詳説xHunt: DNS SecurityがDNSトンネル検出し新たなPowerShellバックドアをブロック

This post is also available in: English (英語)

概要

xHuntキャンペーンの継続的な分析を行う中で私たちは、既知のSakabotaコマンド&コントロール（C2）活動に関連付けられたドメインpasta58[.]comに複数のドメインが関連している様子を観測しました。そして2019年6月、これらの重複するドメインの1つ、具体的にはwindows64x[.]comというドメインが、新たなPowerShellベースのバックドアのC2サーバーとして使用されている様子を観測し、これをCASHY200と名付けました。

このPowerShellバックドアはDNSトンネリングを使用してC2サーバーと通信するもので、具体的には前述ドメインの攻撃者管理下にあるネームサーバーにDNS Aクエリを発行して通信を行っていました。CASHY200は、C2サーバーが提供するDNSレスポンスのAnswerセクション内のデータを解析して侵害システム上でコマンドを実行し、その結果をDNSクエリを介してC2に送り返します。CASHY200の複数のサンプルは、ランダムに生成された識別子を使用し、識別子をレジストリHKCU\Software\Microsoft\Cashe\indexに保存していました。また、コマンド値200をC2サーバーとの通信に使用しており、これがCASHY200という名前の由来になっています。

CASHY200というPowerShellバックドアがどのように配信されたかを示すテレメトリはありませんが、2019年9月には、クウェートに拠点を置くあるホストが、CASHY200ペイロードと同じDNSトンネリングプロトコルを使用し、windows64x[.]comドメインにビーコンを送信した様子が観測されています。さいわい、同ドメインへのビーコンは弊社のDNS Securityサービスがブロックしたため、攻撃者はDNSトンネルを使用してペイロードと通信することはできなくなりました。

私たちは公開済み脅威インテリジェンス情報を集め、同ツールの系統を分析することにより、この攻撃者が、2018年春から2019年まで継続して行われたクウェート政府機関を標的とする攻撃にCASHY200を使用した可能性があることを発見しました。

CASHY200による攻撃

2019年9月16日、クウェートに拠点を置くある組織が弊社のDNS Securityサービスのサブスクリプションを有効にしたところ、ものの数分のうちに、悪意のあるDNSトンネリング活動が検出されました。このDNSトンネリングはwindows64x[.]comというドメインと通信していましたが、このドメインは私たちが以前Unit 42、クウェートの海運・運輸関連組織へのサイバー攻撃キャンペーン「xHunt」を発見というレポートで xHuntキャンペーンとの関連について報告済みのドメインでした。

ここでは、DNSトンネルをブロックすることで、攻撃者は侵害されたシステムにアクセスできなくなりました。DNSトンネリングを使用するこのペイロードのインストールにいたった最初の侵害に関してはテレメトリが確認されていませんが、本攻撃活動の調査を続けるうち、CASHY200のPowerShellベースのペイロードが見つかり、それがwindows64x[.]comと通信していることがわかりました。

同PowerShellスクリプトを分析したところ、このスクリプトが使うDNSトンネリングプロトコルが、弊社DNS Securityサービスがある在クウェート組織内でブロックしたアウトバウンドDNSクエリと合致することがわかりました。CASHY200とそのDNSトンネリングプロトコルの分析は、本稿後半で共有します。

追加でいくつかCASHY200サンプルを収集した結果、私たちは同攻撃グループがこのPowerShellベースのツールを積極的に開発し、攻撃キャンペーンに使用したという証左を発見しました。さらにこの開発過程を調査していくうち、2018年5月から6月にまで遡るサンプルが複数見つかりました。

2018年5月1日と6月3日、CASHY200 PowerShellスクリプトをインストール・実行する実行可能ファイルが初めて観測されました。これらのPowerShellスクリプトは、それぞれwindows-updates[.]comドメインとfirewallsupports[.]comドメインと通信していました。これらペイロードの影響を受けた組織を特定可能なテレメトリは確認できていませんが、図1に示す@Voulnetのツイートによれば、Word文書を使用してPowerShellペイロードを配信した可能性があります。またそのさいはfirewallsupports[.]comがクウェート政府機関を標的とするC2として使われたようです。

私たちは、この脅威グループがクウェートの政府機関を対象とし、CASHY200ペイロードをfirewallsupports[.]comと通信するよう設定したかどうかについては確認していません。ただし、前述のドメインをC2として設定したCASHY200ペイロードをインストールするWordドキュメントは発見できました。このWordドキュメントには、クウェート政府組織のロゴが含まれており、これがソーシャルエンジニアリング用のルアー(わな)画像として使われたようです。このことは、xHunt攻撃キャンペーンで観測されてきた標的の選びかたとも合致します。同攻撃キャンペーンでの攻撃は在クウェート組織に対してのみ行われていました。

表1にCASHY200をインストールすることが確認されたWord文書をまとめました。この表には、前述のドメイン以外のC2ドメインwinx64-microsoft[.]comも含まれています。このドメインも、同脅威グループによって使用されているものです。

変更時刻	SHA256値	ファイル名	C2ドメイン
8/20/2018 7:00:00	bce37fc0...	عيد الأضحى.docm	firewallsupports[.]com
8/13/2018 9:07:00	5a3c156...	دلیل تسجیل الدخول.docm	firewallsupports[.]com
1/1/1980 0:00:00	45b2db5...	Update list soft-Ad.docm	winx64-microsoft[.]com
7/4/2018 5:45:00	ce6b44af...	قائمة النماذج العامة01.docm	firewallsupports[.]com
7/4/2018 6:10:00	0b54763...	قائمة النماذج العامة02.docm	firewallsupports[.]com
7/4/2018 6:09:00	396235b...	قائمة النماذج العامة03.docm	firewallsupports[.]com

表1 CASHY200ペイロードをインストールする悪意のあるWord文書

ここで興味深いのが、2019年5月14日、ある個人がMicrosoftのTechNetフォーラムに、自身の保有する2台サーバーで観測されたwindows64x[.]comドメイン関連の活動についての情報を求めて投稿している、という点です。同人が説明した活動は、弊社DNS Securityサービスがクウェート政府機関でブロックしたものと同じDNSトンネリングプロトコルを使用した、同一のC2ドメインへのトンネリング活動でした。この攻撃活動を経験した組織を特定することはできませんでしたが、フォーラムに投稿された内容の詳細からは、この個人がさらに別のクウェート政府関連組織に勤務していたものと考えられます。

このほかにもTechNetへの投稿で提供されていた詳細情報には興味深いものがありました。それは、DNSトンネル用クエリを生成するのに、 ping -n 1 <domain>というコマンドが使われていたことです。というのも、私たちは、同一の手法がfirewallsupports[.]comをC2に設定したCASHY200サンプルによるDNSトンネル用クエリ発行にも利用されていることを確認していたからです(図2参照)。あるユーザー(このケースでは悪意のあるスクリプト)がpingコマンドにドメイン名を指定した場合、ping アプリケーションはICMPメッセージをリモートシステムにpingする前に、ドメイン名の解決を試みます。このやりかたでpingアプリケーションを使用すれば、DNSトンネルにクエリを効率よく送信することができます。

図2 CASHY200サンプル内のコード。ping -n 1コマンドを使ってDNSクエリをfirewallsupports[.]comに発行している

これと同様に、pingサンプルと同じ方法でnslookup コマンドを使う別のCASHY200サンプルも観測しました。ただしこちらは、windows64x[.]comドメインを使用して通信していました。このサンプルはnslookup -type = a <domain> というDNSクエリを発行していました。このことは、これら2つのドメインの関連性をさらに補強する材料となりました。

CASHY200のDNSトンネリングプロトコル

私たちはファイル(SHA256: eccc65711cbd154f680e8c8ef343d53f29e4a6237510abd4ad1eab5742b035b3)を分析することで、クウェートのある組織でブロックされたDNSトンネリングプロトコルとそのペイロードの機能とを理解することにしました。このサンプルは、ドメインwindows64x[.]comと通信するものです。同サンプルのDNSトンネリングプロトコルでは、DNSのAクエリを使ってトロイの木馬からC2サーバーにデータを送信しています。このときのC2は、クエリ対象ドメインのサブドメインに存在しており、トロイの木馬側は、当該C2からIPv4レスポンスのAnswer内におさめたデータを受信する方法をとります。高レベルでは、この活動に関連付けられたCASHY200サンプルは、最初のビーコンクエリで"48"または"92"を最初のオクテットとして持つIPv4レスポンスのAnswerに応じ、表2に示す2つの異なるコマンドを発行可能です。

IPv4 Answerセクションのコマンド	コマンドの説明
48.x.x.x	"hostname"コマンドを実行して結果をDNSトンネル経由でC2に送信
92.<クエリ数>.x.x	後続のDNSクエリに対するAnswerから実行コマンドを取得し、実行結果をDNSトンネル経由でC2に送信する。 2番目のオクテットはコマンド取得のために発行が必要なDNSクエリ数をトロイの木馬側に通知するために使用される

表2 CASHY200内で使用可能なコマンドとその機能

windows-updates[.]comとfirewallsupports[.]comをC2用ドメインとして使う古いCASHY200のサンプルの場合、IPv4 のAnswerに含まれる最初のオクテットに「200」を含めることで発行できるコマンドは1つだけでした。そのコマンドは、上記の表2に示した"92"を最初のオクテットとしてもつコマンドと同じ機能を持っていました。また古いサンプルの場合は上記表2のコマンド"48"は不要でした。というのは、最初のビーコンでトロイの木馬側からC2にシステムのホスト名が提供されるので、あえてC2がシステムのホスト名の取得を促す必要がなかったのです。コマンド値"200"は「CASHY200」という名前後半の"200"のもとになったコマンドです。CASHY200がDNSトンネル用に生成するドメインは、原則として図3に示した形式で構造化されています。ただし、以下の<シーケンス番号>フィールドと<漏出させるデータ>フィールドはオプションなので、トロイの木馬からのリクエスト種別によっては空白になる場合もあります。たとえば、ビーコンの役割を果たす最初のDNSクエリには<シーケンス番号>や<漏出させるデータ>のフィールドはありません。このほか、CASHY200の古いサンプルの場合、<5つのランダムな文字>ではなく<4つのランダムな文字>となる場合があります。

<5つのランダムな文字><16進数で表したリクエスト種別><16進数で表した一意なホスト名><シーケンス番号><漏出させるデータ>.windows64x[.]com    

図3 DNSトンネリングプロトコル用にCASHY200が生成するDNSクエリの構造

CASHY200は、<16進数で表したリクエスト種別>フィールドを使い、発行したDNSクエリの目的をC2サーバーに伝えることができます。このしくみがあるおかげで、C2サーバーは自身に向けられたクエリに対し、DNSレスポンスAnswer内に適切なIPv4アドレスを含めた上でレスポンスを返すことができます。表3は、使用可能なすべてのリクエスト種別とDNSクエリの目的を示しています。ただしwindows64x[.]comをC2サーバーとして使うCASHY200のサンプルの場合は、リクエスト種別"d"でも"q"でもレスポンス内にコマンドを含めて受信できるのに対し、古いサンプルの場合は、リクエスト種別"q"に対するレスポンス内でのみコマンドを受信できるようになっています。

リクエスト種別	説明
d	最初の"hello"ビーコン
q	コマンドビーコンのリクエスト
f	結果送信完了
c	カスタムコマンドの結果送信用に見込まれるクエリ数を送信
h	C2のIPv4レスポンスAnswer内からデータを取得
a	サブドメイン内にhostnameコマンドの結果を送信
r	サブドメイン内にカスタムコマンドの結果を送信

表3 CASHY200からC2へ各DNSクエリの目的を通知するリクエスト種別

DNS Security サービスが阻止したCASHY200によるDNSトンネリングの場合、<16進数で表した一意なホスト名>の部分は攻撃者がトロイの木馬にハードコードした文字列で、感染したシステムごとに固有の値が使われていたようです。このハードコードされたホスト名は、攻撃者が侵害対象となった特定のホストのためにCASHY200サンプルを作成したことを示唆するものです。これが理由で、感染ホストをすばやく特定して修復作業のトリアージにつなげることができました。

CASHY200の古いサンプルは、トロイの木馬がレジストリに保存するランダムに生成された識別子を使用します。 そのひとつがHKCU\Software\Microsoft\Cashe\indexで、このレジストリがCASHY200という名前の前半部分の由来となっています。先に述べたとおり、シーケンス番号はオプションなので、CASHY200がC2サーバーにデータを送信する場合にのみ、照会されたサブドメインの一部として表示されます。CASHY200はシーケンス番号を101から開始します。このシーケンス番号はすべてのデータをC2に送信しおわるまで、送信するクエリごとにインクリメントされます。

CASHY200によるDNSトンネリングのサンプル

CASHY200で使用されるDNSトンネリングプロトコルを理解し、視覚化するため、バックドアと対話してコマンドを発行するC2サーバーを私たちは作成しました。ここでは、windows64x[.]comをC2とするよう構成されたCASHY200サンプルと対話するC2サーバーを作成しています。

このトロイの木馬は、C2からのDNS Aレコードへのレスポンスに含まれる最初のオクテットが"48"ないし"92"の2つの場合、コマンドとして処理できます(コマンドの説明については表2を参照してください)。次の図4は、C2サーバーと対話するCASHY200のネットワークパケットキャプチャを示しています。このスクリーンショットは、CASHY200が"hostname"コマンドに続いて"whoami"というカスタムコマンドを受信した様子を示しています。両コマンドがCASHY200に実行され、その結果がC2に送信されます。

図4でDNSサーバーがDNS Aクエリに対して1.2.3.4というレスポンスを返しているのは、私たちがC2サーバーに単なるプレースホルダを設定していることが理由です(CASHY200はデータ送信時のDNSレスポンスは無視するため)。

図4で解決する最初のDNSクエリはyFIOr645245444143544544.windows64x[.]comで、これが開始ビーコンの役割を果たします。最初の5文字(yFIOr)はランダムです。この文字列には「ランダムなサブドメインを生成することでDNSによるキャッシュを回避する」という以外の目的はありません。

次の2文字("64")は、dというリクエスト種別を16進数表記したものです。これは表3に記載した最初の"hello"ビーコンを示しています。リクエスト種別の後にサンプルにハードコードされたシステム固有のホスト名が続きます。この場合、ある特定のホスト用の5245444143544544という内容です。

システムのホスト名を取得するコマンド"48"を発行するため、C2サーバーは、最初のビーコンクエリに対し、IPv4 Answerの最初のオクテットを48にセットしてレスポンスを返します。図4では48.0.0.0がそのレスポンスにあたります。

これを受け取ったCASHY200は、残りの3オクテットを無視し、"hostname"コマンドを実行します。このため、C2サーバー側がAnswerにIPv4を回答する必要はありません。私たちの検証環境のホスト名はtest-system-ftwというもので、CASHY200はこのホスト名を一連のDNSクエリでC2サーバーに送信し、以下の名前解決を行いました。

1. pevtF6152454441435445443130316447567a6443317a65584e305a57303d.windows64x[.]com
2. diosk6152454441435445443130324c575a3064773d3d.windows64x[.]com
3. weDlz615245444143544544313033.windows64x[.]com

ここでは"hostname"コマンドの実行結果を3つのDNSクエリのサブドメインに含めて送信するので、リクエスト種別としてa(16進数表記で61。最初のランダムな5文字を除く6文字目と7文字目)が使われています。このリクエスト種別の後ろに、これらDNSクエリ内で送信されるデータが続きます。

C2サーバーは、各クエリのデータをbase64デコードする前に、シーケンス番号を使用してクエリを正しい順序に並べかえます。この例では、16進表記から変換されたデータはそれぞれ 101dGVzdC1zeXN0ZW0=、102LWZ0dw==、103となります。次にC2サーバーは各クエリからデコードされたデータを連結し、結果を生成します。

表4は、CASHY200によって送信された"hostname"コマンドの結果をC2が処理し、test-system-ftwを生成する流れを示しています。

シーケンス番号	エンコードされたデータ	デコードされたデータ
101	dGVzdC1zeXN0ZW0=	test-system
102	LWZ0dw==	-ftw
103	<データなし>

表4 "hostname"コマンドへのレスポンスとしてCASHY200が送信したデータをC2が処理したところ

"hostname"コマンドの結果を送信後、CASHY200はUDmEJ665245444143544544.windows64x[.]comに対するDNSクエリをリクエスト種別f (16進数表記で"66")をサブドメイン部に指定して送信することにより、データ送信の完了をC2に通知します。"hostname"コマンドの結果を送信後、CASHY200はさらに名前解決クエリGmhpF715245444143544544.windows64x[.]comを発行します。このとき、リクエスト種別としてサブドメイン内にq(16進数表記で"71")を含めます。CASHY200はこのリクエストを発行することで、C2サーバーからカスタムコマンドを取得し、コマンドプロンプトで実行しようとします。

図4のパケットキャプチャは、リクエスト種別qが指定されたCASHY200からのクエリに対し、C2サーバーが92.2.0.0というIPv4レスポンスを返した様子を示しています。表2で述べたように、CASHY200はこのIPv4をカスタムコマンドとみなし、IPv4の最初のオクテット("92")をカスタムコマンドの実行の指示、2番目のオクテット(ここでは"2")をCASHY200が送信すべきDNSクエリ数として解釈します。

ここで言うDNSクエリ数は、C2 のDNSレスポンスのAnswerセクションにコマンド全体を含めてダウンロードする目的でCASHY200からC2に対して発行すべきクエリ数を表しています。コマンドデータはDNSのAnswerセクション内のIPv4アドレスを介して発行されます。この方法だと、トロイの木馬の発行する各DNSクエリに対し、C2は4バイト分のデータしか送信できませんから、データの送信方法としてはかなり非効率的といえます。

次にAnswerセクションの92.2.0.0という内容に基づき、CASHY200は、以下の2つのDNSクエリを発行します。どちらもリクエスト種別としてはh(16進数表記で"68")、シーケンス番号としては100と101(16進数表記で313030と313031)がサブドメインの一部に含められています。

1. iQKEe685245444143544544313030.windows64x[.]com
2. TyxLC685245444143544544313031.windows64x[.]com

C2サーバーは、これら2つのクエリに119.104.111.97、109.105.0.0というIPv4アドレスでレスポンスを返します。CASHY200はこれら各オクテットを1バイト分のデータとして扱い、すべてのバイトを連結してコマンドを受信する処理をします。たとえば表5は、CASHY200が2つのIPv4 レスポンスのAnswerセクションを処理してコマンド"whoami"を取得する様子を表しています。

IPv4 Answer	ASCII表記のオクテット	得られた文字列
119.104.111.97	‘w’.’h’.’o’.’a’	whoa
109.105.0.0	‘m’.’i’.’\x00’.’\x00’	mi

表5 CASHY200はC2からのIPv4レスポンスを処理して"whoami"を実行するカスタムコマンドを取得

CASHY200は、カスタムコマンド"whoami"を実行後、前述の"hostname"コマンドの結果を送信する方法とは若干異なる方法で結果をC2サーバーに送信します。

CASHY200はまず名前解決クエリYqpZf6352454441435445443.windows64x[.]comを発行し、カスタムコマンドの結果送信を開始します。ここでは、リクエスト種別としてサブドメインの一部にc(16進数表記で"63")と番号"3"がデータフィールドに含められています。CASHY200は、このリクエストのデータフィールドの番号を「カスタムコマンドの結果を送信するために必要な送信クエリ数」としてC2に通知しています。結果送信に必要なクエリ数を通知後、CASHY200は次の3つのクエリを発行します。これらすべてのクエリは、リクエスト種別としてr(16進数表記で"72")がサブドメイン内に指定されています。

1. QMNnv7252454441435445443130316447567a6443317a65584e305a57303d.windows64x[.]com
2. OlBCh7252454441435445443130324c575a30643178305a584e304c513d3d.windows64x[.]com
3. XUkra72524544414354454431303364584e6c63673d3d.windows64x[.]com

カスタムコマンドの結果送信に使用されるこれら3つのクエリは、101(16進数表記で313031)から始まってクエリごとにインクリメントされる一連のシーケンス番号の後ろにデータが続きます。これらデータはすべて16進数表記となっています。16進数のバイト部分を変換後、各クエリは101dGVzdC1zeXN0ZW0=、 102LWZ0d1x0ZXN0LQ==、103dXNlcg==となります。ここではこれはインクリメントされたシーケンス番号の後ろにカスタムコマンドである"whoami"のbase64エンコードを続けたものとなっています。私たちの検証環境でこれはtest-system-ftw\test-userにデコードされます。表6は、CASHY200が発行した3つのクエリをC2が処理し、カスタムコマンド"whoami"を処理した結果を示したものです。

シーケンス番号	エンコードされたデータ	デコードされたデータ
101	dGVzdC1zeXN0ZW0=	test-system
102	LWZ0d1x0ZXN0LQ==	-ftw\test-
103	dXNlcg==	user

表6 C2からのカスタムコマンド"whoami"に応えてCASHY200が送信したデータをC2で処理した結果

カスタムコマンド"whoami"の結果を送信後、CASHY200はDNSクエリfvSwZ665245444143544544.windows64x[.]comを発行します。このときサブドメインに含められるリクエスト種別はf(16進数表記で66)で、これはデータの送信が完了したことをC2に通知するものです。

結論

前回のブログで私たちは、xHunt攻撃キャンペーンはクウェートの組織を標的としており、カスタムツールを使ってシステムを侵害するという内容の報告をしました。その後さらに別のCASHY200と名付けたカスタムツールが発見されました。このツールは、DNSトンネリングを使用し、C2サーバーと通信するPowerShellベースのバックドアです。私たちはインターネット上のデータを収集し、この脅威グループがCASHY200を使用してクウェート政府機関を標的にしている証拠を見つけだしました。ただし、当該の標的となった組織が具体的にどのような組織であったかは、当該データから確認するには至りませんでした。とはいえ、弊社DNS Securityサービスの生成する独自テレメトリからはほかにもクウェート政府関連組織が同攻撃グループの標的になっていたという事実が確認できました。これらの発見から、同攻撃グループは2018年春から2019年春にかけて在クウェート組織を標的にしていた様子が示唆されます。

パロアルトネットワークスのお客様は、本稿で説明したツール類から次の方法で保護されています。

• • AutoFocusをお使いのお客様は、当該攻撃者グループを次のタグでさらに詳しく調査できます: xHunt, CASHY200
  • 本稿で参照されているDNSトンネリングプロトコルは DNS Securityサービスで自動的に検出されます。
  • C2ドメインであるwindows64x[.]com、firewallsupports[.]com、windows-updates[.]com、winx64-microsoft[.]comはすべてThreat PreventionとURL Filteringにより悪意があるものとして分類されます。
  • 特定されたすべてのCASHY200サンプルは、WildFireとTrapsにより悪意のあるものとして検出されます。
  • 本稿に記載したCASHY200トンネリングプロトコルはすべてDNS Securityがブロックします。

Daiping Liu氏、Jun Javier Wang氏両氏にはDNS Securityサービスが本DNSトンネリング活動をブロックした件についてのご連絡ならびにご協力をいただきましたことを感謝いたします。

パロアルトネットワークスは、本稿で見つかったファイルサンプルやIoCをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、https://www.cyberthreatalliance.org のWebサイトをご覧ください。

IOC

ドロッパー実行可能ファイル

• ffe2e9b274b00ea967c96eca9c177048c35de75599488f1b8be5ae1cceba00d9
• 3e13f539071d56106e252566b436933ccffd2d509f0c3fae916748971663946c
• 1f48eceb9dca085d8eb2bcea1dde28e2643e1b198b0a7e998d7708fa68d43575
• 79c8ceb3627a8d35c8e7255007d87af8e20f1eb341b5446da1e063cf5da39c6f

Wordおとり文書

• bce37fc0d97ac6bed24098ecf4187081e9a664c87d4fe558f3e46928140c835f
• 5a3c156565f4243eacf179b95696a15a2e1c460315ff0940c0c71c4f587eb4b3
• 45b2db5a78758f9d5125897da4a31c67e68424269eeed58646a87326a2b45d80
• ce6b44af79db56be053f63426acee02c591a2e19ef29f43227ea5b0640e9b24a
• 0b5476369bca1d9998aa4a53dfe9e958268cd48ac69f9a16001f842330133fe6
• 396235b998ab348e7f82f1145e8566820652f187c28df2cdeb0dc9b0ef790422

CASHY200サンプル

• eccc65711cbd154f680e8c8ef343d53f29e4a6237510abd4ad1eab5742b035b3
• a0ce856d224ee04558e5cb67bda8ae4733dd40f5a8e59ab5a799d7d1378625b4
• b62c3aa413cc5bd551836328b9740ddd50c1a8aa7a04ea0e301fa507724e18f6
• e36a4056b32e094ff6b0aefb2ffe11f033969dc10fa58199559d8c117d0e1b6f
• 2b73fe5b9ba44fadcee8657cb2d2b37aab8d0a3be4ed1f437c83f4594e501cd6
• 788687e478704b324089af011cbe20d9d3a590283dd85e45ffe3e51a340f58ca
• ffe2e9b274b00ea967c96eca9c177048c35de75599488f1b8be5ae1cceba00d9
• 3e13f539071d56106e252566b436933ccffd2d509f0c3fae916748971663946c
• 1f48eceb9dca085d8eb2bcea1dde28e2643e1b198b0a7e998d7708fa68d43575
• 79c8ceb3627a8d35c8e7255007d87af8e20f1eb341b5446da1e063cf5da39c6f

CASHY200 C2ドメイン

• windows64x[.]com
• winx64-microsoft[.]com
• firewallsupports[.]com
• windows-updates[.]com