1/30 12:30くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
見れる分だけ
PowerShell
- www[.]ballfeverls[.]com
- pediastudios[.]com
- tuwanjiang[.]com
- bhutanwelfaretraders[.]bt
- 125[.]99[.]60[.]171(none domain)
- blinkro[.]eu
- blasmontavez[.]com
- luxuryflower[.]net
- gostareh[.]org
- hindwalkerphoto[.]com
- bestcondodeals[.]net
- bpbd[.]tabalongkab[.]go[.]id
- cajasparabotella[.]com
- boardgamesofold[.]com
- ashishswarup[.]in
- dewakartu[.]info
- drhuzaifa[.]com
- dewarejeki[.]info
- erasmus-plius[.]tomasjs[.]com
- easytogets[.]com
- www[.]prause[.]es
- yaldizmatbaa[.]com
- judidomino[.]info
- new[.]mondialhall[.]com
- tourntreksolutions[.]com
- blockchainjoblist[.]com
- womenempowermentpakistan[.]com
- atnimanvilla[.]com
- yeuquynhnhai[.]com
- deepikarai[.]com
WScript
- 43[.]250[.]164[.]92
- khanhbuiads[.]com
- jonesmemorialhomes[.]com
- copytak[.]ir
PowershellのものからWScriptを使用するようになってきたっぽい。 でもWScriptのものはまだサンプル数少なくて、any.runに複数submitされていたものでも同一の通信先のものばかりだった。
