ドメインリスクルール:ウクライナ紛争関連ドメインルアー
ウクライナ紛争は、フィッシングを攻撃手法として強化することで、大規模なサイバーセキュリティの脅威を生み出しました。 フィッシングルアーは、ネガティブなニュースや災害への関心の高さを悪用して、被害者を悪意のあるWebページに引き寄せます。
Recorded Futureは現在、新しく登録されたドメインとサブドメインの両方で、新しいウクライナ関連のドメインを毎日監視しています。 これらのドメインの中には、重要な公共サービスもあれば、無害なものもあれば、悪意のあるものもあります。 当社のセキュリティインテリジェンスプラットフォームは、これらのドメインをホワイトリストと照合して自動的にチェックし、悪意の技術的証拠がないか評価し、ルアーとして有罪判決を受けたこれらのドメインのごく一部を明確にします。
ルールのトリガーと重大度レベル
ウクライナ関連のドメインルアーには2つのルールがあります。これらのルールは、ドメインに特定のキーワードが存在し、ドメインが不正な目的で使用されていることを示す技術データも観察された場合にトリガーされます。 悪意のある判定は、独自のソースから取得した証拠が悪意のあるアクティビティを示している場合に適用されます。疑わしい重大度は、裏付けとなる証拠がドメインからのスパムや信頼できないアクティビティを示している場合に適用されます。
最近のウクライナ関連のドメインルアー:悪意のある 重大度(リスクスコアが65以上、ドメインで観察されたリスクの他の証拠によって異なります)。
- ドメインには、忠実度の高い技術データ ソースで確認された悪意のあるアクティビティやマルウェアが関連付けられた URL があります。
- このドメインは、Insikt Groupが実施した技術調査で悪意のあるものであることが確認されています。
- ドメインは過去 30 日間に最近確認されました。
最近のウクライナ関連のドメインルアー: 疑わしい 深刻度(リスクスコア25〜64)
- ドメインには、疑わしいアクティビティを含むURLがあり、信頼できないアクティビティやスパム関連のアクティビティとしてタグ付けされ、検証されたサードパーティのセキュリティソースから、高い有効性の技術データを提供しています。
-
ドメインは過去 30 日間に最近確認されました。
ルールは 30 日後に期限切れになり、履歴として追跡されます。
推奨するアクション
この段階でのドメインの検出は攻撃者のライフサイクルの初期段階であるため、このルールにより、防御側は早い段階で制御を実装し、敵対者に先んじることができます。 セキュリティオペレーションセンター、インシデント対応者、脅威ハンターは、フィッシング攻撃、水飲み場型攻撃、ドライブバイダウンロード、ソーシャルエンジニアリングの試みを検出して防止し、被害者をウクライナに関する情報を含む悪意のあるサイトに誘導し、最終的に攻撃者が任意のコードを実行してデータを盗むことを可能にします。
悪意のある重大度により、セキュリティエンジニアリングは、ウクライナ関連のインジケーターまたはリスクリストを境界のイングレス/エグレス制御(ファイアウォール、Webゲートウェイ、プロキシなど)での統合に実装できます。 リスクリストは、脅威ハンターやインシデント対応者が、脅威が最初に発見された後に、ドロップされたファイル、起動された親/子プロセス、アクセスした異常なIPアドレス、アクセスしたURLなどを見つけるために、他の指標に対するピボットポイントとしてSIEMに実装するのにも役立ちます。
手記: Ukraine Related Domain Lure リスクルールは、新規登録ドメインの Recorded Future Data Science & Research チームによって継続的に進化し、推進されており、サードパーティのソースからの悪意のある有罪判決の判定の自動化が改善されています。