TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

中東を狙った DNSpionage キャンペーン

【ニュース】

◆中東を狙った DNSpionage キャンペーン (CISCO, 2018/12/18)
https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/


【関連情報】

◆DNSpionage Campaign Targets Middle East (TALOS(CISCO), 2018/11/27)
https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
http://malware-log.hatenablog.com/entry/2018/11/27/000000_4


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆DNS Hijacking (まとめ)
https://malware-log.hatenablog.com/entry/DNS_Hijacking

【インディケータ情報】

■ハッシュ情報(Sha256)

9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14
15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa
2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969
45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff

(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)

■IPアドレス (C&Cサーバ)

185.20.184.138
185.20.187.8
185.161.211.72

(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)


■FQDN

0ffice36o[.]com

(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)


■FQDN (DNS Hijack Domains) - 185.20.187.8 を指している -

2018-11-14 memail.mea.com.lb
2018-11-06 webmail.finance.gov.lb
2018-09-24 mail.apc.gov.ae
2018-09-15 mail.mgov.ae
2018-09-13 adpvpn.adpolice.gov.ae

(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)


■FQDN (MEA証明書内のドメイン)

memail.mea.com.lb
autodiscover.mea.com.lb
owa.mea.com.lb
www.mea.com.lb
autodiscover.mea.aero
autodiscover.meacorp.com.lb
mea.aero
meacorp.com.lb
memailr。 meacorp.com.lb
meoutlook.meacorp.com.lb
tmec.mea.com.lb

(以上は CISCO の情報: 引用元は https://gblogs.cisco.com/jp/2018/12/talos-dnspionage-campaign-targets-middle-east/)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023