偽の暗号通貨販売業者をDNS情報で追跡
WhoisXML APIが、偽の暗号通貨販売業者と関連している可能性のあるアーティファクトを2,700超発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロード不正広告「UNC2975」のインフラを調査
UNC2975という不正広告キャンペーンの背後にいる脅威アクターは、ユーザーの気がつかないうちにDANABOTまたはDARKGATEというバックドアを配布します。毒入りのサーチエンジンの検索結果やソーシャルメディア投稿をクリックした人は、データを失うか、もっと悪い結果を招くかもしれません。1
このほど、セキュリテイ研究者によってセキュリティ侵害インジケーター(IoC)28個(19個のドメイン名と9個のIPアドレス)が特定されました。そこで、UNC2975と関連している可能性のある他のアーティファクトを可能な限り洗い出すため、WhoisXML APIがこのほど、広範なDNSインテリジェンスを駆使してIoCリストの拡張を試みました。そして、以下を明らかにしました:
- IoCとして特定されたドメイン名の過去のWHOISレコードに含まれるメールアドレスを共用していた239個のドメイン名
- IoCとされたドメイン名が名前解決する、既存のIoCリストに含まれない13個のIPアドレス
- ドメインIoCの専用ホストを共用していた、またはIoCとして特定されたIPアドレスに名前解決した3個のドメイン名
- IoCと同じ文字列を含む2,772個のドメイン名
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors