姿の見えないWailingCrabをDNSで解明 | WhoisXML API

脅威レポート

姿の見えないWailingCrabをDNSで解明

IoTのメッセージングプロトコルであるMQTTを悪用したマルウェア「WailingCrab」は、そのステルス性で悪名を馳せています。最近、IBM X-Forceのセキュリティ研究者がWailingCrabの詳細な分析結果を発表しました。1

そのレポートでは、1個のドメイン名と14個のURLを含む24個のセキュリティ侵害インジケーター(IoC)を特定しています。そこで、WhoisXML APIにおいてその14個のURLそれぞれからドメイン名を抽出し、合計15個のドメイン名のIoCに整理し直して独自の分析を行いました。その結果、以下が検出されました:

  • IoCの過去のWHOISレコードで見つかった公開メールアドレスをWHOISレコードに含むドメイン名26個
  • IoCが名前解決したIPアドレス17個
  • IoCの専用ホストと思われるIPアドレスを共用していたドメイン名524個
  • IoCと共通の文字列を含むドメイン名978個
  • IoCと共通の文字列を含むサブドメイン2,002個

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://securityintelligence.com/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol/
WhoisXML APIを無料でお試しください
はじめる