Ivantiゼロデイ攻撃のIoCをDNSで追跡
WhoisXML APIが、Ivantiの脆弱性を悪用した攻撃への関与が疑われる390以上のアーティファクトを発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードBlack BastaランサムウェアのDNS調査でOneNoteと宅配便のなりすましを発見
Black Bastaは、二重の恐喝を行うランサムウェアグループとして警戒されており、エンドポイントでの検知と対応(EDR)のソリューションを停止させる可能性があります。
セキュリティチームや企業はBlack Bastaの検知に力を入れています。ExtraHop1は先般、Black Bastaの検出方法に関する詳細なデモを発表しました。これを受け、WhoisXML APIでこのほどBlack Basta関連のIoC2,3 を調査し、WHIOSおよびDNSに関連した文脈情報を収集しました。その結果、以下を発見しました。
- ネームサーバーおよびWHOISの登録者情報がIoCと共通していた1,000個近いドメイン名
- IoCとされたIPアドレスでホストしていた十数個のドメイン名
- OneNoteや宅配便を装った複数の関連ドメイン名は悪意あるものと確認
- 宅配便関連ドメイン名の14%は悪意あるアーティファクトのネームサーバーを共用しており、悪意あるドメイン名と確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.extrahop.com/company/blog/2023/detecting-black-basta-ransomware-with-extrahop-ndr/
- [2] https://documents.trendmicro.com/assets/txt/IOCs_BlackBasta_Spotlight-1gMstIg.txt
- [3] https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/