DNSの徹底調査でBlackNet RATの履歴を追跡 | WhoisXML API

脅威レポート

DNSの徹底調査でBlackNet RATの履歴を追跡

2020年頃から始まり現在に至るまで、BlackNet RATは世界中のユーザーを悩ませ続けています。当初、このRATは新型コロナウイルス感染症の予防薬を宣伝するメールに同梱されていました。1

パンデミックが過ぎ去ればマルウェアも消滅すると思うかもしれませんが、実際はそうではありません。BlackNet RATは現在、より大規模化しています。その現行のボットネットは、今年の第1四半期においてもトップクラスの脅威であり続けています。2

これまでに、BlackNet RATの数千にのぼるセキュリティ侵害インジケーター(IoC)が複数の研究者によって公表されています。3 そこで、WhoisXML APIの研究チームはこのほど、585個のプロパティ(54個のIPアドレスと531個のドメイン名)からなる公開IoCリストの拡張を試みました。その結果、以下の潜在的関連アーティファクトを発見しました。

  • 未公開の244個のIPアドレスへの名前解決。マルウェアチェックによりそのうち33個には悪意があることを確認
  • 共通のメールアドレスを使用している697個のドメイン名。マルウェア一括チェックにより、そのうち3個は悪意あるドメイン名と確認
  • 共通のIPアドレスを使っている5,232個のドメイン名。マルウェアの一括チェックにより、そのうち9個に悪意があることが判明

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.malwarebytes.com/blog/news/2020/03/fake-corona-antivirus-distributes-blacknet-remote-administration-tool
  • [2] https://decoded.avast.io/threatresearch/avast-q1-2023-threat-report/
  • [3] https://otx.alienvault.com/pulse/650d0c66e0b02a6dde4a8b7a
WhoisXML APIを無料でお試しください
はじめる