Dear Joohn行动:看Sofacy组织如何在全球掀起风浪

正如我们在之前分析Cannon木马的文章中所提到的那样,Sofacy组织(又名Fancy BearAPT28STRONTIUMPawn StormSednit)在今年10月中旬到11月中旬期间一直在忙于攻击世界各地的各种政府和私人组织。虽然其大部分攻击目标都位于北约盟国,但也有少部分位于前苏联国家。所有这些攻击大都旨在传播我们在之前已经分析过的Zebrocy木马变种,但ESET的报告显示,其中一些恶意文档也传播了CannonZebrocy Delphi变种。自2015年年中开始追踪Zebrocy的使用情况以来,我们发现该木马的使用率一直呈上升趋势。相比其他与Sofacy组织相关的后门工具,Zebrocy在攻击行动中的使用率明显要高得多。

我们将在本文中详细介绍的所有攻击都有一个共同点——恶意文档使用的都是同一个作者名称:Joohn。最初引起我们注意的恶意文档样本被命名为“crash list(Lion Air Boeing 737).docx”,旨在传播Zebrocy木马。通过利用我们的AutoFocus威胁情报平台,以及从VirusTotal收集到的数据,我们基于这份文档的元数据和行为发现了Cannon木马,以及其他更多的恶意文档、payload和攻击目标。

需要说明的是,所有这些攻击的初始攻击媒介几乎全都是鱼叉式网络钓鱼电子邮件。另外,攻击使用的都是注册到合法电子邮件服务提供商的电子邮件帐户,而不是被黑的账户。这些帐户的名称看上去与合法政府组织的名称或其他受信任的第三方实体的名称十分相似。

此外,所有这些恶意文档在功能上几乎完全相同——利用Microsoft Word的远程模板下载功能从第一阶段C2检索恶意宏,加载并执行初始payload。大多数恶意文档都不包含任何文字内容,仅包含一张通用的诱饵图片,以诱使收件人启用宏。从这一点来看,攻击者似乎主要是想通过文件名来吸引受害者,而不是文档的内容。

总的来说,我们在20181017日到20181115日期间共捕获了9份不同的恶意文档,它们都使用了相同作者名(即Joohn),旨在传播ZebrocyCannon变种。我们收集到的数据显示,Dear Joohn行动的攻击目标横跨四大洲,从联邦层面的政府机构到地方政府机构。

此外,我们还利用收集到的数据创建了Dear Joohn行动的时间表,从而能够更加清晰地展示Sofacy组织是在何时向他们的目标发起了攻击,以及他们是如何利用自动化工具来实施攻击的。

 

攻击活动分析

1017日开始,我们一共捕获到了9份不同的恶意文档,它们被发送给了位于世界各地的多个组织。具体来说,攻击目标包括一个北美外交事务组织、几个欧洲外交事务组织以及几个前苏联国家政府实体。更多的证据表明,此次行动可能还针对了世界各地的执法机构,包括北美、澳大利亚和欧洲。另外,我们的遥测数据还显示,此次行动有可能也针对了一些非政府组织、营销公司以及医疗行业的组织。所有这些攻击的攻击媒介都是鱼叉式网络钓鱼电子邮件,且使用的都是注册到免费电子邮件服务提供商Seznam的电子邮件帐户。这里需要说明一下的是,Seznam是一家位于捷克的合法电子邮件服务提供商。图1展示的是一封钓鱼电子邮件示例。

 

1.Dear Joohn行动中发送的鱼叉式网络钓鱼电子邮件示例

在此次行动中,Sofacy组织似乎主要是想通过文件名来吸引受害者。文档的名称包括英国脱欧(Brexit)、狮航客机坠毁,以及最近在以色列发生的火箭袭击(完整的恶意文档列表见表1)。虽然文档名称似乎透露出攻击具有高度针对性,但文档的实际内容却大体一致,都仅包含一张通用的诱饵图片,如图2所示。

 

2.通用的诱饵图片

到了11月份,Sofacy组织改变了其战术,开始为他们的恶意文档使用不同的诱饵内容。在这个月,我们一共捕获到了三份针对北约盟国的恶意文档样本,它们的内容均不相同,如图3所示。

 

3.有针对性的诱饵内容

其中一份文档向收件人展示的内容是模糊不清的,但可以很明显地看到北约爆炸军械处理小组(EOD)的印章。实际上,恶意文档所包含的内容仍然仅是一张图片,只是经过了模糊处理,上面的内容与一个北约研讨会议有关。另外两份文档彼此之间非常相似,向收件人展示的内容都是一堆乱码,以及有关如何正确查看文档的说明。有趣的是,其中一份文档中的说明是采用俄文编写的,这可能表明其攻击目标位于一个讲俄语的国家。

无论实际内容如何,所有恶意文档均使用了相同的策略来实施攻击。在被打开之后,恶意文档首先会利用Microsoft Word自带的功能来尝试下载一个远程模板,然后加载恶意宏,如图4所示。

 

4.Microsoft Word尝试下载远程模板

如果C2服务器在文档被打开时处于开启状态,那么下载将会成功,而恶意宏将被加载到同一Microsoft Word会话中。然后,收件人将看到一个“Enable Content(启用内容)”提示,如图5所示。但如果C2服务器处于关闭状态,那么下载将会失败,收件人将不会看到“Enable Content(启用内容)”提示,因为没有宏被下载。”

 

5.下载的远程模板,提示收件人单击“Enable Content”以运行宏

恶意文档分析

我们在10月和11月期间捕获的所有恶意文档都存在大量相似之处(如表1所示),这使得我们可以将这些攻击联系起来。其中最明显的相似之处就是,文档作者的名字都是Joohn。不过,这种相似性在11月份出现了一个细微的偏差。虽然我们在该月捕获的三个样本仍然使用了Joohn这个名字,但它仅作为“最后一次保存者”出现,而“作者”属性改为了使用默认的“USER/user”。

散列值

文件名

作者

最后一次保存者

远程模版位置

远程模版散列值

c20e5d56b3..

1500029.docx

Joohn

Joohn

185.203.118[.]198

86bb3b00bc..

abfc14f7f7..

Passport.docx

Joohn

Joohn

185.203.118[.]198

86bb3b00bc..

40318f3593..

DN_325_170428_DEA Basic Narcotics Investigation Course invitation.docx

Joohn

Joohn

145.249.105[.]165

2da5a388b8..

5749eb9d7b..

2018_10_13_17_15_21.docx

Joohn

Joohn

145.249.105[.]165

0d7b945b9c..

2cfc4b3686..

crash list(Lion Air Boeing 737).docx

Joohn

Joohn

188.241.58[.]170

f1e2bceae8..

af77e845f1..

Заявление.docx

Joohn

Joohn

188.241.58[.]170

fc69fb278e..

34bdb5b364..

Rocket attacks on Israel.docx

user

Joohn

109.248.148[.]42

ed8f52cdfc..

79bd5f3486..

201811131257.docx

USER

Joohn

109.248.148[.]42

b9f3af84a6..

77ff53211b..

Brexit 15.11.2018.docx

DIP 89 OIC Condemns 14 Nov Attacks.docx

15.11 attacks.docx

USER

Joohn

109.248.148[.]42

<未知>

1.出现在Dear Joohn行动中的恶意文档

此外,由表1中的恶意文档下载的远程模板也使用了相同的作者名称:xxx,如表2所示(想要查看完整的散列值和元数据,请戳这里)。

散列值

文件名

作者

创建时间

最后修改时间

托管IP

f1e2bceae8..

office.dotm

xxx

10/31/18 10:52

10/31/18 10:52

188.241.58[.]170

86bb3b00bc..

Note_template.dotm

xxx

10/17/18 05:35

10/17/18 05:35

185.203.118[.]198

2da5a388b8..

release.dotm

xxx

10/25/18 07:06

10/25/18 07:06

145.249.105[.]165

0d7b945b9c..

message_template.dotm

xxx

10/23/18 13:55

10/23/18 13:55

145.249.105[.]165

fc69fb278e..

documents.dotm

xxx

11/01/18 05:00

11/01/18 05:06

188.241.58[.]170

ed8f52cdfc..

templates.dotm

xxx

11/13/18 10:52

11/13/18 10:52

109.248.148[.]42

b9f3af84a6..

attachedTemplate.dotm

xxx

11/15/18 05:35

11/15/18 05:35

109.248.148[.]42

2.Dear Joohn恶意文档下载的远程模板

如表1所示,恶意文档分别从四台不同的C2服务器下载对应的远程模板,服务器的IP地址如下:

l  185.203.118[.]198

l  145.249.105[.]16

l  188.241.58[.]170 

l  109.248.148[.]42

这些初始C2 服务器IP地址不仅托管了会在随后加载第一阶段ZebrocyCannon payload的远程模板,而且还托管了第一阶段payloadC2服务器。在Dear Joohn行动中使用的所有C2服务器都基于IP,并且基础设施与早前的ZebrocySofacy基础设施之间不存在任何重叠或关联。Dear Joohn行动的基础设施网络如图6所示。

 

6.Dear Joohn行动的基础设施网络

我们根据收集的数据创建了Dear Joohn行动的时间表(基于表3中的时间戳),且发现攻击主要集中在10月中下旬和11月中旬,如图7所示。

文件名

创建时间

最后修改时间

首次出现

时间间隔 (天)

Passport.docx
instruction.docx

9/11/18 04:22

10/13/18 08:21

10/18/18 07:38

37.1

DN_325_170428_DEA…invitation.docx

9/11/18 04:22

10/13/18 08:21

10/25/18 08:15

44.12

crash list(Lion Air Boeing 737).docx
Бурханов.docx

9/11/18 04:22

10/13/18 08:21

11/01/18 06:50

51.1

Заявление.docx

9/11/18 04:22

10/13/18 08:21

11/01/18 11:41

51.3

1500029.docx

10/18/18 06:59

10/18/18 07:00

10/18/18 08:47

0.4

2018_10_13_17_15_21.docx

10/18/18 06:59

10/18/18 07:00

10/24/18 07:38

6.2

Rocket attacks on Israel.docx

11/13/18 12:17

11/13/18 10:46

11/14/18 05:14

0.7

Brexit 15.11.2018.docx
DIP 89 OIC Condemns 14 Nov Attacks.docx
15.11 attacks.docx

11/14/18 14:17

11/15/18 04:50

11/15/18 06:28

0.8

201811131257.docx

11/14/18 14:33

11/15/18 04:50

11/15/18 12:31

0.9

3.恶意文档的时间戳(所有时间均为UTC

 

7.Dear Joohn行动时间表

从时间戳来看,最初的四份恶意文档是在201891104:22同时被创建的,并在2018101308:21同时被修改。四份恶意文档在完全相同的时间被创建并修改,但却被嵌入了三个不同的C2地址,这可能表明攻击者使用了某种自动化工具。我们都知道,这可以通过使用基于命令行的渗透测试工具包来实现。比如Phishery,它就允许我们通过一个简单的脚本,以不同的输入同时生成多个文档。总的来说,这四份文档从最初创建到用于攻击的平均时间间隔为46天。随着时间的推移,Dear Joohn行动的节奏明显加快,从文件的创建到用于攻击的平均时间间隔下降到了大约两天。

 

Payload分析

如上所述,出现在Dear Joohn行动中的恶意文档会下载一个远程模板,包含在其中的恶意宏被用于安装第一阶段payload。除了Cannon之外,第一阶段payload几乎都是Zebrocy木马的变种。在此次行动中传播的Zebrocy变种由多种不同的语言编写而成,包括DelphiC#和VB.NET。表4列出了出现在Dear Joohn行动中的所有第一阶段payload的信息。

SHA256

编译日期

变种

C2

5173721f30..

10/23/18

C# Zebrocy

145.249.105[.]165

61a1f3b4fb..

11/1/18

C# Cannon

sahro.bella7[at]post.cz

6ad3eb8b56..

6/19/92

Delphi Zebrocy

188.241.58[.]170

9a0f00469d..

10/25/18

C# Zebrocy

145.249.105[.]165

b41480d685..

6/19/92

Delphi Zebrocy

109.248.148[.]42

c91843a69d..

6/19/92

Delphi Zebrocy

185.203.118[.]198

e5aece694d..

11/13/18

VB.NET Zebrocy

109.248.148[.]42

4.出现在Dear Joohn行动中的第一阶段payload

值得注意的是,出现在Dear Joohn行动中的Zebrocy Delphi变种与我们之前20186有关Zebrocy的分析文章讨论的Delphi downloader非常相似。因此,这个Delphi变种应该算是一种已知的变种。但是,出现在此次行动中的C#和VB.NET变种此前从未被报道过。需要指出的是,出现在此次行动中的所有Zebrocy Delphi变种均采用了UPX压缩,而其他变种都没有经过压缩。我们推测,这很可能也正是因为Zebrocy Delphi变种作为一种已知变种已经被广泛分析的原因,Sofacy组织可能是想要通过对它进行压缩来增加逃过安全检测的机率。

通过对Cannon样本的收集和分析,我们认为采用Delphi编写的Cannon也是一个全新的变种。鉴于我们已经看到Sofacy组织使用了多种语言来创建Zebrocy变种,因此该组织同样也有能力在多种编程语言中创建Cannon变种。

CCannon

自我们发布有关Cannon分析文章以来,我们成功捕获了其他的一些Cannon样本,以便更好地了解它的起源。从目前看来,第一个已知的C Cannon样本似乎是在2018418日创建的,从那以后至少有7个样本被发布。表5展示了目前已知的所有C Cannon样本、它们的编译时间以及用于C2通信的电子邮箱帐户。

SHA256

编译时间

C2账户

POP3S账户

SMTPS账户

861b6bc1f9..

4/18/18

sym777.g

kae.mezhnosh

vebek.morozh30

g0r7tsa45s

marvel.polezha

4405cfbf28..

5/14/18

sym777.g

kae.mezhnosh

vebek.morozh30

g0r7tsa45s

marvel.polezha

174effcdee..

6/15/18

sym777.g

kae.mezhnosh

vebek.morozh30

g0r7tsa45s

marvel.polezha

a23261e2b6..

6/22/18

sym777.g

kae.mezhnosh

vebek.morozh30

g0r7tsa45s

marvel.polezha

651d5aab82..

10/19/18

sym777.g

kae.mezhnosh

vebek.morozh30

g0r7tsa45s

marvel.polezha

68df0f924c..

10/22/18

sym777.g

kae.mezhnosh

vebek.morozh30

g0r7tsa45s

marvel.polezha

61a1f3b4fb..

11/1/18

sahro.bella7

trala.cosh2

Bishtr.cam47

Lobrek.chizh

Cervot.woprov

5.已知的C Cannon样本

正如我们在最初的分析文章中所提到那样,被攻击者用来充当C2的电子邮箱地址是sahro.bella7[at]post.cz,但所有早期的C Cannon样本使用的都是sym777.g[at]post.cz。此外,所有早期的C Cannon样本都使用了同一个帐户名kae.mezhnosh来接收来自攻击者的电子邮件,同时使用帐户名vebek.morozh30g0r7tsa45smarvel.polezha来向攻击者发送电子邮件。

也正如我们在最初的分析文章中所提到那样,C Cannon能够使用POP3S登录到一个电子邮箱帐户,并检查具有特定文件名的电子邮件,该文件将被保存到目标系统并执行。需要指出的是,我们最初分析的C Cannon样本查找的是一个文件名为auddevc.txt的附件,但其他C Cannon样本查找的是以下文件名:

l  wmssl.txt

l  audev.txt

Delphi Cannon

在收集Cannon样本的过程中,我们发现了另一类使用电子邮件来进行C2通信的Cannon变种。我们之所以将它与Cannon联系起来,是因为它使用了文件名“wmssl.exe”。实际上,它是由wmssl.txt附件转换而来的,用于安装和执行一个辅助payload。当然,仅凭这一点,我们是无法将它与Cannon完全联系起来,但在收集到了Delphi Cannon的其他样本之后,我们发现了更多能够证明它们之间存在联系的证据。表6展示的是我们收集到的所有Delphi Cannon样本,其中样本(SHA256215f7c08c2 ..)与ESET分析文章讨论的木马非常相似。

SHA256

创建时间

C2电子邮箱地址

POP3S账户

SMTPS账户

5a02d4e5f6..

1/23/18

 

heatlth500@ambcomission[.]com

trash023@ambcomission[.]com

trasler22@ambcomission[.]com

d06be83a40..

2/21/18

heatlth500@ambcomission[.]com

trash023@ambcomission[.]com

trasler22@ambcomission[.]com

78adc8e5e4..

2/28/18

heatlth500@ambcomission[.]com

trash023@ambcomission[.]com

trasler22@ambcomission[.]com

054c5aa73d..

3/3/18

heatlth500@ambcomission[.]com

trash023@ambcomission[.]com

trasler22@ambcomission[.]com

cac630c11c..

4/18/18

N/A

N/A

N/A

ecc5805898..

5/4/18

heatlth500@ambcomission[.]com

trash023@ambcomission[.]com

trasler22@ambcomission[.]com

215f7c08c2..

6/14/18

rishit333@ambcomission[.]com

tomasso25@ambcomission[.]com

kevin30@ambcomission[.]com

6. 我们收集到的所有Delphi Cannon样本

从表6我们可以看出,Delphi Cannon变种的编译时间要早于我们在最初报告中讨论的变种的编译时间,因为第一个已知的Delphi样本是在20181月份编译的,而我们在最初报告中讨论的Cannon样本是在20184月份编译的。Delphi Cannon变种没有使用合法的基于Web的电子邮件服务来进行C2通信,而是使用自主域名ambcomission[.]com电子邮箱帐户,而这个域名连接到一个更大的Sofacy基础设施网络,正如ThreatConnect所报道的那样。虽然Delphi Cannon也使用了POP3SSMTPS来进行C2通信,但由于它使用的是由攻击者控制的自主域名,因此相对Seznam这样的合法电子邮件服务提供商来说,此类电子邮件更加容易被收件人屏蔽掉。

已知最早的Delphi变种样本(SHA2565a02d4e5f6 …)为我们提供了更多能够证明Delphi CannonCannon之间存在联系的证据。例如,这个样本会将收集到的系统信息发送给C2,其中涉及到将正在运行进程的路径附加到header字符串Running place,而这个字符串也可以在C Cannon样本(SHA2564405cfbf28 …)的inf函数中找到,如图8所示:

 

8. C Cannoninf函数

在对比这两类Cannon变种的过程中,我们在Delphi Cannon样本(SHA2565a02d4e5f6 …)中也发现了一个函数,它使用Running placeLogical_Drivers作为header字符串来将收集到的系统信息通过电子邮件发送给C2。虽然不完全匹配,但如图9所示,C Cannon同样包含类似的header字符串,这使得我们更加确信,这两类变种的确来自同一个木马家族:

 

9. Delphi Cannon C Cannon的相似之处

VB.NET Zebrocy

VB.NET Zebrocy变种(SHA256e5aece694d ..)与其他已知的Zebrocy变种非常相似,它会将硬盘卷序列号包含在被它用作C2 beaconURL中。需要说明的是,这个beacon是通过使用Scripting.FileSystemObject对象从存储在Environment.SpecialFolder.LocalApplicationData中的路径调用GetDriveName获得的。然后,它会使用从GetDriveName函数获取到的硬盘卷调用GetDrive,以获取硬盘的SerialNumber。接下来,这个VB.NET变种会通过运行以下命令来收集系统信息和正在运行的进程:

systeminfo & tasklist

用于将系统信息、正在运行的进程和屏幕截图发送到C2服务器的URL如下所示:

hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php?res=[serial number]

VB.NET Zebrocy变种通过将一个HTTP POST请求发送到上面的URL来传输收集到的数据,这些数据包含在HTTP POST请求中,其结构如下(注意:前后都有一个空格):

data=[system information and running processes] & arg=[screenshot in BMP format]

C Zebrocy

C Zebrocy变种在功能上与其他变种类似,但也有一些值得讨论的独有特性。与其他Zebrocy变种一样,C Zebrocy变种会收集硬盘卷序列号,以用于C2服务器的出站beacon。具体来说,C Zebrocy变种会使用Windows API函数GetVolumeInformation来获取C盘的序列号。另外,这个变种还能够捕获屏幕截图,并以JPEG格式传输到C2服务器。

除了使用的编程语言之外,C Zebrocy变种最显着的变化是收集系统信息和正在运行的进程的方式。具体来说,C Zebrocy变种使用的是WMI查询来收集此类信息,而不是使用systeminfotasklist命令。具体的WMI查询列表如下所示:

l  wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace

l  wmic diskdrive get Model, SerialNumber

l  wmic computersystem get Manufacturer, Model, Name, SystemTypec

l  wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages

l  wmic process get Caption,ExecutablePath

用于将系统信息、正在运行的进程和屏幕截图发送到C2服务器的URL如下所示:

hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php?fm=[serial number]

C Zebrocy变种通过将一个HTTP POST请求发送到上面的URL来传输收集到的数据,这些数据包含在HTTP POST请求中,其结构如下:

spp=[system information from WMI queries] &spvg=[screenshot in JPEG format]

 

总结

Sofacy组织仍在继续使用类似的策略和技术来攻击全球各地的组织。我们观察到,他们在10月底到11月期间通过鱼叉式网络钓鱼电子邮件实施了攻击,通常利用近期新闻事件作为文件名来诱使收件人打开恶意附件。在这些攻击中,该组织明显倾向于使用类似Zebrocy这样的简单downloader作为第一阶段payload。另一方面,该组织显然仍在继续对Zebrocy进行开发,并已经开发出了VB.NETC#版本。此外,他们在过去的攻击行动中似乎还使用了不同版本的Cannon

 

IOC

恶意文档散列值:

2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f

c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f

abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74

40318f3593bca859673827b88d65c5d2f0d80a76948be936a60bda67dff27be9

5749eb9d7b8afa278be24a4db66f122aeb323eaa73a9c9e52d77ac3952da5e7d

af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

34bdb5b364358a07f598da4d26b30bac37e139a7dc2b9914debb3a16311f3ded

79bd5f34867229176869572a027bd601bd8c0bc3f56d37443d403a6d1819a7e5

77ff53211bd994293400cb3f93e3d3df6754d8d477cb76f52221704adebad83a

远程模板散列值:

f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46

2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8

0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef

fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba

b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809

远程模板URL

hxxp://188.241.58[.]170/live/owa/office.dotm

hxxp://185.203.118[.]198/documents/Note_template.dotm

hxxp://185.203.118[.]198/documents/Note_template.dotm

hxxp://145.249.105[.]165/doc/temp/release.dotm

hxxp://145.249.105[.]165/messages/content/message_template.dotm

hxxp://188.241.58[.]170/version/in/documents.dotm

hxxp://109.248.148[.]42/officeDocument/2006/relationships/templates.dotm

hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm

hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm

Zebrocy散列值:

5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a

9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9

b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3

c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65

e5aece694d740ebcb107921e890cccc5d7e8f42471f1c4ce108ecb5170ea1e92

Zebrocy C2 URL

hxxp://188.241.58[.]170/local/s3/filters.php

hxxp://185.203.118[.]198/en_action_device/center_correct_customer/drivers-i7-x86.php

hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php

hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php

Cannon散列值:

861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb

4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47

174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a

a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce

651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12

68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12

d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4

78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead

054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b

cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1

ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4

215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae

Cannon相关的电子邮箱:

sym777.g[at]post.cz

kae.mezhnosh[at]post.cz

vebek.morozh30[at]post.cz

g0r7tsa45s[at]post.cz

marvel.polezha[at]post.cz

sahro.bella7[at]post.cz

trala.cosh2[at]post.cz

Bishtr.cam47[at]post.cz

Lobrek.chizh[at]post.cz

Cervot.woprov[at]post.cz

heatlth500[at]ambcomission[.]com

trash023[at]ambcomission[.]com

trasler22[at]ambcomission[.]com

rishit333[at]ambcomission[.]com

tomasso25[at]ambcomission[.]com

kevin30[at]ambcomission[.]com

(完)