バックグラウンド
昨年、Mandiant は UNC3890 を追跡してきました。この UNC3890 は、イスラエルの海運、政府、エネルギー、医療機関を標的とする一連の活動であり、ソーシャル エンジニアリングのルアーや潜在的な水飲み場を介して行われています。 Mandiant は、この攻撃者がイランと関係があると中程度の自信を持って評価しています。これは、海運とイランとイスラエルの間で進行中の海軍紛争に重点が置かれていることを考えると注目に値します。この攻撃者は情報収集に重点を置いていると考えられますが、収集されたデータは、ハック アンド リークから、近年海運業界を悩ませてきたようなキネティック ウォーフェア攻撃を可能にするまで、さまざまな活動をサポートするために活用される可能性があります。
Mandiant は、UNC3890 が複数のイランの利益と作戦を支援するためにスパイ活動と情報収集活動を行っていることを、ある程度の自信を持って評価しています。ターゲット パターンは、政府、海運、エネルギー、医療など、さまざまな分野のイスラエルの組織や組織に強い関心を持っていることを示しています。 PDB文字列やペルシャ語のアーティファクトなど、イランとの限られた技術的つながりをいくつか観察しました。
このキャンペーンは少なくとも 2020 年後半から活動しており、2022 年半ばの時点でも継続しており、地域的な性質のものですが、標的とされたエンティティにはグローバル企業が含まれます。
UNC3890 は少なくとも 2 つの独自のツールを使用します。私たちが SUGARUSH と名付けたバックドアと、私たちが SUGARDUMP と名付けた Gmail、Yahoo、および Yandex の電子メール サービスを介して盗んだデータを盗み出すブラウザ認証情報スティーラーです。 UNC3890 は、METASPLOIT フレームワークや NorthStar C2 など、公開されている複数のツールも使用します。
さらに、Mandiant は、UNC3890 が相互接続されたコマンド アンド コントロール (C2) サーバーのネットワークを運用していることを発見しました。 C2 サーバーは、Office 365 などの正当なサービス、LinkedIn や Facebook などのソーシャル ネットワーク、AI ベースのロボット人形の偽の求人情報や偽のコマーシャルを偽装するドメインと偽のログイン ページをホストします。私たちは、C2 サーバーが複数の標的と通信していることを確認しました。また、イスラエルの海運部門、特に機密コンポーネントを処理および出荷する組織を標的にしていると思われる水飲み場と通信していることを確認しました。
このブログ投稿では、UNC3890 の活動について詳しく説明しています。これには、独自のマルウェア、これまでイランによって展開されたことのない TTP、および調査で特定された公開ツールが含まれます。 Mandiant は引き続き UNC3890 を追跡し、同じ脅威アクターによるその他の関連する可能性のある活動のクラスターを追跡します。
帰属
Mandiant は、ラベル「UNC」グループ、または「未分類」グループを使用して、 TEMP などの分類をまだ与える準備ができていない、敵対者のインフラストラクチャ、ツール、およびトレード クラフトなどの観察可能なアーティファクトを含む侵入活動のクラスターを指します。 、APT、または FIN ( Mandiant が未分類の攻撃者を追跡する方法の詳細をご覧ください)。 Mandiant は、UNC3890 と、現在追跡している他の活動群との間に有意な関連性を発見していないため、それを独立したグループと見なしています。ただし、この活動がイラン関連グループによって行われていることを示唆するいくつかの関連性を特定しました。
- SUGARDUMP の最新バージョンで開発者が残した文字列に見られるペルシア語の使用。たとえば、「KHODA」(「神」を表すペルシア語)や「yaal」(馬のたてがみを表すペルシア語)などです。
- イランの脅威アクター、特に UNC757 によって運営されている他の活動群と一致して、イスラエルの事業体や組織、またはイスラエルで活動している組織を標的にしています。
- Mandiantは、2021 年 11 月 17 日の米国政府の声明で公に言及されている UNC2448 (公的情報源によると、イランの IRGC によって運営されている) として追跡する、別のイランの活動クラスターと同じ PDB パスの使用。 APT35/Charming Kittenの活動群への攻撃で、いくつかの公開情報源によると、この活動はイランのイスラム革命防衛隊 (IRGC) によって運営されています。 UNC2448 は、イランが関心を持っている他の国々の中でも特に、イスラエルの組織を標的にしています。
- 他のイランのアクターが好む C2 フレームワークである NorthStar C2 フレームワークの利用。ただし、これは複数の攻撃者が使用する一般公開されているフレームワークであるため、このリンクは状況に応じたものであると考えています。
ターゲティング
2021 年後半、Mandiant は UNC3890 がイスラエルの組織を標的にしており、政府、海運、エネルギー、航空、医療などのさまざまな分野に関心を示していることを特定しました。私たちが観察した標的はイスラエルに焦点を当てていますが、UNC3890 の標的となっている組織の一部、特に海運部門はグローバル企業です。したがって、このブログで説明されている UNC3890 活動の潜在的な影響は、イスラエルを超えて広がる可能性があります。この活動は、これらの標的に対する歴史的なイランの関心と一致しています。 UNC3890 が使用するターゲティング パターンとルアーは、その活動を正当なログイン アクティビティ、正当なサービスとソーシャル ネットワーク アプリケーション、テクノロジー関連のビジュアル コンテンツに偽装しようとする試みを示しています。
観測されたマルウェア
Mandiant は、UNC3890 が次のマルウェア ファミリを展開していることを確認しました。
マルウェアファミリー |
説明 |
シュガーラッシュ |
SUGARUSH は、埋め込まれた C2 との接続を確立し、CMD コマンドを実行するために作成されたバックドアです。 |
シュガーダンプ |
SUGARDUMP は資格情報収集ユーティリティであり、Chromium ベースのブラウザーからパスワードを収集できます。 |
SUGADUMP SMTP ベース |
SUGARDUMP のより高度なバージョンで、Gmail、Yahoo、および Yandex の電子メール アドレスを介して、盗まれた認証情報を盗み出します。ロボット人形のCMをルアーとして使用。 |
SUGADUMP HTTP ベース |
SUGARDUMP の最新バージョンで、盗まれた認証情報を HTTP 経由で専用サーバーに流出させます。偽の求人情報をルアーとして使用します。 |
メタスプロイト |
METASPLOIT は侵入テスト ソフトウェアであり、悪意のある攻撃者によって悪用されることがよくあります。 |
ユニコーン |
UNICORN は、PowerShell ダウングレード攻撃を実行し、メモリにシェルコードを挿入するための公開ツールです。 |
ノーススター C2 |
NORTHSTAR C2 は、侵入テストとレッド チーム用に開発されたオープンソースの C2 フレームワークです。 |
展望と影響
UNC3890 は、少なくとも 2020 年後半から活動しています。彼らの焦点を絞った標的は、イスラエルを拠点とする組織や団体、特に政府、海運、エネルギー、航空、医療部門に関連する組織や団体に脅威をもたらします。イスラエル国外を標的にしたことは認識していませんが、そのような標的が実際に発生した、または発生する可能性があります。 UNC3890 は、Gmail、Yahoo、および Yandex の電子メール アドレスを使用した独自の抽出方法に加えて、正規のツールまたは公開されているツールを利用しており、検出を回避し、ヒューリスティックまたはネットワーク ベースのセキュリティ対策をバイパスするための努力を反映している可能性があります。
UNC3890 攻撃のライフサイクル
足場を固める
Mandiant は、主に UNC3890 によって利用されたエクスプロイト後のインプラントを特定しましたが、最初のアクセス方法について明らかにするいくつかの発見があります。 Mandiant は、UNC3890 が次の初期アクセス ベクトルを使用した可能性があることを特定しました。
- 水飲み場 – Mandiantは、合法的なイスラエルの海運会社のログイン ページでホストされている潜在的な水飲み場を特定しました。これは、UNC3890 によって侵害された可能性があります。水飲み場は少なくとも 2021 年 11 月までアクティブでした。ユーザーは、正規のログイン ページに入ると、ログインしたユーザーに関する予備データを含む POST 要求を、攻撃者が制御する非 ASCII Punycodeドメイン (lirıkedin[.]com、 xn--lirkedin-vkb[.]com として解釈されます)。
POST リクエストの URL 構造:
hxxps[:]//xn--lirkedin-vkb[.]com/object[.]php?browser=<user_browser>&ip=<user_ip>
私たちが水飲み場を調べたとき、それはすでに活動していませんでしたが、そのイスラエルの海運会社のクライアントとユーザー、特に熱に敏感な貨物の配送または取り扱いを標的にするために使用された可能性が最も高いです (侵害された Web サイトの性質に基づく)。 . UNC3890 が別の主要なイスラエルの海運会社を標的にしようとしたことを示す追加の兆候があり、これは水飲み場と一致しています。
- 正当なサービスになりすまして資格情報を収集する– UNC3890 の C2 サーバーに解決されるいくつかのドメインを発見しました。以下の表に見られるように、一部のドメインは正当なサービスやエンティティになりすました。 UNC3890 は、これらのドメインを使用して、正当なサービスへの資格情報を収集したり、フィッシングのおとりを送信したり、アクティビティを全体的にマスクして、予想されるネットワーク トラフィックに紛れ込ませたりした可能性があります。
これらのドメインの多くは、UNC3890 で使用されているものと同じインフラストラクチャでホストされていましたが、2020 年後半にさかのぼることに注意してください。これは、UNC3890 がアクティブであることを確認できる前のことです。
UNC3890 ドメイン |
正当なエンティティ/サービス |
コメント |
lirıkedin[.]com (xn--lirkedin-vkb[.]com) |
リンクトイン |
水飲み場のC2ドメイン |
pfizerpoll[.]com |
ファイザー |
偽の Citrix ログイン ページをホスト |
rnfacebook[.]com |
フェイスブック |
|
office365update[.]ライブ |
オフィス 365 |
|
ファイルアップロード[.]ショップ |
なし |
|
有名人生活[.]ニュース |
なし |
|
ナチュラルドールズ[.]ストア |
資格情報を収集するため、および SUGADUMP をインストールするためのルアーとして使用されたロボット人形のコマーシャルの一部 |
偽の Outlook ログイン ページをホストする |
xxx-doll[.]com |
さらに、正当な個人の Facebook および Instagram アカウントのスクレイピングされたコンテンツを含む複数の ZIP ファイルをホストする UNC3890 サーバーを特定しました。 UNC3890 の標的にされたか、ソーシャル エンジニアリングの取り組みでおとりとして使用された可能性があります。
フィッシングまたは水飲み場キャンペーンの一部である可能性のある偽の求人情報– UNC3890 が、資格情報収集ツールである SUGARDUMP をインストールする、偽の求人情報 (MD5: 639f83fa4265ddbb43e85b763fe3dbac) として設計された .xls ルアー ファイルを利用していることを確認しました。求人は、データ分析ソリューションを提供する企業である LexisNexis のソフトウェア開発者のポジションに対するものでした。
- AI ベースのロボット人形の偽のコマーシャル– UNC3890 の被害者を標的とする最近の取り組みの 1 つは、AI ベースのロボット人形のビデオ コマーシャルを使用して、SUGARDUMP を配信するルアーとして使用することです。さらに、naturaldolls[.]store (偽の Outlook ログイン ページをホスト) や xxx-doll[.]com など、同様のテーマを持つドメインの UNC3890 の使用を確認しました。さらに、UNC3890 インフラストラクチャは、ロボット人形を購入した疑いのある偽のページをホストし、被害者を攻撃者が制御するインフラストラクチャにリダイレクトしました。
悪用後: 資格情報の収集から完全なアクセスと制御まで
最初のアクセスを取得した後、UNC3890 は幅広いツールセットを利用して被害者の環境にアクセスし、制御します。この分野では、調査で特定した UNC3890 の 2 つの独自ツール、SUGARUSH バックドアと SUGADUMP クレデンシャル ハーベスティング ツールの分析に焦点を当てます。また、UNC3890 が使用する公開ツールの簡単な分析も提供します。
ほとんどのツールは、UNC3890 が管理するインフラストラクチャから直接ダウンロードでき、第1段階のインプラントとして使用された可能性があります。あるいは、それらは第2段階 (またはそれ以降) として使用された可能性がありますが、UNC3890 がインフラストラクチャを誤って構成し、パブリックにアクセスできるようにした可能性があります。
SUGARUSH 分析: 小さくても効率的なバックドア
SUGARUSH は、ハードコードされた C&C アドレスに対して、TCP を介してリバース シェルを確立する小さなカスタム バックドアです。
最初の実行時に、SUGARUSH は「Service1」という名前の新しいサービスを作成します。その後、SUGARUSH は「Logs」という名前のロギング フォルダーを作成し、現在の実行パスの下に格納します。という名前の新しいフォルダー
「Logs」フォルダに「ServiceLog」が作成され、「Service is started at <current_date>」というメッセージを含む新しいログファイルが書き込まれます。ログ ファイルの名前は、感染したマシンの現在の日付です。
次に、SUGARUSH はホストのインターネット接続を確認し、「<現在の日付> にオンラインです」または「<現在の日付> にオフラインです」というメッセージで結果を示すログ ファイルを作成します。インターネット接続の試行が成功すると、SUGARUSH はポート 4585 経由で、埋め込まれた C&C アドレスへの新しい TCP 接続を確立します。
その後、SUGARUSH は C2 からの応答の受信を待機します。応答は、実行用の CMD コマンドとして解釈されます。
シュガーラッシュ サンプル:
- 37bdb9ea33b2fe621587c887f6fb2989
- 3f045ebb014d859a4e7d15a4cf827957
- a7a2d6a533b913bc50d14e91bcf6c716
- d528e96271e791fab5818c01d4bc139f
SUGARDUMP 分析: ブラウザ認証情報収集ツール
SUGARDUMP は、Chrome、Opera、および Edge Chromium ブラウザーから資格情報を収集するために使用される小さなカスタム ユーティリティです。
SUGADUMP を実行すると、次のパスにアクセスします。
- %AppData%GoogleChromeユーザー データ
- %AppData&Opera SoftwareOpera Stable
- %AppData%MicrosoftEdgeユーザー データ
各パスから、SUGADUMP は特定のフォルダーの収集を試みます。
- デフォルトログインデータ
- ログインデータ
- 名前に文字列「Profile」が含まれるその他のフォルダー。
その後、SUGADUMP はこれらのフォルダーから利用可能なすべてのユーザー名とパスワードを抽出します。
収集された情報は、その後、次の形式で保存されます。
SUGADUMP のいくつかのバージョンを確認しました。
- SUGARDUMP の最初の既知のバージョンで、日付は 2021 年初頭です。この初期バージョンは、資格情報を抽出せずに保存します。未完成のバージョンであったか、UNC3890 が他のツールを使用したり、被害者に手動で接続して盗まれた資格情報を盗んだ可能性があります。
- 2021 年後半から 2022 年前半にかけて、SMTP ベースの通信を使用する SUGARDUMP。このバージョンは、Yahoo、Yandex、および Gmail のアドレスを利用して抽出し、市販の AI 駆動のロボット人形をルアーとして使用します。
- HTTPS ベースの通信を使用する SUGARDUMP。日付は 2022 年 4 月です。このバージョンは、NexisLexis の偽の求人情報をルアーとして使用します。
SUGARDUMP の最初の既知のバージョン– 日付は 2021 年初頭で、このバージョンの 2 つの亜種を確認しました。 。TXT”。 2 番目の亜種は、盗まれた資格情報を CMD 出力として出力します。
SUGADUMP サンプルに含まれる 2 つの PDB パスを確認しました。
- C:UsersUsersourcerepos passrecoverpassrecoverobjReleasepassrecover.pdb – UNC2448 によってツールセット (たとえば、MD5: 69b2ab3369823032991d4b306a170425) で使用される同様の PDB パス (太字の部分) を確認しました。 2021 年 11 月 17 日の米国政府の声明で言及された、イランに関連するアクター。
- C:UsersUserDesktopsourcChrome-Password-Recovery-masterChrome-Password-Recovery-masterobjDebugChromeRecovery.pdb
C2 通信に SMTP を使用する SUGARDUMP – 日付は 2021 年後半から 2022 年前半まで。この亜種は既知の UNC3890 C2 (URL: hxxp://128.199.6[.]246/3-Video-VLC.exe) からダウンロードされ、同様のクレデンシャル ハーベスティング機能を備えた、少し高度なバージョンです。
ダウンロードしたファイル「3-Video-VLC.exe」(MD5: ae0a16b6feddd53d1d52ff50d85a42d5) は Windows インストーラーで、実行時にパス %AppData% Roamingの下に 2 つのファイルをドロップして実行します。
- CrashReporter.exe (MD5: 084ad50044d6650f9ed314e99351a608) – ブラウザー資格情報収集ツール (SUGARDUMP)。
- RealDo1080.mp4 (MD5: d8fb3b6f5681cf5eec2b89be9b632b05) – CrashReporter.exe の実行中に Windows Media Player を使用して再生されるソーシャル エンジニアリング ビデオ。この動画には、AI 駆動のロボット人形のコマーシャルが含まれています。
最初の実行時に、CrashReporter.exe (SUGADUMP) は次のフォルダーを見つけようとします: %AppData%MicrosoftEdgeUser DataCrashPad
見つからない場合は、次のフォルダーを検索します: %AppData%MicrosoftInternet ExplorerTabRoaming
後者のフォルダーも見つからない場合、マルウェアはその作成に進みます。その後、マルウェアは「CrashReporter.exe」という名前で「TabRoaming」フォルダに自身をコピーします。その後、スケジュールされたタスクが作成され、このバージョンの SUGADUMP の永続性が保証されます。
- Windows 7 では、スケジュールされたタスクは「MicrosoftInternetExplorerCrashRepoeterTaskMachineUA」と呼ばれ、 「Keep your Microsoft software without any bug. このタスクが無効または停止されている場合、Microsoft ソフトウェアが正常に動作しない可能性があり、発生する可能性のあるバグを修正できない可能性があります」という説明が含まれています。および機能が動作しない可能性があります。」
- 他の Windows OS バージョンでは、スケジュールされたタスクは “MicrosoftEdgeCrashRepoeterTaskMachineUA” と呼ばれ、 “Keep your Microsoft software without any bug.このタスクが無効または停止されている場合、Edge ブラウザーが正常に動作しない可能性があり、発生する可能性のあるバグを修正できず、機能が動作しない可能性があります。」
スケジュールされたタスクは、ユーザーのログオン時に CrashReporter.exe を実行するように構成されています。
次にマルウェアは、ポート 587 を介して「smtp.yandex.com」および「smtp.mail.yahoo.com」に接続しようとします。接続が成功すると、マルウェアはホストでクッパ関連の情報の収集を開始します。
このバージョンの SUGADUMP は、次のブラウザーから資格情報を収集します。
- Firefox (以前のバージョンに関連する機能が追加されました)
- クロム
- オペラ
- 角
ブラウザごとに、マルウェアは次のパスからログイン資格情報を抽出しようとします。
- %Appdata%MozillaFirefoxProfiles
- %Appdata%GoogleChromeユーザーデータ
- %Appdata%Opera SoftwareOpera Stable
- %Appdata%MicrosoftEdgeUser Data
このバージョンの SUGADUMP は、ブラウザのバージョン、閲覧履歴、ブックマーク、Cookie も抽出します。
抽出されたデータ構造は次のようになります。
収集されたデータは、base64 を使用してエンコードされ、 %<malware_execution_folder>%CrashLog.txtに保存されます。
次にマルウェアは、次の 2 つの電子メール アドレスのいずれかに接続して送信することにより、ファイル「CrashLog.txt」を電子メールで送信します。
- john.macperson2021@yandex[.]com
- john.macperson2021@yahoo[.]com
電子メールは、次の 4 つの電子メール アドレスのいずれかに送信されます。
- john.macperson2021@yandex[.]com
- john.macperson2021@yahoo[.]com
- john.macperson2021@gmail[.]com
- john.macperson@protonmail[.]com
各メッセージの件名は「VLC Player」で、「CrashLog.txt」が添付されています。
SUGADUMP がメッセージの送信に失敗した場合、 %<malware_current_execution_path>%CrashLogName.txtの下に新しいファイルを作成し、エラーの詳細をファイルに書き込みます。 「CrashLogName.txt」は、上記と同じ方法を使用して、電子メールでも送信されます。その後、マルウェアは実行を終了します。
C2 通信に HTTP を使用する SUGARDUMP – 日付は 2022 年 4 月で、このバージョンは、盗んだ資格情報を UNC3890 C2 サーバー (144.202.123[.]248:80) に送信します。このバージョンは、データ分析プラットフォームである NexisLexis のソフトウェア開発者のポジションに対する偽の求人情報を含む .xls ファイルによってドロップされることが確認されました (MD5: 639f83fa4265ddbb43e85b763fe3dbac)。
.xls ファイルにはマクロが含まれており、これを有効にすると、RunDLL (MD5: e125ed072fc4529687d98cf4c62e283e) を使用して埋め込み PE ファイルを実行しようとします。 PE ファイルは、これまでに観察した SUGARDUMP の最新バージョンです。
以前のバージョンと同様に、このバージョンの SUGADUMP は、Chromium ベースのブラウザーである Chrome、Opera、および Edge から資格情報を収集します。データは%TEMP%DebugLogWindowsDefender.txtの下の新しいファイルに保存されます。
収集されたデータは、その後、Cipher Block Chaining (CBC) モードを使用した AES 暗号化を使用して暗号化されます。暗号化キーは、埋め込まれたパスワードの Sha256 です: 「1qazXSW@3edc123456be name KHODA 110 !!)1qazXSW@3edc」。 「KHODA」という言葉は、ペルシア語で神を意味します。
暗号化プロセスの後、データは Base64 を使用してエンコードされ、続いて HTTP 経由で UNC3890 C2 サーバー (144.202.123[.]248:80) に送信されます。
このバージョンの SUGARDUMP の .NET プロジェクトは、ペルシア語で馬のたてがみを表す「yaal」と名付けられました。これは、SUGARDUMP の暗号化キーに「KHODA」という単語が使用されていることと合わせて、SUGARDUMP の開発者がペルシア語話者である可能性を強める可能性があります。
シュガーダンプ サンプル:
- f362a2d9194a09eaca7d2fa04d89e1e5 – 初期バージョン
- 08dc5c2af21ecee6f2b25ebdd02a9079 – 初期バージョン
- ae0a16b6feddd53d1d52ff50d85a42d5 – SMTP ベースのバージョン
- e125ed072fc4529687d98cf4c62e283e – HTTP ベースのバージョン
MITRE ATT&CK テクニック
資源開発
能力を獲得する(T1588)
- ツール(T1588.002)
開発能力(T1587)
- マルウェア(T1587.001)
初期アクセス
フィッシング(T1566)
- フィッシング: スピアフィッシング リンク(T1566.002)
実行
スケジュールされたタスク/ジョブ(T1053)
- スケジュールされたタスク(T1053.005)
コマンドおよびスクリプト インタープリター(T1059)
- PowerShell (T1059.001)
- Windows コマンド シェル(T1059.003)
システム サービス(T1569)
- サービスの実行(T1569.002)
ユーザー実行(T1204)
- 悪意のあるファイル(T1204.002)
持続性
スケジュールされたタスク/ジョブ(T1053)
- スケジュールされたタスク(T1053.005)
システム プロセスの作成または変更(T1543)
- Windows サービス(T1543.003)
権限昇格
スケジュールされたタスク/ジョブ(T1053)
- スケジュールされたタスク(T1053.005)
資格情報へのアクセス
パスワード ストアからの資格情報(T1555)
- Web ブラウザからの資格情報(T1555.003)
インプットキャプチャ(T1056)
- キーロギング (T1056.001)
- Web ポータル キャプチャ(T1056.003)
コマンドと制御
Ingress ツール転送(T1105)
リモート アクセス ソフトウェア(T1219)
アプリケーション層プロトコル(T1071)
- Web プロトコル(T1071.001)
プロトコル トンネリング(T1572)
Web サービス(T1102)
- 双方向通信(T1102.002)
流出
C2 チャネルを介した流出 (T1041)
Web サービスを介した流出 (T1567)
侵害の痕跡
タイプ |
価値 |
説明 |
MD5 |
f362a2d9194a09eaca7d2fa04d89e1e5 |
シュガーダンプ初期ver. |
MD5 |
08dc5c2af21ecee6f2b25ebdd02a9079 |
シュガーダンプ初期ver. |
MD5 |
ae0a16b6feddd53d1d52ff50d85a42d5 |
SUGADUMP SMTPドロッパー |
MD5 |
084ad50044d6650f9ed314e99351a608 |
シュガーダンプSMTP |
MD5 |
d8fb3b6f5681cf5eec2b89be9b632b05 |
SUGADUMP SMTP ルアー動画 |
MD5 |
639f83fa4265ddbb43e85b763fe3dvac |
SUGADUMP HTTP ルアーファイル |
MD5 |
e125ed072fc4529687d98cf4c62e283e |
シュガーダンプ HTTP |
MD5 |
37bdb9ea33b2fe621587c887f6fb2989 |
シュガーラッシュ |
MD5 |
3f045ebb014d859a4e7d15a4cf827957 |
シュガーラッシュ |
MD5 |
a7a2d6a533b913bc50d14e91bcf6c716 |
シュガーラッシュ |
MD5 |
d528e96271e791fab5818c01d4bc139f |
シュガーラッシュ |
MD5 |
d5671df2af6478ac108e92ba596d5557 |
PowerShell ダウンローダー |
MD5 |
fcc09a4262b9ca899ba08150e287caa9 |
METASPLOITペイロード |
MD5 |
d47bbec805c00a549ab364d20a884519 |
METASPLOITペイロード |
MD5 |
6dbd612bbc7986cf8beb9984b473330a |
METASPLOITペイロード |
MD5 |
3b2a719ffb12a291acbfe9056daf52a7 |
METASPLOITペイロード |
MD5 |
f97c0f19e84c79e9423b4420531f5a25 |
METASPLOITペイロード |
MD5 |
f538cb2e584116a586a50d607d517cfd |
ユニコーン |
MD5 |
532f5c8a85b706ccc317b9d4158014bf |
PowerShell TCP リバースシェル |
MD5 |
9c8788e7ae87ae4f46bfe5ba7b7aa938 |
ReverseShell をドロップして実行する .NET 実行可能ファイル |
MD5 |
2fe42c52826787e24ea81c17303484f9 |
ノーススター C2 ステージャー |
MD5 |
2a09c5d85667334d9accbd0e06ae9418 |
PowerShell ダウンローダー |
MD5 |
c5116a9818dcd48b8e9fb1ddf022df29 |
PowerShell ダウンローダー |
知財 |
143.110.155[.]195 |
NorthStar C2 サーバー |
知財 |
128.199.6[.]246 |
マルウェア/ツールのホスティング、Watering Hole C2、偽のログイン ページのホスティング |
知財 |
161.35.123[.]176 |
SUGARUSH C2、リバース シェル C2、悪意のあるドメイン ホスティング |
知財 |
104.237.155[.]129 |
C2サーバー |
知財 |
146.185.219[.]88 |
C2サーバー |
知財 |
159.223.164[.]185 |
C2サーバー |
知財 |
144.202.123[.]248 |
C2サーバー |
知財 |
185.170.215[.]170 |
悪意のあるドメイン ホスティング |
ドメイン |
lirıkedin[.]com (xn--lirkedin-vkb[.]com) |
偽のドメイン |
ドメイン |
pfizerpoll[.]com |
偽のドメイン |
ドメイン |
office365update[.]ライブ |
偽のドメイン |
ドメイン |
有名人生活[.]ニュース |
偽のドメイン |
ドメイン |
rnfacebook[.]com |
偽のドメイン |
ドメイン |
ファイルアップロード[.]ショップ |
偽のドメイン |
ドメイン |
ナチュラルドールズ[.]ストア |
ドメイン |
ドメイン |
xxx-doll[.]com |
ドメイン |
ドメイン |
aspiremovecentraldays[.]net (容疑者) |
ドメイン |
参照: https://www.mandiant.com/resources/blog/suspected-iranian-actor-targeting-israeli-shipping
Comments