This post is also available in: English (英語)
概要
2021年2月16日、Unit 42のリサーチャーが、以下の多数の脆弱性を利用する攻撃を発見しました。
- VisualDoor (SonicWall SSL-VPN エクスプロイト)
- CVE-2020-25506 (D-Link DNS-320 ファイアウォールのエクスプロイト)
- CVE-2020-26919 (Netgear ProSAFE Plusのエクスプロイト)
- (おそらくは)CVE-2019-19356 (Netis WF2419 ワイヤレスルータのエクスプロイト)
- まだ特定されていない他の3つのIoTデバイスの脆弱性
2021年2月23日、CVE-2021-27561およびCVE-2021-27562の脆弱性に関する詳細公開からわずか数時間のうちに、上記の攻撃に関与したIPの1つが更新され、あるMiraiの亜種を提供しはじめました。2021年3月3日には、同じMirai亜種のサンプルが3つ目のIPアドレスで提供され、それにCVE-2021-22502を利用するエクスプロイトが追加されました。さらに3月13日にはCVE-2020-26919 をターゲットとするエクスプロイトもサンプルに組み込まれました。
本稿執筆時点で攻撃は継続中です。エクスプロイトが成功すると、攻撃者は悪意のあるシェルスクリプトをダウンロードしようとします。このスクリプトには、Miraiの亜種やブルートフォーサーのダウンロードや実行など、さらなる感染動作が含まれています。
パロアルトネットワークスの次世代ファイアウォールを脅威防御、WildFire、URLフィルタリングのセキュリティサブスクリプションとともにご利用のお客様やAutoFocusをご利用中のお客様は、本種のマルウェアファミリのすべてのエクスプロイト試行を検出し、遮断することができます。
悪用される脆弱性
本攻撃では、5つの既知の脆弱性と3つの未知の脆弱性が悪用されていました。エクスプロイトが成功すると、wgetユーティリティが呼び出され、マルウェアのインフラストラクチャからシェルスクリプトがダウンロードされます。次に、シェルスクリプトは、さまざまなアーキテクチャ用にコンパイルされたいくつかのMiraiバイナリをダウンロードし、ダウンロードしたこれらのバイナリを1つずつ実行します。脆弱性に関する情報を以下の表1に示します。
| ID | 脆弱性 | 説明 | 深刻度 |
| 1 | VisualDoor | SonicWall SSL-VPN リモートコード実行脆弱性 | Critical (重大) |
| 2 | CVE-2020-25506 | D-Link DNS-320 Firewall リモートコード実行脆弱性 | Critical (重大) |
| 3 | CVE-2021-27561 and CVE-2021-27562 | Yealink Device Management における認証前のルートレベルのリモートコード実行脆弱性 | Critical (重大) |
| 4 | CVE-2021-22502 | Micro Focus Operation Bridge Reporter (OBR) のリモートコード実行脆弱性(影響を受けるバージョンは 10.40) | Critical (重大) |
| 5 | CVE-2019-19356 | Netis WF2419 と同様のワイヤレスルータのリモートコード実行脆弱性 | High (高) |
| 6 | CVE-2020-26919 | Netgear ProSAFE Plus における未認証のリモートコード実行脆弱性 | Critical (重大) |
| 7 | 未確認 | 不明なターゲットに対するリモートコマンド実行の脆弱性 | 不明 |
| 8 | 未確認 | 不明なターゲットに対するリモートコマンド実行の脆弱性 | 不明 |
| 9 | 不明な脆弱性 | 過去にMoobotによって使用されていた脆弱性、ただし正確なターゲットは不明 | 不明 |
エクスプロイトのペイロード
1. VisualDoor: SonicWall SSL-VPN のリモートコマンドインジェクションの脆弱性
SonicWall SSL-VPNのエクスプロイトは、ShellShockに対して脆弱な古いバージョンのBashを標的としています。攻撃者は、細工されたCommon Gateway Interface(CGI)要求を特定のシェルスクリプトに送信することにより未認証リモートコード実行(RCE)の脆弱性をトリガーする可能性があります。
2. CVE-2020-25506: D-Link DNS-320 ファイアウォールのリモートコマンド実行の脆弱性
このエクスプロイトは、system_mgr.cgiコンポーネントのコマンドインジェクション脆弱性をターゲットにしています。このコンポーネントではHTTPパラメータf_ntp_serverの値が適切にサニタイズされておらず、そこから任意のコマンドの実行へとつながります。
3. CVE-2021-27561およびCVE-2021-27562: Yealink Device Management における認証前 「ルート」レベルリモートコマンド実行の脆弱性
このエクスプロイトは、認証前のサーバーサイドリクエストフォージェリ(SSRF)の脆弱性とコマンドインジェクションの脆弱性を連鎖させることにより機能します。これによってHTTPSリクエストをリモートターゲットに送信するだけで認証なしにrootとしてコマンドを実行できるようになります。
4. CVE-2021-22502:Micro Focus Operation Bridge Reporter(OBR)のリモートコード実行の脆弱性
LogonResource APIへのリクエストで「username」パラメータと「password」パラメータがサニタイズされていないためにこのエクスプロイトが機能します。この脆弱性を悪用すると、OBRサーバーに対し、ルートとして認証されていないリモートコード実行が行えるようになります。
5. CVE-2019-19356:Netis WF2419ワイヤレスルーターのリモートコード実行の脆弱性
このエクスプロイトは、診断ツールユーティリティのリモートコード実行脆弱性を標的としています。認証された攻撃者は、IPアドレスやドメイン名などの複数の脆弱なパラメータを介してコマンドを実行できます。
6. CVE-2020-26919:Netgear ProSAFE Plusの未認証リモートコード実行の脆弱性
このエクスプロイトは、デバッグ用のWebセクションを標的としていて、攻撃者はこれを介してシステムコマンドを実行できます。これが機能するのはアクセス制御の適切なチェックが不足しているためで、そこから管理者権限でのリモートコード実行につながります。
7. 未確認の脆弱性(langパラメータコマンドインジェクション)
このエクスプロイトは、なんらかのコンポーネントのコマンドインジェクション脆弱性をターゲットにしています。このコンポーネントはHTTPパラメータlangの値を適切にサニタイズしておらず、そこから任意のコマンドの実行へとつながります。
8. 未確認の脆弱性(キーパラメータのコマンドインジェクション)
この不明なエクスプロイトは、ログインCGIスクリプトを標的としています。このスクリプトでは、あるキーとなるパラメータが適切にサニタイズされておらず、その結果コマンドインジェクションにつながっています。
9. 未知の脆弱性(op_typeパラメータコマンドインジェクション)
このエクスプロイトはop_typeパラメータを標的としています。このパラメータは適切にサニタイズされておらず、その結果コマンドインジェクションにつながります。これは以前、Moobotによる使用が確認されている脆弱性ですが、正確なターゲットは不明です。
マルウェアの振る舞い
| バイナリ | 機能 |
| lolol.sh | ターゲットマシンからいくつか主要フォルダ(既存のスケジュール済みジョブや起動スクリプトを含むフォルダなど)を削除後、以下で説明する「ダーク」バイナリをダウンロードし、「nginx」という誤認させやすい名前のファイルとして保存し、それぞれを実行しようとするスクリプトです。ダウンロードされた「ダーク」バイナリはそれぞれ異なるアーキテクチャ用にコンパイルされているため、ターゲットマシンと互換性のあるものだけが実際に実行されます。
この後、1時間ごとに実行されるジョブを(意図としては)スケジュールしてlolol.shスクリプトを再実行しようとします。ところがこのcronの構成には誤りがあります。クラッシュその他の理由で強制終了された場合でもプロセスが確実に再起動されるようにという意図でジョブを設定しているものと思われます。 最後に、いくつかのパケットフィルタルールが作成され、標準のSSH、HTTP、Telnetポートなどの一般的に使用されるポートに向けられた着信トラフィックをブロックします。これはおそらく、侵害されたシステムのメンテナンスやリモートアクセスを管理者がやりにくいようにするためと思われます。 観測された2つのバージョンのスクリプトの1つでは以下で説明する「install.sh」スクリプトもダウンロードして実行します。 |
| install.sh | このスクリプトは、GoLang v1.9.4をターゲットシステムにダウンロードしてシステムパスに追加します。さらに、GoLang標準SSHパッケージとzmap(一般的なネットワークスキャンパッケージ)もインストールします。
また、以下で説明する「nbrute」バイナリと「combo.txt」ファイルをダウンロードします。先のスクリプト同様、ダウンロードされた「nbrute」バイナリはそれぞれ異なるアーキテクチャ用にコンパイルされ、これによってターゲットマシンとの潜在的互換性を高めています。 最後に、zmapが実行され、22/tcpがスキャンされ、22/tcpでのオープン状態が検出されたIPは、入力としてnbruteバイナリに送信されます。 |
| nbrute.[arch] | これらのバイナリはGoLangで記述され、主に、特定IPでSSH接続を開始するさい「combo.txt」にあるさまざまな資格情報をブルートフォースする目的で使用されます。 |
| combo.txt | 資格情報ペアを多数含むプレーンテキストファイル(多くの場合、デバイスのデフォルトの資格情報)です。 |
| dark.[arch] | これらのバイナリはMiraiコードベースに基づいたもので、主に感染拡大の目的で使われます。そのさい、上記セクションで説明したエクスプロイトを使用するか、バイナリにハードコードされた資格情報を使用してSSH接続をブルートフォースします。
標準のMiraiのバイト単位XOR暗号化ルーチンに使用されるキーは0xbaadf00dです。 |
結論
IoTデバイス界隈は依然として攻撃者にとってはくみしやすいターゲットとなっています。そうした脆弱性の多くは悪用もごく簡単でなかには破滅的な結果をもたらすものもありますので、最大限のパッチの適用を強くお勧めします。
パロアルトネットワークス製品をご利用中のお客様は、次の製品とサービスによってこれらの脆弱性から保護されています。
- 次世代ファイアウォールで脅威防御サブスクリプションを利用し、ベストプラクティスに従って運用されているお客様は、本脆弱性のエクスプロイトから保護されています。対応する脅威防御のシグネチャは、90776、90553、55228、57842、59191、90302、90808、90824、90555です。
- WildFireは静的シグネチャ検出により同マルウェアを阻止します。
- URLフィルタリングは悪意のあるマルウェアのドメインをブロックします。
- AutoFocusをご利用中のお客様はVisualDoor、CVE-2020-25506、CVE-2021-27562、CVE-2021-25502の各タグでエクスプロイトアクティビティを追跡できます。
IoC
サンプル
| 初出 | URL | SHA256値 |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.arm5 | 60135a7817a0a1734c2e211a8613873548f4611fddc8666890f6a69860c43e61 |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.arm6 | 087fc3206ddb94e80118e7e7f0215c88409a0071b657d21071e15b7917f7cc4e |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.arm7 | 33f75999a3b4c354b6281399e541b97fd6463c5cd2ab13a538522d72a8870f30 |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.m68k | 02d48570f1089e2e7f4f9256bb033136c773834af31054e477e094e48cba110e |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.mips | 45ff08b1de872379f965d423a0f4e1f2e82f0ea8d101220b83d3aed3b2e7f1c9 |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.mpsl | 85acead88180809d47524aac87d6f76799e7c0a1729d9614446be73aa8e7d871 |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.ppc | 0bbdb062ecfae7e1b59084a5e5fe052908ecfdea7db0777a9c318e9e55fdb5ff |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.sh4 | 77a1f62dc76cc9ee2d924008a0fdcc329396021f027ebe1cfa468f9625c2455b |
| Mar 13, 2021 02:43 UTC | 203[.]159.80.241/bins/dark.x86 | 8d11635019b077d36ce7de2a3ca9261f126e0ff5808f722fcb967e7cd000be23 |
| Mar 11, 2021 19:22 UTC | 203[.]159.80.241/bins/dark.arm7 | 519b2d04e80c2cb7c000a3c00cb30098df363bd825281b2b7384d964b832df3b |
| Mar 11, 2021 19:22 UTC | 203[.]159.80.241/bins/dark.arm6 | 7a571f666c8f272cce1ee7ad75520a013bbed800e7d0c80a17804500a3474a13 |
| Mar 11, 2021 19:22 UTC | 203[.]159.80.241/bins/dark.arm5 | 5d7487a5d6febb015a21a98eddffc617cfc06453fe2a7dacac6e1719f56c56fb |
| Mar 11, 2021 19:22 UTC | 203[.]159.80.241/bins/dark.mpsl | e9d056afe12210ddf98967e3291127ef9d0d24cbd36862ebc8b0726a565eefb8 |
| Mar 11, 2021 19:22 UTC | 203[.]159.80.241/bins/dark.mips | 73aaf3ce3e5ea7a598f01d727e8278ff64ff0067fc2f2b22387b09de64c2ff4f |
| Mar 11, 2021 13:12 UTC | 203[.]159.80.241/bins/dark.x86 | 64f9bc6e925fd2f538c89fd8a8c25d11521b9fcc51c8c5308e9850c990bea04b |
| Mar 11, 2021 12:59 UTC | 203[.]159.80.241/bins/dark.ppc | 0c4ec06f32d5f15846239d224d68086cbeaf513b63f0fcafa4eddd8e18a3d372 |
| Mar 11, 2021 12:30 UTC | 203[.]159.80.241/bins/dark.sh4 | 2f590f5af68dd30cdd51de85cb55dd16160ffce16dd326b2ac4c85e0007fca51 |
| Mar 11, 2021 12:30 UTC | 203[.]159.80.241/bins/dark.m68k | cd59c912b9af910db1880d6fb86cd6cb656477552cf2c2fc82e372bafbe004b8 |
| Mar 5, 2021 14:13 UTC | 45[.]133.1.133/bins/dark.ppc | 63e66d6f0ddf5fea5b1f71643bdb30f3fff4531c364b6fd1b0e0e0cfe5da833f |
| Mar 4, 2021 10:19 UTC | 45[.]133.1.133/bins/dark.m68k | 0a664a74fcc00910170edcd5f548569b40c2c5d58fc5ced1f475dbe938684e17 |
| Mar 4, 2021 10:19 UTC | 45[.]133.1.133/bins/dark.mips | 05102e5abb23c761426c2c0f19f70f650938ea9e9295ccbb92349513c1d26c63 |
| Mar 4, 2021 10:19 UTC | 45[.]133.1.133/bins/dark.mpsl | cc996d19c3e9b732b5f61fb7a2ad20a4f9e1fd7e62f484f15c7cc984a32dec01 |
| Mar 4, 2021 10:19 UTC | 45[.]133.1.133/bins/dark.sh4 | f05225fec1fda7c6405e6961207ee12e198272d352144f516e970829a74093e2 |
| Mar 4, 2021 10:19 UTC | 45[.]133.1.133/bins/dark.x86 | 9aa0ded21b8c21075a6ad24180befc47dbfeb3985a433f1baa6181ec945a19b9 |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/lolol.sh | ecae298b18493bf2366f6081e8215a474cce4554e07a7b2380a7f8e8a3a9a37d |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.arm5 | fb940b1049e0e95c03adb7a2750347108cadf6b19ef4149a5103f7625c07c8ec |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.arm6 | 515dc2fd8819c7fc82395acc4c7fb5b2903982a5f48bc26bc8d0235bc0664d1f |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.arm7 | a9c4ea40b08ce4281c2dc9776355186dfc5649f9ec2b36c32fa5540f8d2aef2d |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.m68k | ac75cb71c2f052141a238b8f7215d5a0956f7034cf90f231d228ce58254d23ba |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.mips | 1e56f8ca44f84eff212805fa061ecb0f6fb8bc9499ff2e541ad3c43fb2f4420a |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.mpsl | 1d9496814d35d9e302d7e99339e9730fc81c022bc085c0711b73ebad962cbc2b |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.ppc | 971b5a96d84ca0d7dd906b639cd97a04835013be32356d09037cff64516c73bf |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.sh4 | e2a6ac516ec8b5dcc76becc26cf992434882d490d8f2c9d7071298dba7a641a2 |
| Mar 3, 2021 14:24 UTC | 45[.]133.1.133/bins/dark.x86 | a5ca43106a713c4a8e978575b8685889c244501288b9fa7c7dc7f1e8c5ef1291 |
| Feb 26, 2021 13:14 UTC | iotlmao[.]xyz/bins/dark.m68k | a6cb6356432ca83467f6da2168be2aabbabe5d2f2dd4c01d6c4a93d01a57df53 |
| Feb 26, 2021 13:14 UTC | iotlmao[.]xyz/bins/dark.sh4 | c686712f9be64e3d2957754ce181e5b4680b205cb6773b85b35df57983ed31cf |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.arm5 | 8cc6375f2eabe865e8400f27381a513a69e4100748458c3d2c706f3d4002bf1e |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.arm6 | 4414bf4f41663a6458372bcc4743d6e50bbb2d40c26d71bcb945926c98cd5537 |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.arm7 | 8d0beb4b143dc4a9543b4bc5d7f44a6771a973709aaf8c3a4754d120b99d0afd |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.m68k | f9770197d2254e6d5d4cb872b07dc25feb2994d4d5f0b3c854a98f9dfa3c6854 |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.mips | 74ab77e1069c6fb32925e89563c57f09c842cad0de6ab6b7c9ec2fa44d2641b1 |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.mpsl | 0039231b2fd5e5a3d86ae3b626d35b8fed7f2887a58e32b480ac82cd82150f7c |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.ppc | 9d55aa1d9841be74cdc0c9d0a9fe2f20e0704ea30c721a7b2dcae02675416629 |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.sh4 | 7aa437a562f3a956cf60fce652e6a0fb2d3c7cda0e5312c1a7fa62e177c45906 |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/bins/dark.x86 | 8e65d7b16939834e1cd86b36b495924d34f10a8c477b53c9c8e648c804b97c2d |
| Feb 24, 2021 15:59 UTC | 185[.]239.242.63/lolol.sh | 5715d9c632c646c856f2775de8e98c00cade29f7bfb6fbe33a5741b01e897521 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.arm | 5525b282df49206e76e884ca0f86806ddc97ec08343bab1d9a98f029a2697b08 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.arm5 | b82b8957a4397eae1061a74fb7a8014cbbcbe7064d4edf2e0b15233fd2ce8cca |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.arm6 | ec9dc19758ba74fb254c69d2b60ae1012b1bd65390e936990e4bd8573bcb83aa |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.arm7 | 38d8f2d17b3b676f5258a28b6b4093a1c3cdfa0d34d97c80d86686a3cff7ed55 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.m68k | b066b1c1d019fc97e3649b99ad10294783b13a12b67d34b9c8500e762c37b7e7 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.mips | 904b086dbf3e8f4dd1711d758d54675ce2d6002ff607a72d72d7e3aea612ba7d |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.mpsl | 4f6a9d2c775e0ba38189390aa7975973209f8e703d6f974c2ab67c97ad263204 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.ppc | c26401490ab9343b023f1f89b39d8d32835a795117ef7d7a129871bc05010dd6 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.sh4 | 73b35ddbf9784a6f6ebad7f5a1f4965daedc2f92cbb45a9cb76e61c0104bf553 |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/bins/dark.x86 | a925f0486b33f3f05d610d33c5a4b6bb2d5531c89e804e001ec01c4f5c25975e |
| Feb 23, 2021 09:03 UTC | 185[.]239.242.63/lolol.sh | 4fe20e73217d0bde39616ebf6f50f0f27882f939537561849f7b17968c5b8e30 |
| Feb 22, 2021 16:30 UTC | 37[.]46.150.102/bins/dark.mpsl | 6b1bea5f17eb2c16815b8cb87d6e24e707248e5384fc4dd33c86c189657c73ff |
| Feb 22, 2021 16:30 UTC | 37[.]46.150.102/bins/dark.ppc | 918395bac079ab747736246b9d84e66921774d3eb95bb47045704624646b1287 |
| Feb 22, 2021 16:30 UTC | 37[.]46.150.102/bins/dark.sh4 | 528179f34ed9a6e69f582c23b3cbb50343164bf0e5995624a8d16f8b0df202e8 |
| Feb 22, 2021 16:30 UTC | 37[.]46.150.102/bins/dark.x86 | f05d21a5b4b72a761c1540f1400dff7e39f10ac1c8b843ec8986d2e780a7807a |
| Feb 22, 2021 16:30 UTC | 37[.]46.150.102/lolol.sh | b3a20c8dfa5adaa8247c4d2097f3cc8423b4e270c9735f616628bf9bde583cbe |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.arm5 | 2102b6a9f4b6745b0963ac3040945fb351c3d7df5b8e75dbc4ebf587c921998f |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.arm6 | bfd14a2f5c26501efb5d4010839b7d0bbc9a639d86ab5d12af663de598f15427 |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.arm7 | d9f7504b3fe81f5264da5f23bdb7529f6d1dd713e28a92828180787729872a8d |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.m68k | 40808fb06796aeb740368b9bc322c12193d1bebb8e5eeddc420a98db6ac82689 |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.mips | 3c47dceb9b8fbb0d40c3f1efa8ebc8d7dcf82aa0af46c4486ec3fc8ca29a83b2 |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.mpsl | d31f1fecde01cc37950dc5b5330cd72e8ab1943f251bdfa5990f0d9d3a0a8e8f |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.ppc | 5446350c771766589e6d79e8185e10fcc0a6681eb76723b7f26dfef03c9080a5 |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.sh4 | 02f08ccc4a4136c89276135664267e08f1bb6795842a84c06c15478d3c3101e6 |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/bins/dark.x86 | f467e6335a4a0250a17d61b3d138b31998f3e6669e1fcd1c3648db1b44b55ffa |
| Feb 22, 2021, 12:32 UTC | 185[.]239.242.63/lolol.sh | 4fe20e73217d0bde39616ebf6f50f0f27882f939537561849f7b17968c5b8e30 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/brute/combo.txt | 6a68acd757fab908b2455c9b5882c25ab4a550121c2badb960b0a514a04a8d3d |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/brute/nbrute.386 | baedd59eba62c289dcb722588895eb165f4a1570b3c012efc3dcc60d3bdea521 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/brute/nbrute.amd64 | 8524826a687491c6bfd161df3e4fb2f537f50ea32834d7710dcf3b788a5ddfc2 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/brute/nbrute.arm | 4f69555ab71b49c2c1067f0907eb73b185327b57c566a8311ba9f9e58f4e85a5 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/brute/nbrute.mips | a5c2b758da21d7895c7945de8684c9b27370af6c5bf48ce3d94626261982659f |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/brute/nbrute.mipsle | b37da8e6afa2b3223b1f8f73e6801cf3fed3c0f114cfb9c134b5f06322a337ca |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.arm5 | a447bb67be310702807ff148f53f2b4c64ddba0c37f92caf6acabdfaa9ad6603 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.arm6 | b2122c5a9c738d964fa770760db40d6708de377e2e671feccb836054ceda2f47 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.arm7 | 80cd13bfcc2fc29096abf18525d17766700a6d25a9806e55c7b7de776cba0302 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.m68k | 66ea76a427b69f153486f962baff29d4a68393e985c7d88c94d773b25ad4964a |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.mips | def1959fae2d8a3dfe606126ceb9d5403deae97a4b4e216dc8e60354980eeac4 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.mpsl | 667640d293e4ce2287546fc2e0056ee14f414868bf5b77f72078096c516a9fb0 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.ppc | beb0b7178b242f2dba21c3d91abf80e8738847b8086d2a42e9352738c83542b5 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.sh4 | 554bee9f896a7a013804485894875348ff760b08ff7b0ae14c210e2b37da75f6 |
| Feb 16, 2021, 11:01 UTC | 37[.]46.150.102/bins/dark.x86 | 2a09719254934fe8ee8f200a0a7537d35a293fe1f8d0e396e23374e9b209f273 |
目次
関連項目 リソース
脅威リサーチ
主なサイバー脅威
Unit 42 からの最新情報を取得