Black BastaランサムウェアのDNS調査でOneNoteと宅配便のなりすましを発見

Black Bastaは、二重の恐喝を行うランサムウェアグループとして警戒されており、エンドポイントでの検知と対応（EDR）のソリューションを停止させる可能性があります。

セキュリティチームや企業はBlack Bastaの検知に力を入れています。ExtraHop¹は先般、Black Bastaの検出方法に関する詳細なデモを発表しました。これを受け、WhoisXML APIでこのほどBlack Basta関連のIoC^2,3 を調査し、WHIOSおよびDNSに関連した文脈情報を収集しました。その結果、以下を発見しました。

• ネームサーバーおよびWHOISの登録者情報がIoCと共通していた1,000個近いドメイン名
• IoCとされたIPアドレスでホストしていた十数個のドメイン名
• OneNoteや宅配便を装った複数の関連ドメイン名は悪意あるものと確認
• 宅配便関連ドメイン名の14%は悪意あるアーティファクトのネームサーバーを共用しており、悪意あるドメイン名と確認 

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

—

• [1] https://www.extrahop.com/company/blog/2023/detecting-black-basta-ransomware-with-extrahop-ndr/ 
• [2] https://documents.trendmicro.com/assets/txt/IOCs_BlackBasta_Spotlight-1gMstIg.txt 
• [3] https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/