本ブログは米国で2019年03月19日に公開されたUnit 42ブログ「Cardinal RAT Sins Again, Targets Israeli Fin-Tech Firms」の日本語翻訳です。

2017年、パロアルトネットワークス脅威インテリジェンス調査チームUnit 42はCardinal RATと呼ばれる少数のマルウェアファミリについて報告し、分析しました。このマルウェアファミリはそれまで2年以上検出されることなく活動を続けていました。また、Carp Downloaderという名前のユニークなダウンローダを介して配信されていました。それ以降、この脅威の監視を続けてきた結果、更新されたCardinal RATを使用した一連の攻撃が発見されました。 RATには一連の変更が加えられており、その多くは検出を回避して分析を妨げるために使用されています。   

私たちは、主にイスラエルに拠点を置く組織に焦点を当てた金融技術(フィンテック)セクターを標的とする攻撃を目撃しました。これらの攻撃を調査している間に、Cardinal RATとEVILNUMという別のマルウェアファミリが関連している可能性があることを発見しました。 EVILNUMはJavaScriptベースのマルウェアファミリで、同様の組織に対する攻撃に使用されます。   


Cardinal RATがBMPのテクニックを利用

Cardinal RATの最初の発見以降、攻撃者は特に難読化技術について複数のマイナーアップデートを行っていますが、このテクニックが説明する価値のあるものでした。この分析のために、Cardinal RATの最新版を見てみましょう。  

SHA256 b742162197744a8caeb09f954213a3172ed699f8375f69c40b57b8c219c5e37c 

 

 前回2017年のCardinal RATについてのブログでは本マルウェアファミリのバージョン1.4について説明を行いました。ペイロード内の情報に基づき、この最新のサンプルはバージョン1.7.2として識別することにします。前回説明したサンプルとは異なり、この最新のCardinal RATでは、さまざまな難読化手法を使用して隠されたコードの分析を妨げています。難読化の最初のレイヤーはステガノグラフィの形態をとっています。最初のサンプルは.NETでコンパイルされており、埋め込みビットマップ(BMP)ファイルが含まれています。

 図1 .NETローダーに含まれている埋め込みBMPファイル

実行されると、このマルウェアはBMPファイルを読み取り、画像からピクセルデータを解析し、1バイトのXORキーを使用して結果を復号化します。本稿末尾の付録に、このプロセスを自動化するためのPythonスクリプトを用意しています。その結果、.NETでコンパイルされたDLLが次のハッシュで生成されます。  

SHA256 01e007b8304eb0cbcb2be11ddb86298dc85c084fb5459eda319a69ef50799f88 

 

このファイルがメモリにロードされた後、イニシャルローダーは'corerun'関数をロードして実行し、マルウェアの第2段階を開始します。 DLLは、Windows組み込みのchoiceユーテリティを使ってスリープを実行することから始めます。 

 cmd.exe /c choice /C Y /N /D Y /T 20 

このコマンドは、20秒のタイムアウトでユーザーに選択を促し、その後でプロセスが終了します。ウィンドウは隠されており、この選択肢には意味がないので、マルウェアは単にこれをスリープコマンドの代わりに使っています。 

第2段階のDLLは、第1段階の実行可能ファイルから 'strings'の埋め込みリソースを読み込みます。このリソースの一部は、ドロッパーに設定情報を提供するために復号化されます。この設定情報は、マルウェアがそのインストールルーチンに入るかどうかを指示します。インストールルーチンでは、まず %TEMP%\[random].ini に一意のGUID識別子を書き込みます。その後、次のディレクトリを作成します。

%APPDATA%\Microsoft\Windows\IEConfig
 

続いて下記のハッシュで埋め込まれた実行ファイルを %TEMP%\[random].exe に書きます。このファイルの内部ファイル名は RunExecutive.exe で、2つ目の引数の内容を1つ目の引数で指定されたファイルパスにコピーするだけです。   

SHA256 2167d393ec89ec0c6e2d7557a7ad22aa1953dd8082f599bee14977c25a128cce 

 

このマルウェアは、GUIDを使用して、ランダムに生成されたファイル名で被害者のスタートアップフォルダにLNKファイルを作成します(例: {fcb29182-b3cc-47e2-a95c-b22c6d87dda1}.lnk)。LNKファイルは次のコマンドを実行します。 

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden "%APPDATA%\Microsoft\Windows\IEConfig\[random]\sqlreader.exe"

最後に、このマルウェアは引数を指定して先のRunExecutive.exeを実行し、元の実行可能ファイルを上記のsqlreader.exeファイルパスにコピーします。  

埋め込みリソースの残りの部分は、16バイトのXORキーを使用して復号化され、.NET実行可能ファイルになります。この実行ファイルは、システム上の次の2つの正規の実行ファイル/プロセスのいずれかに挿入されます。  

  • RegSvcs.exe
  • RegAsm.exe

このマルウェアファミリの以前のバージョンでは、インジェクション先の正規プロセスが多数ありました。最終ペイロードは次のハッシュを持ちます。 

SHA256 04de4b51c881e65236c9efdbfbc0099e6b48fd1723a6e51bf480b52104dd2ba2 

 

難読化によって隠されたCardinal RATペイロードは、その動作や機能の点では以前のバージョンと比べて大きな変更はありません。最も重要な変更の1つは、マルウェアが使用している難読化手法です。すべての関数、メソッド、変数はMD5ハッシュに改名されています。 

図2 Cardinal RATペイロードに存在する難読化

使用されている難読化ルーチンに加えて、マルウェア自体にもいくつかの小さな変更が加えられています。まず、埋め込み設定には、埋め込み値の順序と、存在している値の両方にいくつかの変更があります。さらに、この設定のエンコード方法がわずかに変更されました。バージョン1.4ではbase 64でエンコードされていたいくつかの値は、base 64エンコードされなくなっています。


	$ python parseConfig.py GreyCardinalConfig 
	Mutex: {509ce3ef-e03e-467e-be19-710782f13c28} 
	Campaign Identifier: '\xf1\xaf\x02i.]\xa4\xe0' 
	C2 Server: affiliatecollective[.]club 
	C2 Port: 443 
	Hash Value: 0304674e9876530dfbea5a9b4fec7b98 
	Additional C2 Servers: 0 
	GUID: '\xd6\x04hr\x9a\xedLN\xae\xe8\xd0\x87\x80\x19\x15z' 
	Buffer Size: 81920 
	Max Buffer Size: 40960000 
	Sleep Timer Between Requests: 2000 
	Unused Integer: 60000 
	Unused Integer: 0 
	Perform Keylogging: 0 
	Disable Sleep on Victim: 0 

遠隔操作を行う攻撃者に提供されているネットワーク通信やアクションは両バージョンで一貫しています。ですので、前回のブログで提供していたスクリプトは、そのまま本マルウェアファミリの最新バージョンが生成するネットワークトラフィックの解析に利用できます。マルウェア内には以下のアクションが今バージョンでも存在しています。 

  • 被害者情報を収集する
  • 設定を更新する
  • リバースプロキシとして機能する
  • コマンドを実行する
  • 自分自身をアンインストールする
  • パスワードを復元する
  • 新しいファイルをダウンロードして実行する
  • キーロギング
  • スクリーンショットをキャプチャする
  • Cardinal RATを更新する
  • ブラウザからのCookieを消去する


EVILNUMの分析

Cardinal RATサンプル提出とほぼ同じ時期に同一のお客様から提出されたファイルを確認したところ、EVILNUMとして追跡していたマルウェアファミリが提出されていたことがわかりました。私たちの見解では、これは金融関連組織に対する攻撃にのみ使用されていると思われる別のマルウェアファミリです。 

オンラインのサンドボックスに提出された内容を相互参照してみたところ、それとは別の組織が同じ日にEVILNUMとCardinal RATの両方を提出しているという事例が見つかりました。どちらのマルウェアもあまり数が出ていない、まれなマルウェアファミリです。 

私たちはこれにEVILNUM(邪悪な数)という名前を使用することにしました。このマルウェアのいくつかのバージョンでは、ページを読みこんで数値をパースし、その数値を666で割って出した10進数の値をIPアドレスに変換しているからです。このマルウェアには少なくとも2つのバージョンがあり、1つはJavaScriptで書かれたもの、もう1つは.NETで書かれたものです。 

SHA256 タイプ
bee6c5a506d6fb2cc129443c74b7676fbb9a79b53b92b2cac4c7fb8209592714  .NET 
97c97ad2baef37eea023549131c192f441aa7976747166cd31095e7dad17948c  JS 

 

使用されているプログラミング言語に違いはあるものの、サンプルは似ています。私たちは.NET版が.JSバージョンを書き換えたものである可能性が高いと考えています。 

EVILNUMはすでにこちらの公開されているドメインですでに説明されています(ただしマルウェアファミリには名前が割り当てられていません)。また、Twitterでも複数のアナリストが注目していました。これは、攻撃者が他のユーティリティを感染ホストにインストールするかどうかを決定するため、感染ホストに関するデータを攻撃者に提供する第1段階のマルウェアファミリです。EVILNUMがサポートしているコマンドはバージョンによって異なります。 

  • 永続性を確保する
  • "cmd /c" を使用して任意のコマンドを実行する
  • 追加ファイルをダウンロードする
  • スクリーンショットを撮れるかどうか

マルウェアの動作はすでにpwncodeの記事で詳しく説明されているので、以下の表に、古いバージョンと新しいバージョンのマルウェアの違いと類似点をいくつか簡単に示します。  

  2018年5月のバージョン 2019年1月のバージョン
バージョン番号 1.3 2.1
使用されるC2 公開されているフォーラム/Git、番号を 666 で割って求める、num2ip  公開されているフォーラム/Git、番号を 8 で割って求める、num2ip 
ローカルのcookieを盗む機能があるか
ロックファイルを使用するか
スタートアップにLINKとして追加する
スタートアップメソッドの追加方法 コマンドライン経由  レジストリファイルのインポート 
関数の命名 this_function  ThisFunction 
スクリーンショットを撮れるかどうか

 

表1 EVINUMのバージョン間の類似点(緑)と相違点(赤)のハイライト

このマルウェアは、(作者のバージョン番号で示されるように)全体的に書き換えが行われているようで、多くの機能がはじめから書き直されています。

それにもかかわらず、マルウェアのコアとなる機能はほとんど同じで、マルウェアファミリに採用されているコンセプト(ロックファイルなど)も重複が見られます。このマルウェアは第1段階としてのみ機能するもので、攻撃者は興味の対象となるネットワークを標的にするため、追加ツールを配信する可能性があります。 


標的の選定

2017年4月以降、私たちはCardinal RATが弊社の顧客企業2社に攻撃を仕掛けていることを確認しています。どちらの企業も、外国為替と暗号通貨取引に関連するソフトウェアを開発しているフィンテック企業で、イスラエルを拠点としています。 VirusTotalに提供されたサンプルを探すと13個のCarp Downloader文書が見つかります。なお、ここでは「入り口」となるファイルだけを探しており、2段階目でドロップされたファイルを探しているわけではない点に注意してください。図1でこれらの文書の最初の提供者を見ると、それらがほぼイスラエルからアップロードされているのがわかります。 

 

 図3 VirusTotalへのCarp Downloader提供者の国別分布

 EVILNUMについては、本稿前半で参照した企業での事例のみが観測されています。ただし、パブリックなサンドボックスからの調査結果を見てみると、第1段階の感染に使用されるファイルの配信は、LNKファイルによるものがもっとも一般的であるようです。図4に示すように、EVILNUMの最初の提供者の地理的分布はかなり異なります。 

 

 図4 VirusTotal へのEVILNUM 提供者の国別分布

結論

Cardinal RATとEVILNUMは、どちらもフィンテック企業に限定的に配信されている攻撃で使用されています。ある事例では、両方のマルウエアが同じ標的企業で短時間で観察されており、両マルウェアファミリに利用されるドロッパーも似たような内容のルアー(わな)文書を使っていました。 

したがって、これらのマルウェアファミリは、フィンテック企業への標的型攻撃に使用されるものだと言えます。 

  • 私たちのテレメトリも、これらのマルウェアファミリが本セクターに属する企業に対してのみ使用されている様子を示しています。
  • ルアー文書は一貫して、外国為替/暗号通貨の取引に関与している個人の名前/番号のリストに関連していました。この分野以外の個人を標的にするならほぼ選ばれないであろうニッチな主題です。

 私たちは、両マルウェアファミリが同じ攻撃者によって使用されている可能性があると考えています。 

  • 2つの事例では、ある特定企業が両マルウェアファミリに立て続けに標的にされた、ないし標的にされた様子があることが分かっています。
  • 両マルウェアファミリとも、外国為替/暗号通貨の取引に関与している個人の名前/番号のリストを含む悪意のある文書により配信されています。
  • 地理的分布の違いは、単純に観測できた範囲の違いとして説明することができます。

 ただし、2つのマルウェアファミリの関連性については議論の余地があります。

  • これらのマルウェアファミリが観測された地理的な広がりに関していえば、各ファミリの標的の選定がかなり異なっている様子があります。 
  • 各マルウェアファミリの配信方法にほとんど類似点がありません。
  • 各マルウェアファミリに関連付けられたインフラストラクチャは、ホスティングプロバイダやその他の属性から観測される限り重複は見られず、それぞれに特異なものです。

たとえ2つのマルウェアファミリに関連がなくとも、どちらも似たような標的を興味の対象としているため、フィンテック企業はこれらのマルウェアから確実に保護されていなければなりません。攻撃者が標的としたネットワークへの侵入を果たした後、何を行うのかについての洞察は得られていませんが、選定された標的から見て、攻撃者は金銭的利益を得るためにこのアクセスを利用する可能性があります。 

 効果的なスパムフィルタリング、適切なシステム管理、最新のWindowsホストを使用している組織は、感染のリスクがはるかに低くなります。これらの脅威に対する一般的な防御策は次のとおりです。  

パロアルトネットワークスのお客様は、次のようにしてこの脅威から保護されています。 

  • EVILNUMの亜種は、IPSによってブロックされます。脅威ID 18781 および 18782 を参照してください。
  • WildfireとTrapsは本稿に記載したすべてのファイルをマルウェアとして検出します。

 AutoFocusをお使いのお客様は次のタグを使用してこれらの活動を追跡できます: CarpDownloaderEVILNUM


付録

Cardinal RATドロッパーからBMPを復号化するためのスクリプト

from PIL import Image
import sys
from struct import *
im = Image.open(sys.argv[1])
pix = im.load()
width, height = im.size
fileSize = unpack("I", (pack("bbbb", pix[0,0][0],pix[0,0][1],pix[0,0][2],pix[1,0][0])))[0]


key = 187
out = ""
for ind, h in enumerate(range(height)):
   if ind == 0:
   j = 2
   for w in range(width-2):
      pixel = pix[j, ind]
      out += chr(pixel[0] ^ key)
      out += chr(pixel[1] ^ key)
      out += chr(pixel[2] ^ key)
      j += 1
   else:
      for k in range(width):
         pixel = pix[k, ind]
         out += chr(pixel[0] ^ key)
         out += chr(pixel[1] ^ key)
         out += chr(pixel[2] ^ key)


finished = out[0:fileSize]
print("Writing output to 'dumped.exe_'…")
fh = open("dumped.exe_", 'wb')
fh.write(finished)
fh.close()

IOC

Cardinal RATのサンプル

b742162197744a8caeb09f954213a3172ed699f8375f69c40b57b8c219c5e37c 
06151c14153e983ae7ab793c7cd0e5ac3faf8e200894955b02e1191429eff29a 
9e6671a8af28e0ab6c37c044d85a2406b665a171ae3bef46f3e90d06e33027ae 
448c33094322b200c53ff016fec29469b3e52def359430113115cc70d7f28704 
06f1348c8a2ffab67627556075ddcad92998526d4d3802b9c2357d169531825f 
ca8af85f7eed79a73984b2dccd3dd2148865dfed7a009842be7372e6ce18037f 
75ca794f265ebad84954f13480e0e31c17048d21c4b52e949864c951437d0c2c 
78e2929e5dae8677f9db3aa7eaa96ad584c872343698e18f85349a027328b3ea 
f4f52c45ca3d4d4ce33981f660d23e8df4a9c0e345fdd6429d8b46f6c0528c38 
dd8fe0e27bf798cace40ac0d58b833ba3bbf16d80175296601585ed1964465ec 
20fec2d1824b585aa558b7cf9e9980acd665736ce9f7a124507cf46afb30c79f 
dab228c236d48fa1660bcec59e17e5004726741a85b0fbeef8300f29927c32d9 
f75883ff35104a032dd047ca39d35ec98601c76aa02f58ad655df6deaadecb55 
a545288c4d491d510972d583b773f8a0c5dc355942e322cf767d33121c659c1c 
64a9bdf4ff33e8f2e74dc16d7dce0f392aa130ff9b99458778fd25d9aadff381 
66f38591e8c80bb26623b0e6be5ab976fdf745c2afa020c7d98e2814960b5961 
65b726aab53920c497f83eb1f3cbd6b7dbfc2074aab6761b7485aa98f2df139a 
3ec85a019a480114856d3022961d7a55c1ae7cfa81b0073b2c1abcf99e0e541f 
43fb0b13f9872a54f91a7bf202b23a8a16de99d054a83ed08b9ea97f9e2675e8 
137f9265cba1101ae5d63b94c6ad1b47c7d02f0ab4f54a1af3169422791790cf 
101af6fdb990e5e9584382a65f5cee7efd9e89c38e928beca18419bdf70ef076 
f9bccd349cf841d0f25e81d80a1b4bf73dd960a1f3aa71029a18e36480c80392 
f027735c3db77e67cf7bada8862ddbb0d85a2caacbb4b2825e4acdfa863a14c9 
75996bbfcd2b343523ed79476f9516cc7d2b041c43841e5e735db4f22ae970c3 
0097dd7676b810bd0c1c70d8c86604c830e1e8e88f6a13c3869747faba381076 
08ce077e8d54db08ede1095d03286146d04e8cbce74ec91a9fc7b9d0a99ddb9f 
28e9e0fcc6899db7a16315d3dca38b6166ba318f8ca07b422ebadaab209b589b 
2247c528fc1b90b725d857cc5d45572e864c6c4948100458774f0ef6a8f11403 
dfa041f6cbe9d83cdaaed90466693efca33729c99fa43b29ab8e44bb27eb0a6b 
4045950ffa263b92774e92ab36b3ec52bf18f1c133b8d155819629d2ad4b3d1c 
85f1053041ef7af8a1c3d941e18de21e7adc24537863063d127bab8a8d2dc64b 
98200955db80cb5835158320ba94b2b55bc7028ea988b75f02adee3df40793f3 
ae8fb2f138981f10092761768428fb312e3e49bc23d5b610e3127c1a387aede8 
66f43e57648f01ea5f8d0d152db1df90c764eebeb701403936a15c47e2965353 
943cef39e54457fcfa21f5a8ed0f04095c1d4b798453770be5dda5db7d5406ac 
ca2a01792873233693e17fe51c4c86c05d07e31f9b579ab0444dd89733633532 
4fde64e9391d36aaff700ce0be3df9e7e6303b6de114332286de694af33dd7da 
5909b5999d3998f578a3acb4bf85e0b3fde102c417c40b6beed0dd3b8ceb51bf 
0212334200668ac64cb63fc1a4f4ea17e956f6928a2211c945c2e07f1b25a3ef 
bae230d6a988723b33158bbeef4ab90b1bff7b521fed9cab0c5e1f5b69a01de5 
b01b7a5798f41a5fae54b4189db6f47c6110a0b53a4df32cb7d0f13503c5250c 
fb63acfda1730132dbfbf1d46834d771156aac3f7c8e97ea136ca6edbe811fad 
268c3c9a98f2a15aaab9b0488225b0ba4e3d35efa30f6fed9052ffd31042bd7b 
0afec067628e901f7151861b0924ffb1909d21a707177b1e6cf2c8d491bb1a60 
985d893426373d4e71386d731e5bc44c1c2ac93e0920dddeb4380929af43dfcb 
82017e34c232e05094c2bbed2e62f6b55c1ed8f645803784cac791cc4690beaf 
8d8ccaf5a241112d173147b6b08ad5b7953c940ff5928e3046781c1e58a9c73a 
427b635915e0fe313ce58175faa1cc240ae26183fb88d05864bc20ef6d87aca3 
00f93492edb3274f71686fa469f6c9031a94292a2776c623a1596f710bf4eaa1 
5dcec8a061195bd4a2c3e96afecc48b1f0143b6ac4644c518ed8a923d2dcbe21 
02e85f39adf8613fd1be610e4e76f4fac08949f2e0198e8cf89a7c3a17cdd6d9 
5e60f17396e2ddfce8e60c964056d63cc3b17646c31b4a4f934c2d1fb4f5ba71 
cbcb627ff2220ed269aaa58203e7e89f1988210073d35f5f4019f8ecfd012f81 
267b1df7bc64c1b93b604d964f52801733fdd43efaf7742810b9277f00ad17ff 
e017651dd9e9419a7f1714f8f2cdc3d8e75aebbe6d3cfbb2de3f042f39aec3bd 
778090182a10fde1b4c1571d1e853e123f6ab1682e17dabe2e83468b518c01df 
8fababb509ad8230e4d6fa1e6403602a97e60dc8ef517016f86195143cf50f4e 
1977cedcfb8726dea5e915b47e1479256674551bc0fe0b55ddd3fa3b15eb82b2 
16aab89d74c1eaaf1e94028c8ccceef442eb2cd5b052cba3562d2b1b1a3a4ba6 
9c47b2af8b8c5f3c25f237dcc375b41835904f7cd99221c7489fb3563c34c9ab 
211b7b7a4c4a07b9c65fae361570dbb94666e26f0cc0fa0b32df4b09fcee6de2 
fd61a5cd1a83f68b75d47c8b6041f8640e47510925caee8176d5d81afac29134 
84f822d9cf575aeea867e9b73f88ad4d9244293e52208644e12ff2cf13b6b537 
855cf3a6422b0bf680d505720fd07c396508f67518670b493dba902c3c2e5dfa 
4b4c6b36938c3de0623feb92c0e1cb399d2dc338d2095b8ba84e862ef6d11772 
5dd162ab66f0c819ee73868c26ecd82408422e2b6366805631eab95ae32516f3 
6e2991e02d3cf17d77173d50cdaa766661a89721c3cc4050fba98bea0dbdb1a9 
1e8ed6e8d0b6fc47d8176c874ed40fb09644c058042f34d987878fa644f493cc 
647e379517fed71682423b0192da453ec1d61a633c154fdd55bab762bcc404f3 
ebd4f45cbb272bcc4954cf1bd0a5b8802a6e501688f2a1abdb6143ba616aea82 
edc49bf7ec508becb088d5082c78d360f1a7cad520f6de6d8b93759b67aac305 
7482f8c86b63ce53edcb62fc2ff2dd8e584e2164451ae0c6f2b1f4d6d0cb6d9c 
2fbd3d2362acd1c8f0963b48d01f94c7a07aeac52d23415d0498c8c9e23554db 
154e3a12404202fd25e29e754ff78703d4edd7da73cb4c283c9910fd526d47db 
fc5f7a21d953c394968647df6a37e1f61db04968ad1aca65ad8f261b363fa842 
a1d5b7d69d85b1be31d9e1cb0686094cc7b1213079b2a66ace01be4bfe3fb7c3 
4b0203492a95257707a86992e84b5085ce9e11810a26920dbb085005081e32d3 
a05805bcec72fb76b997c456e0fd6c4b219fdc51cad70d4a58c16b0b0e2d9ba1 
4e953ea82b0406a5b95e31554628ad6821b1d91e9ada0d26179977f227cf01ad 
6272ed2a9b69509ac16162158729762d30f9ca06146a1828ae17afedd5c243ef 
440504899b7af6f352cfaad6cdef1642c66927ecce0cf2f7e65d563a78be1b29

Carp Downloaderのサンプル

9a2491d803407b8696d6b797f8b90d728a8db3583bf4c2977cbeef8be0eb7249 
7220e659d59491db50661c54762b49bf6976acbeb723b5d59abde48301c86228 
c2d944a939bdc810d603149c0685f0bcb55a84d1f3a6ea33e9debe893fd0a8dd 
d562f01384b1d215758227fb2c165ed633fe9997096613fed8ce3bdf8963e4fd 
fdee357557a69d3dfa629d0cbd585d9c5dadc526dfb424af56c8edcc7a67d556 
0716f3f9cb0dead0c1f156a07adfeb3e0d72e4ea4af7b67238fae3e1ae670f90 
2016766acaeb1b89415fb6ef03f6ee815b8fe76b8955a6a41d2bbb28dfa74c28 
d7996ac876fa0ece281e49e7955dfbbf4ef1239b1ee63a0e21d6c4ed4b7c6559 
96067fc9b137ceecab2ff29ac56ff6897a7c73657ace7c40d70b7c1ebaaccf39 
ea581e8e625a3748da9663414182d1b99f9c5ddb0b9db2fbf1059a28c69cc10c 
a2dfe3a5a1e999af7f1920d28e05d8b0ce66c6e8b2947177878862ce1f870b17 
5665527ce54ed1a79ddb8e3c10499ac0b7af5c79a8cf5a37448baccbf6dba09f 
b4632dcf0b23467970ee7e0844e7c8a931dc3a0f549c0aa5e40e41c1b5b31fdc 
6ecd376cdc182bf157e59d500da6092891e6cd9a61305214e462d6e990e6e834 
0fabc65c316e8d84493d07cd39bfdd59481af9f9a7ebc9103693f1788438a438 
a52ba498d304906d6c060e8c56ad7db50e1af0a781616c0aa35447c50c28bae9 
5025aa0fc6d4ac6daa2d9a6452263dcc20d6906149fc0995d458ed38e7e57b61 
1181f97071d8f96f9cdfb0f39b697204413cc0a715aa4935fe8964209289b331 
d5d885734969641f43c64edf9788837df0d3452413a7ef835f8910d56c60c91c 
0438becfd66d728778f47d734d2f0bc4d1462d945cf4b6dde9fbf627eb0bb02d 
84e705341a48c8c6552a7d3dd97b7cd968d2a9bc281a70c287df70813f5dca52 
ae1a6c4f917772100e3a5dc1fab7de4a277876a6e626da114baf8179b13b0031 
e49e61da52430011f1a22084a601cc08005865fe9a76abf503a4a9d2e11a5450 
192b204dbc702d3762c953544975b61db8347a7739c6d8884bb4594bd816bf91 
571b58ba655463705f45d2541f0fde049c83389a69552f98e41ece734a59f8d4 
10f53502922bf837900935892fb1da28fc712848471bf4afcdd08440d3bd037f 
8bea55d2e35a2281ed71a59f1feb4c1cf6af1c053a94781c033a94d8e4c853e5 
057965e8b6638f0264d89872e80366b23255f1a0a30fd4efb7884c71b4104235

Cardinal RATのインフラ(2017年中頃以降に観測されたサンプルのみ)

s.dropinbox[.]host 
secure.dropinbox[.]pw 
s.spotmacro[.]online 
secure.spotoption[.]pw 
190.10.8[.]238 
affiliatecollective[.]club

EVILNUMのインフラ

hxxps://raw.githubusercontent[.]com/venomisherenow/wearevenom/master/README.md 
hxxps://raw.githubusercontent[.]com/idontwantcofee/ihavepoop/master/README.md 
hxxps://raw.githubusercontent[.]com/yoshimaster8/whatcha/master/readne 
hxxps://raw.githubusercontent[.]com/grobagala/pizza/master/readne 
hxxps://gitlab[.]com/githubuser/testing/commits/master 
hxxps://raw.githubusercontent[.]com/sarutubi/Luckyluke/master/README.md 
hxxps://raw.githubusercontent[.]com/hititdolly/justcallmeangel/master/README.md 
hxxps://www.codeplex[.]com/site/users/view/saidjaosdjo 
hxxps://raw.githubusercontent[.]com/iuasbduias/auhidshas/master/README.md 
hxxps://www.digitalpoint[.]com/members/bitbox123.922831/ 

139.28.37[.]0 
127.194.87[.]192 # likely attacker testing 
127.194.73[.]243 # likely attacker testing 
wikipeldia[.]org 
185.247.211[.]198 
185.20.187[.]4 
193.22.96[.]98 
193.22.98[.]182 
193.22.99[.]168