WyrmSpy・DragonEggとAPT41の繋がりをDNSで発見
WhoisXML APIが、WyrmSpyとDragonEggとの関連性が疑われる3,000超のアーティファクトを発見しました。脅威レポートを今すぐダウンロード。
続きを読む レポートをダウンロード脅威ベクトルの特定で正規のツールを偽るBatloaderを発見
マルウェアを正規のツールに偽装するという手法は、ユーザーを騙してダウンロードさせる上で常に有効です。Batloaderの背後にいる攻撃者も、まさにそれを利用していました。トレンドマイクロの研究者は、2022年末にかけてBatloader関連の動向を追跡・分析し1 、結果として17個のIoC(セキュリティ侵害インジケーター)を特定しました2。
WhoisXML APIがこのほど行った調査により、そのIoCリストに以下を含む5,000あまりのアーティファクトを追加できました。
- ドメイン名登録者の未編集のメールアドレス2つ。それらから悪意あるドメイン名をさらに特定
- IoCとされたIPアドレスが解決したドメイン名5つ。そのうち2つは悪意あるドメイン名と確認
- IoCと同じIPアドレスを使っている318個のドメイン名。そのうち35個はマルウェアホストと確認
- IoCで使われているものと同じ文字列を含む2,283個のドメイン名。そのうち69個は悪意あるドメイン名と確認
- Batloaderが標的にした企業の名称を含む2,875個のドメイン名
- 標的の名称を含む2,875個のドメイン名のうち1,158個については、登録者の情報が未編集で公開。そのうち51個はマルウェアホストと確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。リサーチ資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html
- [2] https://otx.alienvault.com/pulse/63c9447eb94ba08faec4307d