBreachForumsが再開された、との報道がありました。2

WhoisXML APIの脅威リサーチャーであるDancho Danchevはこのほど、複数のBreachForumsメンバーが所有するとされる573個のドメイン名を収集しました。そこで、WhoisXML APIの研究チームがそのセキュリティ侵害インジケーター(IoC)リストを足がかりに、DNSインテリジェンスを駆使してBreachForumsに関するより多くの情報を探しました。

この徹底的な調査により、以下が検出されました。

  • IoCと同じ登録者のメールアドレスを持つ、最近登録された12個のドメイン名。マルウェア一括チェックにより、そのうち1個は悪意あるドメイン名と確認
  • IoCと特定されたドメイン名が名前解決した253個のIPアドレス。マルウェアチェックにより、そのうち1個には悪意があることを確認
  • IoCと特定されたドメイン名の専用IPホストを共有していた3,884個のドメイン名。マルウェア一括チェックにより、そのうち22個は悪意あるドメイン名と確認
  • IoCに類似した文字列を含む9,588個のドメイン名。マルウェア一括チェックにより、そのうち30個は悪意あるドメイン名と確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.bleepingcomputer.com/news/security/breached-hacking-forum-shuts-down-fears-its-not-safe-from-fbi/
  • [2] https://gridinsoft.com/blogs/breachforums-is-back-online-shinyhunters/
WhoisXML APIを無料でお試しください
はじめる