Kære Joohn: The Sofacy Groups globale kampagne

Dette indlæg er også tilgængeligt i: 日本語 (japansk)

Som antydet i vores tidligere blog om Cannon-værktøjet har Sofacy-gruppen (AKA Fancy Bear, APT28, STRONTIUM, Pawn Storm, Sednit) vedvarende angrebet forskellige statslige og private organisationer rundt om i verden fra midten af oktober 2018 til midten af november 2018. Størstedelen af målene var NATO-allierede nationalstater, selv om flere tidligere USSR-nationstater også var mål for angreb. Angrebene anvendte primært varianter af Zebrocy-værktøjet, som vi tidligere har analyseret. En mindre delmængde af leveringsdokumenterne leverede Cannon eller en Zebrocy Delphi-variant som rapporteret af ESET. Siden vi begyndte at spore brugen af Zebrocy tilbage til midten af 2015, har vi observeret en betydelig stigning i hyppigheden af anvendelsen af dette værktøj. Sammenlignet med andre bagdørs-værktøjer, der er forbundet med Sofacy-gruppen, er brugen af Zebrocy i angrebskampagner langt mere udbredt.

Den klynge af aktiviteter, som vi beskriver i detaljer i denne blog, drejer sig primært om et fælles forfatternavn, der anvendes i hvert af leveringsdokumenterne: Joohn. Vores første prøve af interesse var leveringsdokumentet med filnavnet crash list(Lion Air Boeing 737).docx, som leverede Zebrocy-værktøjet. Ved at udnytte vores AutoFocus-trusselinformationsplatform sammen med data indsamlet fra VirusTotal kunne vi ud fra artefakter opdaget i metadata og adfærd finde Cannon-værktøjet samt en række yderligere leveringsdokumenter, nyttelast og mål. Angrebsvektoren for alle disse angreb ser ud til at være via spear-phishing, hvor der anvendes e-mail-konti registreret hos legitime e-mail-udbydere i stedet for spoofede e-mail-adresser eller tidligere kompromitterede konti. Kontonavnene ligner visuelt legitime navne på offentlige organisationer eller andre betroede tredjepartsenheder. Leveringsdokumenterne ligner funktionelt set alle hinanden, idet de bruger den eksterne skabelonfunktion i Microsoft Word til at hente en skadelig makro fra første fase C2 og i sidste ende indlæser og udfører en indledende nyttelast. Størstedelen af leveringsdokumenterne indeholder et generisk lurebillede, der anmoder offeret om at aktivere makroer uden yderligere indhold, idet modstanderne tilsyneladende udelukkende stoler på lurefilnavne for at lokke ofre til at starte det ondsindede dokument.

I alt opsnappede vi ni våbendokumenter, der spænder fra den 17. oktober 2018 til den 15. november 2018, og som alle deler det samme Joohn-forfatternavn og leverer varianter af enten Zebrocy eller Cannon. Målradius for vores datasæt spænder over fire kontinenter og dækker regeringsorganer på føderalt niveau hele vejen til lokale regeringsorganer. Vi gennemførte også en tidslinjeanalyse ved hjælp af de indsamlede data, hvilket gjorde det muligt for os at opdage, hvordan Sofacy-gruppen timede deres angreb i Dear Joohn-kampagnen, og også hvordan de muligvis har udformet deres angreb ved hjælp af automatiserede værktøjer.

Angrebsdetaljer

Med udgangspunkt i den 17. oktober 2018 indsamlede vi i alt ni leveringsdokumenter, der blev sendt til et væld af organisationer rundt om i verden. Målene omfattede en organisation for udenrigsanliggender i Nordamerika, organisationer for udenrigsanliggender i Europa samt regeringsenheder i tidligere USSR-stater. Vi opdagede også beviser for mulige mål for lokale retshåndhævende myndigheder rundt om i verden, der dækker Nordamerika, Australien og Europa. Vores telemetri viste også mulig målretning af ngo’er, marketingfirmaer samt organisationer i den medicinske industri. Angrebsvektoren for disse angreb var alle via spear-phishing ved hjælp af e-mail-konti registreret hos den gratis e-mail-udbyder Seznam, en populær udbyder af webtjenester beliggende i Tjekkiet. Et eksempel kan ses i figur 1.

Figur 1 Eksempel på spear-phishing e-mail leveret i Dear Joohn-angreb

I denne kampagne ser det ud til, at Sofacy-gruppen i høj grad har benyttet sig af filnavne for at lokke ofrene til at lancere de våbenbaserede dokumenter. Filenavnene varierede fra emner, der hentydede til Brexit, Lion Air-styrtet og de seneste raketangreb i Israel. Den komplette liste over filnavne, som vi kunne indsamle, kan ses i tabel 1. Selv om filnavnene syntes at være meget målrettede og relevante for ofrene, var det faktiske lureindhold i dokumenterne langt mere generisk, som det fremgår af figur 2.

Figur 2 Generisk lurebillede

I november 2018 skiftede modstanderen taktik og begyndte at implementere ikke-generisk lureindhold til deres weaponized dokumenter. Vi indsamlede tre prøver, der i høj grad var rettet mod NATO-allierede nationalstater på dette tidspunkt, ved hjælp af tre forskellige lokkemidler, som det fremgår af figur 3.

Figur 3 Målrettet lokkemiddelindhold

I et af dokumenterne præsenteres offeret for, hvad der ser ud til at være et obfuscated dokument med NATO EOD-seglet og en tekst, der hentyder til den målrettede nationalstat. Udpakning af dokumentet afslørede, at det ikke-forstørrede billede var et skærmbillede af en forside vedrørende en NATO-workshop i den pågældende nationalstat. De to andre dokumenter lignede hinanden meget, idet de præsenterede en forvrænget tekst for målet med instruktioner til offeret om, hvordan det skal se dokumentet korrekt. Interessant nok indeholdt det ene af dem instruktioner på russisk, hvilket kan tyde på, at det tilsigtede mål var en russisktalende nationalstat.

Hvert af disse våbenbaserede dokumenter anvendte den samme taktik til deres angreb. Når dokumentet blev åbnet, udnyttede det Microsoft Words evne til at hente en fjernskabelon for derefter at indlæse et ondsindet makrodokument, som det fremgår af figur 4.

Figur 4 Microsoft Word forsøger at hente fjernskabelonen

Hvis C2-serveren er aktiv på det tidspunkt, hvor dokumentet åbnes, vil den med succes hente den ondsindede makro og indlæse den i den samme Microsoft Word-session. Offeret vil derefter se en anmodning om at aktivere indhold som ved ethvert ondsindet makrodokument, som det ses i figur 5. Hvis C2-serveren ikke er aktiv på dette tidspunkt, vil downloadningen mislykkes, og offeret vil ikke modtage en opfordring til at aktivere indhold, da der ikke hentes nogen makro.

Figur 5 Fjerntliggende skabelondokument, der anmoder brugeren om at klikke på “Enable Content” for at køre makro

Klynge

De leveringsdokumenter, der blev anvendt i oktober- og novemberbølgerne, havde et stort antal ligheder, som det fremgår af tabel 1, hvilket gjorde det muligt for os at samle aktiviteten i klynger. Mest bemærkelsesværdigt var det, at forfatternavnet Joohn blev brugt gentagne gange i hvert leveringsdokument. Der var en lille afvigelse i novembergrupperingen, hvor de tre prøver, vi indsamlede, stadig brugte forfatternavnet Joohn til feltet last modified, men vendte tilbage til et standardforfatternavn USER/user til feltet creator.

Tabel 1 Leveringsdokumenter set i angrebskampagnen Dear Joohn

De fjernskabelon-dokumenter, der blev hentet af leveringsdokumenterne i tabel 1, havde også et fælles forfatternavn, idet de brugte strengen xxx.Tabel 2 viser de fjernskabeloner, der blev hentet af leveringsdokumenterne i denne angrebskampagne. I tabellerne og teksten i denne rapport henviser vi til prøverne med en forkortet version af deres SHA256-hash for at forbedre læsbarheden. De fulde hashes og metadata er tilgængelige i CSV-format her.

Tabel 2 Fjernskabeloner hentet af Dear Joohn leveringsdokumenter

Som det fremgår af tabel 1, fik leveringsdokumenterne adgang til deres respektive fjernskabeloner fra fire C2-servere på følgende IP-adresser:

• 185.203.118198
• 145.249.105165
• 188.241.58170
• 109.248.14842

Disse indledende C2-IP-adresser var ikke kun vært for de fjernskabeloner, der efterfølgende indlæser Zebrocy- eller Cannon-nyttelasterne i første fase, men IP-adresserne var også vært for C2-serveren for selve nyttelasterne i første fase. Alle C2-adresser, der blev anvendt i Dear Joohn-kampagnen, var IP-baserede, og en undersøgelse af infrastrukturen gav ikke anledning til væsentlige overlapninger eller relationer med tidligere Zebrocy- eller Sofacy-infrastruktur. En visuel repræsentation af Dear Joohn-kampagnen kan ses i figur 6.

Figur 6 Relationsdiagram over artefakter

Vi skabte en tidslinje over aktiviteten ud fra de indsamlede data og fandt, at angrebsdatoerne var tæt grupperet i to bølger i midten og slutningen af oktober og i midten af november, som vi ser i figur 7 ved hjælp af tidsstemplerne fra tabel 3.

Tabel 3 Tidsstempler på leveringsdokumenter (alle tidspunkter i UTC)

Figur 7 Dear Joohn-tidslinje

Baseret på de tidsstempler, vi har, blev fire leveringsdokumenter oprindeligt oprettet den 11. september 2018 kl. 04:22 UTC. Disse fire blev derefter alle fire ændret på samme dato og tidspunkt den 13. oktober 2018 kl. 08:21. At der er tre forskellige C2-lokationer indlejret i disse leveringsdokumenter, samtidig med at de har nøjagtig samme tidsstempling, kan indikere, at der er anvendt et automatiseret værktøj. Brug af et kommandoliniebaseret værktøjssæt til penetrationstest som f.eks. Phishery kunne give mulighed for simpel scripting til at generere flere dokumenter alle på samme tid med forskellige inputs. Derefter gik der i gennemsnit to uger, før disse dokumenter blev set første gang i naturen. I alt var der i gennemsnit ca. 46 dage fra den første oprettelse til angrebet på disse fire dokumenter. På baggrund af Dear Joohn-kampagnens modulære karakter kan den lange tid fra den første oprettelse til angrebet tyde på, at kampagnen endnu ikke var klar til at blive anvendt, fordi der var behov for yderligere udvikling af fjernskabeloner, nyttelasterne eller infrastrukturen. Et andet muligt scenarie er, at modstanderen kan have haft en bestemt tidsramme, som han/hun ønskede at udføre angrebet, og ud fra tidslinjen er det tydeligt, at der var to forskellige tidsrammer for målrettet angreb, den ene fra midten til slutningen af oktober 2018 og den anden i midten af november 2018. Efterhånden som kampagnen skred frem, steg det operationelle tempo i Dear Joohn-kampagnen, og den samlede tid fra dokumentets oprettelse til første set faldt ned til et gennemsnit på ca. to dage.

Når vi sammenligner de leverede tidsstempler for leveringsdokumenterne med tidsstemplerne for de eksterne skabelondokumenter fra tabel 2, finder vi, at tiden til angreb er direkte korreleret med det sidste tidspunkt, hvor skabelonerne er ændret. I gennemsnit var der 13,8 timer mellem det tidspunkt, hvor skabelondokumentet sidst blev rørt af operatøren, og det tidspunkt, hvor leveringsdokumentet først blev observeret i naturen. Dette får os til at tro, at genereringen af leveringsdokumenterne faktisk var en del af en staging-indsats, først med den første oprettelse af dokumentet, ændring af det for at kommunikere med en C2 og derefter generering af et eksternt skabelondokument lige før iværksættelsen af det egentlige angreb.

Analyse ved hjælp af tidsstempler er dog ikke altid afgørende. Et af de dokumenter, vi undersøgte med filnavnet Rocket attacks on Israel.docx (SHA256: 34bdb5b364..), indeholdt inkonsekvente oprettelses- og senest ændrede tidsstempler, hvor det senest ændrede tidsstempel optrådte før oprettelsestidsstemplet. En mulig forklaring på dette er, at dokumentet blev kopieret til et andet system med en forkert indstillet systemtid, hvorefter det blev gemt med den forkerte tid. Dette dokument var også det første i klyngen fra midten af november, som brugte bruger/USER-forfatternavnet i stedet for Joohn, hvilket yderligere understøtter scenariet om, at dokumentet blev kopieret mellem systemer.

Nyttelasterne

Leveringsdokumenterne i denne angrebskampagne indlæste fjernskabeloner, hvis makroer installerede en række forskellige nyttelaster i første fase. Med den bemærkelsesværdige undtagelse af Cannon-værktøjet er værktøjerne i første fase alle varianter af den trojanske Zebrocy-trojaner. De Zebrocy-varianter, der blev leveret i denne kampagne, var skrevet på flere forskellige sprog, herunder Delphi, C# og VB.NET. Oplysninger om de payloads i første fase, der blev leveret i dette angreb, er anført i tabel 4.

Tabel 4 Payloads leveret i relaterede angreb

Den Delphi-variant af Zebrocy, der blev leveret i denne angrebskampagne, ligner meget den Delphi-downloader, der blev diskuteret i vores tidligere Zebrocy-undersøgelse, som blev offentliggjort i juni 2018. Mens denne Delphi-variant var kendt, var de C#- og VB.NET-varianter, der blev leveret i denne angrebskampagne, tidligere ukendte. En interessant bemærkning om disse nyttelaster er, at alle Delphi-nyttelasterne, der blev leveret i denne kampagne, var pakket med UPX, mens ingen af de andre nyttelasterne var pakket. Vi kan kun spekulere i den specifikke årsag, men det er sandsynligt, at Sofacy kun pakkede Delphi-varianterne i et forsøg på at øge undvigelsen, da Delphi-varianten af Zebrocy er kendt og er blevet analyseret i vid udstrækning.

Gennem indsamling og analyse af yderligere Cannon-prøver mener vi også at have fundet en Cannon-variant, der er skrevet i Delphi. Vi har set, at Sofacy har brugt flere sprog til at skabe varianter af Zebrocy-trojaneren, så det virker passende, at gruppen også ville skabe yderligere varianter af Cannon i flere programmeringssprog.

C# Cannon

Siden vores første blog, der introducerede Cannon-værktøjet, har vi været i stand til at indsamle flere prøver af Cannon for at få en bedre forståelse af dens oprindelse. Det ser ud til, at den første kendte prøve af Cannon blev oprettet den 18. april 2018, og siden da har der været mindst syv yderligere prøver. Tabel 5 viser de kendte Cannon-eksempler, deres kompileringstidspunkt og de e-mail-konti, der blev brugt til dens C2-kommunikation.

Tabel 5 Indsamlede C# Cannon-eksempler

Som nævnt i vores første blog var den aktørstyrede e-mail-adresse, der fungerede som C2, sahro.bella7post.cz, men alle tidligere prøver af Cannon brugte sym777.gpost.cz. Desuden brugte alle tidligere prøver af Cannon et kontonavn på kae.mezhnosh til at modtage e-mails fra aktøren, mens de brugte kontiene vebek.morozh30, g0r7tsa45s og marvel.polezha til at sende e-mails til aktøren.

Som vi rapporterede i vores tidligere analyse af Cannon, logger værktøjet ind på en e-mailkonto ved hjælp af POP3S og kontrollerer efter e-mails med et bestemt filnavn, som det vil gemme på systemet og udføre. Den første prøve, som vi analyserede, ledte efter en vedhæftet fil med filnavnet auddevc.txt, men andre Cannon-prøver har i stedet ledt efter følgende filnavne:

Delphi Cannon

Mens vi søgte efter yderligere Cannon-prøver, opdagede vi et andet værktøj, der brugte e-mails til sin C2-kommunikation. Den første overlapning var baseret på filnavnet wmssl.exe, der blev set som et eksekverbart navn, som Cannon ville flytte wmssl.txt-bilaget for at installere og udføre en sekundær nyttelast. Den indledende analyse viste, at der måske var tale om en tynd forbindelse; efter at vi havde indsamlet yderligere prøver af Delphi Cannon, opdagede vi imidlertid yderligere forbindelser. Tabel 6 viser de Delphi Cannon-prøver, vi indsamlede, herunder prøve 215f7c08c2.. der ligner meget den trojanske hest, der er omtalt i ESET’s forskning.

Tabel 6 Indsamlede Delphi Cannon-eksempler

Samlingstiderne i tabel 6 tyder på, at Delphi-varianten af Cannon er ældre end den oprindeligt rapporterede version, da den første kendte Delphi-eksempel blev samlet i januar 2018 og den første kendte Cannon-eksempel blev samlet i april 2018. Delphi-varianten af Cannon bruger ikke legitime webbaserede e-mailtjenester til sin C2-kommunikation, men vælger i stedet at bruge e-mail-konti på et domæne, ambcomissioncom, der ejes af en aktør. Dette aktørkontrollerede domæne linker til en større Sofacy-infrastruktur som rapporteret af ThreatConnect. Selv om Delphi Cannon ligesom Cannon bruger POP3S og SMTPS til sin C2-kommunikation, er den uden tvivl lettere at forsvare sig imod, da den bruger et domæne ejet af en aktør, som forsvarerne let kan blokere, og ikke en legitim e-mail-udbyder som Seznam.

Den ældste kendte prøve af Delphi-varianten (SHA256: 5a02d4e5f6…) gav os en meget stærkere forbindelse mellem denne Delphi Cannon og Cannon, da denne prøve indsamler systemoplysninger og sender dem til C2-e-mailadressen, som omfatter stien til den kørende proces, der er vedhæftet strengen Running place. Skærmbilledet i figur 8 af inf-metoden i en Cannon-prøve (SHA256: 4405cfbf28…) viser de indsamlede oplysninger, der exfiltreres til C2 via e-mail, specielt med RunningPlace- og LogicalDrives-hovedstrenge:

Figur 8 inf-metode anvendt af Cannon

Ved sammenligning af de to Cannon-varianter fandt vi en metode i en Delphi Cannon-eksempel (SHA256: 5a02d4e5f6…), der viser brugen af Running place og Logical_Drivers som headerstrenge til de systemoplysninger, som den indsamler og sender til C2 via e-mail. Selv om det ikke er et nøjagtigt match, viser figur 9 disse lignende headerstrenge og styrker vores hypotese om, at de to varianter faktisk er beslægtede:

Figur 9 Ligheder mellem Delphi Cannon og Cannon

Som det fremgår af tabel 6, har en af Delphi Cannon-prøverne (SHA256: cac630c11c…) ikke nogen tilknyttede e-mail-adresser, da prøven ikke synes at have nogen C2-funktionalitet. I stedet læser denne prøve “opgaver” fra en fil med navnet ta.bin, som et andet ukendt værktøj derefter skal skrive til og håndtere C2-funktionalitet. Det er også interessant, at denne specifikke prøve har det samme ressourcenavn (L30), der indeholder de samme krypterede e-mail-adresser som de andre prøver i tabel 6, der bruger [email protected] som en C2-e-mail (f.eks. ecc5805898..), men indeholder ikke nogen kode til at få adgang til ressourcen eller dekryptere dens indhold.

VB.NET Zebrocy-variant

VB.NET-varianten (SHA256: e5aece694d..) ligner meget andre kendte Zebrocy-varianter. Den indeholder lagervolumenets serienummer i den URL, som den bruger som C2-beacon, som den får ved hjælp af Scripting.FileSystemObject-objektet til at kalde GetDriveName fra den sti, der er gemt i Environment.SpecialFolder.LocalApplicationData. Den bruger derefter den lagringsvolumen, som den har fået fra funktionen GetDriveName, og kalder GetDrive for at få lagerenhedens serienummer. VB.NET-varianten indsamler derefter systemoplysninger og kørende processer ligesom andre Zebrocy-varianter ved at køre følgende kommandoer:

systeminfo &tasklist

Den URL, der bruges til at sende systemoplysninger, kørende processer og et skærmbillede til C2-serveren, er:

hxxp://109.248.14842/agr-enum/progress-inform/cube.php?res=

Den VB.NET-varianten af Zebrocy bruger en HTTP POST-anmodning til ovenstående URL til at sende de indsamlede data, hvoraf de indgår i HTTP POST-dataene, der er struktureret som følger (bemærk mellemrummene før og efter ampersand “&”):

data= & arg=

C# Zebrocy-variant

C#-varianten af Zebrocy ligner de andre varianter i funktionalitet, men har også flere unikke egenskaber, som er værd at diskutere. Ligesom andre Zebrocy-værktøjer indsamler C#-varianten lagervolumenets serienummer til brug i udgående beacons til C2-serveren. I denne særlige variant bruger værktøjet Windows API-funktionen GetVolumeInformation til at hente serienummeret for C:-drevet. Denne variant af Zebrocy tager også et skærmbillede, som den sender til C2-serveren i JPEG-format.

Den mest bemærkelsesværdige ændring i denne variant af Zebrocy, bortset fra det anvendte programmeringssprog, er den måde, hvorpå værktøjet indsamler systemoplysninger og kørende processer. I stedet for at bruge systeminfo og tasklist-kommandoer bruger C#-varianten af Zebrocy WMI-forespørgsler til at indsamle disse oplysninger. Værktøjet kører følgende liste over WMI-forespørgsler:

• wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace
• wmic diskdrive get Model, SerialNumber
• wmic computersystem get Manufacturer, Model, Name, SystemTypec
• wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages
• wmic process get Caption,ExecutablePath

Den URL, der bruges til at sende systemoplysninger, kørende processer og et skærmbillede til C2-serveren, er:

hxxp://145.249.105165/resource-store/stockroom-center-service/check.php?fm=

C#-varianten af Zebrocy bruger en HTTP POST-anmodning til ovenstående URL til at sende de indsamlede data, hvoraf de er inkluderet i HTTP POST-dataene, der er struktureret som følger:

spp= &spvg=

Konklusion

Sofacy-gruppen fortsætter deres angreb på organisationer over hele verden ved hjælp af lignende taktik og teknikker. Vi observerede dem udføre angreb via spear-phishing-e-mails i slutningen af oktober til november, hvor de ofte udnytter aktuelle begivenheder i filnavne for at lokke modtagerne til at åbne de ondsindede vedhæftede filer. Gruppen viser klart en præference for at bruge en simpel downloader som Zebrocy som første fase af nyttelasterne i disse angreb. Gruppen fortsætter med at udvikle nye varianter af Zebrocy ved at tilføje en VB.NET- og C#-version, og det ser ud til, at de også har brugt forskellige varianter af Cannon-værktøjet i tidligere angrebskampagner.

Palo Alto Networks-kunder er beskyttet mod angreb, der diskuteres i denne blog af:

• Alle leveringsdokumenter og payloads, der diskuteres, er opdaget med ondsindede domme i WildFire
• Fælder blokerer de makroladede dokumenter som Suspicious macro detected
• C2-URL’er er blevet klassificeret som Command and Control
• AutoFocus-kunder kan få mere at vide via Zebrocy- og Cannon-tags

Indikatorer for kompromittering

Delivery Hashes

2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f

c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f

abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74

40318f3593bca859673827b88d65c5d2f0d80a76948be936a60bda67dff27be9

5749eb9d7b8afa278be24a4db66f122aeb323eaa73a9c9e52d77ac3952da5e7d

af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

34bdb5b364358a07f598da4d26b30bac37e139a7dc2b9914debb3a16311f3ded

79bd5f34867229176869572a027bd601bd8c0bc3f56d37443d403a6d1819a7e5

77ff53211bd994293400cb3f93e3d3df6754d8d477cb76f52221704adebad83a

Remote Template Hashes

f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46

2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8

0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef

fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba

b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809

Remote Template URLs

hxxp://188.241.58170/live/owa/office.dotm

hxxp://185.203.118198/documents/Note_template.dotm

hxxp://185.203.118198/documents/Note_template.dotm

hxxp://145.249.105165/doc/temp/release.dotm

hxxp://145.249.105165/messages/content/message_template.dotm

hxxp://188.241.58170/version/in/documents.dotm

hxxp://109.248.14842/officeDocument/2006/relationships/templates.dotm

hxxp://109.248.14842/office/thememl/2012/main/attachedTemplate.dotm

hxxp://109.248.14842/office/thememl/2012/main/attachedTemplate.dotm

Zebrocy Hashes

5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a

9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9

b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3

c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65

e5aece694d740ebcb107921e890cccc5cc5d7e7e8f42471f1c4ce108ecb5170ea1e92

Zebrocy C2 URL’er

hxxp://188.241.58170/local/s3/filters.php

hxxp://185.203.118198/en_action_device/center_correct_customer/drivers-i7-x86.php

hxxp://145.249.105165/resource-store/lager-center-service/check.php

hxxp://109.248.14842/agr-enum/progress-inform/cube.php

Cannon Hashes

861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb

4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47

174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a

a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce

651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12

68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12

d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4

78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead

054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b

cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1

ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4

215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae

Cannon Related Emails

sym777.gpost.cz

kae.mezhnoshpost.cz

vebek.morozh30post.cz

g0r7tsa45spost.cz

marvel.polezhapost.cz

sahro.bella7post.cz

trala.cosh2post.cz

Bishtr.cam47post.cz

Lobrek.chizhpost.cz

Cervot.woprovpost.cz

heatlth500ambcomissioncom

trash023ambcomissioncom

trasler22ambcomissioncom

rishit333ambcomissioncom

tomasso25ambcomissioncom

kevin30ambcomissioncom