DNSでNevadaランサムウェアの足跡を辿る

Resecurityの研究者によると、最近の脅威アクターは、サービスとしてのランサムウェア（RaaS）モデルを介し、ダークウェブでNevadaランサムウェアを広めています。¹ Nevadaは2023年1月だけでも数回バージョンアップされており、現在もWindowsとLinuxのユーザーを苦しめています。

AlienVault OTX² のセキュリティ侵害インジケーター（IoC）をもとに、WhoisXML APIが、DNSにおけるNevadaの足跡を辿りました。

当社の調査の結果、以下が明らかになりました。

SVBとクレディ・スイスの破綻はDNSにどう反映されたか

世間で起こる注目すべき出来事とドメイン名やサブドメインの追加の間には、相関関係があるようです。最近のシリコンバレー銀行（SVB）、クレディ・スイス、シルバーゲート・キャピタル、シグネチャー・バンク、ファースト・リパブリック・バンクの破綻から、その傾向が見て取れます。^{1, 2}

脅威アクターがパンデミック関連のドメイン・サブドメインを悪用したように、銀行破綻に関しても同じことが起きている可能性があります。そのようなトレンドを探るため当社でDNSを調査した結果、以下が明らかになりました。

100万超の悪意あるドメイン名をDNSのレンズで解剖

ドメイン名は、脅威アクターの主要な初期アクセス手段として今日も機能し続けています。そのような中、WhoisXMLの研究者は2023年4月13日、新サービス「Threat Intelligence Data Feed（TIDF）」で特定された100万超の悪意あるドメイン名を分析しました。その結果、：

DNS情報からBECの潜在的媒体を発見

ビジネスメール詐欺（BEC）は、世界で毎年数十億ドルの損害をもたらしています。¹ FBIのIC3によれば、この脅威はいつまでたっても衰えることはありません。

WhoisXML APIの研究者は、企業経営者を狙ったBECに関わったとして今年2月に発見された7つのセキュリティ侵害インジケーター（IoC）² をもとに、独自の調査を展開しました。その結果、以下を発見しました。

ソーシャルメディアを利用したセレブ詐欺の痕跡をDNSで追跡

ソーシャルメディア上の偽の、あるいは侵害された有名人のプロフィールは、悪意あるリンクをクリックするようフォロワーに仕向けるためによく使われます。この手法を利用した最近の暗号通貨詐欺が、Infobloxの「Q4 2022: Cyber Threat Report」で紹介されています。¹

上記のレポートでは、実在しないMetaコインを使うようEU諸国のユーザーを誘導する、政治家や著名人をかたった偽の推薦文の存在が確認されています。

そこで、レポートで示された5つのIoCをもとに当社でさらに調査を展開し、以下を発見しました。

中南米・カリブ海地域に特有の潜在的詐欺ドメインを検出

詐欺や不正行為は世界的な問題ですが、その一部は特定の国や地域に特化している可能性があります。Accertifyは、航空会社やデジタルウォレットの不正行為がラテンアメリカとカリブ海地域（LAC）で増殖していると指摘しています。¹

WhoisXML APIの研究者は、このLACに特有な詐欺の傾向がDNSでどのように見えるかを調査しました。その結果、以下を発見しました：

DNSの痕跡からSYS01とDucktailを明確に区別

Morphisecは最近、「SYS01 Stealer¹」という脅威を発見しました。これは、Facebookビジネスアカウントや広告主を狙ったDucktail²と同じ特徴を持つマルウェアです。SYS01には、Ducktailと標的や手口が似ているもののペイロードが異なるという特徴があります。

WhoisXML APIでは、DNSの観点でSYS01とDucktailに共通点はあるか、あるとすれば何が共通しているのかを調べるため、SYS01のセキュリティ侵害インジケーター（IoC）として特定された 10個のドメイン名をもとに調査を広げ、以下を発見しました。

Black BastaランサムウェアのDNS調査でOneNoteと宅配便のなりすましを発見

Black Bastaは、二重の恐喝を行うランサムウェアグループとして警戒されており、エンドポイントでの検知と対応（EDR）のソリューションを停止させる可能性があります。

セキュリティチームや企業はBlack Bastaの検知に力を入れています。ExtraHop¹は先般、Black Bastaの検出方法に関する詳細なデモを発表しました。これを受け、WhoisXML APIでこのほどBlack Basta関連のIoC^2,3 を調査し、WHIOSおよびDNSに関連した文脈情報を収集しました。その結果、以下を発見しました。

2023年最新情報：最も多く詐称されているブランドはDNSでどのように表示されるか

フィッシングとの戦いは、今や綱引きの様相を呈しています。脅威をより捉えにくくする試みが増えるにつれ、サイバーセキュリティ対策もより強固なものとなっています。

SlashNextは単独で、2022年の6カ月間に2億5,500万件にのぼるフィッシングの試みを検知し、最も詐称されたグローバルブランドの名前をそのレポート「The State of Phishing Report 2022」で挙げました。¹

WhoisXML APIの研究者はこのほど、そのリストをもとに、脅威の検知、ウェブプロパティの帰属の特定およびリスト拡張を行いました。その結果、以下を発見しました。

DNSの顕微鏡でLorec53のフィッシングを精査

Lorec53は、2021年に東欧諸国の政府機関を標的として活発に攻撃を展開したAPTグループです。 NSFocusによる調査の結果、Lorec53がさまざまなフィッシングキャンペーンを活用して標的のシステムに侵入し、狙ったデータを流出させていたことが明らかになりました。¹

NSFocusは、収集した21のセキュリティ侵害インジケーター（IoC）をAlienVault OTXを通じて公開しました²。そこで、WhoisXML APIがそのIoCを出発点としてLorec53の痕跡を特定する調査をさらに展開し、以下を発見しました。

貴社のイントラネットは大丈夫ですか？ DNSにおけるイントラネットのなりすましを調査

最近Redditで発生したセキュリティインシデント¹ は、イントラネットゲートウェイがいかに組織のアタックサーフェスを広げるかを浮き彫りにしました。そこで、WhoisXML APIの研究者がこのほど、イントラネットドメインのなりすましを調査し、以下を発見しました。

国際的詐欺にWHOISとDNSのスポットライトを当てる

昨今においては、何百万人ものユーザーが一度はオンライン詐欺に遭っています。2022年の調査では、世界中のユーザーがスキャマーによって総額553億ドルもの損害を被ったことが判明しています。¹

WhoisXML APIの脅威リサーチャーDancho Danchevがこのほど、詐欺に使用された3つのメールアドレスを発見しました。そして、リサーチチームがそれらをもとにIoC拡張分析を行ったところ、以下が判明しました。

ヘルスケア関連のIoCをもとにEHRのなりすましを検知

IoMT（Internet of Medical Things）1が拡大し続ける中、Cubaランサムウェアはヘルスケア業界が直面する脅威の一つに過ぎません。

WhoisXML APIはこのほどCubaランサムウェアのIoC^{2, 3}を調べ、 文脈情報を追加することでIoCリストを拡充しました。また、サードパーティ・リスク評価の一環として、DNSにおいて電子健康記録（EHR）ソフトウェアのトップベンダー⁴ のなりすましがどのように行われているかを調査しました。その結果、以下が明らかになりました。

DNSインテリジェンスでChatGPTのフィッシングを発見

すでに1億人を超えたChatGPTのユーザー数は現在も日々増え続けており¹ 、それにつれてフィッシャーなどサイバー犯罪者の注目も高まっています。

Cybleのリサーチャーが最近、ChatGPTのローンチから約1カ月後にあたる2022年12月以降に見られた悪意のあるキャンペーンを詳細に分析し、その結果を公表しました。²

そこで、WhoisXML APIはこのほど、Cybleの報告書でセキュリティ侵害インジケーター（IoC）とされた4つのドメイン名を出発点としてさらに調査を進め、以下を発見しました。

OneNoteを装うマルウェアを脅威インテリジェンスで特定

Microsoftの様々なアプリケーションが悪意あるキャンペーンに使われるのを、私たちはこれまで何度も目にしてきました。最近では、Microsoftのノート作成ソフト「OneNote」が、脅威アクターの新たな標的となっています。

Proofpointの研究者が最近、OneNoteのファイルを装ったマルウェアを配布しているアクターを発見し、関連する82のセキュリティ侵害インジケーター（IoC）を挙げました。当社は、そのうち17個のドメイン名と13個のIPアドレスを入手し、潜在的な脅威ベクトルを探す調査に着手しました。¹その結果、以下が明らかになりました。

IoCリストからカーディングのフォーラムを特定

クレジットカードをお持ちの方にとって残念なことに、他人のカードを使って自分の欲望を満たすことに抵抗がない人々がいます。そして、今日のサイバー犯罪者は、広く普及しているカード詐欺（カーディング）のフォーラムやコミュニティを通じてそうした人々を助けているのです。

法執行機関やサイバーセキュリティ専門家にとって幸いなことに、初期に判明したセキュリティ侵害インジケーター（IoC）のリストを深く掘り下げることで、多数の潜在的な脅威ベクトルをさらに発見できます。当社が今回行ったIoCの拡大分析では、以下が判明しました。

ユーザーを騙してダウンロードさせるSocGholishのIoCとアーティファクト

初期アクセス型の脅威であるSocGholishがランサムウェアを展開していることが、ReliaQuestの研究者によって最近確認されました¹。

WhoisXML APIでは、ReliaQuestが公開したセキュリティ侵害インジケーター（IoC）をもとに、より多くのアーティファクトを見つけるべく調査を行いました。その結果、以下を発見しました。

Hiveランサムウェアとの戦いは終わっていない? −未確認のアーティファクトを発見 −

ランサムウェアグループ「Hive」は、最盛期には全世界で1,500を超える被害者から1億3,000万米ドルにのぼる身代金を集めていました。彼らは米国司法省がその活動を停止させるまで、病院、教育機関、金融機関などの重要インフラを標的に活動しました。¹ しかし、Hiveは今や完全に消滅したと言えるのでしょうか？

Hiveのセキュリティ侵害インジケーター（IoC）リスト² をもとに当社で調査を進めたところ、以下を含む痕跡の存在を確認しました。

著名なサイバー・ジハーディストのIoCリストを拡充

サイバーテロ、またはインターネットを使った脅迫や威嚇を通じ政治的・思想的利益を得る目的で生命や身体に重大な損害を与える暴力行為¹ は、グローバルな問題としてますます深刻化しています。そのような脅威の大部分は、サイバー・ジハーディストの攻撃によるものです。

WhoisXML APIの脅威リサーチャーであるDancho Danchevはこのほど、サイバー・ジハーディストの使用が確認されている6つのメールアドレスを収集しました。そして、そのアドレスを切り口にIoCの展開分析を行い、以下を発見しました。

脅威ベクトルの特定で正規のツールを偽るBatloaderを発見

マルウェアを正規のツールに偽装するという手法は、ユーザーを騙してダウンロードさせる上で常に有効です。Batloaderの背後にいる攻撃者も、まさにそれを利用していました。トレンドマイクロの研究者は、2022年末にかけてBatloader関連の動向を追跡・分析し¹ 、結果として17個のIoC（セキュリティ侵害インジケーター）を特定しました²。

WhoisXML APIがこのほど行った調査により、そのIoCリストに以下を含む5,000あまりのアーティファクトを追加できました。

IoCリストをもとに調査を展開、Gigabud RATの脅威の規模を測定

Cybleの研究者が最近、Banco de Comercio、Advice、Thai Lion Air、Shopee Thailand、SUNAT、タイ特別捜査局（DSI）、フィリピン国税局（BIR）、Kasikornbankの顧客を狙う攻撃ベクトルとなったGigabud RATの分析結果を報告しました。¹

これまでに、4つのURLを含む10個のIoC（セキュリティ侵害インジケーター）が特定されています。WhoisXML APIでは今回、それらのURLをもとに調査を横展開し、さらに1,190にのぼるアーティファクトを見つけました。具体的には以下の通りです。

Google広告で拡散した不正ソフトの繋がりをたどる

オープンソースソフトウェアのダウンロードサイトを検索するユーザーを狙った最近の不正行為についてBleeping Computerがこのほど分析し、68のドメイン名をIoC（indicators of compromise）として公表しました。¹

WhoisXML APIの研究者は、WHOISとDNSの情報をもとにそのIoCリストを拡充し、36個の悪意あるウェブプロパティを含む800個あまりのアーティファクトを発見しました。具体的には以下の通りです。

頑固なマルウェアを早期発見：AutoITとDridexのIoCリストを拡充

AutoITでコンパイルされたマルウェア¹ とDridex²は、長年にわたって脅威を与え続けている頑固な存在です。しかし、その耐性は完璧なものではありません。 最新のAutoIT³およびDridex⁴の攻撃についてこのたびWhoisXML APIが行った調査で、脅威の軽減に役立つ可能性のある未公開アーティファクトが1,425個見つかりました。以下のようなものです。

最新のZoom攻撃に繋がるアーティファクトを選別

Zoomは長い間サイバー攻撃の格好の標的とされてきましたが、そこで行われている会議の時間が年間3兆3,000億分に達することを考えれば、驚くべきことではありません¹。

最近では、感染したユーザーの認証情報を盗む目的で、脅威アクターが不正なプログラム「IceID」をZoomのダウンロードに混入させる事件が発生しました。Cybleの研究者は、この事件に関連する3つのIoC（セキュリティ侵害インジケーター）をこれまでに公表しています² 。WhoisXML APIでは今回、そのIoCのリストをもとに調査を水平展開し、以下を見出しました。

1,800を超えるCloud Atlas関連アーティファクトを発見、企業の情報漏洩回避を支援

あらゆるAPT（Advanced Persistent Threat）グループは、ラテラルムーブメントを可能にするため検知回避を図ります。しかし、Cloud Atlasは標的型攻撃で一般的に採用されるツール、戦術、手順（TTP）に加え、もうひとつの回避戦術として、政治的圧力にさらされた国にある標的を狙ってきました。

Check Point Research（CPR）は、身を隠そうとするCloud Atlasをよそに、10個のIoC（セキュリティ侵害インジケーター）の特定に成功しました1。これをもとにWhoisXML APIがこのたび調査を行い、さらに1,850個のアーティファクトを発見しました。

当社の調査で、以下を明らかにしました。

サプライチェーン攻撃に悪用されるチャットアプリの存在に迫る

コロナ禍において企業はリモートワークに頼ることを余儀なくされ、その結果チャットアプリの人気が急上昇しました。多くの企業がハイブリッドワークの恒久化を選択したことから、現在も利用者の増加は続いています。

こうした状況において、脅威アクターが脆弱なビジネスチャットアプリに狙いを定め、破壊的なサプライチェーン攻撃を仕掛けるのも不思議ではありません。トレンドマイクロは最近、この脅威に関する技術分析を発表し、9つのコマンド＆コントロール（C&C）サーバアドレスをIoC（セキュリティ侵害インジケーター）としてリストアップしました。¹

WhoisXML APIの研究者が、その公開されたIoCを出発点として拡大分析を行いました。その結果、以下のことが判明しました。

DarkTortillaの他の脅威ベクターを発見

Cyble Research and Intelligence Labs（CRIL）が最近、DarkTortillaを「洗練されたフィッシングマルウェア」であるとして、その詳細な技術分析を行いました。¹

WhoisXML APIでは、CRILが特定したセキュリティ侵害インジケーター（IoC）を出発点として調査を広げました。その結果、以下のことが判明しました。

サプライチェーンのセキュリティ：IconBurstとMaterial Tailwindの攻撃に迫る

ReversingLabsは、サプライチェーンのソフトウェアの攻撃が2022年にかつてないほど増加したと指摘するとともに、2023年にはさらに増えると予測しています。¹ 同社のレポートでは、攻撃の例としてIconBurst² とMaterial Tailwind³を挙げ、オープンソースリポジトリからパッケージをダウンロードする際に注意するよう、npmとPyPIのユーザーに呼びかけています。

RedLine Stealer：IoC分析とその水平展開

今日、脅威アクターは100米ドルほど出せば「RedLine Stealer」を購入できます。RedLine Stealerは、認証情報、銀行の詳細情報、システムデータなどの機密情報を盗むマルウェアです。

CloudSEKの技術分析¹ をもとに、公開されている900件以上のRedLine StealerのIoCを当社で調査しました。その結果、以下を含む重要な発見がありました。

Facebookのビジネスアカウントをお持ちですか？Ducktailにご注意を

WithSecureが最近、Facebookビジネスアカウントのオーナーや広告主を狙った「Ducktail」と呼ばれる不正行為の情報を公開しました*1。WithSecureのレポートには、1,885件のIoC（セキュリティ侵害インジケーター）が列挙されています*2。

IoCリスト拡張でBlackEnergyによるDDoS攻撃を緩和

BlackEnergyは、2007年に出現した当初はクライムウェアのツールキットとして販売されていました。その後さまざまな改良が加えられ、APT攻撃アクターがよく使うツールのひとつになりました。2015年に発生したウクライナの電力網攻撃では、このマルウェアがDDoS攻撃を効果的に利用し、真の目的であるデータ窃取の隠れ蓑にしました。¹ 

シリア電子軍の最新デジタルプロパティを特定

シリア電子軍（Syrian Electronic Army, SEA）は、ユーザー認証情報を盗んでウェブサイトを改ざんすることで悪名高い、おそらく最初のインターネット軍団のひとつです。米国政府、メディア、PayPal、eBayなどのサイトが被害に遭った可能性があります。2018年にはメンバーのうち2人が起訴されました。¹