脅威ベクトルの特定で正規のツールを偽るBatloaderを発見 | WhoisXML API

脅威レポート

脅威ベクトルの特定で正規のツールを偽るBatloaderを発見

マルウェアを正規のツールに偽装するという手法は、ユーザーを騙してダウンロードさせる上で常に有効です。Batloaderの背後にいる攻撃者も、まさにそれを利用していました。トレンドマイクロの研究者は、2022年末にかけてBatloader関連の動向を追跡・分析し1 、結果として17個のIoC(セキュリティ侵害インジケーター)を特定しました2

WhoisXML APIがこのほど行った調査により、そのIoCリストに以下を含む5,000あまりのアーティファクトを追加できました。

  • ドメイン名登録者の未編集のメールアドレス2つ。それらから悪意あるドメイン名をさらに特定
  • IoCとされたIPアドレスが解決したドメイン名5つ。そのうち2つは悪意あるドメイン名と確認
  • IoCと同じIPアドレスを使っている318個のドメイン名。そのうち35個はマルウェアホストと確認
  • IoCで使われているものと同じ文字列を含む2,283個のドメイン名。そのうち69個は悪意あるドメイン名と確認
  • Batloaderが標的にした企業の名称を含む2,875個のドメイン名
  • 標的の名称を含む2,875個のドメイン名のうち1,158個については、登録者の情報が未編集で公開。そのうち51個はマルウェアホストと確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。リサーチ資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html
  • [2] https://otx.alienvault.com/pulse/63c9447eb94ba08faec4307d
WhoisXML APIを無料でお試しください
はじめる