アプリインストーラーの悪用につながる不審なダウンロードページを特定

最近、金銭的な動機でMicrosoftのアプリインストーラーを悪用し、ランサムウェアの配布をはたらいた脅威アクターが複数確認されています。

MicrosoftがIoCとして特定したドメイン名とサブドメインのリスト¹をもとに、WhoisXML APIの研究者がこのほど、DNSでさらなる関連アーティファクトを探索しました。今回の調査で、以下の合計1,100を超える潜在的な関連プロパティを特定できました：

ResumeLootersのさらなる兆候をDNSでチェック

ResumeLooters¹の背後にいる脅威アクターが、求職者のデータを盗んで個人情報を吸い上げる新たな方法を見つけた可能性があります。

2024年 2月初旬、Group-IBの研究者がResumeLootersのキャンペーンに関する報告を公開しました。彼らは分析の一環として、15個のセキュリティ侵害インジケーター（IoC）、具体的には7個のドメイン名、3個のサブドメイン、5個のIPアドレスを特定しました。

これを受け、WhoisXML APIの研究チームがこのほどそのIoCリストを足がかりにDNSを調査し、ResumeLootersの潜在的な関連アーティファクトを発見しました。具体的には以下の通りです：

macOSバックドアの台頭をDNSで追跡

2022年から2023年にかけて、macOSを標的としたバックドアを含むマルウェアの数は、50%以上増加しています。¹ そこで、WhoisXML APIは今回、そのうちの2つであるRustDoorとKandyKornを分析することにしました。

RustDoor²は、Windowsランサムウェアオペレーターと繋がりを持つと言われています。他方、KandyKorn³は、ユーザーからデータを盗み取るマルウェアです。当社の研究チームは、公開されているIoCをもとに、RustDoorとKandyKornの痕跡がDNSにどの程度広がっているかを調べました。

DNSで潜在的なプロパガンダツールの存在を調査

ヨーロッパ、アジア、ラテンアメリカの30カ国を標的として現在進行中のプロパガンダ・キャンペーン「PAPERWALL」が最近、複数の脅威リサーチ会社の注目を集めています。¹ プロパガンダが政治家や経済人を含む人々の意思決定に影響を与える手段として一般的になっていることを考えれば、これは驚くべきことではありません。

当社はこのほど、PAPERWALLのセキュリティ侵害インジケーター（IoC）132個を分析し、関連性を持つ可能性のある他のアーティファクトを発見しました。具体的には以下の通りです：

Ivantiゼロデイ攻撃のIoCをDNSで追跡

最近、Ivanti Connect Secure VPNおよびIvanti Policy Secureの脆弱性が UNC5221を含む複数の脅威アクターによって悪用されています。

Ivantiはパッチの配布を続けていますが、影響力の大きい攻撃に使われたデジタルインフラの監視は依然として重要です。そこで、WhoisXML APIの研究者がこの攻撃に関連する20個のIoC¹をもとにDNSで調査を行い、このほど以下の関連アーティファクトを発見しました：

DNS調査：閉鎖されたxDedicは本当に終息したのか？

xDedicは、2016年の最盛期に85,000台のハッキングされたウェブサーバーへのアクセスをサイバー犯罪者に提供したと言われています。¹ しかし、このCaaS（cybercrime-as-a-service）マーケットプレイスは、欧米の法執行当局の協力によって2019年初頭に閉鎖されました。xDedicの痕跡はその時にDNSから一掃されたのでしょうか？

豚の屠殺詐欺をDNSで調査

サイバー犯罪の新顔「豚の屠殺詐欺」をご存知ですか？豚の屠殺詐欺とは、一見合法的に見えるベンチャー企業や資産に投資させ、実際にはお金を騙し取る犯罪行為を指します。

最近、豚の屠殺詐欺に関与した8個のセキュリティ侵害インジケーター（IoC）が特定、公開されました。¹ WhoisXML APIはこれを受け、その8個を出発点として未知の潜在的関連アーティファクトを探しました。この調査の結果、以下が検出されました：

RiseProの新バージョンをDNSで分析

RiseProは2022年の登場以来、数十万台のデバイスを感染させてきました。最近では、データの窃取だけでなく、遠隔操作も可能な新たな亜種が話題になりました。¹

2023年11月に、RiseProの最新の亜種に関連する10個のセキュリティ侵害インジケーター（IoC）が公開されました。²そこで、そのIoCリストをもとにWhoisXML APIの研究チームがこのほど独自に調査を行い、以下を含む数百の関連アーティファクトを新たに特定しました：

DNSインテリジェンスでEpsilon Stealerの足跡を辿る

Epsilon Stealerは現在、世界中のオンラインゲーマーに被害を与えています。また、標的としたゲームの制作者の評判や収益も、Epsilonによって大きな危険にさらされています。

WhoisXML APIはこのほど、セキュリティ研究者によって特定された133個のセキュリティ侵害インジケーター（IoC） ¹ から76個のドメイン名を抽出し、それらをもとにEpsilon Stealerと関連している可能性のある他のアーティファクトをDNSで探しました。

この調査の結果、以下のプロパティを特定することができました：

PikaBotのインフラをDNSで分析

マルバタイジングが大復活を遂げつつあるようです。2023 年初頭にその名を知られ始めた PikaBot は、悪意ある検索広告を配布手段として使用していることが判明しています。¹

WhoisXML APIの研究チームがこのたび、公開されているPikaBotのセキュリティ侵害インジケーター（IoC）—2個のドメイン名と9個のIPアドレス—をもとに、DNSインテリジェンスを駆使してPikaBotのインフラを調査しました。その結果、以下の潜在的関連アーティファクトを特定することができました：

不正広告「UNC2975」のインフラを調査

UNC2975という不正広告キャンペーンの背後にいる脅威アクターは、ユーザーの気がつかないうちにDANABOTまたはDARKGATEというバックドアを配布します。毒入りのサーチエンジンの検索結果やソーシャルメディア投稿をクリックした人は、データを失うか、もっと悪い結果を招くかもしれません。¹

Kimsuky: DNSでインテリジェンスを収集

2013年から活動しているとされる高度標的型攻撃（APT）グループ「Kimsuky」は、最近になって新たな攻撃をしかけています。そして、その手口は、Hangul Word Processor （HWP）またはMicrosoft Wordの文書を添付したスピアフィッシングメールといった従来のものから、圧縮ファイルの悪用や悪意あるリンクのはめ込みなどに変わってきています。¹

姿の見えないWailingCrabをDNSで解明

IoTのメッセージングプロトコルであるMQTTを悪用したマルウェア「WailingCrab」は、そのステルス性で悪名を馳せています。最近、IBM X-Forceのセキュリティ研究者がWailingCrabの詳細な分析結果を発表しました。¹

Atomic Stealerのインフラの裏側に迫る

「AMOS」としても知られるAtomic Stealerが、またしてもMacユーザーの間で大混乱を引き起こしています。今回は、偽のアプリケーションではなく不正なブラウザアップデートを装っています。また、配布の基盤を広げるために複数のサイトを侵害しました。¹

これまでに、セキュリティ研究者により6個のドメイン名と1個のIPアドレスからなる合計7個のアーティファクトが、Atomic Stealerのセキュリティ侵害インジケーター（IoC）として公表されています。WhoisXML APIでは、このIoCリストを拡張するため、広範なDNSインテリジェンスを駆使して独自に調査を展開しました。

DNSのレンズで見るフェイクID市場

フェイクIDは、他国への旅行や移住を希望しながら、必要な法的書類を持たない人々にとっての必需品となっています。これが、フェイクID市場の取引量が増加している理由でしょう。

Genesis Marketインフラの裏側：DNSの徹底分析

米連邦捜査局（FBI）などの法執行機関は2023年4月、サイバー犯罪攻撃ツールのダークネット市場であるGenesis Marketを閉鎖しました。¹ 運用者のインフラは押収され、悪意ある作戦に参加した100人以上が摘発されました。これはGenesis Marketの終焉を意味するものだったのでしょうか？

不正な防弾ホスティングは今も健在：DNS調査から

今日、サイバーセキュリティ対策や対策がより高度化したことで、サイバー犯罪者やその他の脅威アクターは地下深く潜るようになりました。そのため、防弾ホスティングサービスの利用が増加しています。¹

WhoisXML APIの脅威リサーチャーであるDancho Danchevは最近、不正な防弾ホスティングサービスプロバイダーに属すると思われる308個のドメイン名を収集しました。そして、WhoisXML APIの研究チームがそれらをもとにDNSで調査を展開し、関連性の疑われるウェブプロパティを新たに特定しました。

カーディングは今も盛況：DNSインテリジェンスで判明

カーディングは1980年代から存在していました。しかし、最も技術に精通したサイバー犯罪者だけが攻撃できた過去とは異なり、現在では初心者でも攻撃を仕掛けることができます。どうやって？カーディング・フォーラムで全てを学び、カーディング仲間から必要なツールをもらうのです。

BreachForumsドメインのDNS徹底調査

2023年3月21日、英語圏のブラックハットハッカー向けフォーラム「BreachForums」が、連邦捜査局（FBI）によって閉鎖されました¹ オーナーのConor Brian Fitzpatrickが逮捕された直後のことでした。

DNSの徹底調査でBlackNet RATの履歴を追跡

2020年頃から始まり現在に至るまで、BlackNet RATは世界中のユーザーを悩ませ続けています。当初、このRATは新型コロナウイルス感染症の予防薬を宣伝するメールに同梱されていました。¹

パンデミックが過ぎ去ればマルウェアも消滅すると思うかもしれませんが、実際はそうではありません。BlackNet RATは現在、より大規模化しています。その現行のボットネットは、今年の第1四半期においてもトップクラスの脅威であり続けています。²

QRコードフィッシングの痕跡をDNSで探す

QRコードフィッシングが最近増加していると言われています。今日、ほとんどの人が携帯電話なしでは生活できないことを考えれば、それは驚くべきことではありません。実際、世界の全人口の実に86％がスマートフォンを使ってインターネットの閲覧からオンライン決済、実店舗での買い物の支払いまで行っている、という調査結果も出ています。¹

DNSでMessengerフィッシングの足跡をキャッチ

現在、「MrTonyScam¹」という新たなフィッシングキャンペーンが、パスワードを盗むマルウェアを使ってFacebookのビジネスアカウントを標的に活動しています。攻撃者は、偽のFacebookアカウントおよび侵害されたFacebookアカウントの大規模なネットワークを駆使して、何百万ものフィッシングメッセージをMessengerから送信していることが確認されています。

.topドメインを悪用するフィッシンググループを発見

WhoisXML APIの脅威リサーチャーであるDancho Danchevは最近、悪意ある目的のために.topドメイン名を集めているように見えるフィッシング活動を発見しました。この活動に関連するセキュリティ侵害インジケーター（IoC）として、Danchevはこれまでに89個のメールアドレスを特定しています。

WhoisXML API研究チームはこれをもとに、将来悪用される可能性のある関連ドメイン名とIPアドレスを見つけるため、DNSを徹底的に調査しました。その結果、以下が明らかになりました。

Smishing TriadがDNSに残した痕跡をたどる

Smishing Triadが再び襲来、今度はアメリカのユーザーを狙っています。¹

Smishing Triadは、フィッシングが様々な形で行われることを証明しています。ほとんどの攻撃者は通常、コンピューター上の脆弱なユーザーを標的にしますが、Smishing Triadは携帯電話にも手を伸ばしています。

DNS分析でIcedIDの実態をあぶり出す

現在の脅威の状況は、進化の理論がマルウェアにも当てはまることを絶えず証明しています。その最新の証拠は、ありふれたバンキング型トロイの木馬からランサムウェアドロッパーへと変貌を遂げたIcedIDです。

IcedIDのセキュリティ侵害インジケーター（IoC）として、50を超えるIPアドレスとドメイン名が公開されています。^{1, 2, 3, 4} WhoisXML APIでは、それらをもとにこのたびDNSインテリジェンス分析を行い、以下を含む関連アーティファクトを新たに発見しました。

DNSでWoofLockerの実態を解明

テクニカルサポート詐欺のツールキット「WoofLocker」は、継続的な改善によって長年にわたり現役であり続けています。その最新のトリックはトラフィック配信スキームの追加で、現在進行中の脅威となっています。¹

AlienVault OTXは、WoofLockerが運用されてきたこの8年間に784個のセキュリティ侵害インジケーター（IoC）を収集しました。² これを受け、WhoisXML APIはこのたび、未報告のWoofLocker関連アーティファクトを特定する調査を行いました。また、WoofLockerの運用者が多数のプロバイダーを使ってインフラを複数の国に分散していたかどうか、従来の詐欺の手段であるアダルトサイト以外のサイトも侵害していたかどうかについても確かめました。

Decoy DogはDNSに痕跡を残さないほど狡猾か？

Decoy Dogというマルウェアツールキットは、DNSを悪用して検知や削除を回避できることで有名になりました。とはいえ、Decoy Dogは何の痕跡も残さないほど狡猾なのでしょうか？

2023年4月、InfobloxがDecoy Dogインフラの詳細な分析を発表し、11個のドメイン名と12個のIPアドレスからなる合計23個のセキュリティ侵害インジケーター（IoC）を明らかにしました。¹

Redisは脅威アクターに狙われ続けるのか？

Mushtik Gangは、「CVE-2022-0543」としても知られるRedisの脆弱性「Redis Lua Sandbox Escape and Remote Code Execution」を2022年3月に悪用した最初の攻撃グループの一つです。 ¹ 以降、多くの攻撃者² が同じバグを利用して攻撃を仕掛けてきました。

ある脅威グループによって使用された最新の攻撃ツールは、自己複製型のP2Pワーム「P2PInfect」です。今年7月に、P2PInfectの7つのセキュリティ侵害インジケーター（IoC）が公表されました。³

WhoisXML APIでは、未確認のRedis攻撃関連アーティファクトを検出するため、広範なDNSインテリジェンスを駆使してP2PInfectのIoCリストを拡張する調査を行いました。

WyrmSpy・DragonEggとAPT41の繋がりをDNSで発見

脅威グループがそのメンバー、時にはリーダーさえも捕らえられ、時には投獄されたにもかかわらず存続し、繁栄を続けるのは珍しいことではありません。APT41はその一例と言えるでしょう。¹ 

Lookoutの研究者は、少なくとも2012年から大量の標的型攻撃を仕掛けているAPT41²が、最近2つのモバイルスパイウェア－WyrmSpyとDragonEgg－を配布し、サイバースパイ活動を行っていると考えました。WyrmSpyの5つ、DragonEggの7つ、合計12のIoCが公開されており、それらはAPT41に起因するとされています。

WhoisXML APIは、APT41とWyrmSpyおよびDragonEggとの結びつきを特定するべく、独自の広範囲なDNSインテリジェンスを駆使して調査を行いました。最近発見されたモバイルスパイキャンペーンへの関与が疑われる以下のアーティファクトも特定しました。

JumpCloudサプライチェーン攻撃の痕跡をDNSで発見

攻撃の急増に伴い、サイバーセキュリティはあらゆる組織にとって必須となっています。しかし、皮肉なことに、セキュリティ強化を目的としたソリューションであっても、時としてサイバー攻撃者の餌食になることがあります。

最近、Identity Access Management（IAM）プラットフォームのJumpCloudを標的としたサプライチェーン攻撃が、研究者によって明らかにされました。¹ そして、この脅威に関与した合計32個のIoCが特定されました。

WhoisXML APIはこのほど、そのIoCを出発点として、DNSインテリジェンスを駆使した徹底的な調査を行いました。その結果、JumpCloudサプライチェーン攻撃との関連性が疑われる以下のアーティファクトを新たに発見することができました。

AIツールの人気は悪意あるキャンペーンの好機？

WhoisXML APIとBayse Intelligenceのサイバーセキュリティ共同調査

昨今、AIツールがもたらすメリットを享受する企業が増えています。しかし、従業員の生産性が向上しているにもかかわらず、78%のユーザーは、脅威アクターがソリューションを悪用して詐欺を働くことを恐れています。¹ ChatGPT²やGrammarly³といったツールを標的とした攻撃の範囲が拡大していることもあり、残念ながらユーザーの不安は解消されていません。

そこで、WhoisXML APIとBayse Intelligenceがこのたび共同で調査を実施し、攻撃者が8つの2023年ベストAI生産性向上ツール⁴を標的として過去に使用した/現在使用している/将来悪用する可能性のあるウェブプロパティを特定しました。

この調査の結果、以下を発見しました。

MuddyWaterの進展の兆しをDNSで発見

MuddyWaterは、政治的動機に基づく標的型攻撃を2012年から仕掛けているハッカー集団です。10年以上前から存在し、今も引退する気配を見せていません。

報告によると、MuddyWaterは最近、標的としたネットワークをより効果的に制御するためにC&Cフレームワークを更新し、PhonyC2としてローンチしました。¹ それだけではありません。彼らはまた、攻撃に関与していることを標的に覚らせないよう、DEV-10842と協力関係を結びました。²

Deep Instinctは最近の分析で、PhonyC2のIoCとして39個のプロパティを特定しました。他方、MuddyWater・DEV-1084間のパートナーシップについては、Microsoftが14個のIoCを公表しています。

WhoisXML APIではこれを受け、未確認の関連アーティファクトを明らかにするべく、自らの広範なDNSインテリジェンスを駆使してさらに調査を進めました。その結果、以下が判明しました。

EevilcorpをDNSインテリジェンスで解き明かす

「芸術は自然を模倣する」と言われますが、サイバー犯罪の世界では、その逆もまた真なりです。テレビ番組「Mr.Robot」の敵役E Corpが現実化したかのようなEevilcorp¹ほど、その好例となる脅威アクターはないでしょう。

Eevilcorpの攻撃IoCとして、9個のドメイン名がすでに公表されています。そこで、WhoisXML APIでは、Eevilcorpと関連するプロパティをさらに多く見つけ出すため、広範なDNSインテリジェンスを駆使してそれらのIoCを深掘りしました。その結果、以下が判明しました。

マルウェア・クリプターをDNSで徹底調査

最近では、脅威アクターがマルウェアのクリプターを使用することで、検知やブロックを回避することが一般的です。例えば「AceCryptor」は、サイバー攻撃者にとっての必需品となっているようです。¹

マルウェアのクリプティングがいたるところで行われていることから、サイバーセキュリティコミュニティでは、このサービスの取り締まりを求める声があがっています。²

WhoisXML APIでこのたび、未確認の関連アーティファクトを見つけ出すため、広範なDNSインテリジェンスを駆使してマルウェア・クリプター全般³ およびAceCryptor⁴ のIoCリストを拡張する調査を行いました。

その結果、以下を特定しました。

BlackCatがRedditを再びハッキング：DNSが明らかにしたこと

BlackCatのランサムウェアギャングが初めてRedditを攻撃したのは今年2月で、¹ その時は同社の従業員をフィッシングしてデータを窃取しました。 しかし、彼らはそれだけでは終わらず、最近になって再びRedditのネットワークをハッキングし、従業員をシステムから締め出すことに成功しました。 そして、会社が身代金を支払わなければ、盗んだデータを流出させると脅したのです。

BlackCatランサムウェアに関連したセキュリティ侵害インジケーター（IoC）としては、これまでに13個のIPアドレスが特定されています。²

インターネットの安全性と透明性を高めるというミッションのもと、WhoisXML APIでは、BlackCat関連のアーティファクトをさらに見つけ出すべく、DNSを徹底的に調査しました。その結果、以下が判明しました。

MOVEitを悪用したCLOPの脅威ベクトルをDNSインテリジェンスで特定

MOVEitのゼロデイ脆弱性を悪用して複数の脅威アクターグループが破壊活動を展開していますが、CLOPランサムウェアグループはまさにそのうちの1つです。¹ CLOPランサムウェアの運用者は、MOVEitの脆弱性を悪用してインターネットに接続されたデータベースにアクセスし、その構造やコンテンツを推測します。

MOVEitを利用したCLOPランサムウェア攻撃に関するセキュリティ侵害インジケーター（IoC）は、6月に入ってから合計139件公開されています。

WhoisXML APIはこれをもとに、さらに多くの未公開アーティファクトを見つけ出すため、当社の広範囲なDNSインテリジェンスを駆使して詳細な調査を行いました。

この調査の結果、以下を発見しました。

.zipなどのドメインのリスクをDNSインテリジェンスで軽減

2023年5月にGoogleが発表した新gTLD「.zip」は、物議を醸しました。ファイル拡張子の.zipと混同されやすいことから、フィッシングなどの悪意あるキャンペーンで悪用されるかもしれない、と多くの人が考えたためです。¹ そして、その懸念は現実のものとなりました。²

.zipなどの紛らわしい新gTLD（.app、.cab、.cam、.mobi、.mov、.pub、.rip、.win）がもたらすリスクを組織が回避できるよう、WhoisXML APIの研究チームが、2023年1月1日から5月31日までの間に新規登録されたこれらのTLDのドメイン名をDNS情報によって分析し、不審なドメイン名がないか調べました。その結果、以下を発見しました。

LockBitランサムウェアの痕跡をDNSでたどる

現在活動しているランサムウェアの中で最も効果的で最も多発しているものの1つとされるLockBitは、ReliaQuestが発表した最新の2023年1～3月ランサムウェア四半期リストで首位を占めました。¹

当初はSocGholishの助けを借りて配布されていた² LockBitの運用者は、その後戦術を変更し、現在はRaaSモデルを介して脅威を拡散しています。 WhoisXML APIでは、公開されている198個のIoCのリスト³ を拡張することで、LockBitをさらに追跡しました。その結果、以下がわかりました。

iOS 14搭載のiPhoneを狙うゼロクリックスパイウェア「KingsPawn」のDNSスヌーピング

NSO Group社のマルウェア「Pegasus」は昨年、AppleのiOSを含むモバイルOSをターゲットに政府が使うゼロクリックスパイウェアとして世間の知るところとなりました。これに触発されたかのように、スパイウェア市場の新規参入者であるQuaDream社が今年4月、Pegasusの親戚ともいえる「KingsPawn」をリリースしました。

MicrosoftはKingsPawnに関する詳細な調査を発表し、64個のドメイン名をセキュリティ侵害インジケーター（IoC）として挙げています。

当社ではこれを受け、KingsPawnに関連しそうな他のアーティファクトがないかDNSを使って調査しました。その結果、以下を発見しました。

マーケティング会社への攻撃の被害は顧客に及ぶ： DNSでサードパーティー・リスクを発見

サードパーティを発端とするセキュリティインシデントは、関連している組織に致命的なダメージを与える可能性があります。FortifyData は最近、今年のサードパーティによる主要なデータ漏えい事件をリストアップし、脅威の共通性と規模を明らかにしました¹ 。

WhoisXML APIは、そのリストに掲載されたインシデントの1つであるAT&Tのデータ流出事件（マーケティング会社の事故により900万件のアカウントが流出²）に注目し、詳細な調査を行いました。その結果、以下を特定しました。

Bumblebee SEOポイズニングの痕跡をDNSから探し出す

オンライン広告が全て同じように作られているわけではありません。中には偽装したマルウェアもあります。Bumblebeeの場合は、ソフトウェアのインストーラーを装う毒入り広告でした。¹ 

Secureworksが先般、BumblebeeのSEOポイズニング攻撃に関する調査結果とともに31のIoCを公表しました。WhoisXML APIのリサーチチームはそのIoCリストをもとに分析を深め、さらに多くの潜在的な脅威ベクトルを洗い出しました。この分析の結果、以下が明らかになりました。

DNSを深堀り：そのVPNサービス、実は偽装OpcJackerかもしれません

脅威アクターは、常に最も広く使われているアプリケーションを利用してマルウェアのキャンペーンを展開します。その中には、オンラインセキュリティを強化するためのソフトウェアやサービスも含まれます。OpcJackerがまさにそのような存在で、VPNソフトウェアのインストーラを装っていますが、実際はデータを盗むマルウェアなのです。¹

当社が行ったOpcJackerのIoCリスト²の拡張調査で、以下が判明しました。

DNSでNevadaランサムウェアの足跡を辿る

Resecurityの研究者によると、最近の脅威アクターは、サービスとしてのランサムウェア（RaaS）モデルを介し、ダークウェブでNevadaランサムウェアを広めています。¹ Nevadaは2023年1月だけでも数回バージョンアップされており、現在もWindowsとLinuxのユーザーを苦しめています。

AlienVault OTX² のセキュリティ侵害インジケーター（IoC）をもとに、WhoisXML APIが、DNSにおけるNevadaの足跡を辿りました。

当社の調査の結果、以下が明らかになりました。

SVBとクレディ・スイスの破綻はDNSにどう反映されたか

世間で起こる注目すべき出来事とドメイン名やサブドメインの追加の間には、相関関係があるようです。最近のシリコンバレー銀行（SVB）、クレディ・スイス、シルバーゲート・キャピタル、シグネチャー・バンク、ファースト・リパブリック・バンクの破綻から、その傾向が見て取れます。^{1, 2}

脅威アクターがパンデミック関連のドメイン・サブドメインを悪用したように、銀行破綻に関しても同じことが起きている可能性があります。そのようなトレンドを探るため当社でDNSを調査した結果、以下が明らかになりました。

100万超の悪意あるドメイン名をDNSのレンズで解剖

ドメイン名は、脅威アクターの主要な初期アクセス手段として今日も機能し続けています。そのような中、WhoisXMLの研究者は2023年4月13日、新サービス「Threat Intelligence Data Feed（TIDF）」で特定された100万超の悪意あるドメイン名を分析しました。その結果、：

DNS情報からBECの潜在的媒体を発見

ビジネスメール詐欺（BEC）は、世界で毎年数十億ドルの損害をもたらしています。¹ FBIのIC3によれば、この脅威はいつまでたっても衰えることはありません。

WhoisXML APIの研究者は、企業経営者を狙ったBECに関わったとして今年2月に発見された7つのセキュリティ侵害インジケーター（IoC）² をもとに、独自の調査を展開しました。その結果、以下を発見しました。

ソーシャルメディアを利用したセレブ詐欺の痕跡をDNSで追跡

ソーシャルメディア上の偽の、あるいは侵害された有名人のプロフィールは、悪意あるリンクをクリックするようフォロワーに仕向けるためによく使われます。この手法を利用した最近の暗号通貨詐欺が、Infobloxの「Q4 2022: Cyber Threat Report」で紹介されています。¹

上記のレポートでは、実在しないMetaコインを使うようEU諸国のユーザーを誘導する、政治家や著名人をかたった偽の推薦文の存在が確認されています。

そこで、レポートで示された5つのIoCをもとに当社でさらに調査を展開し、以下を発見しました。

中南米・カリブ海地域に特有の潜在的詐欺ドメインを検出

詐欺や不正行為は世界的な問題ですが、その一部は特定の国や地域に特化している可能性があります。Accertifyは、航空会社やデジタルウォレットの不正行為がラテンアメリカとカリブ海地域（LAC）で増殖していると指摘しています。¹

WhoisXML APIの研究者は、このLACに特有な詐欺の傾向がDNSでどのように見えるかを調査しました。その結果、以下を発見しました：

DNSの痕跡からSYS01とDucktailを明確に区別

Morphisecは最近、「SYS01 Stealer¹」という脅威を発見しました。これは、Facebookビジネスアカウントや広告主を狙ったDucktail²と同じ特徴を持つマルウェアです。SYS01には、Ducktailと標的や手口が似ているもののペイロードが異なるという特徴があります。

WhoisXML APIでは、DNSの観点でSYS01とDucktailに共通点はあるか、あるとすれば何が共通しているのかを調べるため、SYS01のセキュリティ侵害インジケーター（IoC）として特定された 10個のドメイン名をもとに調査を広げ、以下を発見しました。

Black BastaランサムウェアのDNS調査でOneNoteと宅配便のなりすましを発見

Black Bastaは、二重の恐喝を行うランサムウェアグループとして警戒されており、エンドポイントでの検知と対応（EDR）のソリューションを停止させる可能性があります。

セキュリティチームや企業はBlack Bastaの検知に力を入れています。ExtraHop¹は先般、Black Bastaの検出方法に関する詳細なデモを発表しました。これを受け、WhoisXML APIでこのほどBlack Basta関連のIoC^2,3 を調査し、WHIOSおよびDNSに関連した文脈情報を収集しました。その結果、以下を発見しました。

2023年最新情報：最も多く詐称されているブランドはDNSでどのように表示されるか

フィッシングとの戦いは、今や綱引きの様相を呈しています。脅威をより捉えにくくする試みが増えるにつれ、サイバーセキュリティ対策もより強固なものとなっています。

SlashNextは単独で、2022年の6カ月間に2億5,500万件にのぼるフィッシングの試みを検知し、最も詐称されたグローバルブランドの名前をそのレポート「The State of Phishing Report 2022」で挙げました。¹

WhoisXML APIの研究者はこのほど、そのリストをもとに、脅威の検知、ウェブプロパティの帰属の特定およびリスト拡張を行いました。その結果、以下を発見しました。

DNSの顕微鏡でLorec53のフィッシングを精査

Lorec53は、2021年に東欧諸国の政府機関を標的として活発に攻撃を展開したAPTグループです。 NSFocusによる調査の結果、Lorec53がさまざまなフィッシングキャンペーンを活用して標的のシステムに侵入し、狙ったデータを流出させていたことが明らかになりました。¹

NSFocusは、収集した21のセキュリティ侵害インジケーター（IoC）をAlienVault OTXを通じて公開しました²。そこで、WhoisXML APIがそのIoCを出発点としてLorec53の痕跡を特定する調査をさらに展開し、以下を発見しました。

貴社のイントラネットは大丈夫ですか？ DNSにおけるイントラネットのなりすましを調査

最近Redditで発生したセキュリティインシデント¹ は、イントラネットゲートウェイがいかに組織のアタックサーフェスを広げるかを浮き彫りにしました。そこで、WhoisXML APIの研究者がこのほど、イントラネットドメインのなりすましを調査し、以下を発見しました。

国際的詐欺にWHOISとDNSのスポットライトを当てる

昨今においては、何百万人ものユーザーが一度はオンライン詐欺に遭っています。2022年の調査では、世界中のユーザーがスキャマーによって総額553億ドルもの損害を被ったことが判明しています。¹

WhoisXML APIの脅威リサーチャーDancho Danchevがこのほど、詐欺に使用された3つのメールアドレスを発見しました。そして、リサーチチームがそれらをもとにIoC拡張分析を行ったところ、以下が判明しました。

ヘルスケア関連のIoCをもとにEHRのなりすましを検知

IoMT（Internet of Medical Things）1が拡大し続ける中、Cubaランサムウェアはヘルスケア業界が直面する脅威の一つに過ぎません。

WhoisXML APIはこのほどCubaランサムウェアのIoC^{2, 3}を調べ、 文脈情報を追加することでIoCリストを拡充しました。また、サードパーティ・リスク評価の一環として、DNSにおいて電子健康記録（EHR）ソフトウェアのトップベンダー⁴ のなりすましがどのように行われているかを調査しました。その結果、以下が明らかになりました。

DNSインテリジェンスでChatGPTのフィッシングを発見

すでに1億人を超えたChatGPTのユーザー数は現在も日々増え続けており¹ 、それにつれてフィッシャーなどサイバー犯罪者の注目も高まっています。

Cybleのリサーチャーが最近、ChatGPTのローンチから約1カ月後にあたる2022年12月以降に見られた悪意のあるキャンペーンを詳細に分析し、その結果を公表しました。²

そこで、WhoisXML APIはこのほど、Cybleの報告書でセキュリティ侵害インジケーター（IoC）とされた4つのドメイン名を出発点としてさらに調査を進め、以下を発見しました。

OneNoteを装うマルウェアを脅威インテリジェンスで特定

Microsoftの様々なアプリケーションが悪意あるキャンペーンに使われるのを、私たちはこれまで何度も目にしてきました。最近では、Microsoftのノート作成ソフト「OneNote」が、脅威アクターの新たな標的となっています。

Proofpointの研究者が最近、OneNoteのファイルを装ったマルウェアを配布しているアクターを発見し、関連する82のセキュリティ侵害インジケーター（IoC）を挙げました。当社は、そのうち17個のドメイン名と13個のIPアドレスを入手し、潜在的な脅威ベクトルを探す調査に着手しました。¹その結果、以下が明らかになりました。

IoCリストからカーディングのフォーラムを特定

クレジットカードをお持ちの方にとって残念なことに、他人のカードを使って自分の欲望を満たすことに抵抗がない人々がいます。そして、今日のサイバー犯罪者は、広く普及しているカード詐欺（カーディング）のフォーラムやコミュニティを通じてそうした人々を助けているのです。

法執行機関やサイバーセキュリティ専門家にとって幸いなことに、初期に判明したセキュリティ侵害インジケーター（IoC）のリストを深く掘り下げることで、多数の潜在的な脅威ベクトルをさらに発見できます。当社が今回行ったIoCの拡大分析では、以下が判明しました。

ユーザーを騙してダウンロードさせるSocGholishのIoCとアーティファクト

初期アクセス型の脅威であるSocGholishがランサムウェアを展開していることが、ReliaQuestの研究者によって最近確認されました¹。

WhoisXML APIでは、ReliaQuestが公開したセキュリティ侵害インジケーター（IoC）をもとに、より多くのアーティファクトを見つけるべく調査を行いました。その結果、以下を発見しました。

Hiveランサムウェアとの戦いは終わっていない? −未確認のアーティファクトを発見 −

ランサムウェアグループ「Hive」は、最盛期には全世界で1,500を超える被害者から1億3,000万米ドルにのぼる身代金を集めていました。彼らは米国司法省がその活動を停止させるまで、病院、教育機関、金融機関などの重要インフラを標的に活動しました。¹ しかし、Hiveは今や完全に消滅したと言えるのでしょうか？

Hiveのセキュリティ侵害インジケーター（IoC）リスト² をもとに当社で調査を進めたところ、以下を含む痕跡の存在を確認しました。

著名なサイバー・ジハーディストのIoCリストを拡充

サイバーテロ、またはインターネットを使った脅迫や威嚇を通じ政治的・思想的利益を得る目的で生命や身体に重大な損害を与える暴力行為¹ は、グローバルな問題としてますます深刻化しています。そのような脅威の大部分は、サイバー・ジハーディストの攻撃によるものです。

WhoisXML APIの脅威リサーチャーであるDancho Danchevはこのほど、サイバー・ジハーディストの使用が確認されている6つのメールアドレスを収集しました。そして、そのアドレスを切り口にIoCの展開分析を行い、以下を発見しました。

脅威ベクトルの特定で正規のツールを偽るBatloaderを発見

マルウェアを正規のツールに偽装するという手法は、ユーザーを騙してダウンロードさせる上で常に有効です。Batloaderの背後にいる攻撃者も、まさにそれを利用していました。トレンドマイクロの研究者は、2022年末にかけてBatloader関連の動向を追跡・分析し¹ 、結果として17個のIoC（セキュリティ侵害インジケーター）を特定しました²。

WhoisXML APIがこのほど行った調査により、そのIoCリストに以下を含む5,000あまりのアーティファクトを追加できました。

IoCリストをもとに調査を展開、Gigabud RATの脅威の規模を測定

Cybleの研究者が最近、Banco de Comercio、Advice、Thai Lion Air、Shopee Thailand、SUNAT、タイ特別捜査局（DSI）、フィリピン国税局（BIR）、Kasikornbankの顧客を狙う攻撃ベクトルとなったGigabud RATの分析結果を報告しました。¹

これまでに、4つのURLを含む10個のIoC（セキュリティ侵害インジケーター）が特定されています。WhoisXML APIでは今回、それらのURLをもとに調査を横展開し、さらに1,190にのぼるアーティファクトを見つけました。具体的には以下の通りです。

Google広告で拡散した不正ソフトの繋がりをたどる

オープンソースソフトウェアのダウンロードサイトを検索するユーザーを狙った最近の不正行為についてBleeping Computerがこのほど分析し、68のドメイン名をIoC（indicators of compromise）として公表しました。¹

WhoisXML APIの研究者は、WHOISとDNSの情報をもとにそのIoCリストを拡充し、36個の悪意あるウェブプロパティを含む800個あまりのアーティファクトを発見しました。具体的には以下の通りです。

頑固なマルウェアを早期発見：AutoITとDridexのIoCリストを拡充

AutoITでコンパイルされたマルウェア¹ とDridex²は、長年にわたって脅威を与え続けている頑固な存在です。しかし、その耐性は完璧なものではありません。 最新のAutoIT³およびDridex⁴の攻撃についてこのたびWhoisXML APIが行った調査で、脅威の軽減に役立つ可能性のある未公開アーティファクトが1,425個見つかりました。以下のようなものです。

最新のZoom攻撃に繋がるアーティファクトを選別

Zoomは長い間サイバー攻撃の格好の標的とされてきましたが、そこで行われている会議の時間が年間3兆3,000億分に達することを考えれば、驚くべきことではありません¹。

最近では、感染したユーザーの認証情報を盗む目的で、脅威アクターが不正なプログラム「IceID」をZoomのダウンロードに混入させる事件が発生しました。Cybleの研究者は、この事件に関連する3つのIoC（セキュリティ侵害インジケーター）をこれまでに公表しています² 。WhoisXML APIでは今回、そのIoCのリストをもとに調査を水平展開し、以下を見出しました。

1,800を超えるCloud Atlas関連アーティファクトを発見、企業の情報漏洩回避を支援

あらゆるAPT（Advanced Persistent Threat）グループは、ラテラルムーブメントを可能にするため検知回避を図ります。しかし、Cloud Atlasは標的型攻撃で一般的に採用されるツール、戦術、手順（TTP）に加え、もうひとつの回避戦術として、政治的圧力にさらされた国にある標的を狙ってきました。

Check Point Research（CPR）は、身を隠そうとするCloud Atlasをよそに、10個のIoC（セキュリティ侵害インジケーター）の特定に成功しました1。これをもとにWhoisXML APIがこのたび調査を行い、さらに1,850個のアーティファクトを発見しました。

当社の調査で、以下を明らかにしました。

サプライチェーン攻撃に悪用されるチャットアプリの存在に迫る

コロナ禍において企業はリモートワークに頼ることを余儀なくされ、その結果チャットアプリの人気が急上昇しました。多くの企業がハイブリッドワークの恒久化を選択したことから、現在も利用者の増加は続いています。

こうした状況において、脅威アクターが脆弱なビジネスチャットアプリに狙いを定め、破壊的なサプライチェーン攻撃を仕掛けるのも不思議ではありません。トレンドマイクロは最近、この脅威に関する技術分析を発表し、9つのコマンド＆コントロール（C&C）サーバアドレスをIoC（セキュリティ侵害インジケーター）としてリストアップしました。¹

WhoisXML APIの研究者が、その公開されたIoCを出発点として拡大分析を行いました。その結果、以下のことが判明しました。

DarkTortillaの他の脅威ベクターを発見

Cyble Research and Intelligence Labs（CRIL）が最近、DarkTortillaを「洗練されたフィッシングマルウェア」であるとして、その詳細な技術分析を行いました。¹

WhoisXML APIでは、CRILが特定したセキュリティ侵害インジケーター（IoC）を出発点として調査を広げました。その結果、以下のことが判明しました。

サプライチェーンのセキュリティ：IconBurstとMaterial Tailwindの攻撃に迫る

ReversingLabsは、サプライチェーンのソフトウェアの攻撃が2022年にかつてないほど増加したと指摘するとともに、2023年にはさらに増えると予測しています。¹ 同社のレポートでは、攻撃の例としてIconBurst² とMaterial Tailwind³を挙げ、オープンソースリポジトリからパッケージをダウンロードする際に注意するよう、npmとPyPIのユーザーに呼びかけています。

RedLine Stealer：IoC分析とその水平展開

今日、脅威アクターは100米ドルほど出せば「RedLine Stealer」を購入できます。RedLine Stealerは、認証情報、銀行の詳細情報、システムデータなどの機密情報を盗むマルウェアです。

CloudSEKの技術分析¹ をもとに、公開されている900件以上のRedLine StealerのIoCを当社で調査しました。その結果、以下を含む重要な発見がありました。

Facebookのビジネスアカウントをお持ちですか？Ducktailにご注意を

WithSecureが最近、Facebookビジネスアカウントのオーナーや広告主を狙った「Ducktail」と呼ばれる不正行為の情報を公開しました*1。WithSecureのレポートには、1,885件のIoC（セキュリティ侵害インジケーター）が列挙されています*2。

IoCリスト拡張でBlackEnergyによるDDoS攻撃を緩和

BlackEnergyは、2007年に出現した当初はクライムウェアのツールキットとして販売されていました。その後さまざまな改良が加えられ、APT攻撃アクターがよく使うツールのひとつになりました。2015年に発生したウクライナの電力網攻撃では、このマルウェアがDDoS攻撃を効果的に利用し、真の目的であるデータ窃取の隠れ蓑にしました。¹ 

シリア電子軍の最新デジタルプロパティを特定

シリア電子軍（Syrian Electronic Army, SEA）は、ユーザー認証情報を盗んでウェブサイトを改ざんすることで悪名高い、おそらく最初のインターネット軍団のひとつです。米国政府、メディア、PayPal、eBayなどのサイトが被害に遭った可能性があります。2018年にはメンバーのうち2人が起訴されました。¹