偽の暗号通貨販売業者をDNS情報で追跡
WhoisXML APIが、偽の暗号通貨販売業者と関連している可能性のあるアーティファクトを2,700超発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードWyrmSpy・DragonEggとAPT41の繋がりをDNSで発見
脅威グループがそのメンバー、時にはリーダーさえも捕らえられ、時には投獄されたにもかかわらず存続し、繁栄を続けるのは珍しいことではありません。APT41はその一例と言えるでしょう。1
Lookoutの研究者は、少なくとも2012年から大量の標的型攻撃を仕掛けているAPT412が、最近2つのモバイルスパイウェア-WyrmSpyとDragonEgg-を配布し、サイバースパイ活動を行っていると考えました。WyrmSpyの5つ、DragonEggの7つ、合計12のIoCが公開されており、それらはAPT41に起因するとされています。
WhoisXML APIは、APT41とWyrmSpyおよびDragonEggとの結びつきを特定するべく、独自の広範囲なDNSインテリジェンスを駆使して調査を行いました。最近発見されたモバイルスパイキャンペーンへの関与が疑われる以下のアーティファクトも特定しました。
- 共通の文字列を含むWyrmSpy関連のドメイン名8個
- DragonEgg関連ドメイン名が名前解決した1個のIPアドレス。マルウェアチェックの結果、悪意があることを確認
- DragonEgg関連のドメイン名とIPアドレスを共用していた94個のドメイン名
- DragonEgg関連のドメイン名と共通の文字列を含む3,085個のドメイン名。一括マルウェアチェックの結果、そのうち14個は悪意あるドメイン名と確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.lookout.com/threat-intelligence/article/wyrmspy-dragonegg-surveillanceware-apt41
- [2] https://malpedia.caad.fkie.fraunhofer.de/actor/apt41