Cardinal RATが再びイスラエルのフィンテック企業を標的に

This post is also available in: English (英語)

概要

2017年、パロアルトネットワークス脅威インテリジェンス調査チームUnit 42はCardinal RATと呼ばれる少数のマルウェアファミリについて報告し、分析しました。このマルウェアファミリはそれまで2年以上検出されることなく活動を続けていました。また、Carp Downloaderという名前のユニークなダウンローダを介して配信されていました。それ以降、この脅威の監視を続けてきた結果、更新されたCardinal RATを使用した一連の攻撃が発見されました。 RATには一連の変更が加えられており、その多くは検出を回避して分析を妨げるために使用されています。

私たちは、主にイスラエルに拠点を置く組織に焦点を当てた金融技術(フィンテック)セクターを標的とする攻撃を目撃しました。これらの攻撃を調査している間に、Cardinal RATとEVILNUMという別のマルウェアファミリが関連している可能性があることを発見しました。 EVILNUMはJavaScriptベースのマルウェアファミリで、同様の組織に対する攻撃に使用されます。

Cardinal RATがBMPのテクニックを利用

Cardinal RATの最初の発見以降、攻撃者は特に難読化技術について複数のマイナーアップデートを行っていますが、このテクニックが説明する価値のあるものでした。この分析のために、Cardinal RATの最新版を見てみましょう。

SHA256 b742162197744a8caeb09f954213a3172ed699f8375f69c40b57b8c219c5e37c

前回2017年のCardinal RATについてのブログでは本マルウェアファミリのバージョン1.4について説明を行いました。ペイロード内の情報に基づき、この最新のサンプルはバージョン1.7.2として識別することにします。前回説明したサンプルとは異なり、この最新のCardinal RATでは、さまざまな難読化手法を使用して隠されたコードの分析を妨げています。難読化の最初のレイヤーはステガノグラフィの形態をとっています。最初のサンプルは.NETでコンパイルされており、埋め込みビットマップ(BMP)ファイルが含まれています。

 図1 .NETローダーに含まれている埋め込みBMPファイル
図1 .NETローダーに含まれている埋め込みBMPファイル

実行されると、このマルウェアはBMPファイルを読み取り、画像からピクセルデータを解析し、1バイトのXORキーを使用して結果を復号化します。本稿末尾の付録に、このプロセスを自動化するためのPythonスクリプトを用意しています。その結果、.NETでコンパイルされたDLLが次のハッシュで生成されます。

SHA256 01e007b8304eb0cbcb2be11ddb86298dc85c084fb5459eda319a69ef50799f88

このファイルがメモリにロードされた後、イニシャルローダーは’corerun’関数をロードして実行し、マルウェアの第2段階を開始します。 DLLは、Windows組み込みのchoiceユーテリティを使ってスリープを実行することから始めます。

 cmd.exe /c choice /C Y /N /D Y /T 20 

このコマンドは、20秒のタイムアウトでユーザーに選択を促し、その後でプロセスが終了します。ウィンドウは隠されており、この選択肢には意味がないので、マルウェアは単にこれをスリープコマンドの代わりに使っています。

第2段階のDLLは、第1段階の実行可能ファイルから ‘strings’の埋め込みリソースを読み込みます。このリソースの一部は、ドロッパーに設定情報を提供するために復号化されます。この設定情報は、マルウェアがそのインストールルーチンに入るかどうかを指示します。インストールルーチンでは、まず %TEMP%\[random].ini に一意のGUID識別子を書き込みます。その後、次のディレクトリを作成します。

%APPDATA%\Microsoft\Windows\IEConfig

続いて下記のハッシュで埋め込まれた実行ファイルを %TEMP%\[random].exe に書きます。このファイルの内部ファイル名は RunExecutive.exe で、2つ目の引数の内容を1つ目の引数で指定されたファイルパスにコピーするだけです。

SHA256 2167d393ec89ec0c6e2d7557a7ad22aa1953dd8082f599bee14977c25a128cce

このマルウェアは、GUIDを使用して、ランダムに生成されたファイル名で被害者のスタートアップフォルダにLNKファイルを作成します(例: {fcb29182-b3cc-47e2-a95c-b22c6d87dda1}.lnk)。LNKファイルは次のコマンドを実行します。

最後に、このマルウェアは引数を指定して先のRunExecutive.exeを実行し、元の実行可能ファイルを上記のsqlreader.exeファイルパスにコピーします。

埋め込みリソースの残りの部分は、16バイトのXORキーを使用して復号化され、.NET実行可能ファイルになります。この実行ファイルは、システム上の次の2つの正規の実行ファイル/プロセスのいずれかに挿入されます。

  • RegSvcs.exe
  • RegAsm.exe

このマルウェアファミリの以前のバージョンでは、インジェクション先の正規プロセスが多数ありました。最終ペイロードは次のハッシュを持ちます。

SHA256 04de4b51c881e65236c9efdbfbc0099e6b48fd1723a6e51bf480b52104dd2ba2

難読化によって隠されたCardinal RATペイロードは、その動作や機能の点では以前のバージョンと比べて大きな変更はありません。最も重要な変更の1つは、マルウェアが使用している難読化手法です。すべての関数、メソッド、変数はMD5ハッシュに改名されています。

図2 Cardinal RATペイロードに存在する難読化
図2 Cardinal RATペイロードに存在する難読化

使用されている難読化ルーチンに加えて、マルウェア自体にもいくつかの小さな変更が加えられています。まず、埋め込み設定には、埋め込み値の順序と、存在している値の両方にいくつかの変更があります。さらに、この設定のエンコード方法がわずかに変更されました。バージョン1.4ではbase 64でエンコードされていたいくつかの値は、base 64エンコードされなくなっています。

遠隔操作を行う攻撃者に提供されているネットワーク通信やアクションは両バージョンで一貫しています。ですので、前回のブログで提供していたスクリプトは、そのまま本マルウェアファミリの最新バージョンが生成するネットワークトラフィックの解析に利用できます。マルウェア内には以下のアクションが今バージョンでも存在しています。

  • 被害者情報を収集する
  • 設定を更新する
  • リバースプロキシとして機能する
  • コマンドを実行する
  • 自分自身をアンインストールする
  • パスワードを復元する
  • 新しいファイルをダウンロードして実行する
  • キーロギング
  • スクリーンショットをキャプチャする
  • Cardinal RATを更新する
  • ブラウザからのCookieを消去する

EVILNUMの分析

Cardinal RATサンプル提出とほぼ同じ時期に同一のお客様から提出されたファイルを確認したところ、EVILNUMとして追跡していたマルウェアファミリが提出されていたことがわかりました。私たちの見解では、これは金融関連組織に対する攻撃にのみ使用されていると思われる別のマルウェアファミリです。

オンラインのサンドボックスに提出された内容を相互参照してみたところ、それとは別の組織が同じ日にEVILNUMとCardinal RATの両方を提出しているという事例が見つかりました。どちらのマルウェアもあまり数が出ていない、まれなマルウェアファミリです。

私たちはこれにEVILNUM(邪悪な数)という名前を使用することにしました。このマルウェアのいくつかのバージョンでは、ページを読みこんで数値をパースし、その数値を666で割って出した10進数の値をIPアドレスに変換しているからです。このマルウェアには少なくとも2つのバージョンがあり、1つはJavaScriptで書かれたもの、もう1つは.NETで書かれたものです。

SHA256 タイプ
bee6c5a506d6fb2cc129443c74b7676fbb9a79b53b92b2cac4c7fb8209592714 .NET
97c97ad2baef37eea023549131c192f441aa7976747166cd31095e7dad17948c JS

使用されているプログラミング言語に違いはあるものの、サンプルは似ています。私たちは.NET版が.JSバージョンを書き換えたものである可能性が高いと考えています。

EVILNUMはすでにこちらの公開されているドメインですでに説明されています(ただしマルウェアファミリには名前が割り当てられていません)。また、Twitterでも複数のアナリストが注目していました。これは、攻撃者が他のユーティリティを感染ホストにインストールするかどうかを決定するため、感染ホストに関するデータを攻撃者に提供する第1段階のマルウェアファミリです。EVILNUMがサポートしているコマンドはバージョンによって異なります。

  • 永続性を確保する
  • “cmd /c” を使用して任意のコマンドを実行する
  • 追加ファイルをダウンロードする
  • スクリーンショットを撮れるかどうか

マルウェアの動作はすでにpwncodeの記事で詳しく説明されているので、以下の表に、古いバージョンと新しいバージョンのマルウェアの違いと類似点をいくつか簡単に示します。

2018年5月のバージョン 2019年1月のバージョン
バージョン番号 1.3 2.1
使用されるC2 公開されているフォーラム/Git、番号を 666 で割って求める、num2ip 公開されているフォーラム/Git、番号を 8 で割って求める、num2ip
ローカルのcookieを盗む機能があるか n y
ロックファイルを使用するか y y
スタートアップにLINKとして追加する y y
スタートアップメソッドの追加方法 コマンドライン経由 レジストリファイルのインポート
関数の命名 this_function ThisFunction
スクリーンショットを撮れるかどうか n y

表1 EVINUMのバージョン間の類似点(緑)と相違点(赤)のハイライト

このマルウェアは、(作者のバージョン番号で示されるように)全体的に書き換えが行われているようで、多くの機能がはじめから書き直されています。

それにもかかわらず、マルウェアのコアとなる機能はほとんど同じで、マルウェアファミリに採用されているコンセプト(ロックファイルなど)も重複が見られます。このマルウェアは第1段階としてのみ機能するもので、攻撃者は興味の対象となるネットワークを標的にするため、追加ツールを配信する可能性があります。

標的の選定

2017年4月以降、私たちはCardinal RATが弊社の顧客企業2社に攻撃を仕掛けていることを確認しています。どちらの企業も、外国為替と暗号通貨取引に関連するソフトウェアを開発しているフィンテック企業で、イスラエルを拠点としています。 VirusTotalに提供されたサンプルを探すと13個のCarp Downloader文書が見つかります。なお、ここでは「入り口」となるファイルだけを探しており、2段階目でドロップされたファイルを探しているわけではない点に注意してください。図1でこれらの文書の最初の提供者を見ると、それらがほぼイスラエルからアップロードされているのがわかります。

図3 VirusTotalへのCarp Downloader提供者の国別分布
図3 VirusTotalへのCarp Downloader提供者の国別分布

EVILNUMについては、本稿前半で参照した企業での事例のみが観測されています。ただし、パブリックなサンドボックスからの調査結果を見てみると、第1段階の感染に使用されるファイルの配信は、LNKファイルによるものがもっとも一般的であるようです。図4に示すように、EVILNUMの最初の提供者の地理的分布はかなり異なります。

図4 VirusTotal へのEVILNUM 提供者の国別分布
図4 VirusTotal へのEVILNUM 提供者の国別分布

結論

Cardinal RATとEVILNUMは、どちらもフィンテック企業に限定的に配信されている攻撃で使用されています。ある事例では、両方のマルウエアが同じ標的企業で短時間で観察されており、両マルウェアファミリに利用されるドロッパーも似たような内容のルアー(わな)文書を使っていました。

したがって、これらのマルウェアファミリは、フィンテック企業への標的型攻撃に使用されるものだと言えます。

  • 私たちのテレメトリも、これらのマルウェアファミリが本セクターに属する企業に対してのみ使用されている様子を示しています。
  • ルアー文書は一貫して、外国為替/暗号通貨の取引に関与している個人の名前/番号のリストに関連していました。この分野以外の個人を標的にするならほぼ選ばれないであろうニッチな主題です。

私たちは、両マルウェアファミリが同じ攻撃者によって使用されている可能性があると考えています。

  • 2つの事例では、ある特定企業が両マルウェアファミリに立て続けに標的にされた、ないし標的にされた様子があることが分かっています。
  • 両マルウェアファミリとも、外国為替/暗号通貨の取引に関与している個人の名前/番号のリストを含む悪意のある文書により配信されています。
  • 地理的分布の違いは、単純に観測できた範囲の違いとして説明することができます。

ただし、2つのマルウェアファミリの関連性については議論の余地があります。

  • これらのマルウェアファミリが観測された地理的な広がりに関していえば、各ファミリの標的の選定がかなり異なっている様子があります。
  • 各マルウェアファミリの配信方法にほとんど類似点がありません。
  • 各マルウェアファミリに関連付けられたインフラストラクチャは、ホスティングプロバイダやその他の属性から観測される限り重複は見られず、それぞれに特異なものです。

たとえ2つのマルウェアファミリに関連がなくとも、どちらも似たような標的を興味の対象としているため、フィンテック企業はこれらのマルウェアから確実に保護されていなければなりません。攻撃者が標的としたネットワークへの侵入を果たした後、何を行うのかについての洞察は得られていませんが、選定された標的から見て、攻撃者は金銭的利益を得るためにこのアクセスを利用する可能性があります。

効果的なスパムフィルタリング、適切なシステム管理、最新のWindowsホストを使用している組織は、感染のリスクがはるかに低くなります。これらの脅威に対する一般的な防御策は次のとおりです。

パロアルトネットワークスのお客様は、次のようにしてこの脅威から保護されています。

  • EVILNUMの亜種は、IPSによってブロックされます。脅威ID 18781 および 18782 を参照してください。
  • WildfireとTrapsは本稿に記載したすべてのファイルをマルウェアとして検出します。

AutoFocusをお使いのお客様は次のタグを使用してこれらの活動を追跡できます: CarpDownloaderEVILNUM

付録

Cardinal RATドロッパーからBMPを復号化するためのスクリプト

IOC

Cardinal RATのサンプル

  • b742162197744a8caeb09f954213a3172ed699f8375f69c40b57b8c219c5e37c
  • 06151c14153e983ae7ab793c7cd0e5ac3faf8e200894955b02e1191429eff29a
  • 9e6671a8af28e0ab6c37c044d85a2406b665a171ae3bef46f3e90d06e33027ae
  • 448c33094322b200c53ff016fec29469b3e52def359430113115cc70d7f28704
  • 06f1348c8a2ffab67627556075ddcad92998526d4d3802b9c2357d169531825f
  • ca8af85f7eed79a73984b2dccd3dd2148865dfed7a009842be7372e6ce18037f
  • 75ca794f265ebad84954f13480e0e31c17048d21c4b52e949864c951437d0c2c
  • 78e2929e5dae8677f9db3aa7eaa96ad584c872343698e18f85349a027328b3ea
  • f4f52c45ca3d4d4ce33981f660d23e8df4a9c0e345fdd6429d8b46f6c0528c38
  • dd8fe0e27bf798cace40ac0d58b833ba3bbf16d80175296601585ed1964465ec
  • 20fec2d1824b585aa558b7cf9e9980acd665736ce9f7a124507cf46afb30c79f
  • dab228c236d48fa1660bcec59e17e5004726741a85b0fbeef8300f29927c32d9
  • f75883ff35104a032dd047ca39d35ec98601c76aa02f58ad655df6deaadecb55
  • a545288c4d491d510972d583b773f8a0c5dc355942e322cf767d33121c659c1c
  • 64a9bdf4ff33e8f2e74dc16d7dce0f392aa130ff9b99458778fd25d9aadff381
  • 66f38591e8c80bb26623b0e6be5ab976fdf745c2afa020c7d98e2814960b5961
  • 65b726aab53920c497f83eb1f3cbd6b7dbfc2074aab6761b7485aa98f2df139a
  • 3ec85a019a480114856d3022961d7a55c1ae7cfa81b0073b2c1abcf99e0e541f
  • 43fb0b13f9872a54f91a7bf202b23a8a16de99d054a83ed08b9ea97f9e2675e8
  • 137f9265cba1101ae5d63b94c6ad1b47c7d02f0ab4f54a1af3169422791790cf
  • 101af6fdb990e5e9584382a65f5cee7efd9e89c38e928beca18419bdf70ef076
  • f9bccd349cf841d0f25e81d80a1b4bf73dd960a1f3aa71029a18e36480c80392
  • f027735c3db77e67cf7bada8862ddbb0d85a2caacbb4b2825e4acdfa863a14c9
  • 75996bbfcd2b343523ed79476f9516cc7d2b041c43841e5e735db4f22ae970c3
  • 0097dd7676b810bd0c1c70d8c86604c830e1e8e88f6a13c3869747faba381076
  • 08ce077e8d54db08ede1095d03286146d04e8cbce74ec91a9fc7b9d0a99ddb9f
  • 28e9e0fcc6899db7a16315d3dca38b6166ba318f8ca07b422ebadaab209b589b
  • 2247c528fc1b90b725d857cc5d45572e864c6c4948100458774f0ef6a8f11403
  • dfa041f6cbe9d83cdaaed90466693efca33729c99fa43b29ab8e44bb27eb0a6b
  • 4045950ffa263b92774e92ab36b3ec52bf18f1c133b8d155819629d2ad4b3d1c
  • 85f1053041ef7af8a1c3d941e18de21e7adc24537863063d127bab8a8d2dc64b
  • 98200955db80cb5835158320ba94b2b55bc7028ea988b75f02adee3df40793f3
  • ae8fb2f138981f10092761768428fb312e3e49bc23d5b610e3127c1a387aede8
  • 66f43e57648f01ea5f8d0d152db1df90c764eebeb701403936a15c47e2965353
  • 943cef39e54457fcfa21f5a8ed0f04095c1d4b798453770be5dda5db7d5406ac
  • ca2a01792873233693e17fe51c4c86c05d07e31f9b579ab0444dd89733633532
  • 4fde64e9391d36aaff700ce0be3df9e7e6303b6de114332286de694af33dd7da
  • 5909b5999d3998f578a3acb4bf85e0b3fde102c417c40b6beed0dd3b8ceb51bf
  • 0212334200668ac64cb63fc1a4f4ea17e956f6928a2211c945c2e07f1b25a3ef
  • bae230d6a988723b33158bbeef4ab90b1bff7b521fed9cab0c5e1f5b69a01de5
  • b01b7a5798f41a5fae54b4189db6f47c6110a0b53a4df32cb7d0f13503c5250c
  • fb63acfda1730132dbfbf1d46834d771156aac3f7c8e97ea136ca6edbe811fad
  • 268c3c9a98f2a15aaab9b0488225b0ba4e3d35efa30f6fed9052ffd31042bd7b
  • 0afec067628e901f7151861b0924ffb1909d21a707177b1e6cf2c8d491bb1a60
  • 985d893426373d4e71386d731e5bc44c1c2ac93e0920dddeb4380929af43dfcb
  • 82017e34c232e05094c2bbed2e62f6b55c1ed8f645803784cac791cc4690beaf
  • 8d8ccaf5a241112d173147b6b08ad5b7953c940ff5928e3046781c1e58a9c73a
  • 427b635915e0fe313ce58175faa1cc240ae26183fb88d05864bc20ef6d87aca3
  • 00f93492edb3274f71686fa469f6c9031a94292a2776c623a1596f710bf4eaa1
  • 5dcec8a061195bd4a2c3e96afecc48b1f0143b6ac4644c518ed8a923d2dcbe21
  • 02e85f39adf8613fd1be610e4e76f4fac08949f2e0198e8cf89a7c3a17cdd6d9
  • 5e60f17396e2ddfce8e60c964056d63cc3b17646c31b4a4f934c2d1fb4f5ba71
  • cbcb627ff2220ed269aaa58203e7e89f1988210073d35f5f4019f8ecfd012f81
  • 267b1df7bc64c1b93b604d964f52801733fdd43efaf7742810b9277f00ad17ff
  • e017651dd9e9419a7f1714f8f2cdc3d8e75aebbe6d3cfbb2de3f042f39aec3bd
  • 778090182a10fde1b4c1571d1e853e123f6ab1682e17dabe2e83468b518c01df
  • 8fababb509ad8230e4d6fa1e6403602a97e60dc8ef517016f86195143cf50f4e
  • 1977cedcfb8726dea5e915b47e1479256674551bc0fe0b55ddd3fa3b15eb82b2
  • 16aab89d74c1eaaf1e94028c8ccceef442eb2cd5b052cba3562d2b1b1a3a4ba6
  • 9c47b2af8b8c5f3c25f237dcc375b41835904f7cd99221c7489fb3563c34c9ab
  • 211b7b7a4c4a07b9c65fae361570dbb94666e26f0cc0fa0b32df4b09fcee6de2
  • fd61a5cd1a83f68b75d47c8b6041f8640e47510925caee8176d5d81afac29134
  • 84f822d9cf575aeea867e9b73f88ad4d9244293e52208644e12ff2cf13b6b537
  • 855cf3a6422b0bf680d505720fd07c396508f67518670b493dba902c3c2e5dfa
  • 4b4c6b36938c3de0623feb92c0e1cb399d2dc338d2095b8ba84e862ef6d11772
  • 5dd162ab66f0c819ee73868c26ecd82408422e2b6366805631eab95ae32516f3
  • 6e2991e02d3cf17d77173d50cdaa766661a89721c3cc4050fba98bea0dbdb1a9
  • 1e8ed6e8d0b6fc47d8176c874ed40fb09644c058042f34d987878fa644f493cc
  • 647e379517fed71682423b0192da453ec1d61a633c154fdd55bab762bcc404f3
  • ebd4f45cbb272bcc4954cf1bd0a5b8802a6e501688f2a1abdb6143ba616aea82
  • edc49bf7ec508becb088d5082c78d360f1a7cad520f6de6d8b93759b67aac305
  • 7482f8c86b63ce53edcb62fc2ff2dd8e584e2164451ae0c6f2b1f4d6d0cb6d9c
  • 2fbd3d2362acd1c8f0963b48d01f94c7a07aeac52d23415d0498c8c9e23554db
  • 154e3a12404202fd25e29e754ff78703d4edd7da73cb4c283c9910fd526d47db
  • fc5f7a21d953c394968647df6a37e1f61db04968ad1aca65ad8f261b363fa842
  • a1d5b7d69d85b1be31d9e1cb0686094cc7b1213079b2a66ace01be4bfe3fb7c3
  • 4b0203492a95257707a86992e84b5085ce9e11810a26920dbb085005081e32d3
  • a05805bcec72fb76b997c456e0fd6c4b219fdc51cad70d4a58c16b0b0e2d9ba1
  • 4e953ea82b0406a5b95e31554628ad6821b1d91e9ada0d26179977f227cf01ad
  • 6272ed2a9b69509ac16162158729762d30f9ca06146a1828ae17afedd5c243ef
  • 440504899b7af6f352cfaad6cdef1642c66927ecce0cf2f7e65d563a78be1b29

Carp Downloaderのサンプル

  • 9a2491d803407b8696d6b797f8b90d728a8db3583bf4c2977cbeef8be0eb7249
  • 7220e659d59491db50661c54762b49bf6976acbeb723b5d59abde48301c86228
  • c2d944a939bdc810d603149c0685f0bcb55a84d1f3a6ea33e9debe893fd0a8dd
  • d562f01384b1d215758227fb2c165ed633fe9997096613fed8ce3bdf8963e4fd
  • fdee357557a69d3dfa629d0cbd585d9c5dadc526dfb424af56c8edcc7a67d556
  • 0716f3f9cb0dead0c1f156a07adfeb3e0d72e4ea4af7b67238fae3e1ae670f90
  • 2016766acaeb1b89415fb6ef03f6ee815b8fe76b8955a6a41d2bbb28dfa74c28
  • d7996ac876fa0ece281e49e7955dfbbf4ef1239b1ee63a0e21d6c4ed4b7c6559
  • 96067fc9b137ceecab2ff29ac56ff6897a7c73657ace7c40d70b7c1ebaaccf39
  • ea581e8e625a3748da9663414182d1b99f9c5ddb0b9db2fbf1059a28c69cc10c
  • a2dfe3a5a1e999af7f1920d28e05d8b0ce66c6e8b2947177878862ce1f870b17
  • 5665527ce54ed1a79ddb8e3c10499ac0b7af5c79a8cf5a37448baccbf6dba09f
  • b4632dcf0b23467970ee7e0844e7c8a931dc3a0f549c0aa5e40e41c1b5b31fdc
  • 6ecd376cdc182bf157e59d500da6092891e6cd9a61305214e462d6e990e6e834
  • 0fabc65c316e8d84493d07cd39bfdd59481af9f9a7ebc9103693f1788438a438
  • a52ba498d304906d6c060e8c56ad7db50e1af0a781616c0aa35447c50c28bae9
  • 5025aa0fc6d4ac6daa2d9a6452263dcc20d6906149fc0995d458ed38e7e57b61
  • 1181f97071d8f96f9cdfb0f39b697204413cc0a715aa4935fe8964209289b331
  • d5d885734969641f43c64edf9788837df0d3452413a7ef835f8910d56c60c91c
  • 0438becfd66d728778f47d734d2f0bc4d1462d945cf4b6dde9fbf627eb0bb02d
  • 84e705341a48c8c6552a7d3dd97b7cd968d2a9bc281a70c287df70813f5dca52
  • ae1a6c4f917772100e3a5dc1fab7de4a277876a6e626da114baf8179b13b0031
  • e49e61da52430011f1a22084a601cc08005865fe9a76abf503a4a9d2e11a5450
  • 192b204dbc702d3762c953544975b61db8347a7739c6d8884bb4594bd816bf91
  • 571b58ba655463705f45d2541f0fde049c83389a69552f98e41ece734a59f8d4
  • 10f53502922bf837900935892fb1da28fc712848471bf4afcdd08440d3bd037f
  • 8bea55d2e35a2281ed71a59f1feb4c1cf6af1c053a94781c033a94d8e4c853e5
  • 057965e8b6638f0264d89872e80366b23255f1a0a30fd4efb7884c71b4104235

Cardinal RATのインフラ(2017年中頃以降に観測されたサンプルのみ)

  • s.dropinbox[.]host
  • secure.dropinbox[.]pw
  • s.spotmacro[.]online
  • secure.spotoption[.]pw
  • 190.10.8[.]238
  • affiliatecollective[.]club

EVILNUMのインフラ

  • hxxps://raw.githubusercontent[.]com/venomisherenow/wearevenom/master/README.md
  • hxxps://raw.githubusercontent[.]com/idontwantcofee/ihavepoop/master/README.md
  • hxxps://raw.githubusercontent[.]com/yoshimaster8/whatcha/master/readne
  • hxxps://raw.githubusercontent[.]com/grobagala/pizza/master/readne
  • hxxps://gitlab[.]com/githubuser/testing/commits/master
  • hxxps://raw.githubusercontent[.]com/sarutubi/Luckyluke/master/README.md
  • hxxps://raw.githubusercontent[.]com/hititdolly/justcallmeangel/master/README.md
  • hxxps://www.codeplex[.]com/site/users/view/saidjaosdjo
  • hxxps://raw.githubusercontent[.]com/iuasbduias/auhidshas/master/README.md
  • hxxps://www.digitalpoint[.]com/members/bitbox123.922831/
  • 139.28.37[.]0
  • 127.194.87[.]192 # likely attacker testing
  • 127.194.73[.]243 # likely attacker testing
  • wikipeldia[.]org
  • 185.247.211[.]198
  • 185.20.187[.]4
  • 193.22.96[.]98
  • 193.22.98[.]182
  • 193.22.99[.]168