シェルビー戦略

重要なポイント

• SHELBYマルウェアファミリーは、GitHubを悪用してコマンド&コントロールを行い、データを盗み、コマンドを取得します
• 攻撃者のC2設計には重大な欠陥があり、PATトークンを持つ誰でも感染したマシンを制御でき、重大なセキュリティの脆弱性が露呈します
• 未使用のコードと動的なペイロードの読み込みは、マルウェアが活発に開発されていることを示唆しており、将来のアップデートで最新バージョンの問題が解決される可能性があることを示しています

まとめ

新たな脅威に関する継続的な調査の一環として、イラクの通信会社のメールアドレスから送信され、同じ会社の他の従業員に送信されたフィッシングメールの可能性があるものを分析しました。

フィッシングメールは、被害者が添付された Details.zip ファイルを開き、含まれているバイナリ JPerf-3.0.0.exeを実行することに依存しています。このバイナリは、悪意のあるアプリケーションを含むスクリプト駆動型のインストールシステムである Innoセットアップを利用しています。

• %AppData%\Local\Microsoft\HTTPApi:
  • HTTPApi.dll (SHELBYC2)
  • HTTPService.dll (シェルビーローダー)
  • Microsoft.Http.Api.exe
  • Microsoft.Http.Api.exe.config

インストールされている Microsoft.Http.Api.exe は、問題のない .NET 実行可能ファイルです。その主な目的は、悪意のある HTTPService.dllをサイドロードすることです。ロードされると、 HTTPService.dll ローダーとして機能し、コマンド&コントロール(C2)のためにGitHubとの通信を開始します。

ローダーは、バックドアペイロードの復号化に使用されるC2から特定の値を取得します HTTPApi.dll。復号化後、バックドアはリフレクションを使用して管理アセンブリとしてメモリにロードされるため、ディスクに書き込まずに実行でき、従来の検出メカニズムを回避できます。

本稿執筆時点では、バックドアとローダーの両方がVirusTotalでの検出率が低くなっています。

SHELBYLOADER コード解析

難読 化

ローダーとバックドアはどちらも、文字列暗号化を機能の1つとして採用したオープンソースツールの Obfuscarで難読化されています。この難読化を回避するために、カスタムパラメータで de4dot を活用できます。Obfuscarは、文字列を文字列復号化関数の呼び出しに置き換えますが、この関数のトークンをde4dotに提供することで、コードの難読化を効果的に解除できます。パラメータ --strtyp (文字列復号化の種類、この場合は delegate) と --strtok (文字列復号化メソッドのトークン) を使用して、これらの関数呼び出しを対応するプレーンテキスト値に置き換えて、コード内の元の文字列を明らかにすることができます。

サンドボックス検出

SHELBYLOADER は、サンドボックス検出技術を利用して、仮想化環境または監視対象環境を特定します。実行されると、結果を C2 に送り返します。これらの結果はログファイルとしてパッケージ化され、各検出方法がサンドボックス環境を正常に識別したかどうかが詳細に示されます。

手法 1: システム情報の WMI クエリ

マルウェアは WMI クエリ (Select * from Win32_ComputerSystem) を実行して、システムの詳細を取得します。次に、[製造元] フィールドと [モデル] フィールドで、"VMware" や "VirtualBox" などの仮想マシンのインジケーターを確認します。

手法 2: 列挙の処理

このマルウェアは、実行中のプロセスをスキャンして、次のような既知の仮想化関連サービスを探します。

• vmsrvc
• vmtools
• xenservice
• vboxservice
• vboxtray

これらのプロセスが存在すると、マルウェアは仮想化環境で実行されている可能性があることをマルウェアに伝えます。

手法 3: ファイル システムのチェック

このマルウェアは、仮想化ソフトウェアに一般的に関連付けられている次のような特定のドライバーファイルの存在を検索します。

• C:\Windows\System32\drivers\VBoxMouse.sys
• C:\Windows\System32\drivers\VBoxGuest.sys
• C:\Windows\System32\drivers\vmhgfs.sys
• C:\Windows\System32\drivers\vmci.sys

手法 4: ディスク サイズ分析

マルウェアは、 C: ボリュームのサイズを確認します。サイズが 50 GB 未満の場合は、テスト目的で多くの仮想マシンが小さいディスク サイズで構成されているため、環境がサンドボックスの一部であると推測できます。

手法 5: 親プロセスの検証

マルウェアは、その親プロセスを調べます。親プロセスが explorer.exeでない場合は、一般的なユーザー主導のシナリオではなく、自動分析環境内での実行を示している可能性があります。

テクニック6:スリープ時間偏差検出

このマルウェアは、サンドボックスが分析を高速化するためによく使う手法である、スリープ機能や遅延機能が高速化されているかどうかを検出するためにタイミングチェックを採用しています。予想される睡眠時間が大幅にずれると、サンドボックス化された環境が明らかになる可能性があります。

手法 7: ビデオ コントローラーの WMI クエリ

マルウェアは WMI クエリ (SELECT * FROM Win32_VideoController) を実行して、システムのビデオ コントローラーに関する情報を取得します。次に、ビデオ コントローラーの名前を、仮想マシンに関連付けられている既知の値 ( virtual 、 vmware 、または vbox) と比較します。

コア機能

マルウェアのローダーコードは、メインクラスのコンストラクタ内でいくつかの変数を初期化することから始まります。これらの変数には、次のものが含まれます。

• GitHub アカウント名
• プライベートリポジトリ名
• リポジトリを認証してアクセスするためのパーソナルアクセストークン(PAT)

さらに、マルウェアは2つのタイマーを設定し、事前定義された間隔で特定のアクションをトリガーするために使用されます。

タイマーの 1 つは、実行から 125 秒後に特定のメソッドをトリガーするように設定されています。このメソッドが呼び出されると、Windows レジストリ キー SOFTWARE\Microsoft\Windows\CurrentVersion\Runに新しいエントリを追加することで、感染したシステム上で永続性が確立されます。メソッドがトリガされ、永続化メカニズムが正常に実行されると、タイマはそれ以上のトリガを停止します。

このメソッドは、整数変数を使用して操作の結果を示します。次の表では、使用可能な各値とその意味について説明します。

この整数値は、C2への最初の登録時にC2に報告されるため、攻撃者は感染したシステム上の永続化メカニズムの成功または失敗を監視できます。

2 番目のタイマーは、マルウェアが開始してから 65 秒後に実行されるバックドアの読み込みを担当するメソッドをトリガーするように設定されています。まず、マルウェアはシステム固有の情報の組み合わせに基づいてMD5ハッシュを生成します。ハッシュの作成に使用されるデータは、各コンポーネントがスラッシュ ( / ) で区切られた次の形式です。

• システムで使用可能なプロセッサの数。
• マシンの名前 (ホスト名)。
• ユーザー アカウントに関連付けられているドメイン名。
• 現在ログインしているユーザーのユーザー名。
• システム上に存在する論理ドライブの総数。

その後、このハッシュのサブセットが抽出され、感染したマシンの一意の識別子として使用されます。この識別子は、攻撃者がインフラストラクチャ内の侵害されたシステムを追跡および管理する方法として機能します。

一意の識別子を生成した後、マルウェアはHTTPSリクエストを使用して新しいコミットをmyTokenリポジトリにプッシュします。コミットには、一意の識別子にちなんで名付けられたディレクトリが含まれ、そのディレクトリには Info.txtという名前のファイルが含まれています。このファイルには、感染したシステムに関する次の情報が保存されます。

• ユーザー アカウントに関連付けられているドメイン名。
• 現在ログインしているユーザーのユーザー名。
• 成功した手法または失敗した手法の詳細を示すサンドボックス検出結果のログ。
• 永続性フラグ (上の表で説明) は、永続性メカニズムの結果を示します。
• ビーコン イベントの現在の日付と時刻

マルウェアは最初に、プロキシを使用せずにリポジトリにコミットをプッシュしようとします。この最初の試行が失敗した場合は、通信にシステム構成のプロキシを使用するようにフォールバックします。

最初のビーコン送信と被害者の登録が成功した後、マルウェアは以前に作成したのと同じGitHubリポジトリディレクトリにアクセスし、 License.txt という名前のファイルをダウンロードしようとします(チェック間隔にジッターは観察されませんでしたが、サーバーはこれを処理できました)。このファイルが存在する場合、このファイルには 48 バイトの値が含まれており、AES 復号化キーの生成に使用されます。このファイルは、マルウェアがサンドボックス環境で実行されていないことを確認した後にのみ、攻撃者のバックエンドによってアップロードされます。これにより、検証された感染のみがキーを受け取り、実行チェーンをバックドアにエスカレートします。

このマルウェアは、 License.txtの内容からAESキーと初期化ベクトル(IV)を生成します。最初に SHA256 を使用して 48 バイトの値をハッシュし、次に結果のハッシュをキーとして使用し、最初の 16 バイトを IV として使用します。

次に、バックドアペイロードを含むファイル HTTPApi.dllの復号化に進みます。復号化後、マルウェアは Assembly.Load 方法を使用して、バックドアをメモリに反射的にロードします。この手法により、マルウェアは復号化されたバックドアをディスクに書き込まずに直接実行できます。

DNS ベースのキーイング メカニズム

SHELBYLOADERの別の亜種は、AESキーとIVの生成に使用されるバイトシーケンスの登録と取得に異なるアプローチを使用します。

まず、マルウェアは同じサンドボックス対策方法を実行し、各手法でサンドボックスが検出されるかどうかに応じて、 1 または 0 の文字列を作成します。

C2登録のために、マルウェアは、最初のサブドメインが静的文字列(s)、2番目のサブドメインがBase32でエンコードされた一意の識別子、3番目のサブドメインがbase32でエンコードされたDomainName\HostName >> Anti-Sandboxing Results >> Persistence Flag形式の連結文字列であるarthurshelby.clickの下にサブドメインを構築します。

たとえば、完全なドメインは次のようになります s.grldiyrsmvsggojzmi4wmyi.inevyrcfknfvit2qfvcvinjriffe6ib6hyqdambqgaydambahy7cama.arthurshelby.click

その後、マルウェアは arthurshelby.clickのサブドメインに対して複数のDNSクエリを実行します。これらのクエリから返されたIPアドレスはバイトシーケンスに連結され、前述ののと同じプロセスに従って、バックドアを復号化するためのAESキーを生成するために使用されます。

サブドメインは次の形式に従います。

• 最初のサブドメインは l<index>で、インデックスは DNS 呼び出しの順序( l1、 l2など)に対応し、バイトシーケンスが正しくアセンブルされます。
• 2 番目のサブドメインは、Base32 でエンコードされた一意の識別子です。

SHELBYC2コード分析

バックドアは、ローダーによって作成されたものと同じ一意の識別子を再生成することから始まります。これは、前に使用した正確なシステム固有の文字列の MD5 ハッシュを計算することによって行われます。次に、バックドアは ミューテックス を作成して、感染したマシンでマルウェアの1つのインスタンスのみが実行されるようにします。Mutex の名前は、一意の識別子の前に文字列 Global\GHS を付加して付けられます。

65 秒後、バックドアは次のシステム情報を収集するメソッドを実行します。

• 現在のユーザーID
• オペレーティング システムのバージョン
• マルウェアのプロセス ID
• マシン名
• 現在の作業ディレクトリ

興味深いことに、この収集された情報はローカルで使用されず、C2サーバーに流出することもありません。これは、コードが開発中に残されたデッドコードである可能性があること、またはマルウェアがまだ活発に開発中であり、将来のバージョンでこのデータを利用する計画があることを示唆しています。

次に、マルウェアは、現在のタイムスタンプを、myGitリポジトリ内の一意のディレクトリ内のVivante.txtという名前のファイルにアップロードします(システムの一意の識別子を使用して名前が付けられています)。このタイムスタンプは最後のビーコン時刻として機能し、攻撃者はマルウェアのアクティビティを監視し、感染したシステムがまだアクティブであることを確認できます。「Vivante」という言葉はフランス語で「生きている」と訳され、侵害されたマシンのハートビートインジケーターとしてのファイルの役割を反映しています。

次に、マルウェアは、感染したシステムで実行するためにオペレーターが発行したコマンドのリストを含むファイル Command.txtをダウンロードしようとします。

Command.txt にコマンドが含まれていない場合、マルウェアは [Broadcast.txt] という名前の別のファイル内のコマンドをチェックします。Command.txtとは異なり、このファイルはマルウェアのディレクトリの外部にあり、感染したすべてのシステムに同時にコマンドをブロードキャストするために使用されます。このアプローチにより、攻撃者は侵害された複数のマシンで同時に操作を実行でき、大規模な制御が効率化されます。

コマンド処理テーブル:

Command.txtファイル内のコマンドは、Powershell で実行されるコマンドまたは処理されたコマンドのいずれかです。次に、処理されるすべてのコマンドについて説明します。

/ダウンロード

このコマンドは、GitHubリポジトリから感染したマシンにファイルをダウンロードします。これには、次の 2 つのパラメーターが必要です。

• GitHub リポジトリに格納されているファイルの名前。
• 感染したマシンでファイルが保存されるパス。

/アップロード

このコマンドは、感染したマシンから GitHub リポジトリにファイルをアップロードします。これは、アップロードするファイルのパスという 1 つのパラメーターを取ります。

/dlextract

このコマンドは、GitHub リポジトリ ( /downloadと同様) から zip ファイルをダウンロードし、その内容を抽出して、マシン上の指定されたディレクトリに保存します。

/誘起

このコマンドは、.NET バイナリを反射的に読み込むために使用されます。最初のパラメータは、以前に感染したマシンにダウンロードされたAES暗号化.NETバイナリのパスであり、2番目のパラメータは、ローダーがバックドアをロードする方法と同様に、AESとIVを導出するために使用される値です。

このコマンドは、SHELBYLOADERがバックドアをロードするのと同様に、.NETバイナリを反射的にロードします。これには、次の 2 つのパラメーターが必要です。

• 以前に感染したマシンにダウンロードされたAES暗号化.NETバイナリへのパス。
• AES キーと IV の派生に使用される値。

システムコマンド

上記のいずれかで始まらないコマンドは、PowerShell コマンドとして扱われ、それに応じて実行されます。

通信

マルウェアは、バックエンドの Gitツールを使用して コミットを送信しません。代わりに、GitHub と対話するための HTTP リクエストを作成します。コミットは、次の構造の JSON オブジェクトを使用してリポジトリに送信されます。

{
  "message": "Commit message",
  "content": "<base64 encoded content>",
  "sha": "<hash>"
}

マルウェアは、リクエストに対して次のような特定のHTTPヘッダーを設定します。

• 受け入れる： application/vnd.github.v3+json
• コンテンツタイプ: application/json
• 認可： token <PAT_token>
• ユーザーエージェント: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36

要求は、次のように構築された GitHub API エンドポイントに送信されます。

https://api.github.com/repos/<owner>/<repo>/contents/<unique identifier>/<file>

プライベートリポジトリにアクセスするために必要なパーソナルアクセストークン(PAT)は、バイナリに埋め込まれています。これにより、マルウェアは標準のGitツールチェーンを使用せずにリポジトリで認証およびアクションを実行できます。

マルウェアの設定方法は、 PAT(Personal Access Token )を持つ人なら誰でも、理論的には攻撃者が送信したコマンドを取得し、被害者の任意のマシンからコマンド出力にアクセスできることを意味します。これは、PATトークンがバイナリに埋め込まれており、取得した人なら誰でも使用できるためです。

シェルビー家の結論

C2インフラストラクチャはエキゾチックに設計されていますが、攻撃者はこのアプローチの重大なリスクと影響を見落としています。

このマルウェアの使用は、認定されたレッドチームによるものであれ、悪意のある行為者によるものであれ、不正行為を構成すると考えています。これにより、被害者は埋め込まれたPATを武器化し、すべてのアクティブな感染を制御することができます。さらに、被害者がVirusTotalやMalwareBazaarなどのプラットフォームにサンプルをアップロードすると、第三者が感染関連データにアクセスしたり、感染を完全に乗っ取ったりする可能性があります。

REF8685キャンペーン分析

Elastic Security Labsは、サードパーティデータソースの定期的な収集と分析を通じてREF8685を発見しました。侵入REF8685を調査する中で、新規であると判断したローダーとC2インプラントを特定し、この詳細なマルウェアと侵入分析をリリースすることにつながりました。

悪意のあるペイロードは、標的となった組織内から送信された高度に標的を絞ったフィッシングメールを通じて、イラクに拠点を置く通信会社に配信されました。メールの本文は、ネットワーク管理の技術的な詳細に関するエンジニア間の議論です。メールの内容とコンテキストから、このルアーが外部から作成された可能性は低く、エンジニアのエンドポイント、メールサーバー、またはその両方の侵害を示しています。

Dears,

We would appreciate it if you would check the following alarms on Core Network many (ASSOCIATION) have been flapped.

Problem Text
*** ALARM 620 A1/APT "ARHLRF2SPX1.9IP"U 250213 1406
M3UA DESTINATION INACCESSIBLE
DEST            SPID
2-1936          ARSMSC1
END

Problem Text
*** ALARM 974 A1/APT "ARHLRF1SPX1.9IP"U 250213 1406
M3UA DESTINATION INACCESSIBLE
DEST            SPID
2-1936          ARSMSC1
END
…

この電子メールには、ネットワーク アラームに対処するための行動喚起と、 details.zipという名前の圧縮された添付ファイルが含まれています。そのzipファイルの中には、電子メールでアドレス指定されたログと、実行チェーンを開始するWindows実行可能ファイル(JPerf-3.0.0.exe)を含むテキストファイルがあり、これによりSHELBYC2インプラントが配信され、環境へのリモートアクセスが提供されます。

REF8685侵入では観察されませんでしたが、VirusTotalは、 JPerf-3.0.0.exe (feb5d225fa38efe2a627ddfbe9654bf59c171ac0742cd565b7a5f22b45a4cc3a)が別の圧縮アーカイブ(JPerf-3.0.0.zip)に含まれ、イラクからも送信されたことを示していることに注意してください。これがこのキャンペーンの同じ被害者からのものなのか、それとも別の被害者によるものなのかは不明です。ファイル類似性検索では、 Setup.exe という名前の 2 番目のインプラントも特定され、追加の圧縮アーカイブ (5c384109d3e578a0107e8518bcb91cd63f6926f0c0d0e01525d34a734445685c) も識別されます。

これらのファイル(JPerf-3.0.0.exe および Setup.exe)の分析により、 C2 およびAESキー取得メカニズムにGitHubが使用されていることが明らかになりました(これについては、マルウェア分析のセクションで詳しく説明します)。REF8685マルウェアに使用されたGithubアカウント(arthurshellby および johnshelllby)は悪意のあるものであり、Githubによってシャットダウンされました。

注目すべきは、アーサーとジョン・シェルビーがイギリスの犯罪ドラマテレビシリーズ 「ピーキー・ブラインダーズ」の登場人物であることです。この番組は 2013 年から2022年まで制作されていました。

ドメイン arthurshelby[.]click は、Stark Industries(AS44477)がホストするサーバーである 2.56.126[.]151を指しています。このVPSホスティングプロバイダーは、他の大規模なサイバー攻撃の プロキシサービスに使用されています 。このサーバーには、次の解像度が重複しています。

• arthurshelby[.]click
• [REDACTED]telecom[.]digital
• speed-test[.]click
• [REDACTED]airport[.]cloud
• [REDACTED]airport[.]pro

SHELBYLOADERサンプルの1つの圧縮アーカイブとC2ドメインは、イラクに拠点を置く通信会社である[編集済]テレコムにちなんで名付けられました。[編集済]のカバレッジマップは、イラク北部と東部のイラク・クルディスタン地域に焦点を当てています。

「Sharjaairport」は、3人目の標的となる可能性のある被害者を示しています。[編集済]国際空港 ([編集済]) は、アラブ首長国連邦の航空貨物を専門とする国際空港です。ドバイ国際空港(DXB)から14.5マイル(23.3km)です。

[REDACTED]airport[.]cloud 新しいサーバー 2.56.126[.]157に解決されました。これは、2025年 1 月 21日の 1 日です。その後、Google DNS、正規の[編集済]空港サーバー、そして最後にNamecheapの駐車場アドレスを指し示しました。2.56.126[.]157サーバーであるStark Industries(AS44477)がホストし、[REDACTED]-connect[.]onlineもホストしており、[編集済]は[編集済]国際空港の空港コードです。

ドメイン [REDACTED]airport[.]cloudには、2025年1月23日から25日までの2.56.126[.]188を簡単に指し示すサブドメインportal.[REDACTED]airport[.]cloudがあります。その後、本稿執筆時点までトラフィックを 172.86.68[.]55 に誘導しました。

バナー ハッシュ ピボットは、追加のサーバー ドメインの組み合わせ ( 195.16.74[.]138、 [REDACTED]-meeting[.]online) を示します。

172.86.68[.].55サーバーは、元の被害者を標的とした明らかなフィッシングドメインであるmail.[REDACTED]tell[.]comもホストしています。

Web ログイン ページは hxxps://portal.[REDACTED]airport[.]cloud/Login (VirusTotal) でホストされていました。

攻撃者は、これら2つのサブドメインを武器にして、クラウドのログイン認証情報をフィッシングしたと評価しています。これらの認証情報が保護されると([編集済] Telecomの場合)、攻撃者は被害者のクラウドメールにアクセスし、進行中の内部メールスレッドを武器にすることで、高度に標的を絞ったフィッシングを作成しました。

この武器化された内部メールは、被害者のエンドポイントに再度フィッシングを仕掛けるために使用されました。

このキャンペーンに関連するすべてのドメインは、ZeroSSL認証を利用しており、Stark Industriesのインフラストラクチャ上に存在しています。

侵入解析のダイヤモンドモデル

Elastic Security Labsは、 ダイヤモンドモデル を使用して、侵入の敵対者、能力、インフラストラクチャ、被害者間の高レベルの関係を記述します。ダイヤモンドモデルは、単一の侵入で最も一般的に使用され、インシデント間の関係を作成する方法としてアクティビティスレッド(セクション8)を活用しますが、敵対者中心(セクション7.1.4)ですアプローチは、雑然としているが、単一のダイヤモンドを可能にする。

REF8685およびMITRE ATT&CK

Elasticは、 MITRE ATT&CK フレームワークを使用して、企業ネットワークに対してAdvanced Persistent Threatが使用する一般的な戦術、手法、手順を文書化しています。

戦術（Tactics）

戦術は、テクニックまたはサブテクニックの理由を表します。 それは敵の戦術的な目標であり、行動を実行する理由です。

• コマンド＆コントロール（Command and Control）
• 初期アクセス（Initial Access）
• 防御回避
• ディスカバリ
• 実行
• 抽出

手法

手法は、敵対者がアクションを実行することによって戦術的な目標を達成する方法を表します。

• リフレクティブコードのロード
• フィッシング
• ファイルまたは情報の難読化
• コマンドおよびスクリプティングインタープリター
• C2チャネルを介した流出

YARAルール

Elasticセキュリティは、このアクティビティを識別するためのYARAルールを作成しました。以下は、SHELBYC2 と SHELBYLOADER マルウェアを特定するための YARA ルールです。

rule Windows_Trojan_ShelbyLoader {
    meta:
        author = "Elastic Security"
        creation_date = "2025-03-11"
        last_modified = "2025-03-25"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "ShelbyLoader"
        threat_name = "Windows.Trojan.ShelbyLoader"
        license = "Elastic License v2"

    strings:
        $a0 = "[WARN] Unusual parent process detected: "
        $a1 = "[ERROR] Exception in CheckParentProcess:" fullword
        $a2 = "[INFO] Sandbox Not Detected by CheckParentProcess" fullword
        $b0 = { 22 63 6F 6E 74 65 6E 74 22 3A 20 22 2E 2B 3F 22 }
        $b1 = { 22 73 68 61 22 3A 20 22 2E 2B 3F 22 }
        $b2 = "Persist ID: " fullword
        $b3 = "https://api.github.com/repos/" fullword
    condition:
        all of ($a*) or all of ($b*)
}

rule Windows_Trojan_ShelbyC2 {
    meta:
        author = "Elastic Security"
        creation_date = "2025-03-11"
        last_modified = "2025-03-25"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "ShelbyC2"
        threat_name = "Windows.Trojan.ShelbyC2"
        license = "Elastic License v2"

    strings:
        $a0 = "File Uploaded Successfully" fullword
        $a1 = "/dlextract" fullword
        $a2 = "/evoke" fullword
        $a4 = { 22 73 68 61 22 3A 20 22 2E 2B 3F 22 }
        $a5 = { 22 2C 22 73 68 61 22 3A 22 }
    condition:
        all of them
}

観測

すべてのオブザーバブルは、ECS形式とSTIX形式の両方で、結合されたzipバンドルで ダウンロード することもできます。

この研究では、次の観測量について議論しました。