macOSバックドアの台頭をDNSで追跡
WhoisXML APIが、RustDoorとKandyKornのインフラの一部かもしれない100以上のアーティファクトを発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロード頑固なマルウェアを早期発見:AutoITとDridexのIoCリストを拡充
AutoITでコンパイルされたマルウェア1 とDridex2は、長年にわたって脅威を与え続けている頑固な存在です。しかし、その耐性は完璧なものではありません。 最新のAutoIT3およびDridex4の攻撃についてこのたびWhoisXML APIが行った調査で、脅威の軽減に役立つ可能性のある未公開アーティファクトが1,425個見つかりました。以下のようなものです。
- AutoIT IoCとされたドメイン名が名前解決した3つのIPアドレス
- AutoITのドメインと同じIPアドレスを使っている300個あまりのドメイン名。うち9つは悪意があると確認
- AutoIT IoCと同様に「publicpress」「moscowkov」という文字列を含む100個を超えるドメイン名
- Dridexのドメイン名の過去の WHOIS レコードに表示された無編集のメールアドレス1件
- Dridexのドメイン名と同じ登録者メールアドレスを持つ400個あまりのドメイン名。うち2つは悪意があると確認
- Dridexのドメイン名が名前解決した1つのIPアドレス
- Dridexのドメイン名と同じIPアドレスを使用している300個のドメイン名。うち1つは悪意あるものと判明
- Dridex IoCと同じ「pr-clanky」「kvalitne」という文字列を含む600個あまりのドメイン名
脅威リサーチ資料のサンプルは、このページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.autohotkey.com/board/topic/25043-autoitkv-worm-detected/
- [2] https://community.broadcom.com/symantecenterprise/viewdocument/dridex-and-how-to-overcome-it?CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments#:~:text=This%20mainly%20targets%20customers%20of,as%20techniques%20to%20avoid%20detection.
- [3] https://isc.sans.edu/diary/rss/29408
- [4] https://www.trendmicro.com/en_us/research/23/a/-dridex-targets-macos-using-new-entry-method.html