D アラート情報｜サイバーリスク情報提供サービス「D アラート」

不正URLへのアクセス、不正メールの受信

メール受信した 弊社お客様0社 URLアクセスした 弊社お客様1社: 2023/12/26
※2023/12/26 更新
マルウェア感染させると考えられるURLを検知（2023/12/26）

■IoC（※1）



Type:
IOC:
Signature:


URL
hxxp://85[.]209[.]176[.]59/server/execution/WinScp[.]exe?fileName=Winscp[.]exe
hxxp://85[.]209[.]176[.]59/server/execution/WinScp[.]exe
N-W0rm


URL
hxxps://anonymfile[.]com/f/824ebd29-0e5a-454d-9c6d-57bb52e128c9
hxxps://www[.]msk-post[.]com/server/init[.]php
hxxps://tempfiles[.]ninja/d/HHjxRxJv4wjGWRAY/trALUWshOgM2bZkNgI2Z8oFGHZTxRzAW
Mars Stealer


URL
hxxps://secure[.]biiclick[.]com/webpanel/Panel/login[.]php
Gomorrah stealer


URL
hxxp://5[.]182[.]86[.]32/auth/login
hxxp://85[.]192[.]63[.]29/auth/login
hxxp://80[.]85[.]241[.]169/auth/login
hxxp://91[.]103[.]253[.]190/auth/login
hxxp://89[.]208[.]107[.]135/auth/login
hxxp://94[.]228[.]162[.]22/auth/login
hxxp://5[.]182[.]87[.]130/auth/login
hxxp://79[.]137[.]207[.]240/auth/login
hxxp://85[.]192[.]63[.]240/auth/login
Meduza Stealer


URL
hxxp://185[.]172[.]128[.]53/timeSync[.]exe
Stealc


URL
hxxps://209[.]146[.]124[.]195/dot[.]gif
hxxp://47[.]96[.]170[.]102/g[.]pixel
hxxps://ok[.]ppctech[.]xyz/Microsoft/owa/
hxxp://39[.]100[.]78[.]58:8088/jquery-3[.]3[.]1[.]min[.]js
hxxp://www[.]mygoogleupdate[.]com:8880/api/3
hxxp://www[.]temt[.]top:2095/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books
hxxp://43[.]143[.]143[.]195:6666/pixel
hxxp://119[.]91[.]109[.]228:8011/cm
hxxp://62[.]234[.]19[.]7:6666/dpixel
hxxp://154[.]204[.]60[.]179/ca
hxxp://45[.]153[.]129[.]229:8080/api/3
hxxp://106[.]55[.]179[.]114:8888/push
hxxp://47[.]109[.]102[.]98:443/M3cz
hxxp://150[.]158[.]50[.]177:7779/fwlink
hxxp://1[.]15[.]189[.]30/ga[.]js
hxxp://47[.]108[.]137[.]190:50050/en_US/all[.]js
hxxp://service-dlsvfir0-1319620322[.]gz[.]tencentapigw[.]com/g[.]pixel
hxxp://101[.]43[.]49[.]166/ga[.]js
hxxp://110[.]42[.]213[.]232:6666/activity
hxxps://8[.]130[.]133[.]123/en_US/all[.]js
hxxps://epsonupdate[.]uk/match
Cobalt Strike


URL
hxxp://77[.]91[.]68[.]21/red/line[.]exe
hxxps://chincenterblandwka[.]pw/api
hxxps://maskmusicalproplemanw[.]pw/api
hxxps://ranchguarrelguidewa[.]pw/api
Lumma Stealer


URL
hxxps://cbkn[.]sync[.]oystergardens[.]club/editContent
hxxps://ntl[.]scheme[.]corycabana[.]net/editContent
FAKEUPDATES




※1「i-FILTER」アクセスログを検索し端末を特定してください
    不要なアクセスを避けるため、一部変更しております。


■製品対応状況（※2）
▽i-FILTER（※3）
・[脅威情報サイト]カテゴリでブロック可能

※2 ブロックの可否は各製品の設定によるため、実際の結果はアクセスログを参照してください。
※3 暗号化された通信の場合は、SSL Adapterの設定を「利用」にする必要があります。

Type:	IOC:	Signature:
URL	hxxp://85[.]209[.]176[.]59/server/execution/WinScp[.]exe?fileName=Winscp[.]exe hxxp://85[.]209[.]176[.]59/server/execution/WinScp[.]exe	N-W0rm
URL	hxxps://anonymfile[.]com/f/824ebd29-0e5a-454d-9c6d-57bb52e128c9 hxxps://www[.]msk-post[.]com/server/init[.]php hxxps://tempfiles[.]ninja/d/HHjxRxJv4wjGWRAY/trALUWshOgM2bZkNgI2Z8oFGHZTxRzAW	Mars Stealer
URL	hxxps://secure[.]biiclick[.]com/webpanel/Panel/login[.]php	Gomorrah stealer
URL	hxxp://5[.]182[.]86[.]32/auth/login hxxp://85[.]192[.]63[.]29/auth/login hxxp://80[.]85[.]241[.]169/auth/login hxxp://91[.]103[.]253[.]190/auth/login hxxp://89[.]208[.]107[.]135/auth/login hxxp://94[.]228[.]162[.]22/auth/login hxxp://5[.]182[.]87[.]130/auth/login hxxp://79[.]137[.]207[.]240/auth/login hxxp://85[.]192[.]63[.]240/auth/login	Meduza Stealer
URL	hxxp://185[.]172[.]128[.]53/timeSync[.]exe	Stealc
URL	hxxps://209[.]146[.]124[.]195/dot[.]gif hxxp://47[.]96[.]170[.]102/g[.]pixel hxxps://ok[.]ppctech[.]xyz/Microsoft/owa/ hxxp://39[.]100[.]78[.]58:8088/jquery-3[.]3[.]1[.]min[.]js hxxp://www[.]mygoogleupdate[.]com:8880/api/3 hxxp://www[.]temt[.]top:2095/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books hxxp://43[.]143[.]143[.]195:6666/pixel hxxp://119[.]91[.]109[.]228:8011/cm hxxp://62[.]234[.]19[.]7:6666/dpixel hxxp://154[.]204[.]60[.]179/ca hxxp://45[.]153[.]129[.]229:8080/api/3 hxxp://106[.]55[.]179[.]114:8888/push hxxp://47[.]109[.]102[.]98:443/M3cz hxxp://150[.]158[.]50[.]177:7779/fwlink hxxp://1[.]15[.]189[.]30/ga[.]js hxxp://47[.]108[.]137[.]190:50050/en_US/all[.]js hxxp://service-dlsvfir0-1319620322[.]gz[.]tencentapigw[.]com/g[.]pixel hxxp://101[.]43[.]49[.]166/ga[.]js hxxp://110[.]42[.]213[.]232:6666/activity hxxps://8[.]130[.]133[.]123/en_US/all[.]js hxxps://epsonupdate[.]uk/match	Cobalt Strike
URL	hxxp://77[.]91[.]68[.]21/red/line[.]exe hxxps://chincenterblandwka[.]pw/api hxxps://maskmusicalproplemanw[.]pw/api hxxps://ranchguarrelguidewa[.]pw/api	Lumma Stealer
URL	hxxps://cbkn[.]sync[.]oystergardens[.]club/editContent hxxps://ntl[.]scheme[.]corycabana[.]net/editContent	FAKEUPDATES

※ 特許取得済み（特許6716051号）/ Webサイトの改ざんの検知において特許を取得

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する
「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております

「Dアラート発信レポートサービス」 — ▲「i-FILTER@Cloud Ｄアラート配信レポートサービス」の詳細はこちらから

不正URLへのアクセス、不正メールの受信

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております

「Dアラート」よりも詳細な情報に加え、適切な対処方法もご案内する
「i-FILTER@Cloud Ｄアラート発信レポートサービス」というオプションもご用意しております