頑固なマルウェアを早期発見:AutoITとDridexのIoCリストを拡充 | WhoisXML API

脅威レポート

頑固なマルウェアを早期発見:AutoITとDridexのIoCリストを拡充

AutoITでコンパイルされたマルウェア1 とDridex2は、長年にわたって脅威を与え続けている頑固な存在です。しかし、その耐性は完璧なものではありません。 最新のAutoIT3およびDridex4の攻撃についてこのたびWhoisXML APIが行った調査で、脅威の軽減に役立つ可能性のある未公開アーティファクトが1,425個見つかりました。以下のようなものです。

  • AutoIT IoCとされたドメイン名が名前解決した3つのIPアドレス
  • AutoITのドメインと同じIPアドレスを使っている300個あまりのドメイン名。うち9つは悪意があると確認
  • AutoIT IoCと同様に「publicpress」「moscowkov」という文字列を含む100個を超えるドメイン名
  • Dridexのドメイン名の過去の WHOIS レコードに表示された無編集のメールアドレス1件
  • Dridexのドメイン名と同じ登録者メールアドレスを持つ400個あまりのドメイン名。うち2つは悪意があると確認
  • Dridexのドメイン名が名前解決した1つのIPアドレス
  • Dridexのドメイン名と同じIPアドレスを使用している300個のドメイン名。うち1つは悪意あるものと判明
  • Dridex IoCと同じ「pr-clanky」「kvalitne」という文字列を含む600個あまりのドメイン名

脅威リサーチ資料のサンプルは、このページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.autohotkey.com/board/topic/25043-autoitkv-worm-detected/
  • [2] https://community.broadcom.com/symantecenterprise/viewdocument/dridex-and-how-to-overcome-it?CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments#:~:text=This%20mainly%20targets%20customers%20of,as%20techniques%20to%20avoid%20detection.
  • [3] https://isc.sans.edu/diary/rss/29408
  • [4] https://www.trendmicro.com/en_us/research/23/a/-dridex-targets-macos-using-new-entry-method.html
WhoisXML APIを無料でお試しください
トップページ