博客
脅威の洞察
この夏开したたたたの活动词総括する

この夏开したたたたの活动词総括する

Axel F.和校样点威胁研究团队

マルウェア情绪をを使ってて攻撃缲り広げる攻撃グループであるである5はは,2020年2月7日から7月17日の5か月子上にわたって攻撃攻撃活休止しいまし。としてとしてはこれまでで最も长い休暇でしでしたた长いしたた今今今今再再危険胁威であり,emotemotは引き続き危険な胁威,本ブログでは,そのその方法,ターゲットターゲットとして地图,またまたしている地域続いまたさるqbotに关键词分别について详しく明しし。

Ta542の电子メール攻撃キャンペーンは,メッセージボリュームボリューム大厦に増,他他少の攻撃グループが近いボリュームでををのみがボリュームメールをを配しますメールをを配てます.ta542の攻撃ます再のののに,校样点,ははの业务ををとするする十のメッセージ(时尚は100万に近づく)をブロックしましたが,现处于のメールは,活に停止前ほぼ同じにてます。

校样点のリサーチャーは,再开头の乐趣にいくつかの革新と渐进変更ががものの,この长い休止変更がもののししたた変更ののの小小小ツール変更が最最小たたことことを指摘てことことことことたたたことててててます。つまり以前に観測された。

MODET再开头后の主変更点(更新)

  • 诀窍のの代わりに主主ペイロードとして布されたがqbotのアフェリエイト“partner01”にに。ただし,2019年3月にoffetはqbotのアフェリエイト“hhhxx”をを信してたことががではもののもののもののされている。
  • Emotetのメール送信モジュールの変更により,悪意ある添付ファイルとともに无害な添付ファイルも添付できるようになったこと。

わずかわずかに确认さされた:

  • メール:
    スレッドスレッドの乘っ取りと言语ローカライゼーションローカライゼーションがにに発攻撃続けてははは,covid-19などの现处于価値のある(おとりおとり)だけでなく,一般的なルアーも引き続き使用中。
  • 添付ファイル/网址:
    活動休止前に観察されたアクティビティと同様に,TA542はマクロ,PDF添付ファイル,および词ファイルにリンクするURLで字添付ファイルを引き続き使用。
  • ターゲットとさされれて国:
    攻撃者は,ドイツ,オーストリア,スイス,米国,英国,カナダを含む(メッセージ数量順に記載)主要国を引き続きターゲットにし,同時にインドネシア,フィリピン,スウェーデン,インドなどの新しい地域をターゲットにしている。

Emotet_1

図1:乐乐を含むeメール数号(2017年4月19日から2020年8月18日)

キャンペーン再开の兆候

分析に入る前に,构建や他の研究者がEmotetが活動を再開する兆候を捉えていたことに言及することが重要です。Emotetの活動を監視している研究者は,活動再開前に新しい電子メール送信モジュールを発見し,受信トレイに異常な(古い)Emotetメールを観測していました。

2020年7月14日,校对点のの研ははは,古い乐招Urlを持つメール,特に2020年2月7日の最后の既知のocmetキャンペーンで使わ使わたものしていました。

配送

Emotetマルウェアを配信するスパムメールは,他のマルウェアを配送する攻撃メールキャンペーンとは大きく異なり,最初攻撃が始まったのち終日攻撃が継続されるため,キャンペーンの終了と次のキャンペーンの開始を判断するのが困難です。ただし,通常,キャンペーンは夜のest(米国东部时钟)の午前1时から午前5时の間に始まっています。これには例外があり,例えば2020年8月5日にはest午后3时に开启されており,一切のキャンペーンはest午前1时から午前5时尚もかなり后开启されいます。

また情绪攻撃攻撃は通道,月份日から金曜日まで観测され,周末には主ななはませんただしはありんありただしあり例ん,2020年7月24日(金),8月3日(月),8月份4日(火),7月17日から8月18日までの间は,攻撃者は悪意のあるををししていません。

TA542は,ソーシャルエンジニアリングの仕組みを通じて感染率を高め続けています。対象国に適した言語でメールを作成し,シンプルな”行動を促す”メールを使用しています。

Eメール

Emotetのメールの大部分はスレッドハイジャック(以前の会話への返信)を使用しており,件名は次のようにRe:“またはRe:“で始まります:

  • 再保险:[盗まれたメールのタイトル]
  • 再保险:[盗まれたメールのタイトル]

もう1つの注目すべき倾向はは,件名に受信者名前,职务,会堂名,または会社のドメインをするするのですですですです。送信者の友好 - 从名称に,多重のの合,会员名称またはドメインが含まれています。电子メールメール本文には,挨拶挨拶署名目に会名,ドメイン,または受信者も含まれてていることがありありありあり

書式

[名 姓]

John Doe.

[名,姓]

约翰,能源部

[会社名]

Widgetsmaker

[会议名称诚信者部门名]

widgetsmaker工资单

协议[会议名]

Widgetsmaker的协议

[会议名]的文件

John Doe的文件

从[发票1067935人の名前)

发票1067935来自John Doe

表1:受信者またはその会社に関連する特定の情報を使用するメールタイトルの例

上述した注目すべき傾向に加えて,メールタイトルの種類は多種多様です。以下は他のメールタイトルのいくつかの例ですが,このリストは完全ではありません:

  • 估计[数字]
  • Fatura [日期]
  • 资金倒
  • 请查收附件invoice invy -35852
  • 发票[数字]
  • 背板财政
  • 新人Dados 20/07/2020
  • 逾期未付订单
  • 开的发票
  • 订单处理
  • 我们在周末的逗留
  • 过期未付支票
  • PO 54203.
  • 付费发票和信用卡收据
  • 过去到期发票
  • Payroll 80606.
  • 问题
  • 引用862639.
  • 报价询价表- 00012679
  • 报价请求
  • 续订
  • 雷诺更新
  • 销售发票
  • 您的陈述可在线获取
  • 要求

ターゲットにされている地域

TA542は,特定の国を常にターゲットにする傾向を維持しながら,新しい国を定期的に追加しています。Emotetが引き続きターゲットとするコア地域には,(Eメール数の多い順に)ドイツ,オーストリア,スイス,アメリカ,イギリス,日本,およびラテンアメリカの国が含まれます。最近対象となった他の地域には,インドネシア,フィリピン,スウェーデン,インドが含まれていますが,一貫性はそれほど高くありません。各国は通常,電子メールの本文,件名,ファイル名,およびブランディングで適切な言語をターゲットにしています。既知の対象国を以下に示します(表2)。

言语

备份

ドイツ

ドイツ语

常にターゲットにされている

オーストリア

ドイツ语

常にターゲットにされている

スイス

ドイツ语

常にターゲットにされている

イギリス

英语

常にターゲットにされている

アメリカ

英语

常にターゲットにされている

カナダ

英語,フランス語

常にターゲットにされている

アラブ首长国际

英语

常にターゲットにされている

日本语

日本语

常にターゲットにされている

ラテンアメリカ

スペイン語とポルトガル語

ブラジル,チリ,メキシコ,コロンビア,エクアドルなどなど国を対象常に常にターゲットにされてて

インド

ヒンディー語

时尚

インドネシア

インドネシア语

时尚

フィリピン

フィリピン语

时尚

スウェーデン

スウェーデン語

时尚

イタリア

イタリア语

时尚

スペイン

スペイン語

时尚

ノルウェー

ノルウェー語

时尚

オランダ

オランダ语

时尚

ベトナム

ベトナム语

时尚

表2:2020年7月17日以降に情绪メール攻撃キャンペーン観测観测れたた国
(このこのリストは完全完全なリストではないことに注意して。)

攻撃者のミス

Emotetの悪意のあるメールが作成される過程では多くのミスがあり,文言を置き換えるためのプレースホルダーまたはマクロが正確に入力されていないことがあります。これらのメールを生成するEmotetメール送信機能のコードのバグが原因である可能性があります。たとえば,以下のような名前の添付ファイルが見られます。“{rcpt.domain}”のようなプレースホルダーは,ドメインで完了することを意図していると考えられます。

  • 估计UI00071来自{rcpt.domain-1-up} .doc
  • 从{rcpt.domain} .rtf.doc invoice-e00889
  • G1:regex:(invoice|profile|document|doc|doc|document|payment advice note|invoice|attn|invoice|verification letter|status update|invoice status update|invoice id| service invoice| 08_2020 service invoice| your invoice|past due invoice|order confirm .doc .

メール本文に,以下に示すなプレースホルダーありますます。図3のスペインのますますのショットは,これをはいいます。

  • {来自名字}
  • {msg.message}

メールの例

このセクションでは,いくつかの注目すべきべき(おとりおとり)ににを当てますルアー(

以下邮件如下图所示:

  • インドネシアをを対象とししたインドネシア语のののの“”"「请求书“のの意味。(左上)
  • インドをターゲットとし,スレッドハイジャックを利用したヒンディー語のメール。メール本文のテキスト”कृपयासंलग्नफॉर्मदेखें।”は“添付のフォームをご覧ください”の意味です。(右上)
  • フィリピンを対象としたフィリピン語のメール。添付ファイル名 “impormasyon ng contact.doc” は“連絡先情報.doc”の意味です。 このメールには、Wordの添付ファイルと、悪意のあるWordファイルにリンクしているURLの両方が含まれています。(右下)
  • スウェーデンをターゲットとするスウェーデン语ののメール。名义“DagordningföretKommandeMöretPåFredag​​en”は,「今周金曜日の议」」」ですです。(左下)

emotet_2

図2:左上から時計回りに,インドネシア語,ヒンディー語,フィリピン語,スウェーデン語のメール

次次の図,以下の电子メールを示してます。:

  • ドイツをターゲットとするドイツ语のメール。(左上)
  • スペインを対象としたスペイン語のメール。このメールには,攻撃者が送信する前に名前を入力する必要がある{FROM.NAME}プレースホルダーが含まれたままになっていることに注意してください。(右上)
  • イタリアをターゲットとするイタリア語のメール。(右下)
  • カナダを対象としたフランス語のメール。(左下)

Emotet_3

図3:左上から時計回りに,ドイツ語,スペイン語,イタリア語,フランス語のメール。

次の図は,以下の電子メールを示しています。

  • COVID-19ルアー:2020年8月7日,“COVID-19の文字列や“cd - 8423医疗报告covid - 19. -医生”、“COVID-19报告08年11 2020.医生“などのファイル名が添付されたメールが観測されるようになりました。
  • 日本へのビットコイン恐喝:日本への恐喝メールも戻っててました.emotetが活を休止する前も,校样点はは同様メッセージを観测してます。

Emotet_4

4:Covid-19メールメール,日本のビットコインメール。

悪意のある添付ファイルとともに無害な添付ファイルを含むEmotet電子メールの例があることをオープンソースレポートで確認しました。これらはEmotetの攻撃電子メールのうち,ほんの少数です。以下の例は,悪意のある词の添付ファイルとともに無害なPDF添付ファイルを示しています。

Emotet_5

図5:悪意のある词の添付ファイルと同じメール内の無害なPDF添付ファイル。

添付ファイル/ URL

この攻撃グループがが送するのメールコンテンツはれるれるあるコンテンツははのかでありまたは添付ファイルファイルいずれかでありでありでありに添付添付ファイルメールかかとと添付ファイルののをを含む场がががありありwordの场がががありありwordwordwordwordファイルは日観测観测れおりおりおりおり,wordファイルにリンクするurlも毎日観测されて,pdfの添付ははており観测されれています以さ2020年7月17日から2020年8月18日までの间に,添付ファイルとurlが含まれていたをリストしていいい:

  • 2020-07-17:ワード添付ファイル,URL
  • 2020-07-20:ワードワード添付,pdf添付ファイル,网址
  • 2020-07-21:ワードワード添付,pdf添付ファイル,网址
  • 2020-07-22:ワードワード添付,网址
  • 2020-07-23:ワード添付ファイル,PDF添付ファイル,URL
  • 2020-07-27:ワード添付ファイル,PDF添付ファイル,URL
  • 2020-07-28:ワードワード添付,pdf添付ファイル,网址
  • 2020-07-29:ワード添付ファイル,URL
  • 2020-07-30:ワードワード添付,网址
  • 2020-07-31:ワードワード添付,网址
  • 2020-08-05:ワード添付ファイル,URL
  • 2020-08-06:ワード添付ファイル,URL
  • 2020-08-07:ワードワード添付,网址
  • 2020-08-10:ワード添付ファイル,URL
  • 2020-08-11:ワードワード添付,网址
  • 2020-08-12:ワード添付ファイル,URL
  • 2020-08-13:ワード添付ファイル,URL
  • 2020-08-14:ワードワード添付,网址
  • 2020-08-17:ワードワード添付,URL
  • 2020-08-18:ワード添付ファイル,URL

添付ファイル

ほとんどほとんど综合性,添付ファイルはマクロ付きの文书が多种,pdfの使用ははも少ないです。攻撃者が使少ないですです知らて他他のファイルののれいる他添付のの,特色JScriptまたはZIPは,情感が攻撃を开しし以,今のところ観察されてません。

Wordの添付ファイルは,いくつかの(通讯は5つのペイロードハードされたペイロードurlの1つからマクロを使してペイロードペイロードダウンロードしよう第1段阶ダウンローダーですです。セットセットが定同じにれれますのののののセットををれががを使されがをを异なるれれがををれれれ同じををれれれのををれれれのをれれセットをををれれセットセットをををれれれれれれれれのをれをれれれれれれれれれれれれれれれれれれれれれれれににれれにれれれ。

特价:2020年8月18日,ペイロード网址が6または7の字ファイルが観测されましたた。

PDF添付ファイルには,マクロ词ドキュメントをホストするサイトにリンクする埋め込みURLと同様のURLが含まれています。

Emotet_6

図6:TA542は多くは,マクロ付きのMicrosoft Word文書を使用しています。またこの攻撃者は,ドキュメントで使用されている視覚的なルアー(おとり情報)を定期的に更新しています。以下の図は,観察された2つのルアーを示しています。

Emotet_7

図7:観察されたpdf添付ファイルの。

Emotetには、PDFファイル名用の小さなテンプレートライブラリがあります。:

形式

报告.PDF.

报告.PDF.

[2个字母]-[4个数字]报告p[1个数字].pdf

QX-6971报告P2.PDF

SOC报告[日期] .pdf

Soc报告07 21 2020.pdf

[日期]-余额和付款报告。pdf

2020_07-余额和付款报告.pdf

表3:PDFファイルの名とフォーマット

PDFとは反対に,Word文书籍に使にはははは规模で様なはありますい部名例の例を表しいます例の例をいいはは常に例语语いはは常に常に语语限制ません。対象の地域にたである可口性がますますありますますます。

形式

#(5位数). doc

# 04216.医生

[5位数]物流费率

00089物流率Con.doc

[11位] _jul2020.doc

10068100718 _jul2020.doc

[4位] - [5位] _county_report.doc

1660 - 63745 - _county_report.doc

(4位数字)——(5位数)_city_report.doc

1850-91171_city_report.doc.

[日期]-余额和付款报告。doc

2020_07-余额和付款报告。doc

[日期] - 余额.doc

2020年_07 balance.doc

[日期]——report.doc

2020年_07 report.doc

[日期]——statement.doc

2020_07- statemate.doc.

[16位] _ [日期] .doc

2873890348491143_072020202020.doc

[4位数字]-[5位数字]_data sheet.doc

4087-60384_data pholl.doc.


anexo.doc


arquivo.doc


银行详细信息和发票

biz_ [11位] .doc

biz_10039266887.doc


8月invoice.doc

形式——[日期]. doc

表格 - 2011年8月11日,2020.doc

zahlungsschreiben_[日期]_(10位). doc

zahlungsschreiben_2020_08_1147364050.doc.

swift_ [日期] _ [10位] .doc

swift_11_08_2020_6296415287.doc

Sepa_ [日期] .doc

sepa_2020_08.doc.

报告[7位] .doc

报告5557308.doc.

PO#[6位] [日期] .doc

PO#046325 110820.doc

付款摘要 - REF ID-D [5位] .doc

付款摘要- ref id- d28114.doc


संपर्कजानकारी. doc

表4:Word文书の名の例

注意注意をひく名:8月7日,校样点は,「CD-8423医学报告covid-19. doc”や”Covid-19报告08年11 2020.医生“などの”COVID-19”文字列を含む添付ファイル名を確認しました。これらの名前は,執筆時点ではまだ使用されています。

拡张子の不一一:一部のメールには,拡張子が.docm, . rtf,または. zipの添付ファイル名があり,拡張子は. docでなければなりません。これは偶発的または意図的な検出回避の試みである可能性があります。徹底的なテストは行いませんでしたが,Microsoft Wordでは,これらの添付ファイルの一部をミスマッチなくエラーなしで開くことができることがわかっています。たとえば、Word 2010は拡張子が. rtfのファイルを開くことができます。

Emotet_8

図8:拡张子の不一致をメールの例


URL

この攻撃者がメールにURLを埋め込む方法に変更はありません。URLは依然として,脆弱なWordPressインストールを含む,侵害されたサイトで頻繁にホストされています。侵害されたWordPress CMSサイトでホストされているURLは“wp-content”、“wp-admin”、“wp-includes”,およびその他の同様のフォルダー構造でホストされていることが多いため,見分けがつきます。他のURLの場合,サーバー(Apache, nginx, IIS)データベース(MySQL),言語(PHP),ライブラリ,プラグイン,eコマースフレームワークなどの範囲があるため,攻撃者がサイトをどのように侵害したかはすぐにはわかりません。

攻撃者は通常,侵害されたサイトに1つ以上のフォルダーの构造构造追追,ペイロードのダウンロードを开启するのあるphpスクリプトをホスト。所以,微软Word文书につながるul urlのみをマクロで観察しています。

マルウエア:情绪

Emotetとそのモジュールの広範な比較リバースエンジニアリングとレビューは行っていませんが,分析したコンポーネントの変更はほとんどありませんでした。Emotetは,同じ方法で構成と同じネットワークコマンドとコマンド&コントロールプロトコルを使用しています。

MODETメールメール信モジュールモジュール変更に关键オープンソースのレポートで悪意のある添付ファイルとともに無害な添付ファイルが添付されていることを確認しました。

情绪のペイロード:qbot

QBOTのアフィリエイトid「partner01「」」「,ほぼ毎日情感によってドロップれるれる主要主要なペイロードペイロードドロップされる主要なペイロードですドロップされる主要以前ペイロードですさアフィリエイトアフィリエイト以前以前ペイロードですさアフィリエイトアフィリエイト「「ペイロードですをアフィリエイトアフィリエイトアフィリエイト「「「を2019年3月,2019年1月,2017年5月,2017年4月份などいくつののいに配してたありますありありありありあり停止前前のののののの,2020年1月と2月に主に特技アフィリエイト「morxx“をを信しています。

7月17日から8月18日の間に観測されたQbot“partner01のsha256ハッシュの例:

576029DBD4166E9D6548F877777A422DA5D7A07ADFC5CA60C93DABBECFAB3D6C7

0B2D1270CE2C5950F735329A08AD8E32C583083D076509BE956353BF828F03B

e999fcc1edd2cc05f82a63d4c32cc7a6fbc0fbd12de2ee82dfdd857a8a15c403

FDFA54AD4C15993944CDDE7E9C37F9191C3E8EEFF0E93B2C14A5973CAA4DBEBA.

7BF42580BF8EF469A1501E53D66220542E51CC4E5AF7D24E97DBC34FFE2072C2

a39c9be9acaec5e804aed2b79f937bf7e5ed6ac7220c71ca2c66decf26388cd9

A85780B23D01CB41DB6F387E835160636669BCA4F69C869DEE61A81333909A

B2D115A104C08AB952FC2BF342369307B89007FE24496C20378A4222FACB6341.

cfb7d981b4782a468013b79d888ddb120b3166d4e0f2f1c4badb257ae0d233d4

02638706 a6e9bdc4d62fe6d0aed441c95b19f66b4647b5e9a0aded18c17c1a64

7CA48480CA645EE2B83BF707893E84115F87EA6E327F369E40C4AB0AFC8ABE7A


Qbotのサンプル“7 ca48480ca645ee2b83bf707893e84115f87ea6e327f369e40c4ab0afc8abe7aの構成例:


ID: partner01

时间戳:1597332272

终极动员令:72(。)28 []255 [,]159:995

C&C:197 [。] 210 [。] 96 [。] 222:995

C&C:71 [。] 192 [。] 44 [。] 92:443

终极动员令:189[183年][]72 [,]138:995

终极动员令:68(。)33 []206 [,]204:443

终极动员令:49 []191 []3 [,]234:443

C&C:71 [。] 56 [。] 53 [。] 127:443

C&C:80 [。] 14 [。] 209 [。] 42:2222

终极动员令:24[]139[132年][,]70:443

C&C:76 [。] 187 [。] 12 [。] 181:443

C&C:89 [。] 137 [。] 211 [。] 239:443

C&C:216 [。] 201 [。] 162 [] 158:443

终极动员令:151[73年][]112 [,]220:443

C&C:92 [。] 59 [。] 35 [] 196:2222

终极动员令:189[140年][]55 226:443(。)

终极动员令:201[216年][]216 [,]245:443

终极动员令:50[]244[112年][,]10:995

终极动员令:108(。)28 []179 [,]42:995

终极动员令:108(。)27 []217 [,]44:443

终极动员令:72[185年][]47 86:995(。)

C&C:199 [。] 116 [。] 241 [。] 147:443

终极动员令:109[154年][]214 [,]242:2222

C&C:81 [。] 133 [。] 234 [。] 36:2222

终极动员令:24[]201[79年][,]208:2078

终极动员令:2[]89[74年][]34:21

C&C:50 [。] 244 [。] 112 [。] 106:443

C&C:78 [。] 100 [。] 229 [。] 44:61201

C&C:98 [。] 26 [。] 50 [] 62:995

终极动员令:174[104年][]21 157:443(。)

终极动员令:72[214年][]55 195:995(。)

C&C:71 [。] 126 [。] 139 [。] 251:443

终极动员令:73[136年][]242 [,]114:443

终极动员令:86[99年][]75 [,]165:2222

C&C:199 [] 247 [。] 22 [。] 145:443

终极动员令:69[123年][]179 [,]70:443

C&C:41 [。] 97 [。] 231 [。] 7:443

终极动员令:96[255年][]188 [,]58:443

C&C:102 [。] 44 [。] 192 [。] 196:995

终极动员令:82[78年][]132 [,]227:443

终极动员令:75[135年][]184 [,]133:443

C&C:141 [。] 158 [。] 47 [。] 123:443

C&C:187 [。] 200 [] 218 [。] 244:443

C&C:73 [。] 60 [。] 148 [。] 209:443

C&C:185 [。] 246 [。] 9 [。] 69:995

C&C:39 [。] 118 [。] 245 [] 6:443

终极动员令:71[187年][]170 [,]235:443

终极动员令:2(。)[]65 [,]32:2222

C&C:188 [。] 173 [。] 70 [] 18:443

终极动员令:188 26 [][]11 [,]29:2222

C&C:2 [。] 89 [。] 74 [。] 34:995

终极动员令:45 []32 []155 [,]12:443

终极动员令:74[129年][]24 163:443(。)

终极动员令:67[209年][]195 [,]198:443

C&C:67 [。] 246 [。] 16 [。] 250:995

终极动员令:76[179年][]54 116:443。

终极动员令:75[136年][]40 155:443(。)

C&C:67 [。] 11 [。] 43 [。] 93:443

C&C:94 [。] 49 [。] 67 [。] 180:995

C&C:69 [。] 47 [。] 26 [。] 41:443

终极动员令:99[240年][]226 [,]2:443

C&C:188 [。] 210 [。] 228 [。] 156:443

C&C:173 [。] 26 [。] 189 [。] 151:443

终极动员令:47[]146[]32 175:443(。)

终极动员令:178[222年][]12 [,]162:995

C&C:217 [。] 165 [。] 115 [。] 0:990

C&C:68 [。] 116 [。] 193 [。] 239:443

终极动员令:71[197年][]126 [,]250:443

C&C:2 [。] 50 [。] 58 [。] 57:443

终极动员令:189[210年][]114 [,]157:443

C&C:207 [。] 255 [。] 18 [] 67:443

终极动员令:78[102年][]138 [,]103:995

终极动员令:149[71年][]49 39:443(。)

终极动员令:87[65年][]204 [,]240:995

终极动员令:96[232年][]163 [,]27:443

终极动员令:68[134年][]181 [,]98:443

C&C:98 [。] 219 [。] 77 [。] 197:443

终极动员令:65[131年][]20 49:995(。)

C&C:66 [。] 30 [] 92 [。] 147:443

终极动员令:74[222年][]204 [,]82:443

终极动员令:67 []6 []3 [,]51:443

C&C:175 [。] 111 [。] 128 [。] 234:443

终极动员令:200[124年][]231 [,]21:443

C&C:47 [。] 206 [。] 174 [。] 82:443

C&C:12 [。] 5 [。] 37 [。] 3:995

C&C:96 [。] 227 [。] 127 [。] 13:443

终极动员令:134 0 []196 [][]46:995

C&C:72 [。] 190 [。] 101 [。] 70:443

终极动员令:72[142年][]106 [,]198:465

C&C:73 [。] 228 [。] 1 [。] 246:443

终极动员令:51 2 [][]240 [,]61:995

终极动员令:109[100年][]125 [,]127:2222

终极动员令:193[248年][]44 2:2222(。)

终极动员令:66[222年][]88 [,]126:995

终极动员令:75[110年][]250 [,]89:995

终极动员令:71(。)43 []175 [,]202:61200

终极动员令:47)28 []131 [,]209:443

终极动员令:86[182年][]234 [,]245:2222

终极动员令:186[82年][]157 [,]66:443

终极动员令:67 []103 [][]21:443

C&C:86 [。] 153 [。] 98 [。] 126:2222

C&C:73 [。] 137 [。] 184 [。] 213:443

终极动员令:70[123年][]92 [,]175:2222

C&C:72 [。] 240 [。] 200 [] 181:2222

C&C:68 [。] 225 [。] 56 [。] 31:443

C&C:172 [。] 87 [。] 134 [。] 226:443

终极动员令:71[182年][]142 [,]63:443

C&C:72 [。] 142 [。] 106 [。] 198:995

C&C:187 [。] 214 [。] 9 [] 138:995

终极动员令:182[185年][]98 [,]215:995

终极动员令:188 [][]173 [,]34:995

终极动员令:68[190年][]152 [,]98:443

C&C:67 [。] 165 [。] 206 [。] 193:993

终极动员令:75[183年][]171 [,]155:995

C&C:74 [。] 195 [。] 88 [。] 59:995

终极动员令:96(。)41 []93 [,]96:443

C&C:99 [。] 231 [。] 221 [。] 117:443

终极动员令:209[182年][]122 [,]217:443

C&C:98 [。] 190 [。] 24 [。] 81:443

终极动员令:209[137年][]209 [,]163:995

C&C:65 [。] 24 [。] 76 [。] 114:443

终极动员令:95[76年][]185 [,]240:443

C&C:83 [。] 110 [。] 226 [。] 145:443

终极动员令:74[75年][]237 [,]11:443

终极动员令:93[151年][]180 [,]170:61202

C&C:47 [。] 138 [。] 204 [。] 170:443

C&C:98 [。] 173 [。] 34 [。] 212:995

C&C:24 [。] 116 [。] 227 [。] 63:443

终极动员令:172[78年][]30 215:443(。)

C&C:72 [。] 209 [。] 191 [。] 27:443

终极动员令:76[170年][]77 [,]99:995

终极动员令:47[]153[115年][,]154:465

终极动员令:200[75年][]136 [,]78:443

C&C:100 [。] 37 [。] 36 [。] 240:443

终极动员令:77(。)27 []173 [,]8:995

终极动员令:207[255年][]161 [,]8:465

C&C:2 [。] 90 [。] 92 [] 255:443

C&C:90 [。] 68 [。] 84 [。] 121:2222

终极动员令:188[247年][]252 [,]243:443

C&C:71 [。] 80 [。] 66 [。] 107:443

终极动员令:197[165年][]161 [,]55:995

终极动员令:73[227年][]232 [,]166:443

终极动员令:41[]228[]35 102:443(。)

终极动员令:80[195年][]103 [,]146:2222

终极动员令:65(。)48 []219 [,]244:22

终极动员令:174[80年][]7。235:443

C&C:5 [。] 13 [。] 88 [。] 29:995

C&C:68 [。] 46 [。] 142 [。] 48:995

C&C:24 [。] 28 [。] 183 [。] 107:995

C&C:68 [。] 204 [。] 164 [。] 222:443

結論

ta542が长长休暇から戻って以キャンペーンは,メッセージ量大厦にキャンペーンは,メッセージの攻撃者はがが追随程度です.ta542は,メールメール信モジュールモジュールのの,マルウェアのコード変更を导入し,配布する新闻アフィリエイト(qbot)ををしましたばらまき彼ら変更に続けのいばらまき実験変更もかかわらずい。停止以前のの活から的変わっていないこと気づきましたたにました。现在のルアー,诚信メカニズム,および広范囲の地理的ターゲティングすべて,过去に観察しものと似似いますますますます。肌肉はます。肌刻は,反复反复て艺术を変更変更综合でで,同じ方法で続行するするも,非常に危険なです。

新兴威胁+新兴威胁专业签名

2842317 - ETPRO恶意软件Win32/Emotet CnC活动(POST) M9

*本ブログは,英語版ブログ”全面看看Imonet的夏天2020回归“の翻訳です。

订阅校对点博客