WyrmSpy・DragonEggとAPT41の繋がりをDNSで発見
WhoisXML APIが、WyrmSpyとDragonEggとの関連性が疑われる3,000超のアーティファクトを発見しました。脅威レポートを今すぐダウンロード。
続きを読む レポートをダウンロード1,800を超えるCloud Atlas関連アーティファクトを発見、企業の情報漏洩回避を支援
あらゆるAPT(Advanced Persistent Threat)グループは、ラテラルムーブメントを可能にするため検知回避を図ります。しかし、Cloud Atlasは標的型攻撃で一般的に採用されるツール、戦術、手順(TTP)に加え、もうひとつの回避戦術として、政治的圧力にさらされた国にある標的を狙ってきました。
Check Point Research(CPR)は、身を隠そうとするCloud Atlasをよそに、10個のIoC(セキュリティ侵害インジケーター)の特定に成功しました1。これをもとにWhoisXML APIがこのたび調査を行い、さらに1,850個のアーティファクトを発見しました。
当社の調査で、以下を明らかにしました。
- IoCとされたドメイン名が名前解決したIPアドレスをさらに8つ。
- IoCと同じIPアドレスを使用しているドメイン名をさらに300件余り。そのうち2件は悪意あるドメイン名。
- IoCとされたドメイン名と同じ文字列を含んだドメイン名をさらに1,500件余り。そのうち1件は悪意あるドメイン名。
脅威リサーチ資料のサンプルはこのページでダウンロードしていただけます。調査資料一式をご希望のお客様は、こちらへお気軽にお問い合わせください。
—
- [1] https://research.checkpoint.com/2022/cloud-atlas-targets-entities-in-russia-and-belarus-amid-the-ongoing-war-in-ukraine/