アプリインストーラーの悪用につながる不審なダウンロードページを特定
WhoisXML APIが、金銭的動機によるアプリインストーラー悪用と繋がりを持つアーティファクトを1,100個以上発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードBlackCatがRedditを再びハッキング:DNSが明らかにしたこと
BlackCatのランサムウェアギャングが初めてRedditを攻撃したのは今年2月で、1 その時は同社の従業員をフィッシングしてデータを窃取しました。 しかし、彼らはそれだけでは終わらず、最近になって再びRedditのネットワークをハッキングし、従業員をシステムから締め出すことに成功しました。 そして、会社が身代金を支払わなければ、盗んだデータを流出させると脅したのです。
BlackCatランサムウェアに関連したセキュリティ侵害インジケーター(IoC)としては、これまでに13個のIPアドレスが特定されています。2
インターネットの安全性と透明性を高めるというミッションのもと、WhoisXML APIでは、BlackCat関連のアーティファクトをさらに見つけ出すべく、DNSを徹底的に調査しました。その結果、以下が判明しました。
- IoCとして特定された2つの専用IPアドレスでホストされていた3個のドメイン名
- IoCのIPアドレスを使っていたoff365logs[.]onlineというアーティファクトと同様のoffice365logs、office365またはoff365という文字列を含むドメイン名が437個。マルウェアの一括チェックにより、そのうち53個は悪意あるドメイン名と確認
- IoCのIPアドレスを使っていたsecure-rbcbank[.]netというドメイン名と同様のrbcbankという文字列を含むドメイン名が20個。マルウェアの一括チェックにより、そのうち2個は悪意あるドメイン名と判明
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.reversinglabs.com/blog/the-week-in-security-blackcat-threatening-to-leak-reddits-data-more-attacks-on-npm-packages
- [2] https://www.ic3.gov/Media/News/2022/220420.pdf