2/7 11:30くらいまでにany.runにsubmitされた #Emotet のペイロードに含まれるドメインリストまとめた
見た分だけ
Hostname
- supcargo[.]com
- sunucuo[.]com
- sweetestshop[.]ca
- subhedarmarketing[.]com
- takharandshankertour[.]com
- 9jabliss[.]com
- nvl[.]netsmartz[.]net
- tbadl-ashtrakat[.]000webhostapp[.]com
- web23[.]s170[.]goserver[.]host
- steakhouse42[.]site
- sportnal[.]azurewebsites[.]net
- teeo[.]highoninfo[.]com
- thebluebearyhillproject[.]com
- themefolks[.]com
- techotechsolution[.]com
- iosm[.]cl
- succasucculents[.]com
- barbearialumber[.]tempsite[.]ws
- safelink[.]themeson[.]review
- chaco[.]travel
- haoyindz[.]com
- tay[.]batt2u[.]com
- powerlinkaudio[.]com
- perfectfoodcenters[.]com
- tatse[.]de
- movin[.]cloud
- ribrart[.]com
- www[.]pureborn[.]com
- phuongphamngulao[.]gov[.]vn
- wwwzarawazircom[.]000webhostapp[.]com
IP
- 71[.]126[.]247[.]90
- 98[.]239[.]119[.]52
- 80[.]86[.]91[.]91
- 45[.]79[.]223[.]161
- 24[.]249[.]63[.]138
- 114[.]151[.]14[.]161
- 2[.]45[.]165[.]235
- 103[.]38[.]12[.]139
any. runにsubmitされてる検体、
— はしだい (@HASH1da1) 2020年2月7日
hxxp[://]supcargo[.]com/Login/K/*
hxxp[://]sunucuo[.]com/wp-admin/0V0e/*
hxxp[://]sweetestshop[.]ca/wp/3ca5oq/*
hxxp[://]subhedarmarketing[.]com/2/7gtTEM8/*
hxxp[://]takharandshankertour[.]com/wp-includes/IXR/2/'
への通信のやつ多いな
という感じです。 ドメイン名については多くが過去の使いまわしですね。
