アプリインストーラーの悪用につながる不審なダウンロードページを特定
WhoisXML APIが、金銭的動機によるアプリインストーラー悪用と繋がりを持つアーティファクトを1,100個以上発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードBreachForumsドメインのDNS徹底調査
2023年3月21日、英語圏のブラックハットハッカー向けフォーラム「BreachForums」が、連邦捜査局(FBI)によって閉鎖されました1 オーナーのConor Brian Fitzpatrickが逮捕された直後のことでした。
しかし最近になって、初代管理者のBaphometとShinyHuntersというハッキンググループによる新しい運営陣のもとでBreachForumsが再開された、との報道がありました。2
WhoisXML APIの脅威リサーチャーであるDancho Danchevはこのほど、複数のBreachForumsメンバーが所有するとされる573個のドメイン名を収集しました。そこで、WhoisXML APIの研究チームがそのセキュリティ侵害インジケーター(IoC)リストを足がかりに、DNSインテリジェンスを駆使してBreachForumsに関するより多くの情報を探しました。
この徹底的な調査により、以下が検出されました。
- IoCと同じ登録者のメールアドレスを持つ、最近登録された12個のドメイン名。マルウェア一括チェックにより、そのうち1個は悪意あるドメイン名と確認
- IoCと特定されたドメイン名が名前解決した253個のIPアドレス。マルウェアチェックにより、そのうち1個には悪意があることを確認
- IoCと特定されたドメイン名の専用IPホストを共有していた3,884個のドメイン名。マルウェア一括チェックにより、そのうち22個は悪意あるドメイン名と確認
- IoCに類似した文字列を含む9,588個のドメイン名。マルウェア一括チェックにより、そのうち30個は悪意あるドメイン名と確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.bleepingcomputer.com/news/security/breached-hacking-forum-shuts-down-fears-its-not-safe-from-fbi/
- [2] https://gridinsoft.com/blogs/breachforums-is-back-online-shinyhunters/