EevilcorpをDNSインテリジェンスで解き明かす | WhoisXML API

脅威レポート

EevilcorpをDNSインテリジェンスで解き明かす

「芸術は自然を模倣する」と言われますが、サイバー犯罪の世界では、その逆もまた真なりです。テレビ番組「Mr.Robot」の敵役E Corpが現実化したかのようなEevilcorp1ほど、その好例となる脅威アクターはないでしょう。

Eevilcorpの攻撃IoCとして、9個のドメイン名がすでに公表されています。そこで、WhoisXML APIでは、Eevilcorpと関連するプロパティをさらに多く見つけ出すため、広範なDNSインテリジェンスを駆使してそれらのIoCを深掘りしました。その結果、以下が判明しました。

  • 名前解決した9個のユニークなIPアドレス
  • 一部のIoCの専用ホストを共用していた579個のドメイン名。マルウェア一括チェックの結果、そのうち13個は悪意あるドメイン名と確認
  • microsoft + outlookまたはadobe + document + cloudという文字列で始まり、2023年に新規登録された20個のドメイン名。一括マルウェアチェックにより、そのうち6個には悪意があることを確認
  • microsoft + outlookまたはadobe + document + cloudという文字列を含み、2023年に作成された715個のサブドメイン。一括マルウェアチェックで、そのうち8個には悪意があることを確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.vadesecure.com/en/blog/m365-phishing-email-analysis-eevilcorp
WhoisXML APIを無料でお試しください
はじめる