Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

カザフスタンと関連のある YoroTrooper、攻撃発信元をアゼルバイジャンと偽装


2023年11月3日

  • Cisco Talos は、2022 年 6 月に初めて確認されスパイ活動に注力する攻撃者である YoroTrooper が、カザフスタン出身の人物で構成されている可能性が高いと考えています。攻撃者はカザフスタン通貨を使用し、カザフ語とロシア語が堪能です。また、カザフスタン国有電子メールサービスの Web サイトを防御するような行動も見られ、カザフスタンの組織を攻撃の対象とすることはほとんどありません。
  • YoroTrooper は、攻撃の発信元を読み取られないようにしています。アゼルバイジャン固有の VPN 出口ノードを使用するなど、悪意のある攻撃がアゼルバイジャンから発信されているように見せかけるさまざまな手法を駆使しています。
  • YoroTrooper は攻撃対象を独立国家共同体(CIS)諸国に絞っているようです。2023 年 5〜8 月にかけて、複数の国有 Web サイトや政府高官のアカウントを侵害しています。
  • Talos の調査結果によると、YoroTrooper はコモディティマルウェアとカスタムマルウェアに加え、認証情報収集サイトに標的を誘導するフィッシングメールを引き続き大幅に活用しています。これは、最近の ESET のレポートpopup_iconとも合致する結果です。
  • 最近の YoroTrooper による再構築の取り組みとしては、コモディティマルウェアから離れて Python、PowerShell、GoLang、Rust などのさまざまなプラットフォームにまたがる新しいカスタムマルウェアを使用するようになっています。

YoroTrooper の攻撃者はカザフスタンを拠点としている可能性が高い

Talos は、カザフ語の偏重、カザフスタン通貨の使用、カザフスタンの組織に対する攻撃の少なさ(政府の汚職防止機関のみ)から、YoroTrooper の攻撃者はカザフスタンを拠点としている可能性が高いと分析しています。

拠点がカザフスタンではないかと考えるようになったきっかけは、攻撃者がカザフスタンの公用語であるカザフ語とロシア語を話していたことでした。YoroTrooper はよくカザフ語の Web サイトにアクセスし、カスタムの Python リモートアクセス型トロイの木馬(RAT)のデバッグやログのメッセージにロシア語を使用していました。たとえば「{save_dir} に保存する」を意味する「Сохраняю в {save_dir}」や、「\nName へのファイルのアップロードを完了」を意味する「Файл загружен!\nИмя」などの言葉が見受けられます。また、コマンド出力の翻訳は CP866、つまりキリル語のコードページとなっています。

2023 年 6 月以降、YoroTrooper はカザフスタンでよく使用されるウズベク語をインプラントで使用しています。その結果、攻撃者の出身国をカザフスタンに絞り込むことができました。これには、ウズベキスタン出身者になりすまして調査を撹乱するという目的があったかもしれませんが、YoroTrooper の攻撃者は単純にカザフ語、ロシア語、ウズベク語に堪能である可能性が高いと見られています。

YoroTrooper がカザフスタンと強く結びついているという Talos の判断を裏付ける 2 つ目の根拠は、活動におけるカザフスタン通貨の使用でした。攻撃者は、ルアーやデコイ(おとり)とペイロードをホストするドメインやサーバーなどの運用インフラストラクチャの支払いに、主に暗号通貨を使用しています。定期的にカザフスタンの公式通貨であるカザフスタンテンゲ(KZT)と、ビットコイン(BTC)の為替換算レートを Google で確認しています。

また、alfachange[.]com などのオンライン両替サービスを使用して、Visa カードや Mastercard カード経由でカザフスタンテンゲをビットコインに替えています。

Talos の調査から、YoroTrooper はカザフスタンの国有電子メールサービス、mail[.]kz の Web サイトのセキュリティ態勢を繰り返し確認し、防御するような特別な行動をとっていることが分かりました。YoroTrooper は、定期的に mail[.]kz のセキュリティスキャンを実行します。ただし、攻撃者がよく使う手口であるオンラインサービスやそのユーザーを標的にする際にサイトに似せたドメインを登録したり、サイトになりすまして認証情報を収集するページを作成したりしたことはありません。以下は、YoroTrooper が使用するブラウザに保存された mail[.]kz のセキュリティ態勢の評価に関するブックマークです。攻撃者がこれらのリンクに頻繁にアクセスして、Web サイトに潜在的なセキュリティの脆弱性が存在しないかモニタリングしていることが分かります。

このモニタリングアクティビティは、YoroTrooper が mail[.]kz を重要視していることを示しています。自分たちが所有する悪意のあるインフラストラクチャに対しても同様のセキュリティスキャンを行い、エクスプロイトされる脆弱性が存在しないことを確かめているからです。たとえば YoroTrooper は、2022 年 7 月 11 日にドメイン mail[.]asco[.]az-link[.]email をホストしていた Shodan の IP アドレス 168[.]100[.]8[.]242 を照会しています。これは、2022 年 11 月にアゼルバイジャンで組織を攻撃するために使用されたものです。

Shodan で自らの IP アドレスを確認する YoroTrooper

さらに、Talos による YoroTrooper の被害者に関する分析では、カザフスタンで攻撃の対象となった唯一の機関が政府の汚職防止機関だったことが分かりました。YoroTrooper は、正式な政府ドメインの antikor[.]gov[.]kz になりすまし、悪意のあるサブドメイン、mail[.]antikor[.]gov[.]kz[.]openingfile[.]net を作成して、この攻撃を実行しました。

アゼルバイジャン人のふりをする攻撃者

Talos は、YoroTrooper が拠点を偽装しようとしている可能性が高いと考えています。アゼルバイジャンの組織を攻撃の対象としながらも、そのインフラストラクチャの大半をアゼルバイジャンでホストし、以下のような悪意のあるサブドメインを使用しています。

  • mail[.]economy[.]qov[.]az-link[.]email
  • mail[.]gov[.]az-link[.]email
  • mail[.]mfa[.]az-link[.]email

YoroTrooper は多くの手法を利用して攻撃の発信元を偽装し、アゼルバイジャンが拠点であるかのように見せかけています。Talos は、YoroTrooper のほとんどの攻撃がアゼルバイジャン経由で行われているものの、攻撃者はアゼルバイジャン語を話せないようだということを確認しました。Talos が得た情報によると、攻撃者は定期的に情報をアゼルバイジャン語からカザフスタンの第 2 公用語であるロシア語に翻訳しています。

Google 翻訳を使用してアカウント認証メッセージをアゼルバイジャン語からロシア語に変換する YoroTrooper

また、攻撃者はフィッシング攻撃に使用するルアー(おとり)の下書きをロシア語で書いてから、アゼルバイジャン語に翻訳しています。

YoroTrooper は、攻撃がアゼルバイジャンから発信されているかのように見せかけるため、アゼルバイジャンの VPN 出口ノードを利用しようとします。

さらに、攻撃者がアゼルバイジャン人のランダムな連絡先情報を探しているのも確認されています。おそらくインフラストラクチャやツールの設定に使用するためです。

攻撃の対象は CIS 諸国の著名な政府関係者や組織

Talos が 2023 年 3 月に YoroTrooper に関する情報開示を行って以来、YoroTrooper は戦術、技術、手順(TTP)を変更し、拡大してきました。2023 年 6 月以降は新たな TTP を使用して、独立国家共同体(CIS)諸国を対象に引き続き攻撃を行ってきました。戦術には次のようなものがあります。

  • Python ベースのインプラントを PowerShell に移植する
  • カスタムインプラントの活用を増やし、以前使用していたコモディティマルウェアを手放す

国の政府組織を対象とした YoroTrooper の攻撃からは、攻撃者がカザフスタンの国益のために動いている、またはカザフスタン政府の指示によって動いている可能性があると示しています。ただし、攻撃者が、制限されている国家の情報を売ることで金銭的な利益を得たいと考えているだけという可能性もあります。Talos は YoroTrooper の情報収集の目的についてさらに調査を進め、同グループが国家による支援を受けている可能性を確認しています。

2023 年 6 月のタジキスタンへの侵害に始まり、最近でも YoroTrooper による侵入が相次いで発生し成功を収めています。被害者の身元は特定できていませんが、Talos は YoroTrooper が抜き取った 165MB の文書に記載されたデータの性質から、被害者がタジキスタン政府と関連があると分析しています。文書の多くは、政府の証明書や宣誓供述書であり、政府の人事管理や福利厚生についてよく知る人物のものだと考えられます。

YoroTrooper は一貫して、Acunetix などの脆弱性スキャナや Shodan などの検索エンジンのオープンソースデータを活用して攻撃対象のインフラストラクチャを特定し、侵入しています。この行為は YoroTrooper にとって非常に実りあるものとなりました。2023 年 5〜7 月にかけて、YoroTrooper は 3 つの国営タジキスタンおよびキルギスの Web サイトへ侵入し、マルウェアのペイロードをホストすることに成功しました。2023 年 9 月時点でも、マルウェアの一部はまだホストされています。2023 年 5 月に最初に侵入した Web サイトは、タジキスタン共和国の商工会議所が運営する tpp[.]tj でした。

次いで 7 月、YoroTrooper はタジキスタン共和国の大統領が管轄する麻薬取締局の別の国営 Web サイトである akn[.]tj と、キルギス共和国の国有石炭会社が所有する kyrgyzkomur[.]gov[.]kg に侵入してマルウェアをホストしました。キルギス共和国の運輸道路省のユーザーに不正アクセスし、そのユーザーのブラウザ認証情報を抜き取ることにも成功しました。

2023 年 1 月には早くも、ウズベキスタン政府組織を標的とした攻撃を開始しました。約 8 か月にわたる積極的な攻撃の成果が実ったのは 2023 年 8 月です。YoroTrooper はウズベキスタンのエネルギー省高官への情報漏えいに成功しました。Talos では侵害を確認したものの、高官からどのようなデータが盗まれたのかまでは特定できていません。

以下のタイムラインは、2023 年 6 月以降に攻撃の対象となったさまざまな地域の最新の見解と詳細を示しています。

タイムフレーム 攻撃の対象となった地域 顕著に見られた TTP
2023 年 9 月 タジキスタン ・ブルガリアとタジキスタン間の合意ステートメントをルアー(おとり)として使用。

侵害済みのタジキスタンの商工会議所の Web サイトを再利用してマルウェアをホスト。

・PowerShell ベースのインプラントを展開し、Telegram API を使用。
2023 年 8 月 キルギス ・キルギスタン運輸省のパンフレットを、ルアーまたはデコイ(おとり)文書として使用。

・攻撃者が所有するインフラストラクチャを使用してマルウェアをホスト。

ウズベキスタンのエネルギー省高官を攻撃の対象に設定し、侵害。

・2023 年 6 月に最初に確認されたカスタムビルドのリバースシェルの実行ファイルを再利用。

・2023 年 1 月に初めて確認され、PyInstaller でパッケージ化された Python ベースの Google Chrome 認証情報を盗み出すマルウェアを再利用。ただし、このバージョンにはアップロード機能は含まれていなかった。
2023 年 7 月 タジキスタンとキルギスタン タジキスタンの麻薬取締局の Web サイト akn[.]tj が侵害され、ペイロードをホスト。

キルギスの国有石炭会社 KyrgyzKomur Web サイト、kyrgyzkomur[.]gov[.]kg が侵害され、マルウェアのホストに使用される。
2023 年 6 月 タジキスタン ・以下のルアーを使用して、タジキスタンの外務省を攻撃の対象に設定。

国際原子力機関(IAEA)と OECD 原子力機関(NEA)による書籍「Uranium: Resources, Production and Demand」。

侵害されたタジキスタンの商工会議所 Web サイトを使用し、マルウェアをホスト。

・カスタムビルドのリバースシェルの実行ファイルを展開した最初の事例。

・Python インプラントを PowerShell に移植し、Telegram API を使用 。

 

YoroTrooper の戦術、技術、手順にはオープンソースのツールやフィッシング攻撃がある

YoroTrooper は、悪意のある攻撃を続行するために積極的な学習を重視しています。Talos は、攻撃者が VPN 接続などの新しいツールを購入しようとしているところを頻繁に確認しています。また調査によると、YoroTrooper が積極的に Acunetix などの脆弱性スキャナや、Shodan で確認できる情報などのオープンソースデータを活用して、標的の一般公開されているサーバーを特定し、侵入していることが分かりました。

 

偵察行為

YoroTrooper は頻繁に、標的としているインフラストラクチャのオープンソース検索を行います。 Google、Shodan、Censys などの検索エンジンを使用して、攻撃対象のインフラストラクチャにおける脆弱性や漏えいを発見します。この調査によって、脆弱な PHP ベースのサーバーの検索や、オープンディレクトリを見つけるためのコンテンツ管理システム(CMS)の特定を行います。

ペルソナとツール

Talos は、YoroTrooper が攻撃のために使用する複数の攻撃用電子メールアカウントやその他のインフラストラクチャを特定しました。YoroTrooper は主に電子メールアドレス「anadozz[at]tuta[.]io」を使用して、VPN アカウントなどのツールやサービスの登録、購入を行っています。たとえば 2022 年には、この電子メールアドレスを使用して、2022〜2025 年にわたって有効な NordVPN へのサブスクリプションを darkstore[.]su から入手しました。

さらにリモートマシンを通じて他にも 2 つの電子メールアドレス「n.ayyubov[at]mail[.]ru」と「danyjackson120293[at]proton[.]me」を広範囲にわたり使用し、アクセスを維持しています。これらの電子メールアドレスが実際に YoroTrooper の攻撃者に属しているのか、または YoroTrooper が悪用している侵害済みアカウントなのかは不明です。

NordVPN アカウントを購入する数か月前に、YoroTrooper は netx[.]hosting から月額 16 ドルで VPS インスタンスを作成し、購入しました。これは、攻撃者が悪意のある攻撃を拡大するために使用する別のリモートマシンだと見られます。

Talos では、YoroTrooper が攻撃中に自らの悪意のあるインフラストラクチャに複数回アクセスして、マルウェアをアップロードしたり、サーバーでホストされた次の URL にアクセスしたりしていることも突き止めました。

  • hxxps[://]e[.]mail[.]az-link[.]email/public/security/files/login[.]php?email=1
  • hxxp[://]206[.]166[.]251[.]146/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/Az[.]pdf
  • hxxps[://]mail[.]asco[.]az-link[.]email/Login[.]aspx
  • hxxps[://]auth[.]mail-ru[.]link/public_html/home/files/login[.]php?email=1

 

フィッシング

YoroTrooper は定期的に、被害者にスピアフィッシングのメッセージを送信します。攻撃者によって管理され、標的の認証情報を収集するよう設計されたページへ標的を誘導します。攻撃者は、攻撃対象の国に特化したサーバーにフィッシングページを収集し展開します。YoroTrooper の VPS システムで発見された悪意のある認証情報収集ページの一部を次に示します。

  • C[:/]Users/Professional/Desktop/DESSKTOP/1/mail[.]ady[.]az[.]logiin[.]email/index[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/Azerbaijan/remote[.]mfa[.]gov[.]az/logon[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/BackUp%20site/ru[.]auth[.]logiin[.]email/public/security/index[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/Azerbaijan/sample_mailru_trap.html
  • C[:/]Users/Professional/Desktop/DESSKTOP/Desktop/AZ%20mail%20box%20-%20Copy[.]html
  • D[:/]135%20%D0%9C%D0%97%D0%AB/mail[.]socar[.]az[.]logiin[.]email/owa/auth/logon[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/Azerbaijan/mfa%20send%20box/mfaRC[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/Azerbaijan/remote[.]mfa[.]gov[.]az/logon[.]html#form_title_text
  • C[:/]Users/Professional/Desktop/DESSKTOP/beeline_send1%20-%20Copy[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/Azerbaijan/mincom-caa[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/RoundtoMail[.]ru[.]html
  • C[:/]Users/Professional/Desktop/DESSKTOP/BackUp%20site/mail[.]mincom[.]gov-az[.]site/owa/auth/logon[.]html

認証情報を収集する行為は、データの盗難を最終目的とする YoroTrooper のマルウェアベースの攻撃を補完するものです。Talos が分析した YoroTrooper のマルウェアの大半は、さまざまな情報窃盗マルウェアのファミリに属しています。

 

Talos による情報公開を受けてマルウェアとツールを進化させる YoroTrooper

Talos が今年の初めに YoroTrooper に関するレポートを公開して以降、攻撃者は感染チェーンにわずかな変更を加えています。次の手法を使用し、感染メカニズムをモジュール化しています。

  • 新しい中間ステップとスクリプトの追加
  • おそらく追加の被害者を対象とするための新しいデコイまたはルアー(おとり)の採用
  • 展開する最終インプラントの調整。最終インプラントは次の 2 つのコンポーネントで構成(Telegram チャネルへのファイルデータ漏えいに使用されるカスタマイズされた PowerShell スクリプトか、コモディティマルウェアあるいはカスタマイズされたリバースシェルで構成される Windows 実行ファイル)

YoroTrooper は、そのメカニズムやインプラントの多くに多少の変化が見られるものの、最終的なマルウェアのインプラントを変更して新たなマルウェアファミリを開発し、攻撃力を強化しようとしている可能性が高いと Talos は考えています。

再構築の一環として、YoroTrooper は、これまで Nuitka や PyInstaller などのフレームワークを使用して実行ファイルにパッケージ化されていたカスタムビルドの Python インプラントを、中央 HTA スクリプトから直接実行される PowerShell スクリプトに移植しています。

新しい感染チェーンを以下の図に示します。

カスタムビルドのリバースシェル

YoroTrooper は、cmd[.]exe 経由で感染したエンドポイントでコマンドを実行するため、シンプルでカスタムビルドされた Windows 実行ファイルベースのインタラクティブなリバースシェルを使い始めました。

Python ベースの RAT を PowerShell に移植

2023 年 2 月以降、YoroTrooper は Python ベースの RAT を PowerShell に移植しています。これは、感染システムにおけるマルウェアのフットプリントを削減するための試みだと考えられます。PyInstaller または NUITKA を使用して EXE にパッケージ化された Python ベースの RAT は、通常数メガバイトのバイナリですが、PowerShell の同一コードはほんの数 KB で、システム上でネイティブに実行されるためです。主な機能は同じままで、RAT がコマンドを受け取り、データを Telegram ベースの C2 に流出させます。

Python ベースの RAT(左)と移植された PowerShell コード(右)

 

マルウェアの攻撃力を強化

2023 年 7 月、YoroTrooper はインプラント向けに複数の提供手段のテストと、他のマルウェアファミリの活用を開始しました。

そのうちの 1 つが、以前 YoroTrooper が使用していた LNK および HTA ベースの感染チェーン全体の代わりになるように設計された Windows 実行ファイルです。この実行ファイルは PyInstaller でパッケージ化されたバイナリで、Python コードが次のことを実行します。

  • 攻撃者が管理するサーバーからインプラントをダウンロードして実行する
  • 正式な CIS 政府の Web サイトからデコイ(おとり)文書をダウンロードして開くか、表示する

2023 年 7 月には、キルギス共和国エネルギー省の石炭管轄部門に属する KyrgyzKomur の Web サイトからデコイ文書をダウンロードして表示するサンプルが発見されました。下記の文書は、ブルガリア共和国とタジキスタン共和国間の輸送協定に関するメモです。本サンプルは 6MB の PyInstaller バイナリにパッケージ化され、たった 13 行の Python コードで構成されています。

ダウンロードされたマルウェアのペイロードは、YoroTrooper がかなりの間使用してきた Python ベースの RAT です。これは、最近 YoroTrooper によって PowerShell に移植された RAT でもあります。

 

Rust と Golang ベースのインプラント

2023 年 9 月、YoroTrooper はコマンドを使用してインタラクティブなリバースシェルを開く Rust ベースのインプラントを使い始めました。

cmd.exe /d /c <command_from_C2>

Golang ベースのインプラントは、Python ベースの RAT が移植されたものであり、ファイルのデータ漏えいや C2 通信に Telegram チャネルを使用します。これまでに、Python ベースの RAT がすでに PowerShell と Golang という 2 つの言語に移植されています。

C2 からの「/run」コマンドを確認する GoLang インプラント

 

カバレッジ

今回の脅威は、以下の製品で検出してブロックすることが可能です。

Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。

Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。

Threat Defense Virtual適応型セキュリティアプライアンスMeraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。

Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからpopup_iconお申し込みください。

Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。

特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。

Cisco Duopopup_icon は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

IOC

この調査の IOC は、こちらpopup_iconの GitHub リポジトリでも提供しています。

ハッシュ

アーカイブ

8131bd594aff4f4e233ac802799df3422f423dc28e96646a09a2656563c4ad7c

a3b1c3faa287f6ba2f307af954bb2503b787ae2cd59ec65e0bdd7a0595ea8c7e

LNK

Ed8c04a3e2d95d5ad8e2327a56d221715f06ed84eb9dc44ff86acff4076629d7

HTA

9b81c5811ef3742cd4f45b6c3ba1ace70a0ce661acc42d974beaeddf307dd53d

B6a5d6696cbb1690f75b0d9a42df8cefd444cfd3749be474535948a70ff2efd2

F55b41ca475f411af10eaf082754c6e8b7a648da4fa72c23cbfea9fa13a91d88

E0c7479e36b20cd7c3ca85966968b258b1148eb645a544230062ec5dff563258

JS

ab6a8718dffbe48fd8b3a74f4bcb241cde281acf9e378b0c2370a040e4d827da

a5d8924f7f285f907e7e394635f31564a371dd58fad8fc621bacd5a55ca5929b

E95e64e7ba4ef18df0282df15fc97cc76ba57ea250a0df51469337f561cc67d3

832d58d9e067730a5705c8c307fd51c044d9697911043be9564593e05216e82a

Da75326cfebcca12c01e4a51ef77547465e03316c5f6fbce901ddcfe6425b753

1e350b316cbc42917f10f6f12fa2a0b8ed2fa6b0159c36141bce18edb6ea7aa0

57d0336c0dbaf455229d2689bf82f9678eb519e017d40ba60a6d6b90f87321f8

30a969fa0492479b1c6ef6d23f8fcccf3d7af35b235d74cab2c0c2fc8c212ad4

PS1

5a6b089b1d2dd66948f24ed2d9464ce61942c19e98922dd77d36427f6cded634

a25db1457cf6b52be481929755dd9699ed8d009aa30295b2bf54710cb07a2f22

56fc680799999e38ce84c80e27788839f35ee817816de15b90aa39332fcc5aee

EXE

37c369f9a9cac898af2668b1287dea34c753119071a1c447b0bfecd171709340

93829ee93688a31f90572316ecb21702eab04886c8899c0a59deda3b2f96c4be

0a9908d8c4de050149883ca17625bbe97830ba61c3fe6b0ef704c65361027add

1828e2df0ad76ea503af7206447e40482669bb25624a60b0f77743cd70f819f6

941be28004afc2c7c8248a86b5857a35ab303beb33c704640852741b925558a1

8921c20539fc019a9127285ca43b35610f8ecb0151872cdd50acdaa12c23722d

b4eac90e866f5ad8af37b43f5e9459e59ee1e7e2cbb284703c0ef7b1a13ee723

ネットワーク IOC

168[.]100[.]8[.]21

46[.]161[.]27[.]151

hxxp[://]46[.]161[.]27[.]151:80/c1[.]exe

hxxp[://]46[.]161[.]40[.]164/wwser[.]exe

hxxp[://]tpp[.]tj/T/rat[.]php

hxxps[://]tpp[.]tj/T/rat[.]php

hxxp[://]46[.]161[.]40[.]164/resoluton[.]exe

hxxp[://]tpp[.]tj/285/file[.]js

hxxp[://]tpp[.]tj/285/png[.]php

hxxp[://]tpp[.]tj/285/startpng[.]js

hxxp[://]tpp[.]tj/285/uap[.]txt

hxxp[://]tpp[.]tj/285/update[.]hta

hxxp[://]168[.]100[.]8[.]21/file[.]js

hxxp[://]168[.]100[.]8[.]21/mshostss[.]rar

hxxp[://]168[.]100[.]8[.]21/png[.]php

hxxp[://]168[.]100[.]8[.]21/rat[.]js

hxxp[://]168[.]100[.]8[.]21/rat[.]php

hxxp[://]168[.]100[.]8[.]21/startpng[.]js

hxxp[://]168[.]100[.]8[.]21/win[.]hta

hxxp[://]46[.]161[.]40[.]164/main2[.]exe

hxxp[://]46[.]161[.]40[.]164/main[.]exe

hxxp[://]tpp[.]tj/BossMaster[.]txt

hxxp[://]tpp[.]tj/T/rat[.]js

hxxps[://]tpp[.]tj/main[.]exe

hxxps[://]tpp[.]tj/T/file[.]js

hxxps[://]tpp[.]tj/T/png[.]php

hxxps[://]tpp[.]tj/T/startpng[.]js

hxxps[://]tpp[.]tj/T/sys[.]hta

hxxps[://]tpp[.]tj/rightupsbot[.]txt

hxxp[://]168[.]100[.]8[.]242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/

hxxp[://]168[.]100[.]8[.]242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/2208281[.]pdf

hxxp[://]168[.]100[.]8[.]242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/Az[.]pdf

hxxp[://]168[.]100[.]8[.]242/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3

hxxp[://]168[.]100[.]8[.]36/+CSCO+0075676763663A2F2F31302E3130302E3230302E32++/+CSCO+0075676763663A2F2F31302E3130302E3230302E32++/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3/

hxxp[://]168[.]100[.]8[.]36/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/file[.]php

hxxp[://]168[.]100[.]8[.]36/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/login[.]php

hxxp[://]168[.]100[.]8[.]36/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3

hxxp[://]206[.]166[.]251[.]146/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/index_files/Az[.]pdf

hxxp[://]206[.]166[.]251[.]146/0075676763663A2F2F31302E3130302E3230302E32/0075676763663A2F2F31302E3130302E3230302E32/logout&_token=DFaH9AmHXbZKTApPbTvES2llxU6GZTl3

hxxps[://]auth[.]mail-ru[.]link/public_html/home/files/login[.]php?email=1

hxxps[://]e[.]mail[.]az-link[.]email/

hxxps[://]e[.]mail[.]az-link[.]email/public/security/files/Az%C9%99rbaycan_Litva[.]jpg

hxxps[://]e[.]mail[.]az-link[.]email/public/security/files/login[.]php?email=1

hxxps[://]mail[.]asco[.]az-link[.]email/5676763663A2F2F31302E3130302E3230302E32/75676763663A2F2F31302E3130302E3230302E32/login[.]php

hxxps[://]mail[.]asco[.]az-link[.]email/Login[.]aspx

hxxps[://]redirect[.]az-link[.]email/

hxxps[://]redirect[.]az-link[.]email/5676763663A2F2F31302E3130302E3230302E32/75676763663A2F2F31302E3130302E3230302E32/Login[.]aspx&_token=oazjTiA255F2DIeYJjCXjE

 

本稿は 2023 年 10 月 25 日に Talos Grouppopup_icon のブログに投稿された「Kazakhstan-associated YoroTrooper disguises origin of attacks as Azerbaijanpopup_icon」の抄訳です。

 

Tags:
コメントを書く