D アラート情報｜サイバーリスク情報提供サービス「D アラート」

不正URLへのアクセス、不正メールの受信

メール受信した 弊社お客様0社 URLアクセスした 弊社お客様23社: 2023/12/15
※2023/12/15 更新
マルウェア感染させると考えられるURLを検知（2023/12/15）

■IoC（※1）



Type:
IOC:
Signature:


URL
hxxp://154[.]92[.]16[.]100/Admin/svchost1[.]exe
hxxp://62[.]234[.]175[.]104:45678/npc[.]bin
hxxp://62[.]234[.]175[.]104:45678/P[.]bin
hxxp://62[.]234[.]175[.]104:45678/dc[.]bin
hxxp://62[.]234[.]175[.]104:45678/payload_x86[.]bin
hxxp://62[.]234[.]175[.]104:45678/FormData3[.]dat
hxxp://62[.]234[.]175[.]104:45678/sb[.]bin
Venom RAT


URL
hxxp://103[.]116[.]52[.]127/x-8[.]6-[.]ISIS
hxxp://103[.]116[.]52[.]127/i-5[.]8-6[.]ISIS
hxxp://103[.]116[.]52[.]127/p-p[.]c-[.]ISIS
hxxp://213[.]232[.]235[.]84/sh
hxxp://213[.]232[.]235[.]84/cron
hxxp://87[.]242[.]89[.]170/a-r[.]m-5[.]ISIS
hxxp://87[.]242[.]89[.]170/i-5[.]8-6[.]ISIS
hxxp://213[.]232[.]235[.]84/pftp
hxxp://103[.]116[.]52[.]127/a-r[.]m-4[.]ISIS
hxxp://213[.]232[.]235[.]84/nut
hxxp://87[.]242[.]89[.]170/p-p[.]c-[.]ISIS
hxxp://87[.]242[.]89[.]170/m-i[.]p-s[.]ISIS
hxxp://213[.]232[.]235[.]84/tftp
hxxp://87[.]242[.]89[.]170/a-r[.]m-6[.]ISIS
hxxp://103[.]116[.]52[.]127/a-r[.]m-6[.]ISIS
hxxp://87[.]242[.]89[.]170/m-p[.]s-l[.]ISIS
hxxp://213[.]232[.]235[.]84/ftp
hxxp://213[.]232[.]235[.]84/wget
hxxp://87[.]242[.]89[.]170/a-r[.]m-4[.]ISIS
hxxp://213[.]232[.]235[.]84/bash
hxxp://103[.]116[.]52[.]127/x-3[.]2-[.]ISIS
hxxp://103[.]116[.]52[.]127/a-r[.]m-7[.]ISIS
hxxp://103[.]116[.]52[.]127/s-h[.]4-[.]ISIS
hxxp://213[.]232[.]235[.]84/openssh
hxxp://213[.]232[.]235[.]84/ntpd
hxxp://213[.]232[.]235[.]84/apache2
hxxp://213[.]232[.]235[.]84/sshd
hxxp://87[.]242[.]89[.]170/Demon[.]i686
hxxp://87[.]242[.]89[.]170/Demon[.]ppc
hxxp://87[.]242[.]89[.]170/Demon[.]sparc
hxxp://87[.]242[.]89[.]170/Demon[.]x86
hxxp://87[.]242[.]89[.]170/Demon[.]m68k
hxxp://87[.]242[.]89[.]170/Demon[.]i586
hxxp://87[.]242[.]89[.]170/Demon[.]sh4
Bashlite


URL
hxxp://123[.]60[.]71[.]211:8000/1[.]EXE
hxxp://123[.]60[.]71[.]211:8000/beacon[.]ps1
hxxp://23[.]94[.]0[.]77:7733/agent[.]exe
hxxp://149[.]28[.]90[.]119:8000/http[.]exe
hxxp://124[.]223[.]189[.]175:8000/zjq[.]exe
hxxp://124[.]223[.]189[.]175:8099/1[.]js
hxxp://124[.]223[.]189[.]175:8000/config[.]txt
hxxp://52[.]192[.]163[.]129:1111/visit[.]js
hxxp://43[.]134[.]57[.]109/match
hxxps://8[.]130[.]133[.]123/dpixel
hxxps://39[.]100[.]78[.]58/load
hxxp://116[.]204[.]91[.]166:4321/ca
hxxp://147[.]78[.]47[.]184:8092/fwlink
hxxp://104[.]128[.]229[.]73/match
hxxp://111[.]229[.]75[.]150:84/IE9CompatViewList[.]xml
hxxp://111[.]230[.]53[.]73:7777/activity
hxxp://95[.]169[.]27[.]92:7777/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
hxxp://221[.]150[.]72[.]75/cm
hxxp://service-b3iwjlaj-1322248009[.]sh[.]tencentapigw[.]com/js/lib/jquery-1-edb203c114[.]10[.]2[.]js
hxxp://123[.]207[.]45[.]112/pixel[.]gif
hxxp://121[.]41[.]74[.]136/ga[.]js
hxxp://103[.]143[.]248[.]179/pixel
hxxp://8[.]222[.]162[.]81/ptj
hxxp://20[.]42[.]56[.]4/cnn/cnnx/follow/hds/stream_hdd/1/cnnxlive1_6[.]bootstrap
hxxp://k597s[.]cn110bet[.]top:2095/maps/overlaybfpr
hxxp://39[.]100[.]78[.]58:8088/IE9CompatViewList[.]xml
hxxp://23[.]251[.]32[.]24/updates[.]rss
Cobalt Strike


URL
hxxp://91[.]92[.]253[.]11/Cwzlz[.]exe
hxxp://91[.]92[.]253[.]11/Xpogzmzeakg[.]mp4
hxxp://91[.]92[.]253[.]11/Krloqszyiyu[.]wav
hxxp://91[.]92[.]253[.]11/microsoftdecidedtoreleaseautohistorycachecookiedeletingoptiononthepcfrom[.]Doc
hxxp://91[.]92[.]253[.]11/forexploitQmlmpwsbt[.]exe
hxxp://investeudro[.]info/kojo/kjokl[.]exe
hxxp://sagheur[.]top/neuvo/4ygvd[.]exe
hxxp://sagheur[.]top/neuvo/nigown[.]exe
hxxp://192[.]3[.]179[.]162/3010/wlanext[.]exe
hxxp://192[.]3[.]179[.]162/jx/microsoftdeletedprofilehistorycachecookieverythingfromthepcformakeitstrong[.]Doc
Agent Tesla


URL
hxxp://113[.]52[.]134[.]114/ToDesk_Setup[.]exe
hxxp://113[.]52[.]134[.]114/fol5[.]exe
hxxp://113[.]52[.]134[.]114/wai5[.]exe
hxxp://113[.]52[.]134[.]114/ekk5[.]exe
hxxp://113[.]52[.]134[.]114/zil5[.]exe
hxxp://113[.]52[.]134[.]114/fol1[.]exe
hxxp://113[.]52[.]134[.]114/ekk2[.]exe
hxxp://113[.]52[.]134[.]114/ekk3[.]exe
hxxp://113[.]52[.]134[.]114/wai4[.]exe
hxxp://113[.]52[.]134[.]114/fol3[.]exe
hxxp://113[.]52[.]134[.]114/wai1[.]exe
hxxp://113[.]52[.]134[.]114/wai3[.]exe
hxxp://113[.]52[.]134[.]114/zil1[.]exe
hxxp://113[.]52[.]134[.]114/ekk4[.]exe
hxxp://113[.]52[.]134[.]114/fol4[.]exe
hxxp://113[.]52[.]134[.]114/zil3[.]exe
hxxp://113[.]52[.]134[.]114/wai2[.]exe
hxxp://113[.]52[.]134[.]114/zil4[.]exe
hxxp://113[.]52[.]134[.]114/demon[.]exe
hxxp://113[.]52[.]134[.]114/zil2[.]exe
hxxp://113[.]52[.]134[.]114/fol2[.]exe
hxxp://113[.]52[.]134[.]114/test[.]bin
hxxp://113[.]52[.]134[.]114/ekk1[.]exe
hxxp://113[.]52[.]134[.]114/nide[.]bin
hxxp://66[.]228[.]60[.]47:8000/Syences[.]exe
hxxp://66[.]228[.]60[.]47:8000/upsync[.]exe
hxxp://66[.]228[.]60[.]47:8000/modified_ploader[.]cpp
hxxp://66[.]228[.]60[.]47:8000/statenm[.]bin
hxxp://66[.]228[.]60[.]47:8000/Symbloa[.]dll
hxxp://66[.]228[.]60[.]47:8000/statem_pdf[.]exe
hxxp://66[.]228[.]60[.]47:8000/ploader[.]cpp
Havoc


URL
hxxp://82[.]157[.]254[.]217:8080/server1[.]exe
hxxp://82[.]157[.]254[.]217:8080/server[.]exe
Ghost RAT


URL
hxxp://72[.]18[.]130[.]48:8080/Server[.]zip
hxxp://72[.]18[.]130[.]238:8080/Server[.]zip
Quasar RAT


URL
hxxp://185[.]255[.]114[.]18/nnyCVak199[.]bin
hxxp://212[.]162[.]149[.]96/NpTuswZRXeVJUe75[.]bin
hxxp://212[.]162[.]149[.]96/mRGtYhwhyzbFzy91[.]bin
hxxp://micapublicitatesatumare[.]ro/h[.]bin
CloudEyE


URL
hxxp://4[.]228[.]56[.]58/rat/nj[.]txt
NjRAT


URL
hxxp://178[.]236[.]247[.]164/files/lm[.]exe
hxxp://178[.]236[.]247[.]164/files/filex[.]exe
hxxp://climbavantgardefe[.]fun/api
hxxp://crudeleavelegendew[.]fun/api
hxxp://178[.]236[.]247[.]164/files/ccc[.]exe
Lumma Stealer


URL
hxxp://044574cm[.]nyashland[.]top/ProviderSecureprocessorauthProtectLinuxtestUploads[.]php
hxxp://92[.]63[.]97[.]182/polllowgeoCpudbgeneratortestuniversal[.]php
DCRat


URL
hxxps://brouweres[.]com/VvS49/0[.]1038985448688931[.]dat
hxxps://hukerpinta[.]com/WuN/0[.]34937124772636113[.]dat
hxxps://egnersi[.]com/8papP/0[.]6922216472156167[.]dat
Pikabot


URL
hxxp://89[.]23[.]98[.]92/file5/pdf[.]exe
hxxp://89[.]23[.]98[.]92/file2/pdf[.]exe
hxxp://89[.]23[.]98[.]92/file3/pdf[.]exe
RedLine Stealer


URL
hxxps://ilogicinstitute[.]com/temp/ChromiumEngine[.]zip
FakeUpdateRU


URL
hxxp://investeudro[.]info/crown/crpacoh[.]exe
DBatLoader


URL
hxxps://ohlxc[.]settings[.]oysterfloats[.]org/editContent
hxxps://ice[.]settings[.]oysterfloats[.]org/editContent
FAKEUPDATES


URL
hxxps://raekessler[.]com/wp-content/uploads/2023/04/infosecpad[.]exe
hxxps://raekessler[.]com/wp-content/uploads/2023/05/winpack-en-18f036cdef58fd[.]url
hxxps://raekessler[.]com/wp-content/uploads/2023/04/Tranch[.]zip
hxxps://raekessler[.]com/wp-content/uploads/2023/05/winpack-en-18f036cdsef58fd[.]zip
NetSupportManager RAT


URL
hxxp://185[.]215[.]113[.]68/fks/index[.]php
SmokeLoader


URL
hxxps://onewayskateboard[.]com/a3A7qLVn
hxxps://onewayskateboard[.]com/fEOV2v/
ClearFake




※1「i-FILTER」アクセスログを検索し端末を特定してください
    不要なアクセスを避けるため、一部変更しております。


■製品対応状況（※2）
▽i-FILTER（※3）
・[脅威情報サイト]カテゴリでブロック可能

※2 ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。
※3 暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。

Type:	IOC:	Signature:
URL	hxxp://154[.]92[.]16[.]100/Admin/svchost1[.]exe hxxp://62[.]234[.]175[.]104:45678/npc[.]bin hxxp://62[.]234[.]175[.]104:45678/P[.]bin hxxp://62[.]234[.]175[.]104:45678/dc[.]bin hxxp://62[.]234[.]175[.]104:45678/payload_x86[.]bin hxxp://62[.]234[.]175[.]104:45678/FormData3[.]dat hxxp://62[.]234[.]175[.]104:45678/sb[.]bin	Venom RAT
URL	hxxp://103[.]116[.]52[.]127/x-8[.]6-[.]ISIS hxxp://103[.]116[.]52[.]127/i-5[.]8-6[.]ISIS hxxp://103[.]116[.]52[.]127/p-p[.]c-[.]ISIS hxxp://213[.]232[.]235[.]84/sh hxxp://213[.]232[.]235[.]84/cron hxxp://87[.]242[.]89[.]170/a-r[.]m-5[.]ISIS hxxp://87[.]242[.]89[.]170/i-5[.]8-6[.]ISIS hxxp://213[.]232[.]235[.]84/pftp hxxp://103[.]116[.]52[.]127/a-r[.]m-4[.]ISIS hxxp://213[.]232[.]235[.]84/nut hxxp://87[.]242[.]89[.]170/p-p[.]c-[.]ISIS hxxp://87[.]242[.]89[.]170/m-i[.]p-s[.]ISIS hxxp://213[.]232[.]235[.]84/tftp hxxp://87[.]242[.]89[.]170/a-r[.]m-6[.]ISIS hxxp://103[.]116[.]52[.]127/a-r[.]m-6[.]ISIS hxxp://87[.]242[.]89[.]170/m-p[.]s-l[.]ISIS hxxp://213[.]232[.]235[.]84/ftp hxxp://213[.]232[.]235[.]84/wget hxxp://87[.]242[.]89[.]170/a-r[.]m-4[.]ISIS hxxp://213[.]232[.]235[.]84/bash hxxp://103[.]116[.]52[.]127/x-3[.]2-[.]ISIS hxxp://103[.]116[.]52[.]127/a-r[.]m-7[.]ISIS hxxp://103[.]116[.]52[.]127/s-h[.]4-[.]ISIS hxxp://213[.]232[.]235[.]84/openssh hxxp://213[.]232[.]235[.]84/ntpd hxxp://213[.]232[.]235[.]84/apache2 hxxp://213[.]232[.]235[.]84/sshd hxxp://87[.]242[.]89[.]170/Demon[.]i686 hxxp://87[.]242[.]89[.]170/Demon[.]ppc hxxp://87[.]242[.]89[.]170/Demon[.]sparc hxxp://87[.]242[.]89[.]170/Demon[.]x86 hxxp://87[.]242[.]89[.]170/Demon[.]m68k hxxp://87[.]242[.]89[.]170/Demon[.]i586 hxxp://87[.]242[.]89[.]170/Demon[.]sh4	Bashlite
URL	hxxp://123[.]60[.]71[.]211:8000/1[.]EXE hxxp://123[.]60[.]71[.]211:8000/beacon[.]ps1 hxxp://23[.]94[.]0[.]77:7733/agent[.]exe hxxp://149[.]28[.]90[.]119:8000/http[.]exe hxxp://124[.]223[.]189[.]175:8000/zjq[.]exe hxxp://124[.]223[.]189[.]175:8099/1[.]js hxxp://124[.]223[.]189[.]175:8000/config[.]txt hxxp://52[.]192[.]163[.]129:1111/visit[.]js hxxp://43[.]134[.]57[.]109/match hxxps://8[.]130[.]133[.]123/dpixel hxxps://39[.]100[.]78[.]58/load hxxp://116[.]204[.]91[.]166:4321/ca hxxp://147[.]78[.]47[.]184:8092/fwlink hxxp://104[.]128[.]229[.]73/match hxxp://111[.]229[.]75[.]150:84/IE9CompatViewList[.]xml hxxp://111[.]230[.]53[.]73:7777/activity hxxp://95[.]169[.]27[.]92:7777/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books hxxp://221[.]150[.]72[.]75/cm hxxp://service-b3iwjlaj-1322248009[.]sh[.]tencentapigw[.]com/js/lib/jquery-1-edb203c114[.]10[.]2[.]js hxxp://123[.]207[.]45[.]112/pixel[.]gif hxxp://121[.]41[.]74[.]136/ga[.]js hxxp://103[.]143[.]248[.]179/pixel hxxp://8[.]222[.]162[.]81/ptj hxxp://20[.]42[.]56[.]4/cnn/cnnx/follow/hds/stream_hdd/1/cnnxlive1_6[.]bootstrap hxxp://k597s[.]cn110bet[.]top:2095/maps/overlaybfpr hxxp://39[.]100[.]78[.]58:8088/IE9CompatViewList[.]xml hxxp://23[.]251[.]32[.]24/updates[.]rss	Cobalt Strike
URL	hxxp://91[.]92[.]253[.]11/Cwzlz[.]exe hxxp://91[.]92[.]253[.]11/Xpogzmzeakg[.]mp4 hxxp://91[.]92[.]253[.]11/Krloqszyiyu[.]wav hxxp://91[.]92[.]253[.]11/microsoftdecidedtoreleaseautohistorycachecookiedeletingoptiononthepcfrom[.]Doc hxxp://91[.]92[.]253[.]11/forexploitQmlmpwsbt[.]exe hxxp://investeudro[.]info/kojo/kjokl[.]exe hxxp://sagheur[.]top/neuvo/4ygvd[.]exe hxxp://sagheur[.]top/neuvo/nigown[.]exe hxxp://192[.]3[.]179[.]162/3010/wlanext[.]exe hxxp://192[.]3[.]179[.]162/jx/microsoftdeletedprofilehistorycachecookieverythingfromthepcformakeitstrong[.]Doc	Agent Tesla
URL	hxxp://113[.]52[.]134[.]114/ToDesk_Setup[.]exe hxxp://113[.]52[.]134[.]114/fol5[.]exe hxxp://113[.]52[.]134[.]114/wai5[.]exe hxxp://113[.]52[.]134[.]114/ekk5[.]exe hxxp://113[.]52[.]134[.]114/zil5[.]exe hxxp://113[.]52[.]134[.]114/fol1[.]exe hxxp://113[.]52[.]134[.]114/ekk2[.]exe hxxp://113[.]52[.]134[.]114/ekk3[.]exe hxxp://113[.]52[.]134[.]114/wai4[.]exe hxxp://113[.]52[.]134[.]114/fol3[.]exe hxxp://113[.]52[.]134[.]114/wai1[.]exe hxxp://113[.]52[.]134[.]114/wai3[.]exe hxxp://113[.]52[.]134[.]114/zil1[.]exe hxxp://113[.]52[.]134[.]114/ekk4[.]exe hxxp://113[.]52[.]134[.]114/fol4[.]exe hxxp://113[.]52[.]134[.]114/zil3[.]exe hxxp://113[.]52[.]134[.]114/wai2[.]exe hxxp://113[.]52[.]134[.]114/zil4[.]exe hxxp://113[.]52[.]134[.]114/demon[.]exe hxxp://113[.]52[.]134[.]114/zil2[.]exe hxxp://113[.]52[.]134[.]114/fol2[.]exe hxxp://113[.]52[.]134[.]114/test[.]bin hxxp://113[.]52[.]134[.]114/ekk1[.]exe hxxp://113[.]52[.]134[.]114/nide[.]bin hxxp://66[.]228[.]60[.]47:8000/Syences[.]exe hxxp://66[.]228[.]60[.]47:8000/upsync[.]exe hxxp://66[.]228[.]60[.]47:8000/modified_ploader[.]cpp hxxp://66[.]228[.]60[.]47:8000/statenm[.]bin hxxp://66[.]228[.]60[.]47:8000/Symbloa[.]dll hxxp://66[.]228[.]60[.]47:8000/statem_pdf[.]exe hxxp://66[.]228[.]60[.]47:8000/ploader[.]cpp	Havoc
URL	hxxp://82[.]157[.]254[.]217:8080/server1[.]exe hxxp://82[.]157[.]254[.]217:8080/server[.]exe	Ghost RAT
URL	hxxp://72[.]18[.]130[.]48:8080/Server[.]zip hxxp://72[.]18[.]130[.]238:8080/Server[.]zip	Quasar RAT
URL	hxxp://185[.]255[.]114[.]18/nnyCVak199[.]bin hxxp://212[.]162[.]149[.]96/NpTuswZRXeVJUe75[.]bin hxxp://212[.]162[.]149[.]96/mRGtYhwhyzbFzy91[.]bin hxxp://micapublicitatesatumare[.]ro/h[.]bin	CloudEyE
URL	hxxp://4[.]228[.]56[.]58/rat/nj[.]txt	NjRAT
URL	hxxp://178[.]236[.]247[.]164/files/lm[.]exe hxxp://178[.]236[.]247[.]164/files/filex[.]exe hxxp://climbavantgardefe[.]fun/api hxxp://crudeleavelegendew[.]fun/api hxxp://178[.]236[.]247[.]164/files/ccc[.]exe	Lumma Stealer
URL	hxxp://044574cm[.]nyashland[.]top/ProviderSecureprocessorauthProtectLinuxtestUploads[.]php hxxp://92[.]63[.]97[.]182/polllowgeoCpudbgeneratortestuniversal[.]php	DCRat
URL	hxxps://brouweres[.]com/VvS49/0[.]1038985448688931[.]dat hxxps://hukerpinta[.]com/WuN/0[.]34937124772636113[.]dat hxxps://egnersi[.]com/8papP/0[.]6922216472156167[.]dat	Pikabot
URL	hxxp://89[.]23[.]98[.]92/file5/pdf[.]exe hxxp://89[.]23[.]98[.]92/file2/pdf[.]exe hxxp://89[.]23[.]98[.]92/file3/pdf[.]exe	RedLine Stealer
URL	hxxps://ilogicinstitute[.]com/temp/ChromiumEngine[.]zip	FakeUpdateRU
URL	hxxp://investeudro[.]info/crown/crpacoh[.]exe	DBatLoader
URL	hxxps://ohlxc[.]settings[.]oysterfloats[.]org/editContent hxxps://ice[.]settings[.]oysterfloats[.]org/editContent	FAKEUPDATES
URL	hxxps://raekessler[.]com/wp-content/uploads/2023/04/infosecpad[.]exe hxxps://raekessler[.]com/wp-content/uploads/2023/05/winpack-en-18f036cdef58fd[.]url hxxps://raekessler[.]com/wp-content/uploads/2023/04/Tranch[.]zip hxxps://raekessler[.]com/wp-content/uploads/2023/05/winpack-en-18f036cdsef58fd[.]zip	NetSupportManager RAT
URL	hxxp://185[.]215[.]113[.]68/fks/index[.]php	SmokeLoader
URL	hxxps://onewayskateboard[.]com/a3A7qLVn hxxps://onewayskateboard[.]com/fEOV2v/	ClearFake

※ 特許取得済み（特許6716051号）/ Webサイトの改ざんの検知において特許を取得

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する
「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております

「Dアラート発信レポートサービス」 — ▲「i-FILTER@Cloud Ｄアラート配信レポートサービス」の詳細はこちらから

不正URLへのアクセス、不正メールの受信

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する
「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております