検索
台湾は長年にわたり、サイバー スパイ活動を行う攻撃者たちの格好の標的とでした。なぜ、台湾が標的にされるのか。それは、紛争のある南シナ海地域の主権国のひとつであることや、アジアのハイテク産業において最も革新的な国のひとつである台湾の、その台頭する経済力と成長など、理由はさまざまあります。
8月の初めにUnit 42は類似の手法を用いた攻撃を2つ特定しました。2つのうち興味深かったのは、台湾政府の行政機関(行政院)の秘書長に対する標的型攻撃でした。行政院には個別の委員会がいくつかあり、これらの委員会は政府のさまざまな執行機能を果たすために組織されています。行政院は、法令および予算に関する法案、並びに戒厳令、恩赦、宣戦布告、平和条約締結などの重要な案件に関する法案を審査します。こうした重要な機能を行政院が担っていることを考えれば、行政院が標的にされるのは意外なことではありません。もうひとつの攻撃は、台湾を拠点とするエネルギー関連企業に対して行われました。
この場合、攻撃者はTropic Trooperと呼ばれている攻撃活動とつながりがあります。Tropic Trooperは少なくとも2011年以降活動が活発となっており、台湾を標的とする激しい攻撃で知られています。自前のYahoyahマルウェアを使う攻撃もあれば、普及しているPoison Ivy RATを採用する攻撃もありました。このことから、攻撃者がPoison Ivyを自分たちのツールキットの一部として使っていることが確認されています。攻撃者のこのツールキットについては、Trend Micro社が最初にレポートした中で推測していましたが、裏付けを取るには至りませんでした。さらに分析は進み、攻撃者がPCShareマルウェア ファミリも使っている可能性のあることを示す手がかりが、わずかですが見つかりました。これまで、PCShareマルウェア ファミリとこのグループとの間には関係性はありませんでした。
図1は行政院の秘書長宛てに送信されたスピア フィッシング メールを示しています。このメールは、あたかも民主進歩党(DPP)のスタッフから送信されたように偽装されています。
図1.悪意のあるファイルが添付されているスピア フィッシング メール
このメールに添付されている文書は、Microsoft Officeの脆弱性CVE-2012-0158をエクスプロイトします。この攻撃手順については本レポートの後のマルウェア分析セクションで解説しますが、攻撃者が導入するのに選んだおとり文書は、このマルウェアの興味深い側面を示しています。
おとりの文書
これまで数多くのレポートで指摘したとおり、普通、攻撃者はおとり文書を使って被害者を騙し、悪意のある文書を実際に正規のものであると信じ込ませます。コンピューターが感染した後、被害者に関連のある内容のクリーンな文書が被害者に表示されます。
この場合、使用されていたおとり文書は4個のタブのあるスプレッドシートであり、各タブのタイトルは“example”、“0720”、“0721”および“1041109 full update”でした。テキストのいずれにも、中華人民共和国の公的文書の使用言語である簡体字ではなく、繁体字が使われています。繁体字は台湾、香港、マカオ、および海外の多くの中国人コミュニティーで使われています。スプレッドシートの包括的なテーマは、台湾全土にわたって進行中の抗議者の活動や進歩的な改革運動について記録することであり、その論調から、進歩的な支持者が編纂したものであることが連想されます。オンライン状態にあるスプレッドシートを見つけることができず、また、こうした運動や抗議に関連のある、具体的な個人データが含まれていたため、私たちは下記のもの以外、スクリーンショットを一切掲載していません。
図2. おとりのスプレッドシートに含まれている4個のタブ
スプレッドシートの“example”タブはその名のとおりです。残り3個のタブの2個の中にあるヘッダーおよび情報を含んでいます。ヘッダーを左から右に翻訳すると“管轄部署”、“問題”、“今週の進展”、“政治情勢判断”および“関連情報”となります。0721というタブには合致するヘッダーしか存在せず、ほかの情報はありません。スプレッドシート内のどの情報も2015年以降の活動に関するものはなく、当時の台湾での次期選挙(2016年1月16日)について言及があります。その選挙では民主進歩党が勝利しました。中国国民党に取って代わるのは台湾史上わずか2度目、台湾初の女性総統が誕生しました。
0720というタブでは反ブラックボックス運動への言及があります。反ブラックボックス運動は、教育課程のある変更内容に対して、台湾の高校生が行った抗議活動でした。抗議者たちが“ブラックボックス”という言葉を使ったのは、馬英九前総統政権およびその政府の決定について透明性が欠如していたからです。抗議者たちは昨年の7月に台湾の文部省を占拠しました。今年5月、台湾の議会で議決が通り、行政院により承認されましたが、これにより、法律を改正する時間的猶予を与えるために、教育課程の実施が2020年まで遅れることになりました。
反ブラックボックス運動はひまわり学生運動と関係性があります。ひまわり学生運動は学生グループと市民団体との連合であり、台湾と中国との間の海峡両岸サービス貿易協定に対して、台湾経済に打撃を与え中国による台湾への揺さぶりを増幅させるものとして抗議の声を上げました。2014年3月17日、当時与党だった中国国民党は、民主進歩党と条項をひとつひとつ事前に見直すことも合意することもなく、強行採決を図ろうとしました。翌日の夕方、抗議者たちが立法院を占拠しましたが、これは台湾史上初めての出来事でした。同年3月23日、当時の馬総統が協定を支持し、変更も破棄もないと再度断言すると、抗議者たちは行政院を占拠しました。その際、150人以上の負傷者と61人の逮捕者が出ました。
最後のタブには、3つの大半の情報が含まれ、異なるヘッダーが付加されています。ヘッダーは左から右へ、「responsible person(s)」、「summary of issues and major groups」、「crisis simulation, political judgment, and recommendations」、「degree of tension」、「participating members」というタイトルが付いています。
マルウェア分析
どちらの攻撃にも使用されているスピアフィッシング電子メールに添付された文書には、CVE-2012-0158をエクスプロイトするコードが含まれており、その経過年数に関わらず、複数の攻撃者によってエクスプロイトされている最も一般的なMicrosoft Wordの脆弱性の1つが残っています。これは、Tropic Trooperの既知の攻撃手口(TTP: Tactics, Techniques, and Procedure)に一致し、台湾の政府機関とエネルギー業界の両方を標的としています。
配信文書には、通常はOpenXML文書によって使用されるXLSX拡張子が使用されていますが、ファイル自体は、実際にはOLE (XLS)文書です。ファイル拡張子とファイルタイプの矛盾は、攻撃者が、OLE文書の復号化に必要なXLSX暗号化テキストと情報を保存するために、Excelの組み込みの暗号化機能を使用しているために生じています。
ファイル名: 進步議題工作圈議題控管表.xlsx
MD5: a89b1ce793f41f3c35396b054dbdb749
SHA1: f45e2342e40100b770d73dd06f5d9b79bfce4a72
SHA256: 2baa76c9aa3834548d82a36e150d329e3268417b3f12b8f72d209d51bbacf671
タイプ: CDF V2文書、サマリ情報なし
サイズ: 327128バイト
表1. 電子メールに添付された悪意のある文書の詳細
埋め込みシェルコードは、サイズが0xa6f0 (10進数 – 42736)バイトより大きいファイルのopenハンドルを列挙します。その後、ファイル ポインタを0xa6e8 (10進数 – 42728)に設定し、以下の区切り文字の検索を開始します。
GfCv\xef\xfe\xec\xce
この区切り文字が見つかると、シェルコードは正しいファイルで動作していることを認識し、さらに、この区切り文字に続く0x600 (10進数 - 1536)バイトを読み取ります。その後、シェルコードは、0x29f7c592とともに、一度に1つの暗号化テキストのDWORDを復号化するXORアルゴリズムを使用して、ファイルから読み取ったデータの最初の0xc0 (10進数 - 192) DWORDを復号化します。結果のクリアテキストは、さらに機能の実行を続行する2番目のシェルコードとなります。
セカンダリ シェルコードは、ROT13ハッシュアルゴリズムを使用して、以下のAPI関数を解決することから始めます。
kernel32.dll!CreateFileA
kernel32.dll!ReadFile
kernel32.dll!WriteFile
kernel32.dll!SetFilePointer
kernel32.dll!CopyFileA
kernel32.dll!MoveFileExA
kernel32.dll!CreateToolhelp32Snapshot
kernel32.dll!Process32Next
kernel32.dll!CloseHandle
kernel32.dll!VirtualAlloc
kernel32.dll!WinExec
kernel32.dll!TerminateProcess
kernel32.dll!LoadLibraryA
kernel32.dll!lstrlenA
kernel32.dll!lstrcpyA
kernel32.dll!lstrcatA
kernel32.dll!GetTempPathA
kernel32.dll!WideCharToMultiByte
kernel32.dll!QueryDosDeviceA
ntdll.dll!NtQueryObject
advapi32.dll!RegOpenKeyA
advapi32.dll!RegSetValueExA
advapi32.dll!RegCloseKey
これらのAPI関数のすぐ後に、3つのDWORDが続きます。1つはエクスプロイト ファイル内に埋め込まれたペイロードを検索するために使用され、1つはペイロードのサイズ、さらに、1つはおとり文書のサイズを判別するために使用されます。シェルコードが復号化する暗号化テキストの長さを取得するために、2つのサイズ値が加算されます。分析したサンプルでは、以下の値が存在し、ペイロードがオフセット0xabc0にあり、サイズが0x45218であることを示していました。
DWORD offset_toPayload; (0ABC0h)
DWORD payload_Size; (1C600h)
DWORD decoy_Size; (28C18h)
その後、シェルコードは文字列を作成し、それを使用して、システムが起動するたびに最終ペイロードを自動実行するレジストリキーを作成します。レジストリキー‘Software\Microsoft\Windows NT\CurrentVersion\Winlogon’を開くと、“Shell”サブキーの値が以前に作成した文字列に設定されます。最終的には、持続性を確立するために以下のレジストリキーが作成されます。
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:
“explorer.exe,rundll32.exe “C:\Documents and Settings\Administrator\Application
Data\Identities\Identities.ocx” SSSS”
その後、“offset_toPayload”値をオフセットとして使用し、XLSファイルから283160 (45218h)バイトを読み取ります。シェルコードは、復号化ループに入り、埋め込みのペイロードを暗号化テキストからクリアテキストに変換します。アルゴリズムは、初期暗号化キーとしてネゲートされた暗号化テキストの長さを使用します。つまり、ビットを1ずつ右へ回転して、各復号化のキーを調整します。すべての暗号化テキストが復号化されるまで、このキーとXOR演算を使用して暗号化テキストの4バイトを復号化します。復号化プロセスを繰り返すごとに、アルゴリズムは、暗号化テキストを復号化する前に、暗号化テキストの4バイトがキーと等しくないこと、または、0と等しくないことを確認します。 下表には、復号化プロセスを説明する最初の5つのアルゴリズムが含まれています。
キー |
暗号化テキスト |
クリアテキスト |
|
0 |
~0x45218 = 0xFFFBADE8 >> 1 = 0x7FFDD6F4 |
0x7F6D8CB9 |
0x00905a4d = MZ\x90\x00 |
1 |
0x7FFDD6F4 >> 1 = 0x3FFEEB7A |
0x3FFEEB79 |
0x03 = \x03\x00\x00\x00 |
2 |
0x3FFEEB7A >> 1 = 0x1FFF75BD |
0x1FFF75B9 |
0x04 = \x04\x00\x00\x00 |
3 |
0x1FFF75BD >> 1 = 0x8FFFBADE |
0x8FFF4521 |
0xFFFF = \xff\xff\x00\x00 |
4 |
0x8FFFBADE >> 1 = 0x47FFDD6F |
0x47FFDDD7 |
0xB8 = \xb8\x00\x00\x00 |
5 |
0x47FFDD6F >> 1 = 0xA3FFEEB7 |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
6 |
0xA3FFEEB7 >> 1 = 0xD1FFF75B |
0xD1FFF71B |
0x40 = \x40\x00\x00\x00 |
7 |
0xD1FFF75B >> 1 = 0xE8FFFBAD |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
8 |
0xE8FFFBAD >> 1 = 0xF47FFDD6 |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
9 |
0xF47FFDD6 >> 1 = 0x7A3FFEEB |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
10 |
0x7A3FFEEB >> 1 = 0xBD1FFF75 |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
11 |
0xBD1FFF75 >> 1 = 0xDE8FFFBA |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
12 |
0xDE8FFFBA >> 1 = 0x6F47FFDD |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
13 |
0x6F47FFDD >> 1 = 0xB7A3FFEE |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
14 |
0xB7A3FFEE >> 1 = 0x5BD1FFF7 |
0x00000000 |
0x00000000 = \x00\x00\x00\x00 |
15 |
0x5BD1FFF7 >> 1 = 0xADE8FFFB |
0xADE8FEF3 |
0x108 = \x08\x01\x00\x00 |
16 |
0xADE8FFFB >> 1 = 0xD6F47FFD |
0xD84E60F3 |
0xEBA1F0E = \x0e\x1f\xba\x0e |
17 |
0xD6F47FFD >> 1 = 0xEB7A3FFE |
0x26738BFE |
0xCD09B400 = \x00\xb4\x09\xcd |
18 |
0xEB7A3FFE >> 1 = 0x75BD1FFF |
0x39BCA7DE |
0x4C01B821 = \x21\xb8\x01\x4c |
19 |
0x75BD1FFF >> 1 = 0xBADE8FFF |
0xD28AAE32 |
0x685421CD = \xcd!Th |
20 |
0xBADE8FFF >> 1 = 0xDD6F47FF |
0xAD4F3496 |
0x70207369 = is p |
21 |
0xDD6F47FF >> 1 = 0xEEB7A3FF |
0x9CD0CC8D |
0x72676F72 = rogr |
22 |
0xEEB7A3FF >> 1 = 0xF75BD1FF |
0x947BBC9E |
0x63206D61 = am c |
23 |
0xF75BD1FF >> 1 = 0xFBADE8FF |
0x94C3869E |
0x6F6E6E61 = anno |
24 |
0xFBADE8FF >> 1 = 0xFDD6F47F |
0x98B4D40B |
0x65622074 = t be |
25 |
0xFDD6F47F >> 1 = 0xFEEB7A3F |
0x909E081F |
0x6E757220 = run |
表2: ペイロードの復号化
上記の表からわかるように、このアルゴリズムは、この攻撃でペイロードとして動作する埋め込みPortable Executableであるものを復号化します。埋め込みペイロードは、%APPDATA\Identities\Identities.ocxに書き込まれ、以下の属性を有しています。
MD5: 53f5b9d9e81612804ddaf15e71d983c7 SHA1: aa32739c1b5c23274bfbdc24b882a53c868d1e04 SHA256: c098235a43d9788661490d2c7b09b1b2b3544d22ee8d9ae6cd5d16a977fd1155 |
1 2 3 4 5 6 7 8 9 10 11 |
MD5: 53f5b9d9e81612804ddaf15e71d983c7 SHA1: aa32739c1b5c23274bfbdc24b882a53c868d1e04 SHA256: c098235a43d9788661490d2c7b09b1b2b3544d22ee8d9ae6cd5d16a977fd1155 Type: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit Size: 116224 bytes Imphash: 58089f7df19ceafda8af75236cb1852a Compiled: 2016-05-23 07:00:51 Architecture: x86 Exports: (0x1a90) OnUserModel (0x1a90) SSSS |
MD5: 53f5b9d9e81612804ddaf15e71d983c7 SHA1: aa32739c1b5c23274bfbdc24b882a53c868d1e04 SHA256: c098235a43d9788661490d2c7b09b1b2b3544d22ee8d9ae6cd5d16a977fd1155 |
上記のセクションで説明したこのおとり文書は、%TEMP%\進步議題工作圈議題控管表.xlsxに保存され、以下の属性を有しています。
MD5: 7ba4837be46ed1d9b58721a2c103a523 SHA1: bb5fa41034bfe16a06ac95fbc504e2e779b3219b SHA256: 9dc5ecf4235841d91dd90c5410251b3dafee5c8dee598fd934018a1c62452a3a Type: Zip archive data, at least v2.0 to extract Size: 166936 bytes Meta: Author: Read64 Last Modified By: Windows 用户 Created: 2016:07:21 03:15:34Z Modified: 2016:07:21 07:30:17Z |
1 2 3 4 5 6 7 8 9 10 |
MD5: 7ba4837be46ed1d9b58721a2c103a523 SHA1: bb5fa41034bfe16a06ac95fbc504e2e779b3219b SHA256: 9dc5ecf4235841d91dd90c5410251b3dafee5c8dee598fd934018a1c62452a3a Type: Zip archive data, at least v2.0 to extract Size: 166936 bytes Meta: Author: Read64 Last Modified By: Windows 用户 Created: 2016:07:21 03:15:34Z Modified: 2016:07:21 07:30:17Z
|
配信されるペイロード – Poison Ivy
システムを起動すると、持続性のあるレジストリキーがIdentities.ocxペイロードを起動し、その“SSSS”エクスポート関数を呼び出します。“SSSS”関数は、“rundll32.exe”プロセスのコンテキスト内でDLLが実行中であることを確認した後、0x141Bバイトのデータを正しい順序でつなぎ合わせる処理を開始し、Poison Ivyトロイの木馬のシェルコードを構築します。
私たちは、Poison Ivyのシェルコードから以下の設定を見つけ、解析しました。
Campaign ID: MyUser Group ID: MyGroup C2 Cnt: 3 - C2 #0: 202.133.236.177:443 - C2 #1: news.hpc.tw:53 - C2 #2: account.sino.tw:80 Comm Key: twone Mutex: (V!hex67) Auto-remove Dropper Flag: 1 Active Setup value name: StubPath Default browser path reg key: SOFTWARE\Classes\http\shell\open\command Active Key registry key: Software\Microsoft\Active Setup\Installed Components\ |
1 2 3 4 5 6 7 8 9 10 11 12 |
Campaign ID: MyUser Group ID: MyGroup C2 Cnt: 3 - C2 #0: 202.133.236.177:443 - C2 #1: news.hpc.tw:53 - C2 #2: account.sino.tw:80 Comm Key: twone Mutex: (V!hex67) Auto-remove Dropper Flag: 1 Active Setup value name: StubPath Default browser path reg key: SOFTWARE\Classes\http\shell\open\command Active Key registry key: Software\Microsoft\Active Setup\Installed Components\ |
同じファイル構造、暗号化処理および難読化処理を使用して上記のPoison Ivyサンプルを配信するサンプルをさらに探しましたが、追加で見つかったのは2サンプルだけでした。この2つの事例では、配信されたペイロードはそれぞれPCShareとYahoyahでした。PCShareは、以前はTropic Trooperと関連付けられることはありませんでしたが、前記の共通点に加えて、この2つのサンプルには既知のTropic Trooperインフラストラクチャを持つパッシブDNSの共通点があります。これらの理由によって、確実ではありませんが、私たちはこのグループがこのマルウェア ファミリも使用していると評価しています。
図3: Yahoyahサンプル(上)とPCShareマルウェア サンプル(下)で使用されるC2インフラストラクチャ間の限定的な関係
下表は、文書、配信ペイロードおよび通信に使用されたC2サーバの詳細を示しています。
SHA256 |
a3becf3639fa82bfbf01740ce5a8335f291fb83b544e02a6cc9f1e9c96fb3764 |
ファイル名 |
CTC Statement.xlsx |
ペイロード |
d76d7d64c941713d4faaedd5c972558c5136cd1b7de237280faaae89143e7d94 |
ツール |
PCShare |
C2 |
belindianlab[.]itemdb[.]com |
C2 IP |
210.108.146[.]20 |
SHA256 |
ca10489091b71b14f2c3dc0b5201825e63a1f64c0a859ba2bd95900f45580fc4 |
ファイル名 |
全台餐廳更新版餐廳_.xlsx |
ペイロード |
bff5f2f84efc450b10f1a66064ed3afaf740c844c15af88a927c46a0b2146498 |
ツール |
Yahoyah |
C2 |
www[.]dpponline[.]trickip[.]org |
C2 |
www[.]myinfo[.]ocry[.]com |
C2 IP |
223.27.35[.]244 |
私たちが見つけたエクスプロイト文書が、普及しているほとんどのアンチウイルス エンジンであまり検出されなかった、または、まったく検出されなかったことは、興味深いことです。つまり、この攻撃の背後にいる攻撃者は、このテクニックを使用して従来のアンチウイルス ソリューションによって行われた静的分析をバイパスすることに、かなりの成功を収めてきたことを示しています。
私たちは、AutoFocus脅威インテリジェンス プラットフォームを使用して、PIVY、PCShareおよびYahoyahの各ペイロードから抽出したIOCについての検索をさらに拡大し、固有の動作または固有のPIVYミューテックスと一致する、あるいは共通のC2インフラストラクチャを持つサンプルを42個発見しました。見つかったすべてのサンプルのハッシュをこのブログの文末にある付録セクションに示します。
下図4は、AutoFocusを使用して見つかったペイロード サンプルのコンパイル タイムスタンプを示しています。最近の攻撃で使用されたペイロードの一部が数カ月前にコンパイルされたことを考慮すると、攻撃者グループがエクスプロイト文書内でペイロードを継続的に再使用していることがわかりま
す。
図4: ペイロードのコンパイル タイムスタンプ
以下のMaltegoグラフは、Tropic Trooperで使用された共有インフラストラクチャの一部を示しています。グラフのインジケータの一覧もこのレポートの付録セクションにあります。
図5 Tropic TrooperインフラストラクチャのMaltegoグラフ
結論
Tropic Trooperの攻撃者グループは、少なくとも6年以上、アジア太平洋地域の政府および組織を標的としていることが知られています。Yahoyahマルウェアの使用に加えて、Poison Ivyマルウェア ファミリと、こちらは推測ですが、PCShareマルウェア ファミリも使用していることが確認できました。また、このグループは多くの攻撃者と同様に、依然としてCVE 2012-0158も悪用しています。しかし、Palo Alto Networksのお客様は、以下の方法でTropic Trooperの悪意のある活動から保護されています。
• WildFireがすべての関連マルウェアを有害であると正しく検出します。
• 該当のC2インフラストラクチャが、PAN-DBで悪意があるとして分類されます。
• TrapsがCVE-2012-0158のエクスプロイトを防ぎます。
Autofocusのお客様は以下のAutoFocusタグを介して、Tropic Trooperについての追加情報を入手できます。
付録
悪意のある文書から抽出したペイロードの固有のインジケータ、動作およびC2インフラストラクチャと一致するサンプル
SHA256ハッシュ
Winsloader |
c098235a43d9788661490d2c7b09b1b2b3544d22ee8d9ae6cd5d16a977fd1155 e81bc530075d6d31358aea5784d977d1ac2932a13a615cd1319d01d6e39c2995 cf32fb6371cc751b852c2e2e607c813e0de71cd7bcf3892a9a23b57dfd38d6fc 07663f8bca3c2118f3f77221c35873fd8dd61d9afa30e566fe4b51bcfb000834 92da05bae1d9694a1f63b854e86b5b17ef27d5fc2551318e49e17677c7c90042 e267ecfd37f3af55e8b02b081e7c9d8c0bf633e1d5acb0228be694eae4660eee |
PCShare |
d76d7d64c941713d4faaedd5c972558c5136cd1b7de237280faaae89143e7d94 66d672a94f21e86655f243877ee04d7e67a515a7153891563f1aeedb2edbe579 |
Yahoyah |
85904e7b88b5049fb99b4b8456d9f01bdbf8f6fcf0f77943aed1ce7e6f7127c2 2fce75daea5fdaafba376a86c59d5bc3e32f7fe5e735ec1e1811971910bc4009 aa812b1c0b24435b8e01100760bc4fef44032b4b0d787a8cf9aef83abd9d5dbd 9623d6f3a3952280f3e83f8dbb29942694bb682296d36c4f4d1d7414a7493db0 f0aa64c1646d91b0decbe4d4e6a7cc53bfd770c86ded9a7408034fa14d2bad83 73bba13d1c7b6794be485a5eeb7b79a62f109c27c4c698601945702303dbcd6c 25809242472a9e1f08ff83c00fae943a630867604ff95c7a57313187287384d2 72d14f0a7ecb04eb2962bc9d8491194deb856ceebf30e7ecd644620932f3d4b0 2172cc228760d6e4fa297bc485637a2b17103ae88237b30df39babe548cefaa5 fdeb384ff68b99514f329eeffb05692c4c1580ca52e43e6dcbb5d760c2a78aa4 1432a8a6ae6faa5d9f441b918ddc3edddb9c133458853ad356756835fe7b3291 a4334a33e4a87cfa52e9e24f6b4d3da0b686f71b25e5cc9a6f144485ea63108a 7f8abefcc4598c643dff1ebf570677fd5c2a4f3d08bc8ddabbfbef1eed097fb3 8e1a0d93ae644ac80048e5c3485bc6282a69d52cf26f94d2be1ce634851ac3aa c2ad0204ff90c113f7984a9db6006c9f09631c4983098803591170be62cdfaa7 8ccaade84c9c7d5955e8aa1a0d36542beeaed5b8f619aedf82f74e8fd5a5283b 03e9c25fe979f149f6dafb0398cdf3d2223b26f24009ef0f83825b60e961d111 bee4cc2c3c393953f9247eab45767e01cd26d40037fb00bd69441e026d860a63 626f65d4d638437aaa8352fe06589165d52a91e0963c988348b00734b0a3419f 5395f709ef1ca64c57be367f9795b66b5775b6e73f57089386a85925cc0ec596 72cc8c41008310024e9339b9e45bec7815b7fa8a0c3b6a56769d22bc4ced10ed fefd9bfb0f984590b54908c6868b39ca587a3e0d8198b795ff58f67adee4b9e9 4ee115734733dae0705e5b2cb6789a1cdb877bc53e2fdb6e18ab845c0522d43b 6b6ec318ede71baf79004fe22c46a8d7a500dc6ba6dd40b2641fe9a1c2b3dbd5 78eda231bf494c7008a4ad49e982f2470597199829d46b166a75f654e3cb8d59 21857cdd794649d72ab1bf90acfa8a57767a2a176b46cdb930025cf9242303bb bff5f2f84efc450b10f1a66064ed3afaf740c844c15af88a927c46a0b2146498 6597c49bedf3fb1964e7f6ccbb03db9e38a5903a671209ae4d3fb4f9f4db4c95 |
Poison Ivy |
6966e511a45e42a9cfa32799dd3ecf9ec1c2cf62ed491f872210334a26e8a533 84f9d3c0895fbcc3148ec77b967eb9cdf33eb90915937b91a61664d36eed7464 c4b73d2102c25e31e3b73a8547a0120e1d3706eed96392acb174ecbf1218fa37 c9d0d7e3ba9a1369b670511966f2c3b5fa3618d3b8ac99cbc3a732bd13501b99 ee3f29d2a68217825666dae6a56ae7ee96297ea7f88ae4fd78819983ae67a3ce edfedfad21bd37b890d0e21c3c832ff9493612f9959a32d6406750b2d4a93697 |
C2ドメイン |
news[.]hpc[.]tw www[.]dpponline[.]trickip[.]org www[.]forensic[.]zyns[.]com www[.]bannered[.]4dq[.]com www[.]forensic611[.]3-a[.]net bbs[.]zzbooks[.]net bbs[.]ccdog[.]net wallstreet[.]1dumb[.]com www[.]cham[.]com[.]tw pinkker[.]zzux[.]com www[.]amberisic611[.]4dq[.]com www[.]metacu[.]ygto[.]com bbs[.]zzbook[.]net www[.]myinfo[.]ocry[.]com www[.]gmal1[.]com news[.]hpc[.]tw www[.]dpponline[.]trickip[.]org pinkker[.]zzux[.]com wallstreet[.]1dumb[.]com redpeach[.]youdontcare[.]com redapple[.]justdied[.]com stone[.]mypop3[.]org zeus[.]jkub[.]com sniper[.]mynumber[.]org unclesam[.]jungleheart[.]com arora[.]x24hr[.]com flanando[.]fartit[.]com www[.]dpponline[.]trickip[.]org www[.]myinfo[.]ocry[.]com belindianlab[.]itemdb[.]com kr[.]dns1[.]us |
C2 HTTPリクエスト |
hxxp://www[.]dpponline[.]trickip[.]org/images/D2015_id[.]jpg hxxp://223[.]27[.]35[.]244/images/D2015_id[.]jpg hxxp://www[.]myinfo[.]ocry[.]com/images/D2015_id[.]jpg hxxp://belindianlab[.]itemdb[.]com/1613986301| C7A5398FBD8214C92F6596CC39B8866B0121E53422D6B8378E5D1F5F63844 D693810BDED362511ED3630DC4F6A2B1302354C31242753DACB331EF3CF80 8E4E107B12F103F0C040F87DAA6CAB0676A25EBC673D9DFA078915F9336130 8E10BB5BA7DF1A90FEB614F1A1F12C7A135B60926A5D49FCE025F577FE0DEE 937C803BE27D hxxp://202[.]153[.]193[.]73/images/kong[.]24[.]jpg hxxp://113[.]10[.]221[.]89/images/kong[.]24[.]jpg hxxp://61[.]221[.]169[.]31/images/kongj[.]24[.]jpg hxxp://www[.]forensic611[.]3-a[.]net/monitor/images/Smarp140102[.]24[.]gif hxxp://www[.]bannered[.]4dq[.]com/monitor/images/Smarp140102[.]24[.]gif hxxp://www[.]forensic[.]zyns[.]com/monitor/images/Smarp140102[.]24[.]gif hxxp://113[.]10[.]221[.]89/Pictures/sbsb_0620[.]24[.]jpg hxxp://bbs[.]ccdog[.]net/Pictures/sbsb_0620[.]24[.]jpg hxxp://www[.]forensic611[.]3-a[.]net/monitor/images/Smartzh131225[.]24[.]gif hxxp://www[.]bannered[.]4dq[.]com/monitor/images/Smartzh131225[.]24[.]gif hxxp://www[.]forensic[.]zyns[.]com/monitor/images/Smartzh131225[.]24[.]gif hxxp://bbs[.]zzbooks[.]net/Pictures/lclc_0523[.]24[.]jpg hxxp://bbs[.]ccdog[.]net/Pictures/lclc_0523[.]24[.]jpg hxxp://113[.]10[.]221[.]89/Pictures/lclc_0523[.]24[.]jpg hxxp://50[.]117[.]38[.]164/Pictures/dzh_0925[.]24[.]jpg hxxp://www[.]cham[.]com[.]tw/images/dzh_0925[.]24[.]jpg hxxp://113[.]10[.]221[.]89/Pictures/dzh_0925[.]24[.]jpg hxxp://bbs[.]ccdog[.]net/Pictures/jpg_140430[.]24[.]jpg hxxp://198[.]100[.]122[.]66/Pictures/jpg_140430[.]24[.]jpg hxxp://192[.]69[.]221[.]92/Pictures/jpg_140430[.]24[.]jpg hxxp://www[.]bannered[.]4dq[.]com/monitor/images/SmartNav141216[.]64[.]gif hxxp://www[.]amberisic611[.]4dq[.]com/monitor/images/SmartNav141216[.]64[.]gif hxxp://www[.]metacu[.]ygto[.]com/monitor/images/SmartNav141216[.]64[.]gif hxxp://www[.]metacu[.]ygto[.]com/monitor/images/SmartNav141216[.]32[.]gif hxxp://www[.]amberisic611[.]4dq[.]com/monitor/images/SmartNav141216[.]32[.]gif hxxp://www[.]bannered[.]4dq[.]com/monitor/images/SmartNav141216[.]32[.]gif hxxp://bbs[.]ccdog[.]net/Pictures/20150120-hex[.]64[.]jpg hxxp://23[.]27[.]112[.]216/Pictures/20150120-hex[.]64[.]jpg hxxp://bbs[.]zzbook[.]net/Pictures/20150120-hex[.]64[.]jpg hxxp://bbs[.]zzbook[.]net/Pictures/20150120-hex[.]32[.]jpg hxxp://23[.]27[.]112[.]216/Pictures/20150120-hex[.]32[.]jpg hxxp://bbs[.]ccdog[.]net/Pictures/20150120-hex[.]32[.]jpg hxxp://bbs[.]ccdog[.]net/Pictures/h20141212012[.]64[.]jpg hxxp://23[.]27[.]112[.]216/Pictures/h20141212012[.]32[.]jpg hxxp://113[.]10[.]221[.]89/Pictures/h20141212012[.]32[.]jpg hxxp://bbs[.]ccdog[.]net/Pictures/h20141212012[.]32[.]jpg hxxp://113[.]10[.]221[.]89/Pictures/ooba_0823[.]24[.]jpg hxxp://198[.]100[.]122[.]66/Pictures/ooba_0823[.]24[.]jpg hxxp://50[.]117[.]38[.]164/Pictures/ooba_0823[.]24[.]jpg hxxp://www[.]metacu[.]ygto[.]com/monitor/images/SmartNav0120[.]64[.]gif hxxp://www[.]amberisic611[.]4dq[.]com/monitor/images/SmartNav0120[.]64[.]gif hxxp://www[.]bannered[.]4dq[.]com/moitor/images/SmartNav0120[.]64[.]gif hxxp://www[.]bannered[.]4dq[.]com/moitor/images/SmartNav0120[.]32[.]gif hxxp://www[.]metacu[.]ygto[.]com/monitor/images/SmartNav0120[.]32[.]gif hxxp://www[.]amberisic611[.]4dq[.]com/monitor/images/SmartNav0120[.]32[.]gif hxxp://www[.]dpponline[.]trickip[.]org/images/D2015_id[.]jpg hxxp://223[.]27[.]35[.]244/images/D2015_id[.]jpg hxxp://www[.]myinfo[.]ocry[.]com/images/D2015_id[.]jpg hxxp://49[.]254[.]211[.]75//tedws/1[.]64[.]jpg hxxp://107[.]183[.]183[.]235/public/1[.]64[.]jpg hxxp://49[.]254[.]211[.]75//tedws/1[.]32[.]jpg hxxp://107[.]183[.]183[.]235/public/1[.]32[.]jpg hxxp://flanando[.]fartit[.]com/2015/p1[.]64[.]jpg hxxp://flanando[.]fartit[.]com/2015/p1[.]32[.]jpg |