WyrmSpy・DragonEggとAPT41の繋がりをDNSで発見
WhoisXML APIが、WyrmSpyとDragonEggとの関連性が疑われる3,000超のアーティファクトを発見しました。脅威レポートを今すぐダウンロード。
続きを読む レポートをダウンロードFacebookのビジネスアカウントをお持ちですか?Ducktailにご注意を
WithSecureが最近、Facebookビジネスアカウントのオーナーや広告主を狙った「Ducktail」と呼ばれる不正行為の情報を公開しました*1。WithSecureのレポートには、1,885件のIoC(セキュリティ侵害インジケーター)が列挙されています*2。
WhoisXML API の研究者が、公開されているIoC(1,739件の電子メールアドレスと8件のドメイン名)をIoC拡張調査の出発点として分析しました。その結果、以下のことがわかりました。
- IoCとして特定されたメールアドレスのうち、有効なものは429件のみ。
- IPアドレスに名前解決するIoCは1つ(ductai[.]xyzが58[.]158[.]177[.]102を指す)。
- 300件以上のドメイン名がductai[.]xyzのIPホストを共有、そのうち27件は悪意あるドメイン名。
- 2件のIoCと同じく、合計170件のドメイン名に「ductai」という文字列が含まれている。
脅威リサーチ資料のサンプルはこのページからダウンロードできます。資料一式につきましては、こちらからお問合せください。
—
- [1] https://labs.withsecure.com/content/dam/labs/docs/WithSecure_Research_DUCKTAIL.pdf
- [2] https://github.com/WithSecureLabs/iocs/blob/master/DUCKTAIL/iocs.csv