1/31 13:00くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
見た分だけ
PowerShell
- www[.]edusenz[.]com
- www[.]zml15117[.]com
- www[.]kaligraph[.]in
- diler[.]zimen[.]ua
- hillsidecandy[.]com
- rolexclinic[.]com
- adman[.]porndr[.]com
- redbeat[.]club
- www[.]gochange[.]in
- angar[.]cc
- begumazing[.]com
- ec-lossa[.]de
- sonsistemsogutma[.]com[.]tr
- mckennastout[.]com
- www[.]maatjemeerwinkel[.]nl
- bestcondodeals[.]net
- bpbd[.]tabalongkab[.]go[.]id
- cajasparabotella[.]com
- boardgamesofold[.]com
- ashishswarup[.]in
- intrasenz[.]com
- somaspristine[.]com
- fillstudyo[.]com
- zaitalhayee[.]com
- www[.]cirugiaurologica[.]com
- wemax-ks[.]com
- makeupandbeautyguides[.]com
- todayspagepk[.]com
- vancity[.]space
- softus-dev[.]com
- alea[.]ir
- www[.]baptist[.]sumy[.]ua
- baptist[.]sumy[.]ua
- www[.]ecoleannedeguigne[.]fr
- goldengarden[.]com[.]br
- anivfx[.]kr
- unoparjab[.]com[.]br
- 5designradioa[.]com
- agencia619[.]online
- africa2h[.]org
見た分ではjseのほうは通信先が昨日と同じっぽいです。ていうか難読化レベル上がってますね。。。。
あとjseの検体がもっと増えると思ってたんですけど、現在時点ではPowerShellのほうが多数submitされており活発な印象でした。
jseとPSでアクターが別な可能性もあるのかなぁという印象です。