偽の暗号通貨販売業者をDNS情報で追跡
WhoisXML APIが、偽の暗号通貨販売業者と関連している可能性のあるアーティファクトを2,700超発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードFacebookのビジネスアカウントをお持ちですか?Ducktailにご注意を
WithSecureが最近、Facebookビジネスアカウントのオーナーや広告主を狙った「Ducktail」と呼ばれる不正行為の情報を公開しました*1。WithSecureのレポートには、1,885件のIoC(セキュリティ侵害インジケーター)が列挙されています*2。
WhoisXML API の研究者が、公開されているIoC(1,739件の電子メールアドレスと8件のドメイン名)をIoC拡張調査の出発点として分析しました。その結果、以下のことがわかりました。
- IoCとして特定されたメールアドレスのうち、有効なものは429件のみ。
- IPアドレスに名前解決するIoCは1つ(ductai[.]xyzが58[.]158[.]177[.]102を指す)。
- 300件以上のドメイン名がductai[.]xyzのIPホストを共有、そのうち27件は悪意あるドメイン名。
- 2件のIoCと同じく、合計170件のドメイン名に「ductai」という文字列が含まれている。
脅威リサーチ資料のサンプルはこのページからダウンロードできます。資料一式につきましては、こちらからお問合せください。
—
- [1] https://labs.withsecure.com/content/dam/labs/docs/WithSecure_Research_DUCKTAIL.pdf
- [2] https://github.com/WithSecureLabs/iocs/blob/master/DUCKTAIL/iocs.csv