Bonjour,
On remarque pas mal de fqdn venant des deux domaines suivants qui
pointent vers différents IPs tout réseau confondu, le nôtre, des Clouds EU.
Sachant que chez nous ça pointe aussi bien sur des IPs non attribuées,
parfois des broadcast, et bien entendu aussi vers des IPs actives.
shiabank.com et bybanking.com ont été créés le 8 octobre 2025 et depuis
cette date, ils génèrent des fqdn aléatoires qui pointent vers des IPs
du monde entier.
Les associations à des IP ne durent pas très longtemps de l'ordre de
quelques jours à quelques semaines, quelques exemples fonctionnels
aujourd'hui :
ugkatnkf.shiabank.com
ugkatnkf.shiabank.com has address 169.207.222.116
ugkatnkf.shiabank.com has IPv6 address
83ec:b0f3:19a6:9910:5392:d675:4fbb:5050
ugkatnkf.shiabank.com mail is handled by 64859 1o53zosa.shiabank.com.
qrqsgn4p.shiabank.com
qrqsgn4p.shiabank.com has address 207.149.6.44
qrqsgn4p.shiabank.com has IPv6 address
b45c:6aaf:6762:50d0:9252:16a7:9ac9:cb0a
qrqsgn4p.shiabank.com mail is handled by 36204 v5sjnahd.shiabank.com.
4mny75y0.bybanking.com
4mny75y0.bybanking.com has address 153.1.47.164
4mny75y0.bybanking.com has IPv6 address
9714:75ae:b006:6485:27b7:e4e3:6bc1:8260
4mny75y0.bybanking.com mail is handled by 56331 ba3pt51z.bybanking.com.
Pour cette dernière, elle pointait carrément vers AS-00749 - United
States Department of Defense (DoD) 7.81.84.157 il y a quelques semaines
et à présent l'Australie.
Pour donner un ordre d'idée de l'étendu de ces domaines :
shiabank.com a 246 207 490 fqdns
bybanking.com a 187 046 574 fqdns
En comparaison amazonaws.com c'est 83 millions de fqdns.
Est-ce que vous voyez également ces vhosts et les requêtes qui y sont
faites sur vos infras?
Je cherche à comprendre l'intérêt de la manoeuvre et trancher si c'est
une menace ou pas.
Merci
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
