序章
2018 年 1 月から 2018 年 3 月にかけて、FireEye の Dynamic Threat Intelligence を通じて、攻撃者が最新のコード実行および永続化技術を利用して、悪意のあるマクロベースのドキュメントをアジアおよび中東の個人に配布することを確認しました。
この活動は、TEMP.Zagros ( Palo Alto NetworksおよびTrend Microによって MuddyWater として報告されています) によるものであると考えられます。この攻撃者は、少なくとも 2017 年 5 月から活動を続けているイラン関連の攻撃者です。中央および南西アジア。通常、スピア フィッシング メールと添付された悪意のあるマクロ ドキュメントには、地政学的なテーマが含まれています。実行に成功すると、悪意のあるドキュメントは、POWERSTATS として追跡するバックドアをインストールします。
これらのファイルの分析中に観察されたより興味深い観察結果の 1 つは、最新の AppLocker バイパスの再利用と、間接的なコード実行を目的としたラテラル ムーブメント テクニックでした。ラテラル ムーブメント手法の IP アドレスは、システム上でコードを実行するためにローカル マシンの IP アドレスに置き換えられました。
キャンペーンのタイムライン
このキャンペーンでは、攻撃者の戦術、技術、手順 (TTP) が約 1 か月後に変化し、標的も変化しました。この活動の簡単なタイムラインを図 1 に示します。
キャンペーンの最初の部分 (2018 年 1 月 23 日から 2018 年 2 月 26 日まで) では、VBS ファイルと INI ファイルをドロップするマクロベースのドキュメントが使用されました。 INI ファイルには、Base64 でエンコードされた PowerShell コマンドが含まれています。このコマンドは、WScript.exe を使用した実行時に VBS ファイルによって生成されたコマンド ラインを使用して、PowerShell によってデコードおよび実行されます。プロセス チェーンを図 2 に示します。
実際の VBS スクリプトはサンプルごとに変更され、難読化のレベルが異なり、プロセス ツリーの次の段階を呼び出す方法も異なりましたが、最終的な目的は変わりませんでした。つまり、PowerShell を呼び出して、ドロップされた INI ファイル内の Base64 でエンコードされた PowerShell コマンドをデコードすることでした。マクロによって以前に、それを実行します。 MSHTA を介して PowerShell を呼び出す VBS の例の 1 つを図 3 に示します。
キャンペーンの第 2 部 (2018 年 2 月 27 日から 2018 年 3 月 5 日まで) では、PowerShell コードの実行に VBS を使用しないマクロの新しい亜種が使用されました。代わりに、INF ファイルと SCT ファイルを活用する最近公開されたコード実行手法の 1 つを使用します。これについては、ブログの後半で説明します。
感染ベクター
このキャンペーンに関与するすべての攻撃の感染経路は、電子メールの添付ファイルとして送信されるマクロベースのドキュメントであると考えられます。私たちが取得できたそのような電子メールの 1 つは、図 4 に示すように、トルコのユーザーを対象としていました。
私たちが確認した悪意のある Microsoft Office の添付ファイルは、トルコ、パキスタン、タジキスタン、インドの 4 か国の個人向けに特別に作成されたようです。以下に 4 つの例を示します。完全なリストは、ブログの最後にある「侵害の痕跡」セクションにあります。
図 5 は、パキスタン国民議会からのものであると称する文書を示しています。
図 6 は、トルコ語で書かれたコンテンツを含む、トルコ軍からのものであると称する文書を示しています。
Institute for Development and Research in Banking Technology (インド準備銀行によって設立された) からのものであると称する文書を図 7 に示します。
図 8 は、タジキスタン共和国内務省を装ったタジク語で書かれた文書を示しています。
これらのマクロベースのドキュメントはそれぞれ、コードの実行、永続化、およびコマンド アンド コントロール (C2) サーバーとの通信に同様の手法を使用していました。
INF と SCT による間接的なコード実行
INF ファイルと SCT ファイルを利用するこのスクリプトレット コード実行手法は、最近発見され、2018 年 2 月に文書化されました。
Word 文書のマクロは、ハード コードされたパス C:programdata に 3 つのファイルをドロップします。パスはハードコードされているため、実行は Windows 7 以降のオペレーティング システムでのみ観察されます。次の 3 つのファイルがあります。
- Defender.sct – 悪意のある JavaScript ベースのスクリプトレット ファイル。
- DefenderService.inf – 上記のスクリプトレット ファイルを呼び出すために使用される INF ファイル。
- WindowsDefender.ini – Base64 でエンコードされ難読化された PowerShell スクリプト。
3 つのファイルをドロップした後、マクロは永続化を実現するために次のレジストリ キーを設定します。
REGISTRYUSERSIDSoftwareMicrosoftWindowsCurrentVersion
nRun”WindowsDefenderUpdater” = cmstp.exe /sc:programdataDefenderService.inf
システムの再起動時に、cmstp.exe を使用して、INF ファイルを介して間接的に SCT ファイルを実行します。これが可能なのは、INF ファイル内に次のセクションがあるためです。
[OCXセクションの登録解除]
%11%scrobj.dll,NI,c:/programdata/Defender.sct
このセクションは、INF の DefaultInstall_SingleUser セクションを通じて間接的に呼び出されます (図 9 参照)。
このコード実行方法は、セキュリティ製品を回避するために実行されます。 FireEye MVX および HX エンドポイント セキュリティ テクノロジーは、このコード実行手法を正常に検出します。
SCT ファイル分析
Defender.sct ファイルのコードは難読化された JavaScript です。 SCT ファイルによって実行される主な機能は、WindowsDefender.ini ファイルの内容を Base64 でデコードし、次のコマンド ラインを使用してデコードされた PowerShell スクリプトを実行することです。
powershell.exe -exec バイパス -c iex([System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String((get-content C:ProgramDataWindowsDefender.ini)
残りの悪意のあるアクティビティは、PowerShell スクリプトによって実行されます。
PowerShell ファイル分析
PowerShell スクリプトは、いくつかの難読化レイヤーを使用して、実際の機能を隠しています。難読化手法に加えて、分析マシン上のセキュリティ ツールを検出する機能も備えており、そのようなツールの存在を検出した場合はシステムをシャットダウンすることもできます。
使用される主要な難読化手法の一部は次のとおりです。
- 文字置換:文字置換および文字列反転技術 (図 10) のいくつかのインスタンスにより、分析が困難になります。
- PowerShell 環境変数:現在、マルウェアの作成者は一般に、環境変数を使用して「IEX」などの重要な文字列をマスクしています。このスクリプトで使用されるインスタンスの一部は次のとおりです。
- $env:puBLic[13]+$ENv:pUBLIC[5]+’x’
- ($ENV:cOMsSPEC[4,26,25]-jOin”)
- XOR エンコード:図 11 に示すように、PowerShell スクリプトの最大のセクションは、1 バイトのキーを使用して XOR エンコードされています。
PowerShell スクリプトのコンテンツの難読化を解除すると、それを 3 つのセクションに分けることができます。
セクション 1
PowerShell スクリプトの最初のセクションは、PowerShell スクリプトの残りのセクション、特に次の変数で使用されるさまざまな主要変数の設定を担当します。
- TEMPPAtH = “C:ProgramData” (一時ファイルの保存に使用されるパス)
- Get_vAlIdIP = https://api.ipify.org/ (マシンのパブリック IP アドレスを取得するために使用)
- FilENAmePATHP = WindowsDefender.ini (Powershell コードの保存に使用されるファイル)
- PRIVAtE = 秘密鍵指数
- PUbLIc = 公開鍵指数
- Hklm = “HKLM:ソフトウェア”
- Hkcu = “HKCU:ソフトウェア”
- 値 = 「カスペルスキー」
- システムID
- DrAGon_MidDLe = [プロキシ URL の配列]
これらの変数の中で特に興味深い変数が 1 つあります。DrAGon_MidDLeは、C2 とのやり取りに使用されるプロキシ URL のリストを格納する変数です (このブログの最後にある「侵害の兆候」セクションの「ネットワーク インジケーター」の部分で詳しく説明しています)。図 12 に示すとおりです。
第2節
PowerShell スクリプトの 2 番目のセクションには、システムと C2 サーバーの間で交換されるメッセージの暗号化と復号化を実行する機能があります。暗号化と復号化に使用されるアルゴリズムは RSA で、PowerShell スクリプトのセクション 1 に含まれる公開キーと秘密キーの指数を利用します。
セクション 3
PowerShell スクリプトの 3 番目のセクションは最大のセクションであり、さまざまな機能を備えています。
分析中に、C2 サーバーへの接続中にエラーが発生した場合に、中国語で記述され、スクリプトにハードコードされたメッセージが出力されるコード セクションを確認しました。
このメッセージの英訳は、「Web サイトに接続できません。ドラゴンをお待ちください」です。
PowerShell スクリプトのこのセクションで提供されるその他の機能は次のとおりです。
- Windows Management Instrumentation (WMI) クエリと環境変数を利用して、システムから次のデータを取得します。
- ネットワーク アダプタ構成の IP アドレス
- OS名
- OS アーキテクチャ
- コンピュータネーム
- コンピューターのドメイン名
- ユーザー名
このデータはすべて連結され、図 13 に示すようにフォーマットされます。
- REGISTER コマンドをサーバーに送信して、被害者のマシンを C2 サーバーに登録します。それに応じて、ステータスが OK の場合、被害者のマシンと C2 サーバー間のアクティビティを同期するために使用される TOKEN が C2 サーバーから受信されます。
C2 サーバーへの送信中、データは次のようにフォーマットされます。
@{SYSINFO = $get.ToString();アクション = “登録”;}
- スクリーンショットを撮る機能。
- セキュリティ ツール (詳細は付録を参照) の存在をチェックし、これらのセキュリティ ツールのいずれかが検出された場合、システムはシャットダウンされます (図 14 参照)。
- C2 サーバーから PowerShell スクリプトを受信し、マシン上で実行する機能。 PowerShell コードを実行するために、いくつかの手法が採用されています。
- コマンドが「excel」で始まる場合、Excel.Appilcation の DDEInitiate メソッドを利用してコードを実行します。
- コマンドが「outlook」で始まる場合、Outlook.Application と MSHTA を利用してコードを実行します。
- コマンドが「risk」で始まる場合、実行は DCOM オブジェクトを通じて実行されます。
- ファイルのアップロード機能。
- Windows レジストリで次のキーを設定することにより、Microsoft Office の保護されたビュー (図 15 を参照) を無効にする機能:
- DisableAttachmentsInPV
- DisableInternetFilesInPV
- DisableUnsafeLocationsInPV
- 図 16 に示すように、C2 サーバーから受信したコマンドに基づいて、システムをリモートで再起動、シャットダウン、またはクリーンアップする機能。
- 一定時間眠る能力。
次の表は、この PowerShell スクリプトでサポートされている主な C2 コマンドをまとめたものです。
C2 コマンド |
目的 |
リブート |
shutdown コマンドを使用してシステムを再起動します。 |
シャットダウン |
shutdown コマンドを使用してシステムをシャットダウンします。 |
掃除 |
ドライブをワイプ、C:、D:、E:、F: |
スクリーンショット |
システムのスクリーンショットを撮る |
アップロード |
システムからの情報を暗号化してアップロードする |
エクセル |
コードの実行に Excel.Application COM オブジェクトを活用する |
見通し |
コードの実行に Outlook.Application COM オブジェクトを活用する |
危険 |
コード実行に DCOM オブジェクトを活用する |
結論
この活動は、TEMP.Zagros が最新のコード実行および持続メカニズム技術を常に最新の状態に保ち、これらの技術を利用してマルウェアを更新できることを示しています。複数層の難読化を組み合わせることで、リバース エンジニアリングのプロセスを阻止し、セキュリティ製品を回避しようとします。
ユーザーは、設定で Office マクロを無効にすることによって、またドキュメントでマクロを有効にするとき (特にプロンプトが表示されたとき) により警戒することによって、そのような攻撃から身を守ることができます。
侵害の痕跡
マクロベースのドキュメントとハッシュ
SHA256 ハッシュ |
ファイル名 |
対象地域 |
eff78c23790ee834f773569b52cddb01dc3c4dd9660f5a476af044ef6fe73894 |
na.doc
|
パキスタン |
76e9988dad0278998861717c774227bf94112db548946ef617bfaa262cb5e338 |
トルコへの投資.doc |
七面鳥 |
6edc067fc2301d7a972a654b3a07398d9c8cbe7bb38d1165b80ba4a13805e5ac |
安全指令。 .doc |
七面鳥 |
009cc0f34f60467552ef79c3892c501043c972be55fe936efb30584975d45ec0 |
idrbt.doc
|
インド |
18479a93fc2d5acd7d71d596f27a5834b2b236b44219bb08f6ca06cf760b74f6 |
トルコ共和国 ID カード.doc |
七面鳥 |
3da24cd3af9a383b731ce178b03c68a813ab30f4c7c8dfbc823a32816b9406fb |
トルコ軍.doc
|
七面鳥 |
9038ba1b7991ff38b802f28c0e006d12d466a8e374d2f2a83a039aabcbe76f5c |
na.gov.pk.doc
|
パキスタン |
3b1d8dcbc8072b1ec10f5300c3ea9bb20db71bd8fa443d97332790b74584a115 |
MVD-FORM-1800.doc |
タジキスタン |
cee801b7a901eb69cd166325ed3770daffcd9edd8113a961a94c8b9ddf318c88 |
KEGM-CyberAttack.doc |
七面鳥 |
1ee9649a2f9b2c8e0df318519e2f8b4641fd790a118445d7a0c0b3c02b1ba942 |
IL-1801.doc |
七面鳥 |
aa60c1fae6a0ef3b9863f710e46f0a7407cf0feffa240b9a4661a4e8884ac627 |
kiyiemniyeti.doc |
七面鳥 |
93745a6605a77f149471b41bd9027390c91373558f62058a7333eb72a26faf84 |
TCELL-S1-M.doc |
タジキスタン |
c87799cce6d65158da97aa31a5160a0a6b6dd5a89dea312604cc66ed5e976cc9 |
egm-1.doc |
七面鳥 |
2cea0b740f338c513a6390e7951ff3371f44c7c928abf14675b49358a03a5d13 |
コネクテル.pk.doc |
パキスタン |
18cf5795c2208d330bd297c18445a9e25238dd7f28a1a6ef55e2a9239f5748cd |
gßvenlik_yÜnergesi_.doc |
七面鳥 |
153117aa54492ca955b540ac0a8c21c1be98e9f7dd8636a36d73581ec1ddcf58 |
MIT.doc |
七面鳥 |
d07d4e71927cab4f251bcc216f560674c5fb783add9c9f956d3fc457153be025 |
安全上のご注意.doc |
七面鳥 |
af5f102f0597db9f5e98068724e31d68b8f7c23baeea536790c50db587421102 |
Gvenlik Ynergesi.doc |
七面鳥 |
5550615affe077ddf66954edf132824e4f1fe16b3228e087942b0cad0721a6af |
NA |
七面鳥 |
3d96811de7419a8c090a671d001a85f2b1875243e5b38e6f927d9877d0ff9b0c |
Anadolu GüneydoÄŸu Projesinde .doc |
七面鳥 |
ネットワーク インジケータ
プロキシ URL のリスト
hxxp://alessandrofoglino[.]com//db_template.php
hxxp://www.easy-home-sales[.]co.za//db_template.php
hxxp://www.almaarefut[.]com/admin/db_template.php
hxxp://chinamall[.]co.za//db_template.php
hxxp://amesoulcoaching[.]com//db_template.php
hxxp://www.antigonisworld[.]com/wp-includes/db_template.php
hxxps://anbinni.ba/wp-admin/db_template.php
hxxp://arctitrade[.]de/wp/db_template.php
hxxp://aianalytics[.]ie//db_template.php
hxxp://www.gilforsenate[.]com//db_template.php
hxxp://mgamule[.]co.za/oldweb/db_template.php
hxxp://chrisdejager-attorneys[.]co.za//db_template.php
hxxp://alfredocifuentes[.]com//db_template.php
hxxp://alxcorp[.]com//db_template.php
hxxps://www.aircafe24[.]com//db_template.php
hxxp://agencereferencement.be/wp-admin/db_template.php
hxxp://americanlegacies[.]org/webthed_ftw/db_template.php
hxxps://aloefly[.]net//db_template.php
hxxp://www.duotonedigital[.]co.za//db_template.php
hxxp://architectsinc[.]net//db_template.php
hxxp://www.tanati[.]co.za//db_template.php
hxxp://emware[.]co.za//db_template.php
hxxp://breastfeedingbra[.]co.za//db_template.php
hxxp://alhidayahfoundation[.]co[.]uk/category/db_template.php
hxxp://cashforyousa[.]co.za//db_template.php
hxxps://www.airporttaxi-uk[.]co[.]uk/wp-includes/db_template.php
hxxp://antjetaubert[.]de//db_template.php
hxxp://hesterwebber[.]co.za//db_template.php
hxxp://fickstarelectrical[.]co.za//db_template.php
hxxp://alex-frost[.]com/assets/db_template.php
hxxps://americanbrasil[.]com.br//db_template.php
hxxps://aileeshop[.]com//db_template.php
hxxps://annodle[.]com//db_template.php
hxxp://goldeninstitute[.]co.za/contents/db_template.php
hxxp://ednpk[.]com//db_template.php
hxxp://www.arabiccasinochoice[.]com//db_template.php
hxxp://proeftsports[.]co.za//db_template.php
hxxp://glenbridge[.]co.za//db_template.php
hxxp://berped[.]co.za//db_template.php
hxxp://best-digital-slr-cameras[.]com//db_template.php
hxxp://antonhirvonen[.]com/pengalandet.se/wp-includes/db_template.php
hxxp://www.alpacal[.]com//db_template.php
hxxps://www.alakml[.]com/wp-admin/db_template.php
hxxp://ar-rihla[.]com//db_template.php
hxxp://appsvoice[.]info//db_template.php
hxxp://www.bashancorp[.]co.za//db_template.php
hxxp://alexanderbecker[.]net/services/db_template.php
hxxp://visionclinic.co.ls/visionclinic/db_template.php
hxxps://www.angelesrevista[.]com//db_template.php
hxxps://www.antojoentucocina[.]com//db_template.php
hxxp://apollonweb[.]com//db_template.php
hxxps://www.alphapixa[.]com//db_template.php
hxxp://capitalradiopetition[.]co.za//db_template.php
hxxp://www.generictoners[.]co.za//db_template.php
hxxps://alnahdatraining[.]com//db_template.php
hxxps://albousala[.]com//db_template.php
hxxps://www.dopetroleum[.]com//db_template.php
hxxp://bios-chip[.]co.za//db_template.php
hxxp://www.crissamconsulting[.]co.za//db_template.php
hxxp://capriflower[.]co.za//db_template.php
hxxp://www.dingaanassociates[.]co.za//db_template.php
hxxp://indiba-africa[.]co.za//db_template.php
hxxp://verifiedseller[.]co.za/js/db_template.php
hxxps://www.buraqlubricant[.]com//db_template.php
hxxp://aqarco[.]com/wp-admin/db_template.php
hxxp://allaboutblockchain[.]net//db_template.php
hxxp://www.amexcars[.]info/tpl/db_template.php
hxxp://clandecor[.]co.za/rvsUtf8Backup/db_template.php
hxxp://bakron[.]co.za//db_template.php
hxxp://gsnconsulting[.]co.za//db_template.php
hxxp://vumavaluations[.]co.za//db_template.php
hxxp://heritagetravelmw[.]com//db_template.php
hxxp://ampvita[.]com//db_template.php
hxxp://ahero-resource-center[.]org/administrator/db_template.php
hxxps://arbulario[.]com//db_template.php
hxxp://havilahglo[.]co.za/wpscripts/db_template.php
hxxp://www.bestdecorativemirrors[.]com/More-Mirrors/db_template.php
hxxp://delectronics[.]com[.]pk//db_template.php
hxxp://antucomp[.]com//db_template.php
hxxp://advocatetn[.]com/font-awesome/fonts/db_template.php
hxxps://amooy[.]com/webservice/db_template.php
hxxp://www.harmonyguesthouse[.]co.za//db_template.php
hxxp://alanrori[.]com//db_template.php
hxxp://algarvesup[.]com//db_template.php
hxxp://desirablehair[.]co.za//db_template.php
hxxp://comsip[.]org.mw//db_template.php
hxxp://jdcorporate[.]co.za/catalog/db_template.php
hxxp://andrewfinnburhoe[.]com//db_template.php
hxxp://anyeva[.]com/wp-includes/db_template.php
hxxp://www.agenceuhd[.]com//db_template.php
hxxp://host4unix[.]net/host24new/db_template.php
hxxp://www.altaica[.]ca/wordpress/db_template.php
hxxp://www.allbuyer[.]co[.]uk//db_template.php
hxxp://jvpsfunerals[.]co.za//db_template.php
hxxp://immaculatepainters[.]co.za//db_template.php
hxxp://tcpbereka[.]co.za/js/db_template.php
hxxp://clientcare.co.ls//db_template.php
hxxp://investaholdings[.]co.za/htc/db_template.php
hxxp://www.amjobs[.]co[.]uk//db_template.php
hxxp://www.agirlgonewine[.]com/store/db_template.php
hxxp://findinfo-more[.]com//db_template.php
hxxp://asgen[.]org//db_template.php
hxxp://alphasalesrecruitment[.]com//db_template.php
hxxp://irshadfoundation[.]co.za//db_template.php
hxxp://analternatif[.]com/includes/db_template.php
hxxp://arbruisseau[.]com/profiles/db_template.php
hxxp://ladiescircle[.]co.za//db_template.php
hxxp://all-reseller[.]com/zzz_backup/db_template.php
hxxp://alcatrazmoon[.]com/images/db_template.php
hxxp://www.alcalumni[.]com/wp-includes/db_template.php
hxxp://aniljoseph[.]com/servermon/db_template.php
hxxp://alwake3press[.]com/wp-includes/db_template.php
hxxp://www.hfhl[.]org.ls/habitat/db_template.php
hxxp://alcafricanos[.]com/slsmonographs/db_template.php
hxxps://agapeencounter[.]org//db_template.php
hxxp://apobiomedix[.]ca//db_template.php
hxxp://anythinglah[.]info//db_template.php
hxxp://aniroleplay[.]net//db_template.php
hxxp://www.allcopytoners[.]com//db_template.php
hxxp://alphaobring[.]com//db_template.php
hxxp://www.galwayprimary[.]co.za//db_template.php
hxxp://alnuzha[.]org/en/db_template.php
hxxps://ancient-wisdoms[.]com//db_template.php
hxxp://amazingenergy Savings[.]net//db_template.php
hxxp://gvs[.]com[.]pk/font-awesome/db_template.php
hxxp://geetransfers[.]co.za/font-awesome/db_template.php
hxxp://carlagrobler[.]co.za/components/db_template.php
hxxp://amazingashwini[.]com//db_template.php
hxxp://aminearserver[.]es//db_template.php
hxxp://lensofafrica[.]co.za//db_template.php
hxxp://greenacrestf[.]co.za/video/db_template.php
hxxp://www.tonaro[.]co.za//db_template.php
hxxp://alephit2[.]biz/kitzz/db_template.php
hxxp://lppaportal[.]org.ls//db_template.php
hxxp://alkousy[.]com//db_template.php
hxxp://ambulatorioveterinarioocalusco[.]com/img/common/db_template.php
hxxp://fragranceoil[.]co.za//db_template.php
hxxp://www.eloquent[.]co.za/nweb2/db_template.php
hxxp://chrishanicdc[.]org/wpimages/db_template.php
hxxp://ahc.me[.]uk//db_template.php
hxxp://www.britishasia-equip[.]co[.]uk//db_template.php
hxxp://always-beauty[.]ch//db_template.php
hxxps://www.ancamamara[.]com/wp-admin/db_template.php
hxxp://entracorntrading[.]co.za//db_template.php
hxxp://www.alexjeffersonconsulting[.]com/wp-includes/db_template.php
hxxp://americabr[.]com.br//db_template.php
hxxp://andrew-snyder[.]net/bootstrap/db_template.php
hxxp://signsoftime[.]co.za//db_template.php
hxxp://open-arms[.]org//db_template.php
hxxp://absfinancialplanning[.]co.za/images/db_template.php
hxxp://charispaarl[.]co.za//db_template.php
hxxp://indlovusecurity[.]co.za//db_template.php
hxxp://alcafricandatalab[.]com//db_template.php
hxxp://amor-clubhotels[.]com//db_template.php
hxxp://mokorotlocorporate[.]com//db_template.php
hxxp://apppriori[.]com//db_template.php
hxxp://luxconprojects[.]co.za//db_template.php
hxxp://androidphonetips[.]com/wp-includes/db_template.php
hxxp://angel-seeds[.]com.ua/catalog/db_template.php
hxxp://alissanicolai[.]com/assets/db_template.php
hxxps://www.amateurastronomy[.]org//db_template.php
hxxp://aiofotoevideo[.]com//db_template.php
hxxp://www.amika.hr//db_template.php
hxxp://comfortex[.]co.za/php/db_template.php
hxxp://deepgraphics[.]co.za//db_template.php
hxxps://agiledepot[.]com//db_template.php
hxxp://almatours[.]gr//db_template.php
hxxp://analystcnwang[.]com//db_template.php
hxxp://www.malboer[.]co.za/trendy1/db_template.php
hxxp://sefikengfarm.co.ls//db_template.php
hxxp://www.antirughenaturale[.]com/wp-admin/db_template.php
hxxp://passright[.]co.za//db_template.php
hxxp://seismicfactory[.]co.za//db_template.php
hxxp://alessandroalessandrini[.]it//db_template.php
hxxps://aquabsafe[.]com//db_template.php
hxxp://amatikulutours[.]com/tmp/db_template.php
hxxp://ganitis[.]gr//db_template.php
hxxp://aleenasgiftbox[.]com/admin/db_template.php
hxxps://allusdoctors[.]com/themes/db_template.php
hxxp://alainsaffel[.]com//db_template.php
hxxp://www.ariehandomri[.]com//db_template.php
hxxp://aquaneeka[.]co[.]uk/wp-includes/db_template.php
hxxp://itengineering[.]co.za/gatewaydiamond/db_template.php
hxxp://alldomains-crm[.]com/bubblegumpopcorn[.]com/wp-admin/db_template.php
hxxp://www.albertamechanical[.]ca//db_template.php
hxxp://alchamel[.]info//db_template.php
hxxps://almokan[.]net/wp-includes/db_template.php
hxxp://jakobieducation[.]co.za//db_template.php
hxxps://arc-sec[.]net//db_template.php
hxxp://ldams[.]org.ls/supplies/db_template.php
hxxp://menaboracks[.]co.za/tmp/db_template.php
hxxp://www.getcord[.]co.za//db_template.php
hxxp://boardaffairs[.]com//db_template.php
hxxp://capetownway[.]co.za//db_template.php
hxxp://cloudhostdesign[.]com//db_template.php
hxxp://hartenboswaterpark[.]co.za/templates/db_template.php
hxxp://fccorp[.]co.za/php/db_template.php
hxxp://angar68[.]com//db_template.php
hxxp://www.dws-gov[.]co.za//db_template.php
hxxp://alwahahweb[.]com//db_template.php
hxxp://anuragcreatives[.]com//db_template.php
hxxp://embali[.]co.za//db_template.php
hxxp://albertaedmonton[.]com/widgetstyles/db_template.php
hxxp://altosdefontana[.]com//db_template.php
hxxp://airfanhydro[.]net//db_template.php
hxxps://www.alexponcet[.]com/wp-includes/db_template.php
hxxp://agropecuariaavilarica[.]com.br//db_template.php
hxxps://www.amazingbuyrd[.]com/admin/db_template.php
hxxp://cdxtrading[.]co.za//db_template.php
hxxp://interafricaconsulting[.]com/wpimages/db_template.php
hxxp://glgroup[.]co.za/images/db_template.php
hxxp://hisandherskennels[.]co.za/php/db_template.php
hxxp://alemaohost[.]com/lotosorg[.]com/db_template.php
hxxp://isibaniedu[.]co.za/admin/db_template.php
hxxp://dianakleyn[.]co.za/layouts/db_template.php
hxxp://themotoringcalendar[.]co.za//db_template.php
hxxp://www.loansonhomes[.]co.za//db_template.php
hxxp://edgesecurity[.]co.za/js/db_template.php
hxxp://highschoolsuperstar[.]co.za/files/db_template.php
hxxp://www.ambientproperty[.]com//db_template.php
hxxp://animationshowreel[.]co.il//db_template.php
hxxp://cafawelding[.]co.za/font-awesome/db_template.php
hxxp://apalawyers.pt//db_template.php
hxxp://www.edesignz[.]co.za//db_template.php
hxxp:// Centuryacademy[.]co.za/css/db_template.php
hxxps://ambyenta.hr//db_template.php
hxxp://ceramica[.]co.za//db_template.php
hxxp://www.alfredoposada[.]com//db_template.php
hxxp://anastasovsworkshop[.]com/wp-includes/db_template.php
hxxp://allisonplumbing[.]com/wp-includes/db_template.php
hxxp://eastrandmotorlab[.]co.za/fleet/db_template.php
hxxp://angelsongroup[.]com/wp-includes/db_template.php
hxxp://www.mikimaths[.]com//db_template.php
hxxp://hjb-racing[.]co.za/htdocs/db_template.php
hxxp://anotherpartofme[.]com/wp-includes/db_template.php
hxxp://www.andreabelfi[.]com//db_template.php
hxxp://www.iancullen[.]co.za//db_template.php
hxxp://alaskamaterials[.]com//db_template.php
hxxp://jeanetteproperties[.]co.za//db_template.php
hxxp://www.digitalmedia[.]co.za//db_template.php
hxxp://www.rejoicetheatre[.]com//db_template.php
hxxps://alterwebhost[.]com//db_template.php
hxxp://bc-u[.]co[.]uk//db_template.php
hxxp://dpscdgkhan.edu[.]pk/shopping/db_template.php
hxxp://edgeforensic[.]co.za//db_template.php
hxxp://willpowerpos[.]co.za//db_template.php
hxxp://antrismode[.]com/wp-includes/db_template.php
hxxp://colenesphotography[.]co.za/modules/db_template.php
hxxp://anthaigroup.vn//db_template.php
hxxps://alphainvestors[.]com.au//db_template.php
hxxps://aliart[.]nl//db_template.php
hxxps://allmantravel[.]com/thumbs/db_template.php
hxxp://fbrvolume[.]co.za//db_template.php
hxxp://amordegato[.]es/storefront/db_template.php
hxxp://agylub[.]com//db_template.php
hxxp://www.khotsonglodge.co.ls//db_template.php
hxxp://ampli5yd[.]com//db_template.php
hxxps://animeok[.]co.il//db_template.php
hxxps:// Arbeidsrechtcentrum[.]nl//db_template.php
hxxp://erniecommunications[.]co.za/js/db_template.php
hxxp://promechtransport[.]co.za/scripts/db_template.php
hxxp://centuriongsd[.]co.za//db_template.php
hxxp://www.agencesylvieleclerc[.]com//db_template.php
hxxp://delcom[.]co.za//db_template.php
hxxps://aleoestudio[.]com/gallonature/db_template.php
hxxp://oftheearthphotography[.]com/www/db_template.php
hxxp://h-dubepromotions[.]co.za//db_template.php
hxxp://www.alessioborzuola[.]com/downloads/db_template.php
hxxp://crystaltidings[.]co.za//db_template.php
hxxp://funeralbusinesssolution[.]com/email_template/db_template.php
hxxp://funisalodge[.]co.za/data1/db_template.php
hxxp://experttutors[.]co.za//db_template.php
hxxps://www[.]カートリッジケーブ[.]co.za//db_template.php
hxxp://ecs-consult[.]com//db_template.php
hxxp://www.animationinisrael[.]org/tmp_images/db_template.php
hxxp://gideonitesprojects[.]com//db_template.php
hxxp://hybridauto[.]co.za/photography/db_template.php
hxxp://africanpixels.zar.cc//db_template.php
hxxp://ryanchristiefurniture[.]co.za//db_template.php
hxxp://evansmokaba[.]com/evansmokaba[.]com/thabiso/db_template.php
hxxp://almeriahotelja[.]com/dk/db_template.php
hxxp://al3abflash[.]biz//db_template.php
hxxp://www.fun4kidz[.]co.za//db_template.php
hxxp://alsharhanstore[.]com//db_template.php
hxxp://www[.]インフラテックコンサルティング[.]com//db_template.php
hxxp://algihad[.]com/assets/db_template.php
hxxp://americanwestmedia[.]com//db_template.php
hxxp://charliewestsecurity[.]co.za//db_template.php
hxxp://beehiveholdingszar[.]co.za//db_template.php
hxxp://analyticalfootball[.]com//db_template.php
hxxp://apiiination[.]com/leadership/db_template.php
hxxps://ahelicoptermom[.]com/wp-includes/db_template.php
hxxp://servicebox[.]co.za//db_template.php
hxxp://globalelectricalandconstruction[.]co.za/wpscripts/db_template.php
hxxps://aquo[.]in//db_template.php
hxxps://www.alfransia[.]com/wp-admin/db_template.php
hxxp://www.icsswaziland[.]com//db_template.php
hxxp://aiko.pro//db_template.php
hxxps://alceharfield[.]com//db_template.php
hxxp://indocraft[.]co.za/test/db_template.php
hxxp://allegiancesecurity[.]org//db_template.php
hxxp://sullivanprimary[.]co.za//db_template.php
hxxp://www.apmequestrian[.]com//db_template.php
hxxps://alphawaves[.]org/wp-admin/db_template.php
hxxp://www.alexandrasternin[.]com/illustration/db_template.php
hxxp://www.daleth[.]co.za//db_template.php
hxxp://jwseshowe[.]co.za/assets/db_template.php
hxxp://winagainstebola[.]com//db_template.php
hxxp://anubandh[.]in//db_template.php
hxxp://www.alexanderhomestead[.]com//db_template.php
hxxp://alfatek-intelligence[.]com//db_template.php
hxxp://www.aprendiendoencasa[.]com/wp-includes/db_template.php
hxxp://alorabrownies[.]com/wp-admin/db_template.php
hxxp://andrasadam[.]com/tothildiko/wp-includes/db_template.php
hxxp: // cazochem [.] co.za/cazochem/db_template.php
hxxp://debnoch[.]com/image/db_template.php
hxxp://hmholdings360[.]co.za//db_template.php
hxxp://invest4u[.]co.za//db_template.php
hxxp://burgercoetzeeattorneys[.]co.za//db_template.php
hxxp://anngrigphoto[.]com//db_template.php
hxxp://alchemistasonida[.]com//db_template.php
hxxp://anahera[.]biz/admin/db_template.php
hxxp://hui[.]co.za/heiren/db_template.php
hxxp://insta-art[.]co.za//db_template.php
hxxp://muallematsela[.]com//db_template.php
hxxp://aguasdecastilla[.]com/uploads/db_template.php
hxxp://www.arabgamenetwork[.]com//db_template.php
hxxps://arhiepiscopiabucurestilor[.]ro/templates/db_template.php
hxxp://amruthavana[.]com/blog/db_template.php
hxxp://digitalblue[.]co.za//db_template.php
hxxps://www.alvarezarquitectos[.]com//db_template.php
hxxp://buboobioinnovations[.]co.za/wpimages/db_template.php
hxxp://andrewsbisom[.]com//db_template.php
hxxp://www.m-3[.]co.za//db_template.php
hxxp://beesrenovations[.]co.za/images/db_template.php
hxxps://www.apliety[.]co.il/wp-includes/db_template.php
hxxp://alchamelup[.]org/htdocs/db_template.php
hxxp://benonicoc[.]co.za/resources/db_template.php
hxxps://al-mostakbl[.]com//db_template.php
hxxp: // alchemiegrafiche [.] net / bbdelteatro / db_template.php
hxxp://andrespazsoldan[.]com//db_template.php
hxxp://in2accounting[.]co.za//db_template.php
hxxp://aipa[.]ca//db_template.php
hxxp://alphabee.fund/PHPMailer_5.2.0/db_template.php
hxxp://arabsdeals[.]com//db_template.php
hxxps://archiotronic[.]com/wp-includes/db_template.php
hxxp://capewindstrading[.]co.za//db_template.php
hxxps://althurayaa[.]com//db_template.php
hxxp://jhphotoedits[.]co.za//db_template.php
hxxp://cloudhub.co.ls/modules/db_template.php
hxxp://apironco[.]com/wp-includes/db_template.php
hxxp://digital-cameras-south-africa[.]co.za/script/db_template.php
hxxp://ahmadhasanat[.]com//db_template.php
hxxp://alexrocchi[.]com//db_template.php
hxxp://aljaadi[.]com//db_template.php
hxxps://www.engeltjieakademie[.]co.za//db_template.php
hxxp://annabelle[.]nl/next/db_template.php
hxxp://juniorad[.]co.za/vendor/db_template.php
hxxp://animationpulse[.]net//db_template.php
hxxp://angloglot[.]com//db_template.php
hxxp://agricolavicuna.cl//db_template.php
hxxp://alexelgy[.]com/allaccess/db_template.php
hxxp://www.centreforgovernance[.]uk//db_template.php
hxxp://www.aliandconsulting[.]com//db_template.php
hxxp://balaateen[.]co.za/less/db_template.php
hxxp://aleksicdunja[.]com//db_template.php
hxxp://arestihome[.]com//db_template.php
hxxp://am1int.fcomet[.]com/wp1/db_template.php
hxxp://anet-international-group[.]com/shop/db_template.php
hxxp://礼儀正しい運転[.]co.za/js/db_template.php
hxxp://annaplebanek[.]com//db_template.php
hxxp://agencijazemil[.]com//db_template.php
hxxp://airminumtiro[.]com//db_template.php
hxxp://www.androidwikihow[.]com//db_template.php
hxxp://alisabyfinna[.]com//db_template.php
hxxp://rma-law[.]co.za//db_template.php
hxxp://amari[.]ro/components/db_template.php
hxxp://anxiousandunstoppable[.]com//db_template.php
hxxp://www.buhlebayoacademy[.]com//db_template.php
hxxp://arabellajo[.]com/wp/wp-includes/db_template.php
hxxp://blackthorn[.]co.za//db_template.php
hxxp://alaqaba[.]com/dnsarabia[.]com/db_template.php
hxxp://airesis.blog/wp-admin/db_template.php
hxxp://www.aptibet[.]org//db_template.php
hxxp://alecattic[.]com/wp-includes/db_template.php
hxxp://anglero[.]com//db_template.php
hxxp://getabletravel[.]co.za/wpscripts/db_template.php
hxxp://www.allwestdental[.]com/wp-includes/db_template.php
hxxp://printernet[.]co.za//db_template.php
hxxp://genesisbs[.]co.za//db_template.php
hxxp://allsporthealthandfitness[.]com//db_template.php
hxxp://www.humorcarbons[.]com//db_template.php
hxxp://intelligentprotection[.]co.za//db_template.php
hxxp://amazethings[.]com//db_template.php
hxxp://nothing[.]co.za/images/db_template.php
hxxp://www.antoanetapalikarska[.]com//db_template.php
hxxps://www.alteaparadise[.]com/wp-includes/db_template.php
hxxp://amirmenahem[.]com//db_template.php
hxxp://isound[.]co.za//db_template.php
hxxp://www.alestilorachel[.]com//db_template.php
hxxp://alcfm[.]net/wp-admin/db_template.php
hxxp://www.acer-parts[.]co.za//db_template.php
hxxp://www.gsmmid[.]com//db_template.php
hxxp://skhaleni[.]co.za//db_template.php
hxxps://amiici.vision//db_template.php
hxxps://andihaas[.]at/wp-includes/db_template.php
hxxp://www.albertaprimebeef[.]com//db_template.php
hxxps://www.appster[.]it/wp-includes/db_template.php
hxxp://amofoundation[.]org/wp-includes/db_template.php
hxxp://iqra[.]co.za/pub/db_template.php
hxxp://thecompasssolutions[.]co.za//db_template.php
hxxp://archwaycarpetscrm[.]co[.]uk//db_template.php
hxxp://iggleconsulting[.]com//db_template.php
hxxps://angel-blanco[.]net/wp-includes/db_template.php
hxxps://anotherdayinparadise[.]ca//db_template.php
hxxp://www.bitp[.]co.za//db_template.php
hxxp://cupboardcure[.]co.za/vendor/db_template.php
hxxp://all2wedding[.]com/wp-includes/db_template.php
hxxp://allianz[.]com.pe/wp-admin/db_template.php
hxxp://amiehepperlin[.]com//db_template.php
hxxps://www.amighini[.]it/webservice/db_template.php
hxxp://broken-arrow[.]co.za//db_template.php
hxxp://www.ihlosiqs-pm[.]co.za//db_template.php
hxxp://alisimple[.]si/wp-includes/db_template.php
hxxp://allthat[.]social//db_template.php
hxxp://www.amphibiblechurch[.]com//db_template.php
hxxp://bestencouragementwords[.]com//db_template.php
hxxp://alayhamtechnologies[.]com//db_template.php
hxxps://alaskanharvestseafood[.]com/backup/db_template.php
hxxps://www.air-mag[.]ro//db_template.php
hxxp://get-paid-for-online-survey[.]com//db_template.php
hxxp://www.antc[.]ch/wp-includes/db_template.php
hxxp://firstchoiceproperties[.]co.za//db_template.php
hxxp://habibtextiles[.]pk//db_template.php
hxxp://fsproperties[.]co.za/engine1/db_template.php
hxxp: // diegemmerkat [.] co.za//db_template.php
hxxp://molepetravel.co.ls//db_template.php
hxxp: // mmetl [.] co.za//db_template.php
hxxp://altrablog[.]com//db_template.php
hxxp://abrahamseed[.]co.za//db_template.php
hxxp://www.amerindgen[.]com/author/admin1/db_template.php
hxxp://altcoinaddict[.]com//db_template.php
hxxp://iiee.edu[.]pk//db_template.php
hxxp://cmhts[.]co.za/resources/db_template.php
hxxp://domesticguardians[.]co.za/Banner/db_template.php
hxxps://amishcountryfurnishings[.]com//db_template.php
hxxps://allday[.]gr//db_template.php
hxxp://www.alinn-u-yin[.]com//db_template.php
hxxps://www.allin-chain[.]com//db_template.php
hxxps://www.anatapackaging[.]com/vendors/db_template.php
hxxp://alexcelts[.]com/wp/db_template.php
hxxp://www.allstylus[.]com.br//db_template.php
hxxp://www.algom-law[.]com//db_template.php
hxxp://environments-canvas[.]fr//db_template.php
付録
マシンでチェックされたセキュリティ ツール
win32_remote
win64_remote64
ollydbg
プロセスハッカー
tcpview
自動実行
自動実行
フィレモン
プロモン
レグモン
procexp
アイダック
idaq64
ImmunityDebugger
ワイヤーシャーク
ダンプキャップ
フックエクスプローラー
ImportREC
PEツール
主PE
ダンプキャップ
SysInspector
proc_analyzer
sysAnalyzer
sniff_hit
ウィンドバック
ジョーボックスコントロール
ジョーボックスサーバー
参照: https://www.mandiant.com/resources/blog/iranian-threat-group-updates-ttps-in-spear-phishing-campaign
Comments