D アラート情報｜サイバーリスク情報提供サービス「D アラート」

不正URLへのアクセス、不正メールの受信

メール受信した 弊社お客様0社 URLアクセスした 弊社お客様1社: 2023/09/06
※2023/09/06 更新
マルウェア感染させると考えられるURLを検知（2023/09/06）

■IoC（※1）



Type:
IOC:
Signature:


URL
hxxps://eh-ra-z-eed[.]org/i/%D8%B9%D8%AF%D8%A7%D9%84%D8%AA%20%D9%87%D9%85%D8%B1%D8%A7%D9%87[.]apk
IRATA


URL
hxxp://ralphkors[.]top/calc2[.]exe
hxxp://jamesperez[.]top/calc2[.]exe
Stealc


URL
hxxp://185[.]225[.]75[.]151/jidaboy[.]vbs
hxxp://94[.]156[.]253[.]116/drumbod[.]vbs
hxxp://94[.]156[.]253[.]247/odumodu[.]vbs
hxxp://mail[.]treeoflifeadventures[.]com/wp-content/plugins/70d5e28f51c1438d94e3e6dc84b95311/xt/mmd/shell/xdH7gVyTN5ike[.]exe
hxxp://192[.]3[.]108[.]47/0988/update[.]exe
hxxp://192[.]3[.]108[.]47/0988/sun/SUN[.]txt
hxxp://projetgalilee[.]tg/var/nmb/four[.]vbs
hxxp://163[.]123[.]143[.]164/yungjon[.]vbs
hxxp://163[.]123[.]143[.]164/hfosinba[.]txt
hxxp://185[.]28[.]39[.]17:7777/185[.]28[.]39[.]18/sicilyzx[.]exe
Agent Tesla


URL
hxxps://iks[.]photo[.]beyoudcor[.]com/editContent
hxxps://uivb[.]photo[.]beyoudcor[.]com/editContent
FAKEUPDATES


URL
hxxp://193[.]233[.]255[.]9/lend/crypted158[.]exe
hxxp://kudoflowers[.]xyz/c2conf
Lumma Stealer


URL
hxxp://193[.]233[.]255[.]9/lend/DCRatBuild3[.]exe
hxxp://868692cm[.]nyashkoon[.]top/nyashsupport[.]php
DCRat


URL
hxxp://103[.]212[.]81[.]116/cundi/cundi[.]sh4
hxxp://79[.]110[.]62[.]125/m-i[.]p-s[.]SNOOPY
Bashlite


URL
hxxp://103[.]96[.]128[.]40/jquery-3[.]3[.]1[.]min[.]js
hxxps://185[.]239[.]86[.]65/ca
hxxps://47[.]115[.]205[.]231/dot[.]gif
hxxps://152[.]136[.]47[.]4/IE9CompatViewList[.]xml
hxxp://www[.]sitennews[.]com/Siten_News/Zous
hxxp://31[.]44[.]184[.]100/updates[.]rss
hxxp://31[.]44[.]184[.]73/cm
hxxps://176[.]113[.]115[.]145/match
hxxps://114[.]132[.]197[.]186:4434/pixel[.]gif
hxxp://139[.]155[.]159[.]81:8082/match
hxxp://43[.]136[.]14[.]250:8080/ga[.]js
hxxp://114[.]115[.]148[.]254/__utm[.]gif
hxxp://101[.]43[.]103[.]253/__utm[.]gif
hxxp://124[.]221[.]183[.]95:8888/visit[.]js
hxxp://43[.]138[.]188[.]41:5555/en_US/all[.]js
hxxps://8[.]134[.]151[.]230/activity
hxxp://124[.]221[.]183[.]95:5555/match
hxxps://154[.]62[.]107[.]175:9999/visit[.]js
hxxps://139[.]199[.]180[.]136/dpixel
hxxps://3[.]144[.]99[.]148/safebrowsing/iFFma-/9i0rEZ7ApBKKa2ly33Rj5Xe9yPJxtJ
hxxps://47[.]110[.]163[.]134:8443/push
hxxp://www[.]leakeddata[.]site/fwlink
hxxps://8[.]141[.]80[.]14/pixel[.]gif
hxxps://45[.]152[.]66[.]95:9443/www/handle/doc
hxxps://www[.]leakeddata[.]site/pixel
hxxps://185[.]225[.]75[.]69:8443/cx
hxxps://101[.]43[.]149[.]73:55443/dpixel
hxxps://146[.]56[.]242[.]3/match
hxxp://139[.]9[.]190[.]31:8080/pixel
hxxps://38[.]147[.]172[.]79:10443/g[.]pixel
hxxp://124[.]221[.]183[.]95:6661/en_US/all[.]js
hxxp://139[.]155[.]42[.]254:12345/visit[.]js
hxxp://124[.]221[.]183[.]95:6666/cx
hxxps://139[.]155[.]42[.]254/activity
hxxp://139[.]199[.]180[.]136/push
hxxp://112[.]124[.]14[.]64/cm
hxxps://124[.]220[.]189[.]137/article/details
hxxp://116[.]204[.]91[.]166/pixel
hxxps://1[.]117[.]88[.]221/IE9CompatViewList[.]xml
hxxp://120[.]48[.]62[.]132/ga[.]js
Cobalt Strike


URL
hxxp://lqr1[.]shop/LQ341/index[.]php
Azorult


URL
hxxp://38[.]170[.]239[.]55/yLnlpitQetpDvUzcfFs54[.]bin
hxxp://38[.]170[.]239[.]55/nzPDfjnM163[.]bin
hxxp://172[.]93[.]187[.]46/FzwAxuMQ137[.]bin
hxxp://172[.]93[.]187[.]46/lvedXcXqWdifG45[.]bin
hxxp://172[.]93[.]187[.]46/MJKoirlvPy207[.]bin
hxxp://172[.]93[.]187[.]46/gZYOTWWWBQVnbjxVwjjT93[.]bin
hxxp://172[.]93[.]187[.]46/rNLDGIcTeovr11[.]bin
CloudEyE


URL
hxxp://94[.]156[.]253[.]187/download/Services[.]exe
PrivateLoader


URL
hxxp://2[.]59[.]254[.]111:2420/give-me-ffpv
hxxp://2[.]59[.]254[.]111:2420/give-me-chpv
hxxp://2[.]59[.]254[.]111:2420/ie
hxxp://2[.]59[.]254[.]111:2420/is-ready
hxxp://2[.]59[.]254[.]111:2420/moz-sdk
WSHRAT




※1「i-FILTER」アクセスログを検索し端末を特定してください
    不要なアクセスを避けるため、一部変更しております。


■製品対応状況（※2）
▽i-FILTER（※3）
・[脅威情報サイト]カテゴリでブロック可能

※2 ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。
※3 暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。

Type:	IOC:	Signature:
URL	hxxps://eh-ra-z-eed[.]org/i/%D8%B9%D8%AF%D8%A7%D9%84%D8%AA%20%D9%87%D9%85%D8%B1%D8%A7%D9%87[.]apk	IRATA
URL	hxxp://ralphkors[.]top/calc2[.]exe hxxp://jamesperez[.]top/calc2[.]exe	Stealc
URL	hxxp://185[.]225[.]75[.]151/jidaboy[.]vbs hxxp://94[.]156[.]253[.]116/drumbod[.]vbs hxxp://94[.]156[.]253[.]247/odumodu[.]vbs hxxp://mail[.]treeoflifeadventures[.]com/wp-content/plugins/70d5e28f51c1438d94e3e6dc84b95311/xt/mmd/shell/xdH7gVyTN5ike[.]exe hxxp://192[.]3[.]108[.]47/0988/update[.]exe hxxp://192[.]3[.]108[.]47/0988/sun/SUN[.]txt hxxp://projetgalilee[.]tg/var/nmb/four[.]vbs hxxp://163[.]123[.]143[.]164/yungjon[.]vbs hxxp://163[.]123[.]143[.]164/hfosinba[.]txt hxxp://185[.]28[.]39[.]17:7777/185[.]28[.]39[.]18/sicilyzx[.]exe	Agent Tesla
URL	hxxps://iks[.]photo[.]beyoudcor[.]com/editContent hxxps://uivb[.]photo[.]beyoudcor[.]com/editContent	FAKEUPDATES
URL	hxxp://193[.]233[.]255[.]9/lend/crypted158[.]exe hxxp://kudoflowers[.]xyz/c2conf	Lumma Stealer
URL	hxxp://193[.]233[.]255[.]9/lend/DCRatBuild3[.]exe hxxp://868692cm[.]nyashkoon[.]top/nyashsupport[.]php	DCRat
URL	hxxp://103[.]212[.]81[.]116/cundi/cundi[.]sh4 hxxp://79[.]110[.]62[.]125/m-i[.]p-s[.]SNOOPY	Bashlite
URL	hxxp://103[.]96[.]128[.]40/jquery-3[.]3[.]1[.]min[.]js hxxps://185[.]239[.]86[.]65/ca hxxps://47[.]115[.]205[.]231/dot[.]gif hxxps://152[.]136[.]47[.]4/IE9CompatViewList[.]xml hxxp://www[.]sitennews[.]com/Siten_News/Zous hxxp://31[.]44[.]184[.]100/updates[.]rss hxxp://31[.]44[.]184[.]73/cm hxxps://176[.]113[.]115[.]145/match hxxps://114[.]132[.]197[.]186:4434/pixel[.]gif hxxp://139[.]155[.]159[.]81:8082/match hxxp://43[.]136[.]14[.]250:8080/ga[.]js hxxp://114[.]115[.]148[.]254/__utm[.]gif hxxp://101[.]43[.]103[.]253/__utm[.]gif hxxp://124[.]221[.]183[.]95:8888/visit[.]js hxxp://43[.]138[.]188[.]41:5555/en_US/all[.]js hxxps://8[.]134[.]151[.]230/activity hxxp://124[.]221[.]183[.]95:5555/match hxxps://154[.]62[.]107[.]175:9999/visit[.]js hxxps://139[.]199[.]180[.]136/dpixel hxxps://3[.]144[.]99[.]148/safebrowsing/iFFma-/9i0rEZ7ApBKKa2ly33Rj5Xe9yPJxtJ hxxps://47[.]110[.]163[.]134:8443/push hxxp://www[.]leakeddata[.]site/fwlink hxxps://8[.]141[.]80[.]14/pixel[.]gif hxxps://45[.]152[.]66[.]95:9443/www/handle/doc hxxps://www[.]leakeddata[.]site/pixel hxxps://185[.]225[.]75[.]69:8443/cx hxxps://101[.]43[.]149[.]73:55443/dpixel hxxps://146[.]56[.]242[.]3/match hxxp://139[.]9[.]190[.]31:8080/pixel hxxps://38[.]147[.]172[.]79:10443/g[.]pixel hxxp://124[.]221[.]183[.]95:6661/en_US/all[.]js hxxp://139[.]155[.]42[.]254:12345/visit[.]js hxxp://124[.]221[.]183[.]95:6666/cx hxxps://139[.]155[.]42[.]254/activity hxxp://139[.]199[.]180[.]136/push hxxp://112[.]124[.]14[.]64/cm hxxps://124[.]220[.]189[.]137/article/details hxxp://116[.]204[.]91[.]166/pixel hxxps://1[.]117[.]88[.]221/IE9CompatViewList[.]xml hxxp://120[.]48[.]62[.]132/ga[.]js	Cobalt Strike
URL	hxxp://lqr1[.]shop/LQ341/index[.]php	Azorult
URL	hxxp://38[.]170[.]239[.]55/yLnlpitQetpDvUzcfFs54[.]bin hxxp://38[.]170[.]239[.]55/nzPDfjnM163[.]bin hxxp://172[.]93[.]187[.]46/FzwAxuMQ137[.]bin hxxp://172[.]93[.]187[.]46/lvedXcXqWdifG45[.]bin hxxp://172[.]93[.]187[.]46/MJKoirlvPy207[.]bin hxxp://172[.]93[.]187[.]46/gZYOTWWWBQVnbjxVwjjT93[.]bin hxxp://172[.]93[.]187[.]46/rNLDGIcTeovr11[.]bin	CloudEyE
URL	hxxp://94[.]156[.]253[.]187/download/Services[.]exe	PrivateLoader
URL	hxxp://2[.]59[.]254[.]111:2420/give-me-ffpv hxxp://2[.]59[.]254[.]111:2420/give-me-chpv hxxp://2[.]59[.]254[.]111:2420/ie hxxp://2[.]59[.]254[.]111:2420/is-ready hxxp://2[.]59[.]254[.]111:2420/moz-sdk	WSHRAT

※ 特許取得済み（特許6716051号）/ Webサイトの改ざんの検知において特許を取得

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する
「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております

「Dアラート発信レポートサービス」 — ▲「i-FILTER@Cloud Ｄアラート配信レポートサービス」の詳細はこちらから

不正URLへのアクセス、不正メールの受信

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する
「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております