譯文聲明
本文是翻譯文章,文章原作者paloaltonetworks,文章來源:unit42.paloaltonetworks.com
原文地址:https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/
譯文僅供參考,具體內容表達以及含義原文爲準
×
正如我們在之前分析Cannon木馬的文章中所提到的那樣,Sofacy組織(又名Fancy Bear、APT28、STRONTIUM、Pawn Storm、Sednit)在今年10月中旬到11月中旬期間一直在忙於攻擊世界各地的各種政府和私人組織。雖然其大部分攻擊目標都位於北約盟國,但也有少部分位於前蘇聯國家。所有這些攻擊大都旨在傳播我們在之前已經分析過的Zebrocy木馬變種,但ESET的報告顯示,其中一些惡意文檔也傳播了Cannon或Zebrocy Delphi變種。自2015年年中開始追蹤Zebrocy的使用情況以來,我們發現該木馬的使用率一直呈上升趨勢。相比其他與Sofacy組織相關的後門工具,Zebrocy在攻擊行動中的使用率明顯要高得多。
我們將在本文中詳細介紹的所有攻擊都有一個共同點——惡意文檔使用的都是同一個作者名稱:Joohn。最初引起我們注意的惡意文檔樣本被命名爲“crash list(Lion Air Boeing 737).docx”,旨在傳播Zebrocy木馬。通過利用我們的AutoFocus威脅情報平臺,以及從VirusTotal收集到的數據,我們基於這份文檔的元數據和行爲發現了Cannon木馬,以及其他更多的惡意文檔、payload和攻擊目標。xise
需要說明的是,所有這些攻擊的初始攻擊媒介幾乎全都是魚叉式網絡釣魚電子郵件。另外,攻擊使用的都是註冊到合法電子郵件服務提供商的電子郵件帳戶,而不是被黑的賬戶。這些帳戶的名稱看上去與合法政府組織的名稱或其他受信任的第三方實體的名稱十分相似。 http://caidaome.com
此外,所有這些惡意文檔在功能上幾乎完全相同——利用Microsoft Word的遠程模板下載功能從第一階段C2檢索惡意宏,加載並執行初始payload。大多數惡意文檔都不包含任何文字內容,僅包含一張通用的誘餌圖片,以誘使收件人啓用宏。從這一點來看,攻擊者似乎主要是想通過文件名來吸引受害者,而不是文檔的內容。
總的來說,我們在2018年10月17日到2018年11月15日期間共捕獲了9份不同的惡意文檔,它們都使用了相同作者名(即Joohn),旨在傳播Zebrocy或Cannon變種。我們收集到的數據顯示,Dear Joohn行動的攻擊目標橫跨四大洲,從聯邦層面的政府機構到地方政府機構。
此外,我們還利用收集到的數據創建了Dear Joohn行動的時間表,從而能夠更加清晰地展示Sofacy組織是在何時向他們的目標發起了攻擊,以及他們是如何利用自動化工具來實施攻擊的。
攻擊活動分析
從10月17日開始,我們一共捕獲到了9份不同的惡意文檔,它們被髮送給了位於世界各地的多個組織。具體來說,攻擊目標包括一個北美外交事務組織、幾個歐洲外交事務組織以及幾個前蘇聯國家政府實體。更多的證據表明,此次行動可能還針對了世界各地的執法機構,包括北美、澳大利亞和歐洲。另外,我們的遙測數據還顯示,此次行動有可能也針對了一些非政府組織、營銷公司以及醫療行業的組織。所有這些攻擊的攻擊媒介都是魚叉式網絡釣魚電子郵件,且使用的都是注冊到免費電子郵件服務提供商Seznam的電子郵件帳戶。這裏需要說明一下的是,Seznam是一家位於捷克的合法電子郵件服務提供商。圖1展示的是一封釣魚電子郵件示例。騰訊分分彩
圖1.在Dear Joohn行動中發送的魚叉式網絡釣魚電子郵件示例
在此次行動中,Sofacy組織似乎主要是想通過文件名來吸引受害者。文檔的名稱包括英國脫歐(Brexit)、獅航客機墜毀,以及最近在以色列發生的火箭襲擊(完整的惡意文檔列表見表1)。雖然文檔名稱似乎透露出攻擊具有高度針對性,但文檔的實際內容卻大體一致,都僅包含一張通用的誘餌圖片,如圖2所示。
圖2.通用的誘餌圖片
到了11月份,Sofacy組織改變了其戰術,開始爲他們的惡意文檔使用不同的誘餌內容。在這個月,我們一共捕獲到了三份針對北約盟國的惡意文檔樣本,它們的內容均不相同,如圖3所示。http://kj169.cc/
圖3.有針對性的誘餌內容
其中一份文檔向收件人展示的內容是模糊不清的,但可以很明顯地看到北約爆炸軍械處理小組(EOD)的印章。實際上,惡意文檔所包含的內容仍然僅是一張圖片,只是經過了模糊處理,上面的內容與一個北約研討會議有關。另外兩份文檔彼此之間非常相似,向收件人展示的內容都是一堆亂碼,以及有關如何正確查看文檔的說明。有趣的是,其中一份文檔中的說明是採用俄文編寫的,這可能表明其攻擊目標位於一個講俄語的國家。
無論實際內容如何,所有惡意文檔均使用了相同的策略來實施攻擊。在被打開之後,惡意文檔首先會利用Microsoft Word自帶的功能來嘗試下載一個遠程模板,然後加載惡意宏,如圖4所示。
圖4.Microsoft Word嘗試下載遠程模板
如果C2服務器在文檔被打開時處於開啓狀態,那麼下載將會成功,而惡意宏將被加載到同一Microsoft Word會話中。然後,收件人將看到一個“Enable Content(啓用內容)”提示,如圖5所示。但如果C2服務器處於關閉狀態,那麼下載將會失敗,收件人將不會看到“Enable Content(啓用內容)”提示,因爲沒有宏被下載。”
圖5.下載的遠程模板,提示收件人單擊“Enable Content”以運行宏
惡意文檔分析
我們在10月和11月期間捕獲的所有惡意文檔都存在大量相似之處(如表1所示),這使得我們可以將這些攻擊聯繫起來。其中最明顯的相似之處就是,文檔作者的名字都是Joohn。不過,這種相似性在11月份出現了一個細微的偏差。雖然我們在該月捕獲的三個樣本仍然使用了Joohn這個名字,但它僅作爲“最後一次保存者”出現,而“作者”屬性改爲了使用默認的“USER/user”。
|
散列值 |
文件名 |
作者 |
最後一次保存者 |
遠程模版位置 |
遠程模版散列值 |
|
c20e5d56b3.. |
1500029.docx |
Joohn |
Joohn |
185.203.118[.]198 |
86bb3b00bc.. |
|
abfc14f7f7.. |
Passport.docx |
Joohn |
Joohn |
185.203.118[.]198 |
86bb3b00bc.. |
|
40318f3593.. |
DN_325_170428_DEA Basic Narcotics Investigation Course invitation.docx |
Joohn |
Joohn |
145.249.105[.]165 |
2da5a388b8.. |
|
5749eb9d7b.. |
2018_10_13_17_15_21.docx |
Joohn |
Joohn |
145.249.105[.]165 |
0d7b945b9c.. |
|
2cfc4b3686.. |
crash list(Lion Air Boeing 737).docx |
Joohn |
Joohn |
188.241.58[.]170 |
f1e2bceae8.. |
|
af77e845f1.. |
Заявление.docx |
Joohn |
Joohn |
188.241.58[.]170 |
fc69fb278e.. |
|
34bdb5b364.. |
Rocket attacks on Israel.docx |
user |
Joohn |
109.248.148[.]42 |
ed8f52cdfc.. |
|
79bd5f3486.. |
201811131257.docx |
USER |
Joohn |
109.248.148[.]42 |
b9f3af84a6.. |
|
77ff53211b.. |
Brexit 15.11.2018.docx DIP 89 OIC Condemns 14 Nov Attacks.docx 15.11 attacks.docx |
USER |
Joohn |
109.248.148[.]42 |
<未知> |
表1.出現在Dear Joohn行動中的惡意文檔
此外,由表1中的惡意文檔下載的遠程模板也使用了相同的作者名稱:xxx,如表2所示(想要查看完整的散列值和元數據,請戳這裏)。
|
散列值 |
文件名 |
作者 |
創建時間 |
最後修改時間 |
託管IP |
|
f1e2bceae8.. |
office.dotm |
xxx |
10/31/18 10:52 |
10/31/18 10:52 |
188.241.58[.]170 |
|
86bb3b00bc.. |
Note_template.dotm |
xxx |
10/17/18 05:35 |
10/17/18 05:35 |
185.203.118[.]198 |
|
2da5a388b8.. |
release.dotm |
xxx |
10/25/18 07:06 |
10/25/18 07:06 |
145.249.105[.]165 |
|
0d7b945b9c.. |
message_template.dotm |
xxx |
10/23/18 13:55 |
10/23/18 13:55 |
145.249.105[.]165 |
|
fc69fb278e.. |
documents.dotm |
xxx |
11/01/18 05:00 |
11/01/18 05:06 |
188.241.58[.]170 |
|
ed8f52cdfc.. |
templates.dotm |
xxx |
11/13/18 10:52 |
11/13/18 10:52 |
109.248.148[.]42 |
|
b9f3af84a6.. |
attachedTemplate.dotm |
xxx |
11/15/18 05:35 |
11/15/18 05:35 |
109.248.148[.]42 |
表2.Dear Joohn惡意文檔下載的遠程模板
如表1所示,惡意文檔分別從四臺不同的C2服務器下載對應的遠程模板,服務器的IP地址如下:
l 185.203.118[.]198
l 145.249.105[.]16
l 188.241.58[.]170
l 109.248.148[.]42
這些初始C2 服務器IP地址不僅託管了會在隨後加載第一階段Zebrocy或Cannon payload的遠程模板,而且還託管了第一階段payload的C2服務器。在Dear Joohn行動中使用的所有C2服務器都基於IP,並且基礎設施與早前的Zebrocy或Sofacy基礎設施之間不存在任何重疊或關聯。Dear Joohn行動的基礎設施網絡如圖6所示。
圖6.Dear Joohn行動的基礎設施網絡
我們根據收集的數據創建了Dear Joohn行動的時間表(基於表3中的時間戳),且發現攻擊主要集中在10月中下旬和11月中旬,如圖7所示。
|
文件名 |
創建時間 |
最後修改時間 |
首次出現 |
時間間隔(天) |
|
Passport.docx |
9/11/18 04:22 |
10/13/18 08:21 |
10/18/18 07:38 |
37.1 |
|
DN_325_170428_DEA…invitation.docx |
9/11/18 04:22 |
10/13/18 08:21 |
10/25/18 08:15 |
44.12 |
|
crash list(Lion Air Boeing 737).docx |
9/11/18 04:22 |
10/13/18 08:21 |
11/01/18 06:50 |
51.1 |
|
Заявление.docx |
9/11/18 04:22 |
10/13/18 08:21 |
11/01/18 11:41 |
51.3 |
|
1500029.docx |
10/18/18 06:59 |
10/18/18 07:00 |
10/18/18 08:47 |
0.4 |
|
2018_10_13_17_15_21.docx |
10/18/18 06:59 |
10/18/18 07:00 |
10/24/18 07:38 |
6.2 |
|
Rocket attacks on Israel.docx |
11/13/18 12:17 |
11/13/18 10:46 |
11/14/18 05:14 |
0.7 |
|
Brexit 15.11.2018.docx |
11/14/18 14:17 |
11/15/18 04:50 |
11/15/18 06:28 |
0.8 |
|
201811131257.docx |
11/14/18 14:33 |
11/15/18 04:50 |
11/15/18 12:31 |
0.9 |
表3.惡意文檔的時間戳(所有時間均爲UTC)
圖7.Dear Joohn行動時間表
從時間戳來看,最初的四份惡意文檔是在2018年9月11日04:22同時被創建的,並在2018年10月13日08:21同時被修改。四份惡意文檔在完全相同的時間被創建並修改,但卻被嵌入了三個不同的C2地址,這可能表明攻擊者使用了某種自動化工具。我們都知道,這可以通過使用基於命令行的滲透測試工具包來實現。比如Phishery,它就允許我們通過一個簡單的腳本,以不同的輸入同時生成多個文檔。總的來說,這四份文檔從最初創建到用於攻擊的平均時間間隔爲46天。隨着時間的推移,Dear Joohn行動的節奏明顯加快,從文件的創建到用於攻擊的平均時間間隔下降到了大約兩天。
Payload分析
如上所述,出現在Dear Joohn行動中的惡意文檔會下載一個遠程模板,包含在其中的惡意宏被用於安裝第一階段payload。除了Cannon之外,第一階段payload幾乎都是Zebrocy木馬的變種。在此次行動中傳播的Zebrocy變種由多種不同的語言編寫而成,包括Delphi、C#和VB.NET。表4列出了出現在Dear Joohn行動中的所有第一階段payload的信息。
|
SHA256 |
編譯日期 |
變種 |
C2 |
|
5173721f30.. |
10/23/18 |
C# Zebrocy |
145.249.105[.]165 |
|
61a1f3b4fb.. |
11/1/18 |
C# Cannon |
sahro.bella7[at]post.cz |
|
6ad3eb8b56.. |
6/19/92 |
Delphi Zebrocy |
188.241.58[.]170 |
|
9a0f00469d.. |
10/25/18 |
C# Zebrocy |
145.249.105[.]165 |
|
b41480d685.. |
6/19/92 |
Delphi Zebrocy |
109.248.148[.]42 |
|
c91843a69d.. |
6/19/92 |
Delphi Zebrocy |
185.203.118[.]198 |
|
e5aece694d.. |
11/13/18 |
VB.NET Zebrocy |
109.248.148[.]42 |
表4.出現在Dear Joohn行動中的第一階段payload
值得注意的是,出現在Dear Joohn行動中的Zebrocy Delphi變種與我們之前在2018年6月有關Zebrocy的分析文章中討論的Delphi downloader非常相似。因此,這個Delphi變種應該算是一種已知的變種。但是,出現在此次行動中的C#和VB.NET變種此前從未被報道過。需要指出的是,出現在此次行動中的所有Zebrocy Delphi變種均採用了UPX壓縮,而其他變種都沒有經過壓縮。我們推測,這很可能也正是因爲Zebrocy Delphi變種作爲一種已知變種已經被廣泛分析的原因,Sofacy組織可能是想要通過對它進行壓縮來增加逃過安全檢測的機率。
通過對Cannon樣本的收集和分析,我們認爲採用Delphi編寫的Cannon也是一個全新的變種。鑑於我們已經看到Sofacy組織使用了多種語言來創建Zebrocy變種,因此該組織同樣也有能力在多種編程語言中創建Cannon變種。
C#Cannon
自我們發佈有關Cannon的分析文章以來,我們成功捕獲了其他的一些Cannon樣本,以便更好地瞭解它的起源。從目前看來,第一個已知的C# Cannon樣本似乎是在2018年4月18日創建的,從那以後至少有7個樣本被髮布。表5展示了目前已知的所有C# Cannon樣本、它們的編譯時間以及用於C2通信的電子郵箱帳戶。http://kj169.cc/
|
SHA256 |
編譯時間 |
C2賬戶 |
POP3S賬戶 |
SMTPS賬戶 |
|
861b6bc1f9.. |
4/18/18 |
sym777.g |
kae.mezhnosh |
vebek.morozh30 g0r7tsa45s marvel.polezha |
|
4405cfbf28.. |
5/14/18 |
sym777.g |
kae.mezhnosh |
vebek.morozh30 g0r7tsa45s marvel.polezha |
|
174effcdee.. |
6/15/18 |
sym777.g |
kae.mezhnosh |
vebek.morozh30 g0r7tsa45s marvel.polezha |
|
a23261e2b6.. |
6/22/18 |
sym777.g |
kae.mezhnosh |
vebek.morozh30 g0r7tsa45s marvel.polezha |
|
651d5aab82.. |
10/19/18 |
sym777.g |
kae.mezhnosh |
vebek.morozh30 g0r7tsa45s marvel.polezha |
|
68df0f924c.. |
10/22/18 |
sym777.g |
kae.mezhnosh |
vebek.morozh30 g0r7tsa45s marvel.polezha |
|
61a1f3b4fb.. |
11/1/18 |
sahro.bella7 |
trala.cosh2 |
Bishtr.cam47 Lobrek.chizh Cervot.woprov |
表5.已知的C# Cannon樣本
正如我們在最初的分析文章中所提到那樣,被攻擊者用來充當C2的電子郵箱地址是sahro.bella7[at]post.cz,但所有早期的C# Cannon樣本使用的都是sym777.g[at]post.cz。此外,所有早期的C# Cannon樣本都使用了同一個帳戶名kae.mezhnosh來接收來自攻擊者的電子郵件,同時使用帳戶名vebek.morozh30、g0r7tsa45s和marvel.polezha來向攻擊者發送電子郵件。
也正如我們在最初的分析文章中所提到那樣,C# Cannon能夠使用POP3S登錄到一個電子郵箱帳戶,並檢查具有特定文件名的電子郵件,該文件將被保存到目標系統並執行。需要指出的是,我們最初分析的C# Cannon樣本查找的是一個文件名爲auddevc.txt的附件,但其他C# Cannon樣本查找的是以下文件名:
l wmssl.txt
l audev.txt
Delphi Cannon
在收集Cannon樣本的過程中,我們發現了另一類使用電子郵件來進行C2通信的Cannon變種。我們之所以將它與Cannon聯繫起來,是因爲它使用了文件名“wmssl.exe”。實際上,它是由wmssl.txt附件轉換而來的,用於安裝和執行一個輔助payload。當然,僅憑這一點,我們是無法將它與Cannon完全聯繫起來,但在收集到了Delphi Cannon的其他樣本之後,我們發現了更多能夠證明它們之間存在聯繫的證據。表6展示的是我們收集到的所有Delphi Cannon樣本,其中樣本(SHA256:215f7c08c2 ..)與ESET分析文章中討論的木馬非常相似。
|
SHA256 |
創建時間 |
C2電子郵箱地址 |
POP3S賬戶 |
SMTPS賬戶 |
|
5a02d4e5f6.. |
1/23/18
|
heatlth500@ambcomission[.]com |
trash023@ambcomission[.]com |
trasler22@ambcomission[.]com |
|
d06be83a40.. |
2/21/18 |
heatlth500@ambcomission[.]com |
trash023@ambcomission[.]com |
trasler22@ambcomission[.]com |
|
78adc8e5e4.. |
2/28/18 |
heatlth500@ambcomission[.]com |
trash023@ambcomission[.]com |
trasler22@ambcomission[.]com |
|
054c5aa73d.. |
3/3/18 |
heatlth500@ambcomission[.]com |
trash023@ambcomission[.]com |
trasler22@ambcomission[.]com |
|
cac630c11c.. |
4/18/18 |
N/A |
N/A |
N/A |
|
ecc5805898.. |
5/4/18 |
heatlth500@ambcomission[.]com |
trash023@ambcomission[.]com |
trasler22@ambcomission[.]com |
|
215f7c08c2.. |
6/14/18 |
rishit333@ambcomission[.]com |
tomasso25@ambcomission[.]com |
kevin30@ambcomission[.]com |
表6. 我們收集到的所有Delphi Cannon樣本
從表6我們可以看出,Delphi Cannon變種的編譯時間要早於我們在最初報告中討論的變種的編譯時間,因爲第一個已知的Delphi樣本是在2018年1月份編譯的,而我們在最初報告中討論的Cannon樣本是在2018年4月份編譯的。Delphi Cannon變種沒有使用合法的基於Web的電子郵件服務來進行C2通信,而是使用自主域名ambcomission[.]com電子郵箱帳戶,而這個域名連接到一個更大的Sofacy基礎設施網絡,正如ThreatConnect所報道的那樣。雖然Delphi Cannon也使用了POP3S和SMTPS來進行C2通信,但由於它使用的是由攻擊者控制的自主域名,因此相對Seznam這樣的合法電子郵件服務提供商來說,此類電子郵件更加容易被收件人屏蔽掉。
已知最早的Delphi變種樣本(SHA256:5a02d4e5f6 …)爲我們提供了更多能夠證明Delphi Cannon和Cannon之間存在聯繫的證據。例如,這個樣本會將收集到的系統信息發送給C2,其中涉及到將正在運行進程的路徑附加到header字符串Running place,而這個字符串也可以在C# Cannon樣本(SHA256:4405cfbf28 …)的inf函數中找到,如圖8所示:
圖8. C# Cannon的inf函數
在對比這兩類Cannon變種的過程中,我們在Delphi Cannon樣本(SHA256:5a02d4e5f6 …)中也發現了一個函數,它使用Running place和Logical_Drivers作爲header字符串來將收集到的系統信息通過電子郵件發送給C2。雖然不完全匹配,但如圖9所示,C# Cannon同樣包含類似的header字符串,這使得我們更加確信,這兩類變種的確來自同一個木馬家族:
圖9. Delphi Cannon 和C# Cannon的相似之處
VB.NET Zebrocy
VB.NET Zebrocy變種(SHA256:e5aece694d ..)與其他已知的Zebrocy變種非常相似,它會將硬盤卷序列號包含在被它用作C2 beacon的URL中。需要說明的是,這個beacon是通過使用Scripting.FileSystemObject對象從存儲在Environment.SpecialFolder.LocalApplicationData中的路徑調用GetDriveName獲得的。然後,它會使用從GetDriveName函數獲取到的硬盤卷調用GetDrive,以獲取硬盤的SerialNumber。接下來,這個VB.NET變種會通過運行以下命令來收集系統信息和正在運行的進程:
systeminfo & tasklist
用於將系統信息、正在運行的進程和屏幕截圖發送到C2服務器的URL如下所示:
hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php?res=[serial number]
VB.NET Zebrocy變種通過將一個HTTP POST請求發送到上面的URL來傳輸收集到的數據,這些數據包含在HTTP POST請求中,其結構如下(注意:“&”前後都有一個空格):
data=[system information and running processes] & arg=[screenshot in BMP format]
C# Zebrocy
C# Zebrocy變種在功能上與其他變種類似,但也有一些值得討論的獨有特性。與其他Zebrocy變種一樣,C# Zebrocy變種會收集硬盤卷序列號,以用於C2服務器的出站beacon。具體來說,C# Zebrocy變種會使用Windows API函數GetVolumeInformation來獲取C盤的序列號。另外,這個變種還能夠捕獲屏幕截圖,並以JPEG格式傳輸到C2服務器。
除了使用的編程語言之外,C# Zebrocy變種最顯着的變化是收集系統信息和正在運行的進程的方式。具體來說,C#Zebrocy變種使用的是WMI查詢來收集此類信息,而不是使用systeminfo和tasklist命令。具體的WMI查詢列表如下所示:
l wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace
l wmic diskdrive get Model, SerialNumber
l wmic computersystem get Manufacturer, Model, Name, SystemTypec
l wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages
l wmic process get Caption,ExecutablePath
用於將系統信息、正在運行的進程和屏幕截圖發送到C2服務器的URL如下所示:
hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php?fm=[serial number]
C# Zebrocy變種通過將一個HTTP POST請求發送到上面的URL來傳輸收集到的數據,這些數據包含在HTTP POST請求中,其結構如下:
spp=[system information from WMI queries] &spvg=[screenshot in JPEG format]
總結
Sofacy組織仍在繼續使用類似的策略和技術來攻擊全球各地的組織。我們觀察到,他們在10月底到11月期間通過魚叉式網絡釣魚電子郵件實施了攻擊,通常利用近期新聞事件作爲文件名來誘使收件人打開惡意附件。在這些攻擊中,該組織明顯傾向於使用類似Zebrocy這樣的簡單downloader作爲第一階段payload。另一方面,該組織顯然仍在繼續對Zebrocy進行開發,並已經開發出了VB.NET和C#版本。此外,他們在過去的攻擊行動中似乎還使用了不同版本的Cannon。
IOC
惡意文檔散列值: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遠程模板散列值:
f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5
86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46
2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8
0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef
fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d
ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba
b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809
遠程模板URL:
hxxp://188.241.58[.]170/live/owa/office.dotm
hxxp://185.203.118[.]198/documents/Note_template.dotm
hxxp://185.203.118[.]198/documents/Note_template.dotm
hxxp://145.249.105[.]165/doc/temp/release.dotm
hxxp://145.249.105[.]165/messages/content/message_template.dotm
hxxp://188.241.58[.]170/version/in/documents.dotm
hxxp://109.248.148[.]42/officeDocument/2006/relationships/templates.dotm
hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm
hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm
Zebrocy散列值:
5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7
61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e
6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a
9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9
b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3
c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65
e5aece694d740ebcb107921e890cccc5d7e8f42471f1c4ce108ecb5170ea1e92
Zebrocy C2 URL:
hxxp://188.241.58[.]170/local/s3/filters.php
hxxp://185.203.118[.]198/en_action_device/center_correct_customer/drivers-i7-x86.php
hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php
hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php
Cannon散列值:
861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb
4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47
174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a
a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce
651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12
68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24
61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e
5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12
d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4
78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead
054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b
cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1
ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4
215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae
與Cannon相關的電子郵箱:
sym777.g[at]post.cz
kae.mezhnosh[at]post.cz
vebek.morozh30[at]post.cz
g0r7tsa45s[at]post.cz
marvel.polezha[at]post.cz
sahro.bella7[at]post.cz
trala.cosh2[at]post.cz
Bishtr.cam47[at]post.cz
Lobrek.chizh[at]post.cz
Cervot.woprov[at]post.cz
heatlth500[at]ambcomission[.]com
trash023[at]ambcomission[.]com
trasler22[at]ambcomission[.]com
rishit333[at]ambcomission[.]com
tomasso25[at]ambcomission[.]com
kevin30[at]ambcomission[.]com