【ニュース】
◆中東を狙った DNSpionage キャンペーン (CISCO, 2018/12/18)
https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/
【関連情報】
◆DNSpionage Campaign Targets Middle East (TALOS(CISCO), 2018/11/27)
https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
⇒ http://malware-log.hatenablog.com/entry/2018/11/27/000000_4
【関連まとめ記事】
◆DNS Hijacking (まとめ)
https://malware-log.hatenablog.com/entry/DNS_Hijacking
【インディケータ情報】
■ハッシュ情報(Sha256)
9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14
15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa
2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969
45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff
(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)
■IPアドレス (C&Cサーバ)
185.20.184.138
185.20.187.8
185.161.211.72
(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)
■FQDN
0ffice36o[.]com
(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)
■FQDN (DNS Hijack Domains) - 185.20.187.8 を指している -
2018-11-14 | memail.mea.com.lb |
2018-11-06 | webmail.finance.gov.lb |
2018-09-24 | mail.apc.gov.ae |
2018-09-15 | mail.mgov.ae |
2018-09-13 | adpvpn.adpolice.gov.ae |
(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)
■FQDN (MEA証明書内のドメイン)
memail.mea.com.lb
autodiscover.mea.com.lb
owa.mea.com.lb
www.mea.com.lb
autodiscover.mea.aero
autodiscover.meacorp.com.lb
mea.aero
meacorp.com.lb
memailr。 meacorp.com.lb
meoutlook.meacorp.com.lb
tmec.mea.com.lb
(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)