マルウェア・クリプターをDNSで徹底調査 | WhoisXML API

脅威レポート

マルウェア・クリプターをDNSで徹底調査

最近では、脅威アクターがマルウェアのクリプターを使用することで、検知やブロックを回避することが一般的です。例えば「AceCryptor」は、サイバー攻撃者にとっての必需品となっているようです。1

マルウェアのクリプティングがいたるところで行われていることから、サイバーセキュリティコミュニティでは、このサービスの取り締まりを求める声があがっています。2

WhoisXML APIでこのたび、未確認の関連アーティファクトを見つけ出すため、広範なDNSインテリジェンスを駆使してマルウェア・クリプター全般3 およびAceCryptor4 のIoCリストを拡張する調査を行いました。

その結果、以下を特定しました。

  • 専用IPアドレスを共用するドメイン名に見られたmobile-softまたはcryptorという文字列を含む786個のドメイン名。そのうち2個は、マルウェア一括チェックツールによって悪意があると確認
  • 一部の AceCryptorのIoCが名前解決した4個の専用または専用かもしれないIPアドレス。そのうちの2個については、すでにマルウェアキャンペーンで使われたことをマルウェア一括チェックツールで確認
  • AceCryptorの専用IPアドレスでホストされている279個のドメイン名。そのうち17個は、マルウェア一括チェックツールによって悪意があることを確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://thehackernews.com/2023/05/acecryptor-cybercriminals-powerful.html
  • [2] https://krebsonsecurity.com/2023/06/why-malware-crypting-services-deserve-more-scrutiny/
  • [3] https://otx.alienvault.com/pulse/64944c08e39f6f341f7add45
  • [4] https://otx.alienvault.com/pulse/647555f0ead1826af32ece1d
WhoisXML APIを無料でお試しください
はじめる