DNSで潜在的なプロパガンダツールの存在を調査
WhoisXML APIが、現在進行中のプロパガンダキャンペーンとの関連が疑われる800超のアーティファクトを発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードDNSの痕跡からSYS01とDucktailを明確に区別
Morphisecは最近、「SYS01 Stealer1」という脅威を発見しました。これは、Facebookビジネスアカウントや広告主を狙ったDucktail2と同じ特徴を持つマルウェアです。SYS01には、Ducktailと標的や手口が似ているもののペイロードが異なるという特徴があります。
WhoisXML APIでは、DNSの観点でSYS01とDucktailに共通点はあるか、あるとすれば何が共通しているのかを調べるため、SYS01のセキュリティ侵害インジケーター(IoC)として特定された 10個のドメイン名をもとに調査を広げ、以下を発見しました。
- SYS01のIoCとされたドメイン名が名前解決した20個のIPアドレス。うち2個には悪意があることを確認
- IoCのIPアドレスを共用していた3,000超のドメイン名。うち20超はマルウェアホストと確認
- IoCの1つと同様にbaglamanotalariという文字列を含んだ2個のドメイン名
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://blog.morphisec.com/sys01stealer-facebook-info-stealer
- [2] https://circleid.com/posts/20230102-own-a-facebook-business-beware-of-ducktail