不正広告「UNC2975」のインフラを調査 | WhoisXML API

脅威レポート

不正広告「UNC2975」のインフラを調査

UNC2975という不正広告キャンペーンの背後にいる脅威アクターは、ユーザーの気がつかないうちにDANABOTまたはDARKGATEというバックドアを配布します。毒入りのサーチエンジンの検索結果やソーシャルメディア投稿をクリックした人は、データを失うか、もっと悪い結果を招くかもしれません。1

このほど、セキュリテイ研究者によってセキュリティ侵害インジケーター(IoC)28個(19個のドメイン名と9個のIPアドレス)が特定されました。そこで、UNC2975と関連している可能性のある他のアーティファクトを可能な限り洗い出すため、WhoisXML APIがこのほど、広範なDNSインテリジェンスを駆使してIoCリストの拡張を試みました。そして、以下を明らかにしました:

  • IoCとして特定されたドメイン名の過去のWHOISレコードに含まれるメールアドレスを共用していた239個のドメイン名
  • IoCとされたドメイン名が名前解決する、既存のIoCリストに含まれない13個のIPアドレス
  • ドメインIoCの専用ホストを共用していた、またはIoCとして特定されたIPアドレスに名前解決した3個のドメイン名
  • IoCと同じ文字列を含む2,772個のドメイン名

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.mandiant.com/resources/blog/detecting-disrupting-malvertising-backdoors
WhoisXML APIを無料でお試しください
はじめる