偽の仮想通貨販売者の背後にあるネットワークを明らかにする: 130 の悪意のあるドメインを深く掘り下げる

脅威研究者のダンチョ・ダンチェフ氏は最近、偽の仮想通貨販売者に属していると思われる 130 個のドメインを発見しました。 WhoisXML API 研究チームは次のことを目指しました。

Recently, threat researcher Dancho Danchev uncovered 130 domains that seemingly belong to fake cryptocurrency sellers. The WhoisXML API research team sought to find potential connections to the threat by expanding the current list of indicators of compromise (IoCs) using our vast array of DNS intelligence sources.

最近、脅威研究者のダンチョ・ダンチェフ氏は、偽の仮想通貨販売者に属すると思われる 130 個のドメインを発見しました。 WhoisXML API 研究チームは、膨大な DNS インテリジェンス ソースを使用して侵害の痕跡 (IoC) の現在のリストを拡張することで、脅威との潜在的な関係を見つけようとしました。

Our in-depth investigation led to the discovery of:

私たちの綿密な調査により、次のことが判明しました。

A sample of the additional artifacts obtained from our analysis is available for download from our website.

分析から得られた追加のアーティファクトのサンプルは、当社の Web サイトからダウンロードできます。

More IoC Facts

IoC に関するその他の事実

To learn more about the 130 domain names tagged as IoCs, we performed a bulk WHOIS lookup, which revealed that:

IoC としてタグ付けされた 130 のドメイン名について詳しく知るために、一括 WHOIS ルックアップを実行したところ、次のことが判明しました。

The actors behind the malicious fake cryptocurrency-selling campaigns used both old and new domain names. The oldest domain IoC was created in 2014, while the newest two domains were created in 2024. Eighteen domains were created in 2023; seven in 2021; six each in 2019, 2020, and 2022; two in 2024; and one each in 2014 and 2016. Finally, 83 domain IoCs did not have creation dates in their current WHOIS records.

悪意のある偽の仮想通貨販売キャンペーンの背後にある攻撃者は、古いドメイン名と新しいドメイン名の両方を使用しました。最も古いドメイン IoC は 2014 年に作成され、最新の 2 つのドメインは 2024 年に作成されました。2023 年には 18 のドメインが作成されました。 2021年には7人。 2019年、2020年、2022年にそれぞれ6件。 2024年には2件。最後に、83 のドメイン IoC の現在の WHOIS レコードに作成日がありませんでした。

The domain IoCs were spread across 11 countries topped by the U.S., which accounted for 28 domains. Four domains were registered in Iceland. Austria, China, and the U.K. accounted for two domain IoCs each. One domain each was registered in Cyprus, Denmark, Germany, Kazakhstan, Switzerland, and Turkey. Finally, 86 domain IoCs did not have registrant countries in their current WHOIS records.

ドメイン IoC は 11 か国に広がっており、そのトップは米国で、28 のドメインを占めていました。アイスランドでは 4 つのドメインが登録されました。オーストリア、中国、英国がそれぞれ 2 つのドメイン IoC を占めました。キプロス、デンマーク、ドイツ、カザフスタン、スイス、トルコでそれぞれ 1 つのドメインが登録されました。最後に、86 のドメイン IoC は現在の WHOIS 記録に登録国を持っていませんでした。

IoC DNS Footprints

IoC DNS フットプリント

To uncover other artifacts potentially connected to the fake cryptocurrency-selling campaigns, we first performed WHOIS History API queries for the 130 domains tagged as IoCs. Their historical WHOIS records contained 336 email addresses after duplicates were removed, 57 of which were public.

偽の仮想通貨販売キャンペーンに関連する可能性のある他のアーティファクトを明らかにするために、私たちはまず、IoC としてタグ付けされた 130 のドメインに対して WHOIS History API クエリを実行しました。重複を削除した後、過去の WHOIS 記録には 336 件の電子メール アドレスが含まれており、そのうち 57 件は公開されていました。

We then used the 57 public email addresses as reverse WHOIS API search terms and found 522 email-connected domains after duplicates and the IoCs were filtered out. Twenty-one of the email-connected domains were associated with 1—2 threats according to Threat Intelligence API. Take a look at five examples below.

次に、57 個のパブリック電子メール アドレスを WHOIS API の逆検索用語として使用し、重複と IoC がフィルタリングされて除外された後、522 個の電子メールに接続されたドメインが見つかりました。 Threat Intelligence API によると、電子メールに接続されているドメインのうち 21 が 1 ～ 2 の脅威に関連付けられていました。以下の 5 つの例を見てください。

Next, DNS lookups for the 130 domains tagged as IoCs revealed that 91 of them did not actively resolve to any IP address. The remaining 39 domain IoCs, meanwhile, resolved to 41 IP addresses after duplicates were removed. Threat Intelligence Lookup showed that 39 of them were associated with various threats. Take a look at five examples below.

次に、IoC としてタグ付けされた 130 のドメインの DNS ルックアップにより、そのうち 91 のドメインがどの IP アドレスにもアクティブに解決されていないことが判明しました。一方、残りの 39 個のドメイン IoC は、重複が削除された後、41 個の IP アドレスに解決されました。脅威インテリジェンスの検索により、そのうち 39 件がさまざまな脅威に関連していることがわかりました。以下の 5 つの例を見てください。

A bulk IP geolocation lookup for the 41 IP addresses showed that:

41 個の IP アドレスの一括 IP 地理位置情報検索により、次のことがわかりました。

They were also spread across 12 ISPs topped by Amazon, which accounted for 22 IP address IoCs. Automattic, Cloudflare, and Namecheap tied in second place with two IP IoCs each. One IP address IoC each was administered by Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb U.S.A., UCloud Information Technology (HK) Limited, and World4You Internet Services GmbH. Finally, five IP addresses did not have ISPs in their A records.

また、Amazon を筆頭に 12 の ISP にも分散されており、22 の IP アドレス IoC を占めていました。 Automattic、Cloudflare、Namecheap がそれぞれ 2 つの IP IoC で 2 位に並んでいます。それぞれ 1 つの IP アドレス IoC は、Confluence Networks、GigeNET、Hong KongMegalayer Technology Co.、Hostinger International、http.net Internet GmbH、LeaseWeb USA、UCloud Information Technology (HK) Limited、および World4You Internet Services GmbH によって管理されました。最後に、5 つの IP アドレスの A レコードには ISP が含まれていませんでした。

We also subjected the 41 IP addresses to reverse IP lookups and found that only two of them could be dedicated. Altogether, they hosted 259 domains after duplicates, the IoCs, and the email-connected domains were filtered out.

また、41 個の IP アドレスに対して IP 逆引き検索を行ったところ、そのうち 2 個だけが専用にできることがわかりました。重複、IoC、電子メールに接続されたドメインを除外した後、合計 259 個のドメインをホストしていました。

To cover all bases, we looked for domains that started with the same text strings as the IoCs. They only used different topTLD extensions. Eighty-four text strings also appeared in 1,947 string-connected domains. They were:

すべてのベースをカバーするために、IoC と同じテキスト文字列で始まるドメインを探しました。彼らは異なるtopTLD拡張機能のみを使用していました。 84 個のテキスト文字列が 1,947 個の文字列接続ドメインにも出現しました。彼らはいた：

Threat Intelligence API found that 15 of them were associated with various threats. Take a look at five examples below.

Threat Intelligence API では、そのうち 15 件がさまざまな脅威に関連していることが判明しました。以下の 5 つの例を見てください。

Our DNS deep dive into the fake cryptocurrency-selling campaigns led to the discovery of 2,769 potentially connected artifacts. Many of them, 75 to be exact, seem to have already been weaponized. As cryptocurrency usage becomes more popular, we are bound to see more threats targeting them, making staying ahead of the curve critical.

DNS が偽の仮想通貨販売キャンペーンを深く調査した結果、関連する可能性のある 2,769 個のアーティファクトが発見されました。その多く、正確には75人がすでに兵器化されているようだ。暗号通貨の使用がより一般的になるにつれて、暗号通貨を標的とした脅威がさらに増えることは間違いなく、時代の先を行くことが重要になります。

Download a sample of the threat research materials now or contact sales to discuss your intelligence needs for threat detection and response or other cybersecurity use cases.

今すぐ脅威調査資料のサンプルをダウンロードするか、営業担当者に問い合わせて、脅威の検出と対応、またはその他のサイバーセキュリティのユースケースに関するインテリジェンスのニーズについて相談してください。