macOSバックドアの台頭をDNSで追跡 | WhoisXML API

脅威レポート

macOSバックドアの台頭をDNSで追跡

2022年から2023年にかけて、macOSを標的としたバックドアを含むマルウェアの数は、50%以上増加しています。1 そこで、WhoisXML APIは今回、そのうちの2つであるRustDoorとKandyKornを分析することにしました。

RustDoor2は、Windowsランサムウェアオペレーターと繋がりを持つと言われています。他方、KandyKorn3は、ユーザーからデータを盗み取るマルウェアです。当社の研究チームは、公開されているIoCをもとに、RustDoorとKandyKornの痕跡がDNSにどの程度広がっているかを調べました。

RustDoorについては、5個のドメイン名と2個のIPアドレスで構成される合計7個のIoCから以下を特定しました:

  • ドメインIoCと同じメールアドレスを使用していたドメイン名5個
  • 新たに検出されたIPアドレス4個。そのうち1個は悪意あるアドレス
  • ドメインIoCと同じ文字列を含むドメイン名72個

また、KandyKornについては、4個のIPアドレスIoCをもとに、それらがホストしていたドメイン名28個に辿り着きました。その28個の全てが悪意あるドメイン名でした。

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.securityweek.com/21-new-mac-malware-families-emerged-in-2023/
  • [2] https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group/
  • [3] https://www.sentinelone.com/blog/dprk-crypto-theft-macos-rustbucket-droppers-pivot-to-deliver-kandykorn-payloads/
WhoisXML APIを無料でお試しください
トップページ