BlackCatがRedditを再びハッキング:DNSが明らかにしたこと | WhoisXML API

脅威レポート

BlackCatがRedditを再びハッキング:DNSが明らかにしたこと

BlackCatのランサムウェアギャングが初めてRedditを攻撃したのは今年2月で、1 その時は同社の従業員をフィッシングしてデータを窃取しました。 しかし、彼らはそれだけでは終わらず、最近になって再びRedditのネットワークをハッキングし、従業員をシステムから締め出すことに成功しました。 そして、会社が身代金を支払わなければ、盗んだデータを流出させると脅したのです。

BlackCatランサムウェアに関連したセキュリティ侵害インジケーター(IoC)としては、これまでに13個のIPアドレスが特定されています。2

インターネットの安全性と透明性を高めるというミッションのもと、WhoisXML APIでは、BlackCat関連のアーティファクトをさらに見つけ出すべく、DNSを徹底的に調査しました。その結果、以下が判明しました。

  • IoCとして特定された2つの専用IPアドレスでホストされていた3個のドメイン名
  • IoCのIPアドレスを使っていたoff365logs[.]onlineというアーティファクトと同様のoffice365logsoffice365またはoff365という文字列を含むドメイン名が437個。マルウェアの一括チェックにより、そのうち53個は悪意あるドメイン名と確認
  • IoCのIPアドレスを使っていたsecure-rbcbank[.]netというドメイン名と同様のrbcbankという文字列を含むドメイン名が20個。マルウェアの一括チェックにより、そのうち2個は悪意あるドメイン名と判明

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.reversinglabs.com/blog/the-week-in-security-blackcat-threatening-to-leak-reddits-data-more-attacks-on-npm-packages
  • [2] https://www.ic3.gov/Media/News/2022/220420.pdf
WhoisXML APIを無料でお試しください
はじめる