macOSバックドアの台頭をDNSで追跡
WhoisXML APIが、RustDoorとKandyKornのインフラの一部かもしれない100以上のアーティファクトを発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードサプライチェーン攻撃に悪用されるチャットアプリの存在に迫る
コロナ禍において企業はリモートワークに頼ることを余儀なくされ、その結果チャットアプリの人気が急上昇しました。多くの企業がハイブリッドワークの恒久化を選択したことから、現在も利用者の増加は続いています。
こうした状況において、脅威アクターが脆弱なビジネスチャットアプリに狙いを定め、破壊的なサプライチェーン攻撃を仕掛けるのも不思議ではありません。トレンドマイクロは最近、この脅威に関する技術分析を発表し、9つのコマンド&コントロール(C&C)サーバアドレスをIoC(セキュリティ侵害インジケーター)としてリストアップしました。1
WhoisXML APIの研究者が、その公開されたIoCを出発点として拡大分析を行いました。その結果、以下のことが判明しました。
- C&Cサーバのドメイン名が名前解決したのは9個のIPアドレス。
- 300件を超えるドメイン名がC&Cサーバのものと同じIPホストを共有。
- C&Cサーバのドメイン名に含まれる文字列と同じ文字列を持つドメイン名がさらに4件、サブドメインが32,800件あまり判明、そのうちの81件は悪意ありと確認。
- 2022年に最も多く利用されたチャットアプリ10種の名称を文字列の中に含んでいる600件あまりのドメイン名のうち、それら製品名の帰属する企業自身が登録していると確認できたものは、わずか2%。8件は悪意あるドメイン名であることが判明。
脅威リサーチの資料サンプルはこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらにお問い合わせください。
—
- [1] https://www.trendmicro.com/de_de/research/22/l/probing-weaponized-chat-applications-abused-in-supply-chain-atta.html