偽の暗号通貨販売業者をDNS情報で追跡
WhoisXML APIが、偽の暗号通貨販売業者と関連している可能性のあるアーティファクトを2,700超発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードMOVEitを悪用したCLOPの脅威ベクトルをDNSインテリジェンスで特定
MOVEitのゼロデイ脆弱性を悪用して複数の脅威アクターグループが破壊活動を展開していますが、CLOPランサムウェアグループはまさにそのうちの1つです。1 CLOPランサムウェアの運用者は、MOVEitの脆弱性を悪用してインターネットに接続されたデータベースにアクセスし、その構造やコンテンツを推測します。
MOVEitを利用したCLOPランサムウェア攻撃に関するセキュリティ侵害インジケーター(IoC)は、6月に入ってから合計139件公開されています。
WhoisXML APIはこれをもとに、さらに多くの未公開アーティファクトを見つけ出すため、当社の広範囲なDNSインテリジェンスを駆使して詳細な調査を行いました。
この調査の結果、以下を発見しました。
- IoCとして特定されたIPアドレスのうち17個は専用ホスト。そのうち4個は悪意あるアドレスと確認
- IoCとして特定されたドメイン名の一部をホストしていた10個のIPアドレスのうち、5個は専用アドレス。そのうち4個は悪意あるアドレスと確認
- IoCとされた2つのドメイン名と同様にzoomという文字列を含んだ6,600超のドメイン名。そのうち60個近くは悪意あるキャンペーンで使用された可能性があることをマルウェアチェックで確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.centripetal.ai/blog/cleaninternet-protects-customers-from-moveit-vulnerability/
- [2] https://otx.alienvault.com/pulse/6486ab4376446c17e1cdc618
- [3] https://otx.alienvault.com/pulse/6480db093f4a3abcd042e873