DNSの痕跡からSYS01とDucktailを明確に区別 | WhoisXML API

脅威レポート

DNSの痕跡からSYS01とDucktailを明確に区別

Morphisecは最近、「SYS01 Stealer1」という脅威を発見しました。これは、Facebookビジネスアカウントや広告主を狙ったDucktail2と同じ特徴を持つマルウェアです。SYS01には、Ducktailと標的や手口が似ているもののペイロードが異なるという特徴があります。

WhoisXML APIでは、DNSの観点でSYS01とDucktailに共通点はあるか、あるとすれば何が共通しているのかを調べるため、SYS01のセキュリティ侵害インジケーター(IoC)として特定された 10個のドメイン名をもとに調査を広げ、以下を発見しました。

  • SYS01のIoCとされたドメイン名が名前解決した20個のIPアドレス。うち2個には悪意があることを確認
  • IoCのIPアドレスを共用していた3,000超のドメイン名。うち20超はマルウェアホストと確認
  • IoCの1つと同様にbaglamanotalariという文字列を含んだ2個のドメイン名

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://blog.morphisec.com/sys01stealer-facebook-info-stealer
  • [2] https://circleid.com/posts/20230102-own-a-facebook-business-beware-of-ducktail
WhoisXML APIを無料でお試しください
トップページ