Black BastaのDNS調査でOneNoteと宅配便のなりすましを発見 | WhoisXML API

脅威レポート

Black BastaランサムウェアのDNS調査でOneNoteと宅配便のなりすましを発見

Black Bastaは、二重の恐喝を行うランサムウェアグループとして警戒されており、エンドポイントでの検知と対応(EDR)のソリューションを停止させる可能性があります。

セキュリティチームや企業はBlack Bastaの検知に力を入れています。ExtraHop1は先般、Black Bastaの検出方法に関する詳細なデモを発表しました。これを受け、WhoisXML APIでこのほどBlack Basta関連のIoC2,3 を調査し、WHIOSおよびDNSに関連した文脈情報を収集しました。その結果、以下を発見しました。

  • ネームサーバーおよびWHOISの登録者情報がIoCと共通していた1,000個近いドメイン名
  • IoCとされたIPアドレスでホストしていた十数個のドメイン名
  • OneNoteや宅配便を装った複数の関連ドメイン名は悪意あるものと確認
  • 宅配便関連ドメイン名の14%は悪意あるアーティファクトのネームサーバーを共用しており、悪意あるドメイン名と確認 

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.extrahop.com/company/blog/2023/detecting-black-basta-ransomware-with-extrahop-ndr/ 
  • [2] https://documents.trendmicro.com/assets/txt/IOCs_BlackBasta_Spotlight-1gMstIg.txt 
  • [3] https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/
WhoisXML APIを無料でお試しください
トップページ