Decoy DogはDNSに痕跡を残さないほど狡猾か? | WhoisXML API

脅威レポート

Decoy DogはDNSに痕跡を残さないほど狡猾か?

Decoy Dogというマルウェアツールキットは、DNSを悪用して検知や削除を回避できることで有名になりました。とはいえ、Decoy Dogは何の痕跡も残さないほど狡猾なのでしょうか?

2023年4月、InfobloxがDecoy Dogインフラの詳細な分析を発表し、11個のドメイン名と12個のIPアドレスからなる合計23個のセキュリティ侵害インジケーター(IoC)を明らかにしました。1

まだ解明されていないDecoy Dogの潜在的な関連アーティファクトを見つけ出すため、WhoisXML APIがこのほどDNSを詳細に調査しました。

その結果、以下を発見しました。

  • InfobloxのIoCリストに含まれていない2つのIPアドレスへの名前解決。どちらもマルウェアチェックにより悪意のあるアドレスであることが判明
  • IoCとして特定された5個の専用IPアドレスを使用していた90個のドメイン名。そのうち 4個は、マルウェアの一括チェックで悪意あるドメイン名と確認
  • IoCと特定されたドメイン名のうち10個と同じくcbox4ignorelistclaudfrontallowlistedmaxpatrolatlas + updhspsnsdpsads + tm + glbまたはhsdpsという文字列を含む2,295個のドメイン名。そのうち5個はマルウェアの一括チェックによりマルウェアホストと判明

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://insights.infoblox.com/resources-whitepaper/infoblox-whitepaper-decoy-dog-is-no-ordinary-pupy-distinguishing-malware-via-dns
WhoisXML APIを無料でお試しください
はじめる