IoCリスト拡張でBlackEnergyによるDDoS攻撃を緩和 | WhoisXML API

脅威レポート

IoCリスト拡張でBlackEnergyによるDDoS攻撃を緩和

BlackEnergyは、2007年に出現した当初はクライムウェアのツールキットとして販売されていました。その後さまざまな改良が加えられ、APT攻撃アクターがよく使うツールのひとつになりました。2015年に発生したウクライナの電力網攻撃では、このマルウェアがDDoS攻撃を効果的に利用し、真の目的であるデータ窃取の隠れ蓑にしました。1 

WhoisXML APIと脅威リサーチャーのDancho Danchevは、ジョージア州弁護士会に対するBlackEnergy攻撃2 で特定されたセキュリティ侵害インジケーター(IoC)のリストの拡張を試みました。その結果、以下を含む発見がありました。

  • IoCとされたドメイン名が名前解決した50個近くのIPアドレス
  • IoCとされたドメイン名の登録で使われた未編集のメールアドレス2個
  • IoCと同じ登録者メールアドレスまたはIPアドレスを使っていた6,000個あまりのドメイン名。そのうち100個以上は複数のマルウェアエンジンで「悪意がある」と確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

  • [1] https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/faq-blackenergy
  • [2] https://portswigger.net/daily-swig/state-bar-of-georgia-reels-from-cyber-attack
WhoisXML APIを無料でお試しください
トップページ