Caro Joohn: la campagna globale del gruppo Sofacy

Questo post è disponibile anche in: 日本語 (giapponese)

Come accennato nel nostro precedente blog riguardante lo strumento Cannon, il gruppo Sofacy (AKA Fancy Bear, APT28, STRONTIUM, Pawn Storm, Sednit) ha costantemente attaccato varie organizzazioni governative e private in tutto il mondo da metà ottobre 2018 a metà novembre 2018. La maggior parte degli obiettivi erano Stati nazionali allineati alla NATO, anche se sono stati presi di mira anche diversi Stati nazionali dell’ex URSS. Gli attacchi hanno utilizzato principalmente varianti dello strumento Zebrocy, che abbiamo precedentemente analizzato. Un sottoinsieme più piccolo dei documenti di consegna ha consegnato Cannon o una variante Zebrocy Delphi, come riportato da ESET. Da quando abbiamo iniziato a tracciare l’uso di Zebrocy risalendo alla metà del 2015, abbiamo osservato un aumento significativo della frequenza di distribuzione di questo strumento. Rispetto ad altri strumenti backdoor associati al gruppo Sofacy, l’uso di Zebrocy nelle campagne di attacco è molto più diffuso.

Il cluster di attività che dettagliamo in questo blog ruota principalmente intorno a un nome comune dell’autore utilizzato in ciascuno dei documenti di consegna: Joohn. Il nostro campione iniziale di interesse era il documento di consegna con il nome del file crash list (Lion Air Boeing 737).docx, che ha consegnato lo strumento Zebrocy. Sfruttando la nostra piattaforma di threat intelligence AutoFocus insieme ai dati raccolti da VirusTotal, siamo stati in grado di fare perno sugli artefatti scoperti nei metadati e nei comportamenti per scoprire lo strumento Cannon, così come una serie di ulteriori documenti di consegna, carichi utili e obiettivi. Il vettore di attacco per tutti questi attacchi sembra essere tramite spear-phishing, utilizzando account di posta elettronica registrati a provider di posta elettronica legittimi invece di indirizzi e-mail spoofed o account precedentemente compromessi. I nomi degli account sembrano visivamente simili a nomi di organizzazioni governative legittime o altre entità di terze parti affidabili. I documenti di consegna erano funzionalmente tutti simili, utilizzando la funzione di modello remoto in Microsoft Word per recuperare una macro dannosa dal primo stadio C2 e infine caricando ed eseguendo un payload iniziale. La maggior parte dei documenti di consegna contiene un’immagine generica di richiamo che richiede alla vittima di abilitare le macro senza alcun contenuto aggiuntivo, gli avversari sembrano basarsi solo sui nomi dei file di richiamo per invogliare le vittime a lanciare il documento dannoso.

In tutto, abbiamo intercettato nove documenti armati che vanno dal 17 ottobre 2018 al 15 novembre 2018, tutti condividendo lo stesso nome dell’autore Joohn e fornendo varianti di Zebrocy o Cannon. Il raggio d’azione del nostro set di dati si estende su quattro continenti, coprendo le agenzie governative a livello federale fino alle agenzie governative locali. Abbiamo anche condotto un’analisi della timeline utilizzando i dati raccolti che ci ha permesso di scoprire come il gruppo Sofacy ha cronometrato i loro attacchi nella campagna Dear Joohn e anche come possono aver creato i loro attacchi utilizzando strumenti automatici.

Dettagli dell’attacco

A partire dal 17 ottobre 2018, abbiamo raccolto un totale di nove documenti di consegna inviati a una moltitudine di organizzazioni in tutto il mondo. Gli obiettivi includevano un’organizzazione di affari esteri in Nord America, organizzazioni di affari esteri in Europa, così come entità governative negli stati dell’ex URSS. Abbiamo anche scoperto prove di possibili obiettivi delle forze dell’ordine locali in tutto il mondo, coprendo il Nord America, l’Australia e l’Europa. La nostra telemetria ha anche mostrato possibili bersagli di ONG, aziende di marketing, così come organizzazioni dell’industria medica. Il vettore di attacco di questi attacchi era tutto tramite spear-phishing, utilizzando account di posta elettronica registrati al provider di posta elettronica gratuita Seznam, un popolare fornitore di servizi web situato nella Repubblica Ceca. Un esempio può essere visto nella Figura 1.

Figura 1 Esempio di email di spear-phishing consegnata negli attacchi Dear Joohn

In questa campagna, il gruppo Sofacy sembra aver fatto molto affidamento sui nomi dei file per attirare le vittime a lanciare i documenti armati. I nomi dei file variavano da argomenti che alludevano alla Brexit, all’incidente del Lion Air e ai recenti attacchi missilistici in Israele. L’elenco completo dei nomi di file che siamo stati in grado di raccogliere può essere visto nella Tabella 1. Anche se i nomi dei file sembravano essere altamente mirati e pertinenti alle vittime, il contenuto effettivo delle esche dei documenti era molto più generico, come si vede nella Figura 2.

Figura 2 Immagine dell’esca generica

Nel novembre 2018, l’avversario ha cambiato tattica e ha iniziato a implementare contenuti di esca non generici per i loro documenti armati. Abbiamo raccolto tre campioni che prendono pesantemente di mira gli stati nazionali allineati alla NATO in questo periodo, utilizzando tre diverse esche come si vede nella Figura 3.

Figura 3 Contenuto dell’esca mirata

In uno dei documenti, la vittima viene presentata con quello che sembra essere un documento offuscato con il sigillo EOD della NATO e un testo che allude allo stato nazionale mirato. Disimballare il documento ha rivelato che l’immagine non offuscata era uno screenshot di una pagina di copertina riguardante un workshop della NATO nello stato nazione preso di mira. Gli altri due documenti avevano esche molto simili tra loro, presentando al bersaglio un testo confuso con istruzioni per la vittima su come visualizzare correttamente il documento. È interessante notare che uno di essi conteneva istruzioni in russo, il che può indicare che l’obiettivo era uno stato-nazione di lingua russa.

Ognuno di questi documenti armati ha usato la stessa tattica per i loro attacchi. All’apertura del documento, ha sfruttato la capacità di Microsoft Word di recuperare un modello remoto per poi caricare un documento macro dannoso, come si vede nella Figura 4.

Figura 4 Microsoft Word tenta di scaricare il modello remoto

Se il server C2 è attivo al momento dell’apertura del documento, recupererà con successo la macro dannosa e la caricherà nella stessa sessione Microsoft Word. La vittima vedrà quindi una richiesta di Abilitazione del contenuto come per qualsiasi documento macro dannoso, come si vede nella Figura 5. Se il server C2 non è attivo in questo momento, il download fallirà e la vittima non riceverà la richiesta di Abilitare il contenuto perché non viene scaricata alcuna macro.

Figura 5 Documento modello remoto che richiede all’utente di fare clic su “Abilita contenuto” per eseguire la macro

Clustering

I documenti di consegna utilizzati nelle ondate di ottobre e novembre hanno condiviso un gran numero di somiglianze, come si vede nella tabella 1, che ci ha permesso di raggruppare le attività. In particolare, il nome dell’autore Joohn è stato usato ripetutamente in ogni documento di consegna. C’è stata una leggera deviazione nel raggruppamento di novembre, dove i tre campioni che abbiamo raccolto hanno ancora usato il nome dell’autore Joohn per il campo dell’ultima modifica, ma sono tornati a un nome predefinito dell’autore USER/user per il campo del creatore.

Tabella 1 Documenti di consegna visti nella campagna di attacco Dear Joohn

I documenti template remoti recuperati dai documenti di consegna nella tabella 1 hanno anche condiviso un nome autore comune, usando la stringa xxx.Table 2 mostra i template remoti scaricati dai documenti di consegna in questa campagna di attacco. Nelle tabelle e nel testo di questo rapporto, ci riferiamo ai campioni con una versione abbreviata del loro hash SHA256 per migliorare la leggibilità. Gli hash completi e i metadati sono disponibili in formato CSV qui.

Tabella 2 Modelli remoti scaricati dai documenti di consegna Dear Joohn

Come visto nella Tabella 1, i documenti di consegna hanno avuto accesso ai rispettivi modelli remoti da quattro server C2 ai seguenti indirizzi IP:

• 185.203.118198
• 145.249.105165
• 188.241.58170
• 109.248.14842

Questi indirizzi IP C2 iniziali non solo ospitavano i modelli remoti che successivamente caricano i payload Zebrocy o Cannon del primo stadio, ma gli indirizzi IP ospitavano anche il server C2 per i payload stessi del primo stadio. Tutti i C2 utilizzati nella campagna Dear Joohn erano basati su IP e l’esame dell’infrastruttura non ha fornito sovrapposizioni o relazioni significative con le precedenti infrastrutture Zebrocy o Sofacy. Una rappresentazione visiva della campagna Dear Joohn può essere vista nella Figura 6.

Figura 6 Diagramma relazionale degli artefatti

Abbiamo creato una linea temporale dell’attività basata sui dati raccolti, e abbiamo scoperto che le date degli attacchi erano strettamente raggruppate in due ondate a metà e fine ottobre e a metà novembre, come si vede nella Figura 7 utilizzando i timestamp della Tabella 3.

Tabella 3 Timestamp dei documenti di consegna (tutti i tempi in UTC)

Figura 7 Timeline del caro Joohn

Sulla base dei timestamp che abbiamo, quattro documenti di consegna sono stati inizialmente creati l’11 settembre 2018 04:22 UTC. Questi quattro sono stati poi tutti modificati nella stessa data e ora il 13 ottobre 2018 08:21. Avere tre diverse posizioni C2 incorporate all’interno di questi documenti di consegna, pur mantenendo lo stesso identico timestamp potrebbe indicare l’uso di uno strumento automatizzato. L’utilizzo di un toolkit di penetration testing basato sulla riga di comando come Phishery potrebbe consentire un semplice scripting per generare più documenti tutti allo stesso tempo con input diversi. Da lì, c’è stata una media di un intervallo di due settimane fino a quando questi documenti sono stati visti per la prima volta in natura. In totale, questi quattro documenti hanno avuto una media di circa 46 giorni dalla creazione iniziale all’attacco. Sulla base della natura modulare degli attacchi della campagna Dear Joohn, la lunga quantità di tempo dalla creazione iniziale all’attacco può suggerire che la campagna non era ancora pronta per il dispiegamento a causa dello sviluppo aggiuntivo richiesto per i modelli remoti, i carichi utili o le infrastrutture. Un altro possibile scenario è che l’avversario potrebbe aver avuto un certo lasso di tempo che desiderava per eseguire l’attacco, e dalla timeline è chiaro che c’erano due distinte tempistiche di targeting, una da metà a fine ottobre 2018 e l’altra a metà novembre 2018. Con il progredire della campagna, il tempo operativo della campagna Dear Joohn è aumentato, con il tempo totale dalla creazione del documento al primo avvistamento che è sceso a una media di circa due giorni.

Confrontando i timestamp forniti dei documenti di consegna con i timestamp dei documenti dei modelli remoti della tabella 2, troviamo che il tempo di attacco è direttamente correlato all’ultima volta che i modelli sono stati modificati. In media, c’è stato uno scarto di 13,8 ore tra quando il documento modello è stato toccato per l’ultima volta dall’operatore e quando il documento di consegna è stato osservato per la prima volta in natura. Questo ci porta a credere che la generazione dei documenti di consegna fosse effettivamente parte di uno sforzo di messa in scena, prima con la creazione iniziale del documento, la modifica ad esso per comunicare con un C2, quindi la generazione di un documento modello remoto appena prima di lanciare l’attacco effettivo.

L’analisi utilizzando i timestamp non è comunque sempre conclusiva. Uno dei documenti che abbiamo esaminato con il nome del file Rocket attacks on Israel.docx (SHA256: 34bdb5b364..) conteneva timestazioni di creazione e di ultima modifica incoerenti, con l’ultima modifica precedente alla creazione. Una possibile spiegazione è che il documento sia stato copiato su un altro sistema con un’ora di sistema impostata in modo errato, quindi salvato con l’ora errata. Questo documento è stato anche il primo del cluster di metà novembre che ha usato il nome dell’autore utente/USER invece di Joohn, sostenendo ulteriormente lo scenario del documento copiato tra i sistemi.

I carichi utili

I documenti di consegna in questa campagna di attacco hanno caricato modelli remoti le cui macro hanno installato una varietà di carichi utili al primo stadio. Con la notevole eccezione dello strumento Cannon, gli strumenti di primo stadio sono tutte varianti del trojan Zebrocy. Le varianti di Zebrocy consegnate in questa campagna sono state scritte in diversi linguaggi, tra cui Delphi, C# e VB.NET. Le informazioni sui payload di primo stadio consegnati in questo attacco sono elencate nella Tabella 4.

Tabella 4 Payload consegnati in attacchi correlati

La variante Delphi di Zebrocy consegnata in questa campagna di attacco sono molto simili al downloader Delphi discusso nella nostra precedente ricerca su Zebrocy pubblicata nel giugno 2018. Mentre questa variante Delphi era nota, le varianti C# e VB.NET consegnate in questa campagna di attacco erano precedentemente sconosciute. Una nota interessante su questi payload è che tutti i payload Delphi consegnati in questa campagna erano confezionati con UPX, mentre nessuno degli altri payload era confezionato. Mentre possiamo solo speculare sulla ragione specifica, è probabile che Sofacy abbia impacchettato solo le varianti Delphi nel tentativo di aumentare l’evasione, poiché la variante Delphi di Zebrocy è nota ed è stata ampiamente analizzata.

Raccogliendo e analizzando ulteriori campioni di Cannon, crediamo di aver trovato anche una variante Cannon scritta in Delphi. Abbiamo visto Sofacy utilizzare più linguaggi per creare varianti del trojan Zebrocy, quindi sembra giusto che il gruppo crei ulteriori varianti di Cannon in più linguaggi di programmazione.

C# Cannon

Dal nostro blog iniziale che ha introdotto lo strumento Cannon, siamo stati in grado di raccogliere più campioni di Cannon per ottenere una migliore comprensione delle sue origini. Sembra che il primo campione conosciuto di Cannon sia stato creato il 18 aprile 2018 e da allora ci sono stati almeno sette campioni aggiuntivi. La tabella 5 mostra i campioni noti di Cannon, il loro tempo di compilazione e gli account di posta elettronica utilizzati per le sue comunicazioni C2.

Tabella 5 Campioni raccolti di Cannon C#

Come menzionato nel nostro blog iniziale, l’indirizzo email controllato dall’attore che fungeva da C2 era sahro.bella7post.cz, ma tutti i precedenti campioni di Cannon usavano sym777.gpost.cz. Inoltre, tutti i precedenti campioni di Cannon usavano un nome account di kae.mezhnosh per ricevere email dall’attore, mentre usavano gli account vebek.morozh30, g0r7tsa45s e marvel.polezha per inviare email all’attore.

Come abbiamo riportato nella nostra precedente analisi di Cannon, lo strumento accede a un account email usando POP3S e controlla le email con un nome file specifico che salverà nel sistema ed eseguirà. Il campione iniziale che abbiamo analizzato ha cercato un allegato con un nome di file auddevc.txt, ma altri campioni di Cannon hanno invece cercato i seguenti nomi di file:

Delphi Cannon

Durante la ricerca di ulteriori campioni di Cannon, abbiamo scoperto un altro strumento che ha utilizzato le email per le sue comunicazioni C2. La sovrapposizione iniziale era basata sul nome del file wmssl.exe, che è stato visto come un nome eseguibile che Cannon avrebbe spostato l’allegato wmssl.txt per installare ed eseguire un payload secondario. L’analisi iniziale indicava che questa poteva essere una connessione tenue; tuttavia, dopo aver raccolto ulteriori campioni di Delphi Cannon, abbiamo scoperto ulteriori relazioni. La tabella 6 mostra i campioni di Delphi Cannon che abbiamo raccolto, incluso il campione 215f7c08c2. che è molto simile al Trojan discusso nella ricerca di ESET.

Tabella 6 Campioni Delphi Cannon raccolti

I tempi di compilazione nella Tabella 6 suggeriscono che la variante Delphi di Cannon precede la versione originariamente segnalata, poiché il primo campione Delphi conosciuto è stato compilato nel gennaio 2018 e il primo campione Cannon conosciuto è stato compilato nell’aprile 2018. La variante Delphi di Cannon non utilizza servizi di posta elettronica legittimi basati sul web per le sue comunicazioni C2, optando invece per l’utilizzo di account di posta elettronica su un dominio di proprietà dell’attore, ambcomissioncom. Questo dominio controllato dall’attore si collega a una più grande infrastruttura Sofacy, come riportato da ThreatConnect. Anche se Delphi Cannon utilizza POP3S e SMTPS per le sue comunicazioni C2 come Cannon, è probabilmente più facile da difendere, in quanto utilizza un dominio di proprietà dell’attore che i difensori possono facilmente bloccare e non un provider di posta elettronica legittimo come Seznam.

Il più vecchio campione conosciuto della variante Delphi (SHA256: 5a02d4e5f6…) ci ha fornito un collegamento molto più forte tra questo Delphi Cannon e Cannon, in quanto questo campione raccoglie informazioni di sistema e le invia all’indirizzo email C2, che include il percorso del processo in esecuzione allegato alla stringa Running place. Lo screenshot in figura 8 del metodo inf all’interno di un campione di Cannon (SHA256: 4405cfbf28…) mostra le informazioni raccolte che vengono esfiltrate al C2 via e-mail, in particolare con le stringhe di intestazione RunningPlace e LogicalDrives:

Figura 8 metodo inf usato da Cannon

Confrontando le due varianti di Cannon, abbiamo trovato un metodo all’interno di un campione di Delphi Cannon (SHA256: 5a02d4e5f6…) che mostra l’uso di Running place e Logical_Drivers come stringhe di intestazione alle informazioni di sistema che raccoglie e invia al C2 via email. Pur non essendo una corrispondenza esatta, la Figura 9 mostra queste stringhe di intestazione simili e rafforza la nostra ipotesi che le due varianti siano effettivamente correlate:

Figura 9 Somiglianze di Delphi Cannon e Cannon

Come si vede nella Tabella 6, uno dei campioni Delphi Cannon (SHA256: cac630c11c..) non ha alcun indirizzo email associato, in quanto il campione non sembra avere alcuna funzionalità C2. Invece, questo campione legge “compiti” da un file chiamato ta.bin che un altro strumento sconosciuto deve poi scrivere e gestire la funzionalità C2. È anche interessante che questo specifico campione ha lo stesso nome di risorsa (L30) che contiene gli stessi indirizzi email criptati degli altri campioni nella Tabella 6 che usano [email protected] come email C2 (come ecc5805898..) ma non contiene alcun codice per accedere alla risorsa o decifrare il suo contenuto.

Variante VB.NET Zebrocy

La variante VB.NET (SHA256: e5aece694d..) è molto simile ad altre varianti Zebrocy conosciute. Include il numero di serie del volume di archiviazione nell’URL che usa come beacon C2, che ottiene usando l’oggetto Scripting.FileSystemObject per chiamare GetDriveName dal percorso memorizzato in Environment.SpecialFolder.LocalApplicationData. Utilizza quindi il volume di archiviazione ottenuto dalla funzione GetDriveName e chiama GetDrive per ottenere il SerialNumber del dispositivo di archiviazione. La variante VB.NET raccoglie poi le informazioni di sistema e i processi in esecuzione come le altre varianti di Zebrocy eseguendo i seguenti comandi:

systeminfo & tasklist

L’URL utilizzato per inviare le informazioni di sistema, i processi in esecuzione e uno screenshot al server C2 è:

hxxp://109.248.14842/agr-enum/progress-inform/cube.php?res=

Il VB.NET di Zebrocy utilizza una richiesta HTTP POST all’URL di cui sopra per trasmettere i dati raccolti, che sono inclusi nei dati HTTP POST che sono strutturati come segue (notare gli spazi prima e dopo la virgola “&”):

data= & arg=

Variante C# Zebrocy

La variante C# di Zebrocy è simile alle altre varianti nella funzionalità, ma ha anche diversi attributi unici che vale la pena discutere. Come altri strumenti di Zebrocy, la variante C# raccoglie il numero di serie del volume di archiviazione da utilizzare nei beacon in uscita verso il server C2. In questa particolare variante, lo strumento utilizza la funzione API di Windows GetVolumeInformation per ottenere il numero di serie dell’unità C:. Questa variante di Zebrocy scatta anche uno screenshot che trasmetterà al server C2 in formato JPEG.

Il cambiamento più notevole di questa variante di Zebrocy, oltre al linguaggio di programmazione utilizzato, è il modo in cui lo strumento raccoglie le informazioni di sistema e i processi in esecuzione. Invece di usare i comandi systeminfo e tasklist, la variante C# di Zebrocy usa le query WMI per raccogliere queste informazioni. Lo strumento esegue il seguente elenco di query WMI:

• wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace
• wmic diskdrive get Model, SerialNumber
• wmic computersystem get Manufacturer, Model, Name, SystemTypec
• wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages
• wmic process get Caption,ExecutablePath

L’URL utilizzato per inviare le informazioni di sistema, i processi in esecuzione e uno screenshot al server C2 è:

hxxp://145.249.105165/resource-store/stockroom-center-service/check.php?fm=

La variante C# di Zebrocy utilizza una richiesta HTTP POST all’URL di cui sopra per trasmettere i dati raccolti, di cui è incluso nei dati HTTP POST che è strutturato come segue:

spp= &spvg=

Conclusione

Il gruppo Sofacy continua i suoi attacchi alle organizzazioni in tutto il mondo utilizzando tattiche e tecniche simili. Li abbiamo osservati effettuare attacchi tramite e-mail di spear-phishing tra la fine di ottobre e novembre, spesso facendo leva su eventi attuali all’interno dei nomi dei file per invogliare i destinatari ad aprire gli allegati dannosi. Il gruppo mostra chiaramente una preferenza per l’utilizzo di un semplice downloader come Zebrocy come payload di primo livello in questi attacchi. Il gruppo continua a sviluppare nuove varianti di Zebrocy aggiungendo una versione VB.NET e C#, e sembra che abbiano anche usato diverse varianti dello strumento Cannon in campagne di attacco passate.

I clienti di Palo Alto Networks sono protetti dagli attacchi discussi in questo blog da:

• Tutti i documenti di consegna e i payload discussi sono stati rilevati con verdetti dannosi in WildFire
• Traps blocca i documenti carichi di macro come macro sospette rilevate
• Gli URL C2 sono stati classificati come Comando e Controllo
• I clienti di AutoFocus possono saperne di più tramite i tag Zebrocy e Cannon

Indicatori di Compromissione

Delivery Hashes

2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f

c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f

abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74

40318f3593bca859673827b88d65c5d2f0d80a76948be936a60bda67dff27be9

5749eb9d7b8afa278be24a4db66f122aeb323eaa73a9c9e52d77ac3952da5e7d

af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

34bdb5b364358a07f598da4d26b30bac37e139a7dc2b9914debb3a16311f3ded

79bd5f34867229176869572a027bd601bd8c0bc3f56d37443d403a6d1819a7e5

77ff53211bd994293400cb3f93e3d3df6754d8d477cb76f52221704adebad83a

Remote Template Hashes

f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46

2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8

0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef

fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba

b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809

Remote Template URLs

hxxp://188.241.58170/live/owa/office.dotm

hxxp://185.203.118198/documents/Note_template.dotm

hxxp://185.203.118198/documents/Note_template.dotm

hxxp://145.249.105165/doc/temp/release.dotm

hxxp://145.249.105165/messages/content/message_template.dotm

hxxp://188.241.58170/version/in/documents.dotm

hxxp://109.248.14842/officeDocument/2006/relationships/templates.dotm

hxxp://109.248.14842/office/thememl/2012/main/attachedTemplate.dotm

hxxp://109.248.14842/office/thememl/2012/main/attachedTemplate.dotm

Zebrocy Hashes

5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a

9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9

b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3

c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65

e5aece694d740ebcb107921e890cccc5d7e8f42471f1c4ce108ecb5170ea1e92

Zebrocy C2 URLs

hxxp://188.241.58170/local/s3/filters.php

hxxp://185.203.118198/en_action_device/center_correct_customer/drivers-i7-x86.php

hxxp://145.249.105165/resource-store/stockroom-center-service/check.php

hxxp://109.248.14842/agr-enum/progress-inform/cube.php

Cannon Hashes

861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb

4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47

174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a

a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce

651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12

68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12

d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4

78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead

054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b

cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1

ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4

215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae

Cannon Related Emails

sym777.gpost.cz

kae.mezhnoshpost.cz

vebek.morozh30post.cz

g0r7tsa45spost.cz

marvel.polezhapost.cz

sahro.bella7post.cz

trala.cosh2post.cz

Bishtr.cam47post.cz

Lobrek.chizhpost.cz

Cervot.woprovpost.cz

heatlth500ambcomissioncom

trash023ambcomissioncom

trasler22ambcomissioncom

rishit333ambcomissioncom

tomasso25ambcomissioncom

kevin30ambcomissioncom