攻撃者の電子メール インフラストラクチャを追跡することで、持続的なサイバー犯罪活動について何がわかるか

news

2020 年 3 月から 12 月にかけて、攻撃者が 1 か月あたり 100 万通以上のメールを送信するために使用した、動的に生成されたメール インフラストラクチャのセグメントを追跡し、さまざまなフィッシングのルアーや戦術を使用して数十のキャンペーンで少なくとも 7 つの異なるマルウェア ファミリを配布しました。これらのキャンペーンは、世界中のターゲット ネットワークにマルウェアを展開することを目的としており、特に米国、オーストラリア、および英国に集中していました。攻撃者は、卸売流通、金融サービス、およびヘルスケア業界を標的にしました。

これらのキャンペーンを追跡することで、多くのメール プロバイダーにとって正当に見えるほど堅牢でありながら、新しいドメイン名を動的に生成して回避できるほど柔軟な、無秩序に広がるインフラストラクチャを発見しました。共有 IP 空間、ドメイン生成アルゴリズム (DGA) パターン、サブドメイン、登録メタデータ、および悪意のある電子メールのヘッダーからの信号により、攻撃者が購入、所有、または侵害されたインフラストラクチャの複数のセグメントを利用したキャンペーンの重複を通じて、調査を検証することができました。このインフラストラクチャで収集した情報を使用して、キャンペーンが開始される前であっても、ドメインがどのように使用されるかを予測できる場合がありました.

この電子メール インフラストラクチャと、それを使用するマルウェア キャンペーンは、マルウェア感染を利用して、より損害を与え、より利益をもたらす可能性のある攻撃に動機付けられた攻撃者によって、サイバー犯罪の操作がますます巧妙化していることを示しています。実際、このインフラストラクチャを利用した最近のキャンペーンでは、Dopplepaymer、Makop、Clop、およびその他のランサムウェア ファミリを展開したキャンペーンを含む、後続の人間が操作する攻撃にリンクされたマルウェア ファミリが配布されました。

このインフラストラクチャを詳細に調査した結果、持続的なサイバー犯罪活動に関する次の重要な洞察が明らかになりました。

  • 電子メール インフラストラクチャを追跡すると、攻撃者の活動のパターンが明らかになり、一見まったく異なるキャンペーンに共通の要素が浮かび上がります
  • 攻撃者が電子メールの送信、マルウェアの配布、またはコマンド アンド コントロールに使用するドメインの中で、電子メール ドメインは基本的な登録の類似性を共有する可能性が最も高く、DGA を使用する可能性が高くなります。
  • マルウェア サービスは、プロキシ プロバイダーに依存して追跡と特定を困難にしていますが、プロキシ自体は、今後のキャンペーンに関する洞察を提供し、積極的に防御する能力を向上させることができます。
  • 電子メール インフラストラクチャに関するインテリジェンスを取得することで、Microsoft Defender for Office 365 によって提供されるプロアクティブで包括的な保護を構築または改善して、世界で最も活発なマルウェア キャンペーンの一部から防御することができます。

これらの特定のキャンペーンの一部についてはすでに詳細な調査が行われていますが、このブログでは、電子メール配信インフラストラクチャが今日最も蔓延しているマルウェア操作の一部をどのように推進しているかについて、より多くの調査結果と詳細を共有します。私たちの目標は、ホスティング プロバイダー、レジストラ、ISP、および電子メール保護サービスが現在および将来の脅威から顧客を保護するために使用および構築できる重要なインテリジェンスを提供することです。また、セキュリティ研究者や顧客がMicrosoft Defender for Office 365などのソリューションを最大限に活用して、環境内で詳細な調査とハンティングを実行し、攻撃に対する組織の回復力を高めるための洞察とコンテキストを共有します。

脅威エコシステムにおける販売用インフラストラクチャ サービスの役割

3 月にインフラストラクチャの最初のセグメントを発見しました。複数のドメインが、「ストレンジ」という言葉を多用するなど、異なる命名パターンを使用して登録されていたため、StrangeU という名前が付けられました。 4 月には、ドメイン生成アルゴリズム (DGA) を使用するインフラストラクチャの 2 番目のセグメントも登録を開始しました。このセグメントを RandomU と呼びます。

3 月にこのインフラストラクチャが出現したことは、サービスの縮小につながる Necurs ボットネットの混乱と一致しました。混乱する前は、Necurs は世界最大のボットネットの 1 つであり、Dridex の背後にいるような多作のマルウェア キャンペーン オペレーターによって使用されていました。 Necurs のような販売サービスにより、攻撃者はマルウェアの作成に投資する一方で、活動の配信コンポーネントをリースして動作をさらに難読化することができます。 StrangeU および RandomU インフラストラクチャは、Necurs の混乱によって生じたサービス ギャップを埋めているようであり、攻撃者は運用の一時的な中断に迅速に適応しようとする強い動機を持っていることが証明されています。

Necurs の削除のタイムラインと、StrangeU と RandomU のステージングと運用を示すグラフ

図 1. 電子メール インフラストラクチャのステージングと利用のタイムライン

当初、新しい電子メール インフラストラクチャは、Mondfoxia や Makop などの非常にコモディティなマルウェアを配布するキャンペーンでめったに使用されませんでした。しかし、すぐに Dridex と Trickbot のオペレーターの注目を集めました。彼らはキャンペーンの一部にインフラストラクチャを使用し始め、時には完全に、時には他の侵害されたインフラストラクチャや電子メール プロバイダーと混合して使用し始めました。

これらのメール クラスターを分析すると、モジュラー型の攻撃者インフラストラクチャの絡み合った Web がどの程度人間的なものであるかについての洞察が得られます。登録と動作における主要な特性の統一から、さまざまなマルウェアが使用する単純で効果的な手法まで、この多様化における攻撃者の目標は、自動分析と戦うことを指しています。ただし、これらの同じ共有特性と方法は、これらの攻撃から顧客を防御する回復力のある保護を通知する洞察に変換されます。

ドメイン登録と電子メール インフラストラクチャのステージング

2020 年 3 月 7 日、攻撃者は主に mail.com、mail.ru、list.ru などの無料メール サービスから盗んだ一連のメール アドレスを使用して、一連のドメインを Namecheap に登録し始めました。これらのドメインはすべて、登録のさまざまな類似点にリンクできる類似の特徴を持っていました。登録されたドメインのほとんどすべてに「strange」という単語が含まれており、 .us TLD の下にあったため、StrangeU という名前が付けられました。 .us TLD を使用すると、この TLD で禁止されているドメインまたは WHOIS プライバシー サービス (ドメインの所有権と来歴を難読化するためによく使用される) を防ぐことができました。

これらのドメインの追跡と検出を回避するために、攻撃者は偽の登録メタデータを使用しました。ただし、偽の名前と電子メール アドレスには大きな重複があり、追加のドメイン名を見つけることができました。そのうちのいくつかは、以下のリストに示すように他のキーワードを使用して結び付けることができ、ドメイン生成メカニズムをフィンガープリントしました。

StrangeU ドメインは 2020 年 3 月初旬に登録され、大規模なランサムウェア キャンペーンに使用された 4 月まで継続的に小規模なバーストで運用されていました。その後、新しいキャンペーンが数週間ごとにかなり定期的に発生しました。新しいドメインの登録は年間を通じて継続され、9 月には StrangeU インフラストラクチャが同様のインフラストラクチャと組み合わせて使用され、Dridex が配信されました。その後、これらのドメインはあまり使用されなくなりました。

この 2 番目のメール セグメントである RandomU は、異なる DGA メカニズムを使用していましたが、Namecheap を引き続き使用しており、StrangeU の対応するものよりも一貫性のある登録メタデータの行を示していました。 4 月に表面化したこのインフラストラクチャは、5 月と 7 月に急増した春の間はあまり使用されませんでした。 StrangeU とともに使用された 9 月の Dridex キャンペーンの後、毎月 2 つの大規模な Dridex キャンペーンで使用されています。

StrangeU および RandomU インフラストラクチャで観察されたパターンをリストした表

図 2. メール インフラストラクチャに属するドメインの一般的なパターン

ドメインの StrangeU および RandomU セグメントは、攻撃者が地域固有および企業を標的とした大規模な攻撃を開始し、600 万通を超える電子メールを配信することを可能にするモジュラー メール サービスを補完する全体像を描きます。 2 つのセグメントには、メーリング サブドメインの標準的な集中砲火が含まれており、クラスタ全体で電子メールを参照する 60 を超える固有のサブドメインがあり、互いに一貫性があり、各ドメインには 4 ~ 5 つのサブドメインがあります。以下は、このインフラストラクチャが使用されていることを確認したマルウェア キャンペーンのサンプルです。その一部については、以降のセクションで詳しく説明します。

  • 4 月と 6 月に Makop ランサムウェアを配信した韓国のスピア フィッシング キャンペーン
  • 4 月に Mondfoxia を配布した緊急アラート通知
  • 6 月に Trickbot を配信した Black Lives Matter ルアー
  • 6 月から 7 月にかけて StrangeU およびその他のインフラを通じて配信された Dridex キャンペーン
  • 8月のDofoil(SmokeLoader)キャンペーン
  • 9 月、10 月、11 月の Emotet と Dridex の活動

StrangeU および RandomU インフラストラクチャを使用したキャンペーンのタイムライン

図 3. StrangeU および RandomU ドメインを使用したキャンペーンのタイムライン

韓国のスピア フィッシングが Makop ランサムウェアを配信 (2020 年 4 月と 6 月)

4 月初旬、StrangeU を使用して Makop ランサムウェアが配信されました。電子メールは、韓国で主要な事業を行っている組織に送信され、韓国の企業名を表示名として使用していました。 Microsoft Defender for Office 365 からの信号は、これらのキャンペーンが短期間で実行されたことを示しています。

電子メールには、求職者の履歴書に似たファイル名の実行可能ファイルを含む.zip添付ファイルが含まれていました。ユーザーが添付ファイルを開くと、実行可能ファイルから、デバイスとバックアップを標的とするサービスとしてのランサムウェア (RaaS) ペイロードである Makop が配信されました。

感染すると、マルウェアはすぐに WMI コマンドライン (WMIC) ユーティリティを使用し、シャドウ コピーを削除しました。次に、BCEdit ツールを使用して、すべてのファイルを暗号化し、拡張子を.makopに変更する前に、将来の障害を無視して復元を防止するようにブート構成を変更しました。

ほぼ 2 か月後の 6 月初旬に 2 回目にキャンペーンを観察したとき、攻撃者は多くの変更された要素を含む Makop ランサムウェアの亜種を使用しました。これには、再起動をトリガーする前にStartupフォルダー内のスクリプトを介して追加された永続性が含まれていました。

履歴書ベースのルアーを使用して Makop を配信するほぼ同じ試みが、Naver や Hanmail などの正当なベンダーを通じて人気のあるメール サービスを使用して、1 年を通して韓国のセキュリティ メディアによって取り上げられました。これは、Makop の運用者が短期間バーストしたときに、正当なサービスを介してキャンペーンを開始できず、代わりに StrangeU などの代替インフラストラクチャに移行しなければならなかったことを示している可能性があります。

Black Lives Matter ルアーが Trickbot を配信 (2020 年 6 月)

StrangeU インフラストラクチャに関連する 1 つのキャンペーンは、6 月中旬に、そのルアーと悪名高い情報盗用マルウェア Trickbot の配信で悪名を馳せました。このキャンペーンでは、Black Lives Matter 運動に関する匿名の意見を求めていると主張する悪意のある Word ドキュメントを含む電子メールが拡散されました。

このキャンペーンの最初のバージョンは、6 月 10 日に、 .monsterドメインを使用して、攻撃者が所有する別の独自のメール インフラストラクチャから電子メールを送信することが観察されました。しかし、ほぼ 2 週間後の次のイテレーションでは、キャンペーンは StrangeU ドメインが点在する Black Lives Matter の看板で特別に作成されたさまざまなドメインから電子メールを配信しました。

  • b-lives-matter[.]サイト
  • blivesm[.]スペース
  • blivesmatter[.]サイト
  • 生活問題b[.]xyz
  • whoslivesmatter[.]サイト
  • 生活-mb[.]xyz
  • ereceivedsstrangesecureworld[.]us
  • blm[.]サイト

どちらのキャンペーンも、同じ Trickbot ペイロードを運び、2 日間運用され、侵害された WordPress サイトに対して同一の実行後コマンドとコールアウトを使用しました。

ユーザーがドキュメントの添付ファイルを開いて悪意のあるマクロを有効にすると、Word はコマンド「 /c pause 」でcmd.exeを起動し、複数のプロセスの連続起動を監視するセキュリティ ツールを回避しました。次に、複数の C2 IP アドレスへの接続に備えて、プロキシ設定を削除するコマンドを起動しました。

悪意のあるドキュメントのスクリーンショット

図 4. Trickbot の配信に使用された悪意のあるドキュメントのスクリーンショット

これらのコマンドは、 rundll32.exeも起動します。このネイティブ バイナリは、一般に生活用バイナリとして使用され、悪意のあるファイルをメモリにロードします。盗まれたrundll32.exe wermgr.exesvchost.exeなど、他の Living Off The Land バイナリを使用して他のタスクを実行しました。

次に、ハイジャックされたwermgr.exeプロセスは、Trickbot ペイロードのように見える .dog拡張子を持つファイルをドロップしました。その後、 wermgr.exeの同じインスタンスがsvchost.exeにコードを挿入するように見え、他のデバイスで開いている SMB ポートをスキャンしました。盗まれたsvchost.exeは、WMI を使用してネットワーク上の追加のデバイスへの接続を開き、最初に感染したデバイスからデータを収集し続けます。また、localhost 接続で複数のブラウザーを開き、 esentutl.exegrabber_temp.edbを介してブラウザーの履歴やその他の情報を取得します。これらは両方とも、Trickbot マルウェア ファミリでよく使用されます。

このキャンペーンは、米国とカナダの企業アカウントを圧倒的にターゲットにしており、個人アカウントは避けていました。多くのメディア報道にもかかわらず、このキャンペーンは比較的小規模でした。これは、回復力のある検出を回避するように設計された複数の動的で少量のキャンペーンを実行することが多いサイバー犯罪グループに共通する行動を反映しています。

大小の Dridex キャンペーン (2020 年 6 月から 7 月以降)

6 月下旬から 7 月にかけて、Dridex のオペレーターは、悪意のあるマクロを含む Excel ドキュメントを配布してデバイスを感染させる多数のキャンペーンを実行しました。これらのオペレーターは、最初はStrangeUインフラストラクチャのみを介して電子メールを配信しましたが、すぐに正当な組織の侵害された電子メール アカウントも使用し始め、防御側が配信を簡単にブロックできないようにしました。それにもかかわらず、 StrangeUまたは侵害されたアカウントからの電子メールには重複する属性がありました。たとえば、電子メールの多くは、侵害された個人のアカウントから供給され、送信者のアドレスと一致しない同じ返信先アドレス使用していました。

この実行の大部分では、以下のような .xyz ドメインから最終的に Dridex ペイロードを取得するために、Excel ファイルが電子メールに直接添付されていました。攻撃者は数日ごとに配信ドメインを変更し、4664、3889、691、8443 などの使い慣れたポートで IP ベースの C2 に接続しました。

  • ゆみちゃ[.]xyz
  • ロセシ[.]xyz
  • secretpath[.]xyz
  • guruofbullet[.]xyz
  • グレイゾーン[.]xyz

Excel ドキュメントを開くと、攻撃者の C2 サイトからダウンロードされた一連のカスタム Dridex 実行可能ファイルの 1 つがインストールされました。このマルウェア ファミリのほとんどの亜種と同様に、カスタムの Dridex 実行可能ファイルには、コード ループ、時間遅延、環境検出メカニズムが組み込まれており、多数のパブリックおよびエンタープライズ サンドボックスを回避していました。

Dridex は、資格情報の盗難を実行し、攻撃者のインフラストラクチャへの接続を確立する機能で知られています。この例では、同じ Dridex ペイロードがさまざまなルアーを使用して毎日配布され、多くの場合、ターゲット ネットワークで確実に実行されるように、同じ組織に繰り返し送信されました。

6 月と 7 月の長期的でより安定した Excel Dridex キャンペーンでは、Dridex の亜種が 1 日の間に Word ドキュメントを利用して、はるかに少量で配布され、おそらく新しい回避技術をテストしていました。これらの Word ドキュメントは、Dridex を引き続き提供する一方で、VBA ストンピングと、マクロおよび関数呼び出しを任意のテキストに置き換えるという独自の組み合わせを使用して、既存の難読化方法を改善しました。これらのドキュメントのいくつかのサンプルで、シェイクスピアの散文からのテキストが見つかりました。

</ms:スクリプト> 
var farewell_and_moon = ["m","a","e","r","t","s",".","b","d","o","d","a "].reverse().join("") 
a_painted_word(120888) 
関数 as_thy_face(takes_from_hamlet) 
{return new ActiveXObject(takes_from_hamlet)} 
</ms:スクリプト>

マイクロソフトの研究者は、キャンペーンのこの部分が人間が操作するフェーズに移行することを観察していませんでした (ターゲットは添付ファイルを開きませんでした)。このキャンペーンは、PowerShell Empire や Cobalt Strike などのツールを導入して、資格情報を盗み、横方向に移動し、ランサムウェアを展開する可能性がありました。 .

Emotet、Dridex、および RandomU インフラストラクチャ (9 月以降)

Dofoil (SmokeLoader としても知られる) やその他のマルウェアを配布する配信は少数ですが、StrangeU を介した残りの配信の大部分は、一度に数日間にわたって数週間ごとに繰り返される Dridex キャンペーンです。これらのキャンペーンは 9 月 7 日に開始され、1 つのキャンペーンで RandomU と StrangeU が著しく使用された後、StrangeU の使用率が低下し始めました。

これらの Dridex キャンペーンは、Emotet ローダーとホスティング用の初期インフラストラクチャを利用して、攻撃者が高度にモジュール化された電子メール キャンペーンを実行し、侵害されたドメインに複数の異なるリンクを配信することを可能にしました。これらのドメインは強力なサンドボックス回避を採用しており、オプションの小さなサブセットで終わる一連の PHP パターン ( zxlbw.phpyymclv.phpzpsxxla.php 、またはapp.php ) によって接続されています。キャンペーンが続くにつれ、PHP は動的に生成され、 vary.phpinvoice.phpshare.phpなど、さまざまな亜種が追加されました。いくつかの例を以下に示します。

  • hxxps://molinolafama[.]com[.]mx/app[.]php
  • hxxps://meetingmins[.]com/app[.]php
  • hxxps://contrastmktg[.]com/yymclv[.]php
  • hxxps://idklearningcentre[.]com[.]ng/zxlbw[.]php
  • hxxps://idklearningcentre[.]com[.]ng/zpsxxla[.]php
  • hxxps://idklearningcentre[.]com[.]ng/yymclv[.]php
  • hxxps://hsa[.]ht/yymclv[.]php
  • hxxps://hsa[.]ht/zpsxxla[.]php
  • hxxps://hsa[.]ht/zxlbw[.]php
  • hxxps://contrastmktg[.]com/yymclv[.]php
  • hxxps://track[.]topad[.]co[.]uk/zpsxxla[.]php
  • hxxps://seoemail[.]com[.]au/zxlbw[.]php
  • hxxps://bred[.]fr-authentification-source-no[.]inaslimitada[.]com/zpsxxla[.]php
  • hxxp://www[.]gbrecords[.]london/zpsxxla[.]php
  • hxxp://autoblogsite[.]com/zpsxxla[.]php
  • hxxps://thecrossfithandbook[.]com/zpsxxla[.]php
  • hxxps://mail[.]168vitheyrealestate[.]com/zpsxxla[.]php

このキャンペーンでは、サンドボックスが化学メーカーや医療サプライヤーなどの無関係なサイトに頻繁にリダイレクトされ、ユーザーは Word 文書内で Emotet ダウンローダーを受信しました。このダウンローダーは、再びマクロを使用して悪意のある活動を助長しました。

悪意のあるドキュメントのスクリーンショット

図 5. Dridex の配信に使用された悪意のあるドキュメントのスクリーンショット

悪意のあるマクロは、WMI を利用して一連の標準的な PowerShell コマンドを実行しました。まず、7 月以降の Emotet キャンペーンに関連する一連の C2 ドメインに接続して、実行可能なペイロード自体をダウンロードしました。その後、追加のエンコードされた PowerShell コマンドが同様の方法で使用され、Dridex DLL を含む .zip ファイルがダウンロードされました。 Dridex ペイロードが既にダウンロードされた後でも、別のコマンドが、侵害された WordPress 管理ページでホストされているさまざまな Emotet インフラストラクチャに到達しました。その後、Dridex は RUN キーを変更して、Dridex 実行可能ファイルを自動的に起動し、その後のログオンでは、名前を riched20.exe に変更しました。

また、関連する Dridex および Emotet インフラストラクチャへの同時接続も観察されました。これらの接続の大部分は暗号化されておらず、ポート 4664 や 9443 などのさまざまなポートやサービスで発生していました。この時点で、マルウェアはマシン上にしっかりと存在していたため、攻撃者は後日人間が操作するアクティビティを実行できました。

過去の報告では、Dridex がリースされた Emotet インフラストラクチャを介して配信されていることが確認されています。また、多くの IP およびペイロード ベースの関連付けも行われています。この調査はその一連の作業に追加され、名前空間を介した追加の関連付け、および電子メールのルアー、メタデータ、および送信者の相関関係を確認します。 10 月から 12 月にかけて繰り返されたこのキャンペーンの反復は、ほぼ同じメールでほとんど変化がありませんでした。

マルウェア キャンペーンから組織を守る

攻撃がモジュール化されて成長し続けるにつれて、攻撃者がフィッシング メールの配信、システムへの初期アクセスの取得、横方向への移動に使用する戦術は、ますます多様化していきます。この調査によると、攻撃者が構築したこれらの格差と回復力の向上にもかかわらず、攻撃者が使用する主要な戦術とツールは依然として範囲が限定されており、使い慣れた悪意のあるマクロ、ルアー、および送信戦術に繰り返し依存しています。

大規模な攻撃者インフラストラクチャの徹底的な調査、およびマルウェア キャンペーンと攻撃者の活動のリアルタイム監視により、Microsoft セキュリティ ソリューションに直接情報が提供され、現在および将来のマルウェア キャンペーンやその他の電子メールの脅威をブロックする保護を構築または改善できます。また、電子メール キャンペーンをリアルタイムで調査して対応するためのツールを企業に提供します。

Microsoft は、 Microsoft Defender for Office 365を通じてこれらの機能を提供します。 安全な添付ファイル安全なリンクなどの機能により、ルアーや回避戦術に関係なく、電子メール キャンペーンに対するリアルタイムで動的な保護が保証されます。これらの機能は、デトネーション、自動分析、機械学習の組み合わせを使用して、新しい未知の脅威を検出します。一方、キャンペーン ビューには、タイムライン、送信パターン、組織への影響、IP アドレス、送信者、URL などの詳細など、メール キャンペーンの全体像が発生時に表示されます。電子メールの脅威に関するこれらの洞察により、セキュリティ運用チームは攻撃に対応し、追加のハンティングを実行し、構成の問題を修正することができます。

Microsoft Defender for Office 365 などの高度なソリューションと、より広範なMicrosoft 365 Defenderソリューションの残りのテクノロジを備えた企業は、次の推奨事項に従うことで、脅威に対する回復力をさらに高めることができます。

  • ソーシャル メディアでの個人情報とビジネス情報の保護、一方的な通信のフィルタリング、スピア フィッシング メールのルアーの特定、偵察の試みやその他の疑わしい活動の報告について、 エンド ユーザーを教育します。
  • Office 365 の電子メール フィルタリング設定を構成して、フィッシングやなりすましの電子メール、スパム、およびマルウェアを含む電子メールを確実にブロックします。 Office 365 を設定して、クリック時にリンクを再チェックし、送信済みメールを削除して、新たに取得した脅威インテリジェンスを活用します。
  • マクロを禁止するか、信頼できる場所からのマクロのみを許可します。 Office および Office 365 の最新のセキュリティ ベースラインを参照してください。
  • Office VBA の AMSI をオンにします。
  • 境界ファイアウォールとプロキシをチェックして、サーバーがインターネットに勝手に接続してファイルを参照またはダウンロードするのを制限します。 ネットワーク保護を有効にして、悪意のあるドメインと IP アドレスへの接続をブロックします。このような制限は、マルウェアのダウンロードとコマンド アンド コントロール アクティビティを阻止するのに役立ちます。

高度なマクロ アクティビティ、実行可能コンテンツ、プロセス作成、および Office アプリケーションによって開始されるプロセス インジェクションをブロックできるルールを含む、 攻撃対象領域削減ルールを有効にすると、防御も大幅に向上します。次のルールは、StrangeU および RandomU インフラストラクチャを使用したキャンペーンで観察された手法をブロックするのに特に役立ちます。

Microsoft 365 のお客様は、Microsoft 365 Defender の高度な検索機能を使用することもできます。これは、Microsoft Defender for Office 365 およびその他のソリューションからのシグナルを統合し、このブログで説明されているインフラストラクチャとキャンペーンに関連するアクティビティと成果物を見つけます。これらのクエリは、Microsoft 365 セキュリティ センターの高度な検索で使用できますが、同じ正規表現パターンを他のセキュリティ ツールで使用して、電子メールを識別またはブロックすることができます。

このクエリは、 StrangeUから送信されたメールを検索します電子メール アドレス。 クエリを実行

メールイベント 
| | SenderMailFromDomain は正規表現 @"^(?:eraust|ereply|reply|ereceived|received|reaust|esend|inv|send|emailboost|eontaysstrange|eprop|frost|eont|serviceply).*(strange|stange|emailboost) と一致します。 *。米ドル$"  
または SenderFromDomain は、正規表現 @"^(?:eraust|ereply|reply|ereceived|received|reaust|esend|inv|send|emailboost|eontaysstrange|eprop|frost|eont|serviceply).*(strange|stange|emailboost) と一致します。 *。米ドル$"

Microsoft Defender 365 を使用して、自動化されたクロスドメイン セキュリティと組み込みの AI によって攻撃を阻止する方法について説明します

その他のリソース

侵害の兆候

StrangeU ドメイン

esendsstrangeasia[.]私たち sendstrangesecuretoday[.]us 電子メールboostgedigital[.]us
メールブーストgelife[.]私たち メールブーストgelifes[.]私たち emailboostgesecureasia[.]us
オンタイズストレンジアジア[.]私たち eontaysstrangenetwork[.]私たち eontaysstrangerocks[.]私たち
eontaysstrangesecureasia[.]私たち epropivedsstrangevip[.]us ereplyggstengeasia[.]私たち
ereplyggstangedigital[.]us ereplyggstangeereplys[.]私たち ereplyggstengelifes[.]私たち
ereplyggstengenetwork[.]私たち ereplyggstengesecureasia[.]私たち フロストストレンジワールド[.]私たち
serviceivedsstrangevip[.]us servicplysstrangeasia[.]私たち serviceplysstrangedigital[.]us
servicplysstrangelife[.]私たち servicplysstrangelifes[.]私たち serviceplysstrangenetwork[.]us
ereceivedsstrangesecureworld[.]us ereceivedsstrangetoday[.]私たち ereceivedsstrangeus[.]私たち
esendsstrangesecurelife[.]私たち sendstrangesecureesendss[.]us ereplysstrangesecureasia[.]私たち
ereplysstrangesecurenetwork[.]us 受け取ったストレンジセキュアライフ[.]私たち ereplysstrangeworld[.]私たち
reauestysstrangesecurelive[.]us ereceivedsstrangeworld[.]私たち esendsstrangesecurerocks[.]us
reauestysstrangesecuredigital[.]us reauestysstrangesecurenetwork[.]us reauestysstrangesecurevip[.]us
Replysstrangesecurelife[.]私たち ereauestysstrangesecurerocks[.]us ereceivedsstrangeasia[.]私たち
ereceivedsstrangedigital[.]us ereceivedsstrangeereceiveds[.]us ereceivedsstrangelife[.]私たち
ereceivedsstrangelifes[.]私たち ereceivedsstrangenetwork[.]us ereceivedsstrangerocks[.]私たち
ereceivedsstrangesecureasia[.]us レシーブストレンジワールド[.]私たち Replysstrangedigital[.]us
invdeliverynows[.]us esendsstrangesecuredigital[.]us esendsstrangesecureworld[.]私たち
sendstrangesecurenetwork[.]us ereceivedsstrangevip[.]私たち Replysstrangerocs[.]us
Replysstrangesecurelive[.]us invpaymentnoweros[.]us invpaymentnowes[.]us
Replysstrangeracs[.]us reauestysstrangesecurebest[.]us 受信ストレンジセキュアベスト[.]私たち
reauestysstrangesecurelife[.]私たち ereplysstrangevip[.]私たち reauestysstrangesecuretoday[.]us
ereplysstrangesecureus[.]us ereplysstrangetoday[.]私たち ereceivedsstrangesecuredigital[.]us
ereceivedsstrangesecureereceiveds[.]us ereceivedsstrangesecurelife[.]私たち ereceivedsstrangesecurenetwork[.]us
ereceivedsstrangesecurerocks[.]us ereceivedsstrangesecureus[.]us ereceivedsstrangesecurevip[.]us
sendstrangesecurebest[.]us 送信ストレンジセキュアデジタル[.]私たち sendstrangesecurelive[.]us
sendstrangesecureworld[.]us esendsstrangedigital[.]us esendsstrangeesends[.]私たち
esendsstrangelifes[.]私たち esendsstrangerocks[.]私たち esendsstrangesecureasia[.]私たち
esendsstrangesecureesends[.]us esendsstrangesecurenetwork[.]us esendsstrangesecureus[.]us
esendsstrangesecurevip[.]us esendsstrangevip[.]私たち ereauestysstrangesecureasia[.]私たち
ereplysstrangeasia[.]私たち ereplysstrangedigital[.]us ereplysstrangeereplys[.]私たち
ereplysstrangelife[.]私たち ereplysstrangelifes[.]私たち ereplysstrangenetwork[.]us
ereplysstrangerocks[.]私たち ereplysstrangesecuredigital[.]us ereplysstrangesecureereplys[.]us
ereplysstrangesecurelife[.]私たち ereplysstrangesecurerocks[.]us ereplysstrangesecurevip[.]us
ereplysstrangesecureworld[.]us ereplysstrangeus[.]私たち reauestysstrangesecureclub[.]us
reauestysstrangesecureereauestyss[.]us reauestysstrangesecureworld[.]私たち レシーブストレンジセキュアクラブ[.]私たち
受け取ったストレンジセキュアデジタル[.]私たち receivedsstrangesecureereceivedss[.]us 受信ストレンジセキュアライブ[.]私たち
受け取った奇妙な安全なネットワーク[.]私たち 今日[.]私たちを受け取った 受け取ったstrangesecurevip[.]us
レシーブストレンジセキュアワールド[.]私たち 返信ストレンジセキュアベスト[.]私たち Replysstrangesecureclub[.]us
Replysstrangesecuredigital[.]us Replysstrangesecureereplyss[.]us Replysstrangesecurenetwork[.]us
Replysstrangesecuretoday[.]us Replysstrangesecurevip[.]us 返信ストレンジセキュアワールド[.]私たち
sendstrangesecurevip[.]us esendsstrangelife[.]私たち esendsstrangenetwork[.]私たち
esendsstrangetoday[.]私たち esendsstrangeus[.]私たち esendsstrangeworld[.]私たち
送信ストレンジセキュアクラブ[.]私たち sendstrangesecurelife[.]us plysstrangelifes[.]私たち
intulifeinoi[.]us Replysstrangerocks[.]私たち invpaymentnowe[.]us
Replysstrangelifes[.]私たち 返信ストレンジネットワーク[.]私たち invdeliverynowr[.]us
ereceivedggstangevip[.]us ereplyggstangerocks[.]私たち serviceivedsstrangeworld[.]us
servicplysstrangesecureasia[.]us serviceplysstrangeserviceplys[.]us emailboostgeasia[.]us
emailboostgeereplys[.]us emailboostgenetwork[.]us emailboostgerocks[.]us
eontaysstrangedigital[.]us eontaysstrangeeontays[.]私たち eontaysstrangelife[.]私たち
eontaysstrangelifes[.]私たち epropivedsstrangeworld[.]私たち ereceivedggstengeworld[.]私たち
ereplyggstengelife[.]私たち フロストストレンジヴィップ[.]私たち servicplysstrangerocks[.]us
invdeliverynow[.]us invpaymentnowlife[.]私たち invdeliverynowes[.]us
invpaymentnowwork[.]us Replysstrangedigitals[.]us Replysstrangelife[.]私たち
Replysstrangelifee[.]私たち Replystrangeracs[.]私たち

RandomU ドメイン

核[.]私たち キビントゥール[.]私たち Planetezs[.]us skgeldvi[.]us
rdoowvaki[.]私たち カベルランド[.]私たち ウェンバファグ[.]私たち postigleip[.]私たち
ジュジュブ[.]私たち ホニデフィック[.]私たち utietang[.]私たち scardullowv[.]私たち
vorlassebv[.]私たち jatexono[.]私たち vlevaiph[.]私たち bridgetissimema[.]us
schildernjc[.]私たち フランカダフ[.]私たち strgatibp[.]us 現在コムナ[.]私たち
prependerac[.]私たち オクタゴニサ[.]私たち ケージズル[.]私たち opteahzf[.]私たち
skaplyndiej[.]私たち dirnaichly[.]私たち kiesmanvs[.]私たち gooiunl[.]私たち
eznojai[.]私たち [.]私たちを置き換える pluienscz[.]私たち huyumajr[.]私たち
アルティスド[.]私たち loftinumkx[.]us 農家zf[.]私たち ヘクトルフラネス[.]私たち
ムーンゾニア[.]私たち savichicknc[.]私たち 私は唖然としました[.]私たち 人種中毒[.]私たち
mpixiris[.]私たち lestenas[.]私たち collahahhaged[.]私たち enayilebl[.]私たち
hotteswc [.] 私たち kupakiliayw [.] 私たち デロウタレク [.] 私たち Pomocatia [.] 私たち
mizbebzpe[.]私たち firebrandig[.]私たち ユニバーザムjw[.]私たち amigosenrutavt[.]私たち
カフルダイア[.]私たち cimadalfj[.]私たち 加速[.]私たち yamashiteks[.]us
ジャカルテイド[.]私たち cobauql[.]us idiofontg[.]私たち hoargettatt[.]私たち
encilips[.]私たち 完全なpydutsb[.]us intereqr[.]us チェストコトリー[.]私たち
diegdoceqy[.]私たち ffwdenaiszh[.]私たち ステリナバ[.]us あなたは私たちを救います[.]私たち
ペイシェンテ[.]私たち hegenheimlr[.]私たち educarepn[.]私たち アヤジュアコ[.]私たち
imkingdanuj[.]私たち dypeplayentqt[.]私たち tractorkaqk[.]私たち prilipexr[.]us
collazzird[.]私たち センタオセズ[.]私たち vangnetxh[.]us ヴァルドレスカ[.]私たち
mxcujatr[.]us angelqtbw[.]私たち bescromeobsemyb[.]私たち フーガメタス[.]私たち
mlitavitiwj[.]私たち pasgemaakhc[.]us facelijaxg[.]私たち ハルキホタルフ[.]たち
ステップ[.]私たち mashimarok[.]us vodoclundqs[.]私たち トロフィーアルナイトw[.]私たち
カウボーイ[.]私たち ドラゴバンム[.]私たち ジョヌズプラ[.]たち カヒリズム[.]私たち
リーツェトリ[.]私たち ジョンルクノプズ[.]私たち 亜麻仁[.]私たち wizjadne[.]私たち
zatsopanogn[.]私たち ロブランズク[.]私たち barbwirelx[.]私たち givolettoan[.]us
gyfarosmt[.]私たち zastirkjx[.]私たち sappianoyv[.]私たち noneedfordayvnb[.]私たち
アンドレギディアオ[.]私たち 側室[.]私たち meljitebj[.]私たち alcalizezsc[.]私たち
springenmw[.]us コンゴフカメフ[.]私たち スターリエント[.]私たち cassineraqy[.]私たち
アリアンカフ[.]私たち plachezxr[.]私たち abulpasastq[.]私たち scraihk[.]私たち
wintertimero[.]私たち abbylukis[.]私たち ラムクリザル[.]私たち トロクリレニル[.]私たち
skybdragonqx[.]私たち pojahuez[.]私たち rambalegiec[.]私たち relucrarebk[.]私たち
vpardoumeip[.]私たち punicdxak[.]私たち vaninabaranaogw[.]私たち yesitsmeagainle[.]私たち
今後[.]私たち アルレサウブ[.]私たち zensimup[.]私たち joelstonem[.]私たち
シフララッツ[.]私たち adespartc[.]us 食事[.]私たち acmindiaj[.]私たち
mempetebyj[.]私たち itorandat[.]usへ galenicire[.]私たち cheldisalk[.]私たち
zooraawpreahkt[.]私たち sijamskojoc[.]私たち flyfedomrr[.]私たち ascenitianyrg[.]私たち
tebejavaaq[.]私たち finnerssshu[.]us Slimshortyub[.]us 不安な[.]私たち
avedaviya[.]私たち アスタカティク[.]私たち nesklonixt[.]us Drywelyza[.]us
paginomxd[.]us gathesitehalazw[.]私たち 波腹[.]私たち ferestat[.]私たち
tianaoeuat[.]私たち pogilasyg[.]私たち mjawxxik[.]us ベルトリンニ[.]私たち
auswalzenna[.]私たち mmmikeyvb[.]私たち megafonasgc[.]us litnanjv[.]私たち
ブックマシ[.]私たち andreillazf[.]私たち 吸血鬼[.]私たち リオナリヴ[.]私たち
ihmbklkdk[.]us okergeeliw[.]us forabezb[.]私たち トロセタス[.]私たち
kavamennci[.]私たち mipancepezc[.]私たち infuuslx[.]私たち ドヴォドムノゲグ[.]私たち
ゼンシンガー[.]私たち eixirienhj[.]私たち 閉じ込められた[.]私たち greatfutbolot[.]私たち
ポライスキグ[.]私たち mumbleiwa[.]us cilindrarqe[.]us uylateidr[.]私たち
sdsandrahuin[.]私たち トラピーズ[.]私たち trauttbobw[.]私たち ポスト[.]私たち
niqiniswen[.]私たち ditionith[.]私たち フル[.]私たち ザモレキ[.]私たち
sonornogae[.]私たち xlsadlxg[.]私たち ヴァレリーズ[.]us seekabelv[.]us
nisabooz[.]私たち pohvalamt[.]私たち inassyndr[.]us ivenyand[.]私たち
カーボンサヴズ[.]私たち svunturk[.]私たち ベビーローズ[.]私たち アーディガーフ[.]私たち
fedrelandx[.]私たち デガエリア[.]私たち 詳細[.]私たち acuendoj[.]us
ペルーディン[.]私たち impermatav[.]us datsailis[.]私たち メレンシッド[.]私たち
beshinon[.]us dinangnc[.]私たち fowiniler[.]私たち laibstadtws[.]私たち
ビシェロク[.]私たち muctimpubwz[.]私たち ジュシダリカン[.]私たち peerbalkw[.]us
ロベシカトン[.]私たち thabywnderlc[.]私たち おそれめっぷ[.]たち krlperuoe[.]us
ntarodide[.]私たち ビデスキン[.]us セナジェナ[.]私たち ケリルドリ[.]私たち
kawtriatthu[.]私たち rbreriaf[.]私たち エナクウィロ[.]私たち モネシン[.]私たち
オンウィナカ[.]私たち onehydro[.]us siosstylepg[.]us mensba[.]us
milosnicacz[.]私たち ツネニダ[.]私たち サルガッセウ[.]私たち マラヤbc[.]私たち
prokszacd[.]us premarketcl[.]us zedyahai[.]私たち クシナルモル[.]私たち
mintaid[.]私たち pufuletzpb[.]私たち nekbrekerdv[.]us ppugsasiw[.]私たち
catarkamgm[.]私たち キライダチ[.]私たち falhiblaqv[.]私たち 滑らかな[.]私たち
マメリア[.]私たち quslinie[.]私たち nirdorver[.]私たち trocairasec[.]私たち
Pochwikbz [.] 私たち インジカット [.] 私たち okrzynjf [.] 私たち ラズステガイル [.] 私たち
dimbachzx[.]私たち buchingmc[.]私たち イセムダ[.]私たち ファタレリキ[.]私たち
効果的 vdevicioik[.]us klumppwha[.]私たち ステフィエンシス[.]私たち
dontzbx[.]私たち weafterteto[.]us denementnd[.]私たち cyllvysr[.]私たち
viewewmokmt[.]us destescutyi[.]私たち craulist[.]私たち maggiebagglesxt[.]私たち
血に飢えた[.]私たち スピミラタッド[.]私たち プロムナデリー[.]私たち apageyantak[.]私たち
Magicofaloeaj[.]私たち 序文彼[.]私たち statvaiq[.]us piketuojaqk[.]私たち
mushipotatobt [.] 私たち suergonugoy [.] 私たち グミスコックス [.] 私たち torunikc [.] 私たち
adoleishswn[.]私たち rovljanie[.]私たち ivicukfa[.]私たち vajarelliwe[.]私たち
バークスーツ[.]私たち 愛らしい[.]私たち バセッツ[.]私たち chevyguyxq[.]私たち
ルナマオサ[.]たち 電気通信[.]私たち pimptazticui[.]私たち posteryeiq[.]私たち
ミリアムロイソ[.]私たち サラレカジル[.]私たち inveshilifj[.]us アルキセルビ[.]私たち
ヒタグジャフィルト[.]私たち ohatranqm[.]us scosebexgofxu[.]us vivalasuzyygb[.]私たち
lugleeghp[.]私たち alicuppippn[.]私たち wedutuanceseefv[.]私たち abnodobemmn[.]私たち
zajdilxtes[.]us inhaltsqxw[.]us rejtacdat[.]us contunaag[.]us
ピタジュクマ[.]私たち delopezmc[.]私たち donjimafx[.]us iheartcoxlc[.]私たち
rommelcrxgi[.]私たち ジョルゲッキー[.]私たち jadesellvb[.]私たち fintercentrosfs[.]us
ralbarix[.]私たち キニリンティ[.]たち ビブルビオ[.]私たち aspazjagh[.]私たち
gleboqrat[.]私たち テンシノリ[.]私たち usitniterx[.]us ザレッキュイ[.]たち
hentugustqy[.]私たち surigatoszuk[.]us nitoeranybr[.]us スピッツコプオ[.]私たち
podkarpatruszz[.]私たち Milfincasqo[.]私たち datatsbjew[.]us 変化して[.]私たち
losbindebt[.]私たち ninjachuckvb[.]私たち desfadavacp[.]私たち potkazatiun[.]私たち
sernakct[.]私たち razmersat[.]私たち プルティナ[.]私たち ampovfa[.]私たち
durstinyskv[.]私たち kreukenct[.]私たち shinanyavc[.]私たち コラリタ[.]私たち
ヤンツェック[.]私たち voyagedevema[.]私たち elblogdelld[.]us 使用する[.]私たち
peaplesokqo[.]us jenggoteq[.]私たち ドッグライナー[.]私たち kandizifb[.]私たち
flunkmasteraz[.]us clewpossejj[.]私たち ヒムガレダヤ[.]私たち gmckayar[.]私たち
fagordul[.]私たち プネンディクス[.]私たち 傲慢[.]私たち stileni[.]私たち
cafelireao[.]私たち poishiuuz[.]us nonfunccoupyo[.]us madrigalbta[.]私たち
タラド[.]私たち sarahcp[.]私たち ウィッキージュニア[.]私たち ガドルン[.]私たち
sirvond[.]私たち クマルタ[.]私たち verow[.]us もんき[.]たち
リラナ[.]私たち niarvi[.]us ベレナ[.]私たち クコノ[.]私たち
ウリアナグ[.]私たち lenut[.]私たち シヴァーブ[.]私たち ジェンドン[.]私たち
私は[.]私たちに座っています jarare[.]私たち 高い[.]私たち アレッサ[.]私たち
ワイオソ[.]私たち marnde[.]私たち チアス[.]私たち aulax[.]私たち
ボベリル [.] 私たち 私は[.]私たちです 詳細 [.] 私たち phieyen [.] 私たち
アナゾ[.]私たち ディレン[.]私たち ジェラン[.]私たち イペダナ[.]私たち
keulsph[.]私たち ztereqm[.]us りにたん[.]たち natab[.]私たち
ハリトール[.]私たち リコール[.]私たち lldra[.]私たち ミニアック[.]私たち
zahrajr[.]私たち カヤブ[.]私たち フェドゥク[.]私たち クガガド[.]私たち
[.]私たちを解体 letama[.]us mencyat[.]us vindae[.]私たち
urnc[.]私たち ハンディル[.]私たち galezay[.]私たち バメルナ[.]私たち
イリン[.]私たち ckavl[.]私たち イラリー[.]私たち daellee[.]私たち
キュパロック[.]私たち ゼローン[.]私たち バーンナイル[.]私たち uloryrt[.]私たち
shexo[.]us ファルベ[.]私たち ハノレン[.]私たち ロリア[.]私たち
ベテン[.]私たち xuserye[.]私たち クレラン[.]私たち cwokas[.]us
vesic[.]私たち ontlan[.]私たち ワイダナ[.]私たち テラマ[.]私たち
ミサニ[.]私たち usinaye[.]私たち ertanom[.]us ケリセックス[.]私たち
でなが[.]たち tyderq[.]私たち セリザ[.]私たち kinnco[.]us
qurtey[.]私たち arzenitlu[.]私たち vellpoildzu[.]私たち ケイティヨッド[.]私たち
ltangerineldf[.]私たち lizergidft[.]私たち セルチア[.]私たち lolricelolad[.]私たち
expiantaszg[.]私たち hljqfyky[.]私たち abarrosch[.]私たち レペストリン[.]私たち
elektroduendevq[.]私たち waggonbauw[.]私たち chaquetzgg[.]私たち revizijiqa[.]私たち
ジギー[.]私たち rokenounkaf[.]us lottemanvl[.]私たち corsetsvp[.]us
exasiatny[.]私たち darkinjtat[.]私たち パストルスタ[.]私たち sategnaxf[.]私たち
nibbledp[.]us mogulanbub[.]私たち 持ってきたxx[.]私たち streaktumgz[.]私たち
kresanike[.]私たち oberhirtesn[.]私たち wyddiongw[.]私たち etherviltjd[.]私たち
gdinauq[.]私たち tumisolcv[.]us oardbzta[.]us imaginarx[.]私たち
tidifkil[.]私たち anwerbtda[.]us breliaattainoqt[.]私たち 石器時代 ps[.]us
グラフォイ[.]私たち シュラミオク[.]私たち sanarteau[.]私たち jerininomgv[.]私たち
kusturirp[.]私たち テニサラゴンプ[.]us terquezajf[.]私たち remularegf[.]私たち
nobanior[.]私たち julijmc[.]私たち dekrapp[.]私たち odaljenakd[.]私たち

参照: https://www.microsoft.com/en-us/security/blog/2021/02/01/what-tracking-an-attacker-email-infrastructure-tells-us-about-persistent-cybercriminal-operations/

Comments

タイトルとURLをコピーしました