iOS 14搭載のiPhoneを標的とするゼロクリックスパイウェア「KingsPawn」のDNSスヌーピング | WhoisXML API

脅威レポート

iOS 14搭載のiPhoneを狙うゼロクリックスパイウェア「KingsPawn」のDNSスヌーピング

NSO Group社のマルウェア「Pegasus」は昨年、AppleのiOSを含むモバイルOSをターゲットに政府が使うゼロクリックスパイウェアとして世間の知るところとなりました。これに触発されたかのように、スパイウェア市場の新規参入者であるQuaDream社が今年4月、Pegasusの親戚ともいえる「KingsPawn」をリリースしました。

MicrosoftはKingsPawnに関する詳細な調査を発表し、64個のドメイン名をセキュリティ侵害インジケーター(IoC)として挙げています。

当社ではこれを受け、KingsPawnに関連しそうな他のアーティファクトがないかDNSを使って調査しました。その結果、以下を発見しました。

  • IoCが名前解決した19個のIPアドレス。そのうち17個には悪意があることが判明
  • IoCのIPホストを共用していた2,100超のドメイン名。うち11個はマルウェアホストと確認
  • com.appleという文字列を含む1,000超のサブドメイン。うち18個は悪意あるものと確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.microsoft.com/en-us/security/blog/2023/04/11/dev-0196-quadreams-kingspawn-malware-used-to-target-civil-society-in-europe-north-america-the-middle-east-and-southeast-asia/
WhoisXML APIを無料でお試しください
はじめる