macOSバックドアの台頭をDNSで追跡
WhoisXML APIが、RustDoorとKandyKornのインフラの一部かもしれない100以上のアーティファクトを発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードDNSでNevadaランサムウェアの足跡を辿る
Resecurityの研究者によると、最近の脅威アクターは、サービスとしてのランサムウェア(RaaS)モデルを介し、ダークウェブでNevadaランサムウェアを広めています。1 Nevadaは2023年1月だけでも数回バージョンアップされており、現在もWindowsとLinuxのユーザーを苦しめています。
AlienVault OTX2 のセキュリティ侵害インジケーター(IoC)をもとに、WhoisXML APIが、DNSにおけるNevadaの足跡を辿りました。
当社の調査の結果、以下が明らかになりました。
- IoCのドメイン名が名前解決した8個のIPアドレス
- IoCドメイン名1個の過去のWHOISレコードから、編集されていない登録者メールアドレス1個
- 1個のIoCの登録者メールアドレスと同じメールアドレスを使っていた70超のドメイン名。そのうち1個は悪意あるドメイン名と確認
- 一部のIoCと同じIPアドレスを共用していた1,100超のドメイン名。そのうち1個はマルウェアホストと判明
- github、click、 continue、repository、signupおよびsubmitという文字列を含む2,000超のドメイン名。そのうち3個は悪意あるドメイン名と確認
脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。
—
- [1] https://www.resecurity.com/blog/article/nevada-ransomware-waiting-for-the-next-dark-web-jackpot
- [2] https://otx.alienvault.com/pulse/6408625672614e92a996a642