TTL OSINT

Поиск Lazarus: Расширяем показатели с помощью исторических DNS

В этой статье рассматривается использование Valid in, инструмента для отслеживания и анализа доменных имен и IP-адресов, для расследования деятельности Lazarus Group, северокорейской группы по борьбе с киберугрозами, спонсируемой государством. Автор начинает с поиска домена, о котором сообщалось, что он связан с группой Lazarus, и обнаруживает поддомены с историей DNS. Затем автор переходит от этих исходных IP-адресов и подключений к хостам к изучению других доменов и IP-адресов, которые могут быть связаны с группой Lazarus. Автор использует различные методы, такие как подстановка ответов и хэши сертификатов хостов, для дальнейшего расширения поиска. В конечном итоге автор обнаруживает 8 IP-адресов и 29 доменов apex, которые, по-видимому, в настоящее время или недавно были связаны с Lazarus Group. Автор подчеркивает важность использования таких инструментов, как Validin, для отслеживания и анализа киберугроз и необходимость сохранять бдительность в отношении кибератак, спонсируемых государством.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.validin.com/blog/hunting-lazarus-dns-history-host-responses/

Примеры признаков компромисса:

• общий сайт
• 104.168.203.159
• обычная встреча.онлайн
• дропфайл.онлайн
• ubi-безопасное собрание.онлайн

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал