概述
肚腦蟲組織,又名Donot,奇安信內部編號APT-Q-38,被認為具有南亞某國政府背景。該組織主要針對政府機構、國防軍事部門以及商務領域重要人士實施網路間諜活動,受害者包括中國以及巴基斯坦、斯里蘭卡等南亞地區國家。
奇安信威脅情報中心紅雨滴團隊在日常的威脅狩獵過程中發現,Donot組織的攻擊活動從去年年末就保持著較高的頻率,這個趨勢一直延續到今年。在今年1月底,我們還捕獲到該組織以克什米爾地區相關文件為誘餌的攻擊樣本[1]。
在對近期捕獲的Donot樣本進行梳理後,我們發現該組織的主要攻擊流程仍保持著一貫的風格,但攻擊者也在嘗試不同的惡意程式碼植入手段,變換著攻擊元件的程式碼細節,因此本文將對Donot組織近期攻擊手法做一個簡單的彙總。
Donot常通過攜帶宏的文件執行shellcode下載後續DLL元件,進一步下載諸如木馬外掛管理器和木馬外掛的惡意DLL。在以克什米爾地區相關文件為誘餌的攻擊樣本中,攻擊者則直接通過自解壓rar壓縮包投遞下載器DLL元件。此外,在某些攻擊活動中,Donot組織還使用EXE元件,藉助宏文件直接釋放壓縮包,解壓出其中的EXE元件下載後續。
DLL元件植入方式
宏文件
Donot使用的宏文件類樣本其中部分檔案資訊如下表所示。
MD5 | 大小 | 檔案名 | VT上傳時間 | 檔案創建時間 |
06adbb4ba31a52cc5c9258bf6d99812c | 144384位元組 | REQUIREMENT LIST OF SPARES.xls | 2022-11-30 12:04:38 UTC | 2021-08-09 13:30:37 UTC |
d98e2d7c8e91a9d8e87abe744f6d43f9 | 602624位元組 | Monthly Action Plan.xls | 2022-12-22 10:42:28 UTC | 2021-08-09 13:30:37 UTC |
c839d8a01c97407526b3407022823c8a | 603136位元組 | 2023-01-24 05:10:11 UTC | 2021-08-09 13:30:37 UTC | |
1c4fb7c41e7928bfb74784d910522771 | 91781位元組 | PMDU Report 8-2-23.doc | 2023-02-13 08:59:03 UTC | 2021-03-30 12:06:00 UTC |
e1d235c95a7c06b1203048972cf179fa | 69296位元組 | Cyber Security Instructions.doc | 2023-02-28 05:22:09 UTC | 2021-03-30 12:06:00 UTC |
6de75b200652eefa4a6a3bb84da7f798 | 603136位元組 | TRAINING NOMINATION.xls | 2023-03-02 04:09:53 UTC | 2021-08-09 13:30:37 UTC |
0ec8911f9764ea7b254ea19cd171535e | 87870位元組 | 2023-03-03 10:01:33 UTC | 2021-03-30 12:06:00 UTC |
從上面可以看出,xls和docx類文件分別具有一致的創建時間,說明這些攻擊樣本可能基於相同的原始文件生成。
(1) VBA
以上述樣本(MD5: d98e2d7c8e91a9d8e87abe744f6d43f9)為例進行分析。
VBA程式碼以字母ijl大小寫生成的名稱對變數名和函數名進行混淆,調用NtAllocateVirtualMemory分配記憶體,通過WideCharToMultiByte函數將編碼後的shellcode按照文件使用的字符編碼方式進行解碼,然後調用EnumUILanguages函數執行shellcode。具體解碼執行的shellcode根據系統位數而定。
(2) Shellcode
以64位版本的shellcode為例,首先進行自解密操作,解密方式為按位元組取反再異或。
通過hash匯入API,匯入時會異或0xBAADC0D3。
調用urlmon.dll模組的URLDownloadToCacheFileA函數下載後續,後續URL如下:
http://orangevisitorss.buzz/QcM8y7FsH12BUbxY/XNJxFhZdMSJzq1tRyF47ZXLIdqNGRqiHQQHL6DJIjl2IoxUA.png |
下載的後續以檔案讀取的方式載入記憶體,同樣執行按位元組取反並異或的解密操作,對解密資料的首位元組進行校驗,校驗通過則執行解密資料。
獲取的第二階段shellcode首先按位元組異或進行自解密,然後匯入相關API。調用Wow64DisableWow64FsRedirection關閉檔案系統重定向。通過GetLocalTime獲取系統時間,如果當前時間大於硬編碼的日期則shellcode結束運行。如下圖所示,下面硬編碼的日期為0x7e70214,可分解為0x07e7-0x02-0x14,轉換為10進製為2023-02-20。
依次檢查各個殺軟碟機動檔案在」C:\Windows\System32\drivers」目錄下是否存在。如果某個殺軟碟機動存在,則根據當前日期是否大於相應內建時間點決定給該殺軟有關的標記變數賦值:小於等於該時間點賦值為1,大於則為2。
殺軟碟機動檔案名稱 | 相關廠商 |
gzflt.sys | Bitdefender |
klif.sys | Kaspersky |
ehdrv.sys | ESET |
aswsp.sys | Avast |
bsfs.sys | Quick Heal |
360AvFlt.sys | 360 |
無任何殺軟的情況下,調用URLDownloadToFileA下載後續載荷,保存為當前使用者temp目錄下的Unincored.dll檔案,即」%tmp%\Unincored.dll」。獲取後續的URL為:
http://orangevisitorss.buzz/QcM8y7FsH12BUbxY/XNJxFhZdMSJzq1tRyF47ZXLIdqNGRqiHQQHL6DJIjl2IoxUA.mp4 |
打開下載檔案,將檔案前4位元組修改為」4D 5A 90 00」,修復PE檔案頭部。LoadLibraryA載入該DLL,GetProcAddress獲取指定匯出函數地址(tripoliro),調用該匯出函數。
在有殺軟存在的情況下,如果相應標記變數為2,則直接通過執行int3中斷或者其他指令觸發中斷或異常,終止shellcode運行。如果標記變數為1,某些殺軟對應的shellcode執行情況與無殺軟時一致;而在另一些殺軟存在時,會載入bcrypt.dll,將後續shellcode複製到bcrypt.dll對映的記憶體中執行。
宏程式碼啟動的32位版本shellcode與64位基本一致,不過下載後續shellcode和DLL載荷的URL有所不同。
後續載荷類型 | URL |
Shellcode | http://orangevisitorss.buzz/QcM8y7FsH12BUbxY/XNJxFhZdMSJzq1tRyF47ZXLIdqNGRqiHQQHL6DJIjl2IoxUA.ico |
DLL | http://orangevisitorss.buzz/QcM8y7FsH12BUbxY/XNJxFhZdMSJzq1tRyF47ZXLIdqNGRqiHQQHL6DJIjl2IoxUA.mp3 |
SFX檔案
SFX檔案基本資訊如下。
檔案名 | Kashmir Solidarity Day Material .exe |
MD5 | 4eaa63dd65fc699260306c743b46303b |
檔案類型 | WinRAR SFX |
檔案大小 | 1684242位元組 |
該自解壓檔案使用檔案夾圖示進行偽裝,運行後在temp目錄下釋放,通過rundll32.exe執行其中DLL元件的匯出函數,並打開壓縮包中包含PDF誘餌文件的檔案夾「Kashmir」。
DLL元件分析
Donot組織使用的DLL元件大部分時候是「下載器-外掛管理器-外掛「的經典三步流程,不過也出現過率先植入的DLL元件為外掛下載器這種情況。
DLL三部曲
以上面SFX樣本植入的DLL元件攻擊流程為例進行分析。
(1) 下載器
使用的下載器DLL資訊如下。
檔案名 | dn2272iosUp.dll |
MD5 | 07a3c19bc67c5f44c888ce75d4147ecf |
檔案類型 | pe32 dll |
檔案大小 | 296960位元組 |
編譯時間 | 2023-01-10 14:16:06 UTC |
下載器DLL一般有兩個匯出函數:其中一個匯出函數通過設置計劃任務啟動另一個匯出函數;而另一個匯出函數則向C2伺服器回傳收集的主機資訊,下載並執行作為外掛管理器的DLL元件。
SFX檔案調用dn2272iosUp.dll的匯出函數StTskloipy。該函數將DLL當前檔案路徑經AES加密後寫入」C:\Users\[user]\AppData\Local\windin.txt」。如果該DLL在當前使用者的temp目錄中不存在,則複製到temp目錄下。然後通過COM接口設置計劃任務調用另一個匯出函數SDtuiopnhukm。
除了直接調用COM接口,Donot組織在其他下載器DLL中還採用過釋放並執行bat檔案的方式設置計劃任務。釋放的bat檔案運行schtasks命令,執行完畢再將bat檔案刪除。
下載器dn2272iosUp.dll的另一個匯出函數SDtuiopnhukm先創建互斥量”olgui1Pigg”保證單例運行。創建」C:\Users\[user]\AppData\Local\Nsget\」目錄。通過註冊表收集本機安裝的軟體資訊。
獲取當前使用者名、計算機名,以及通過cpuid指令獲取CPU標識資訊,將這三者組合為受害者標識(victim id)。拼接victim id和收集的軟體資訊,並以」|||S4」為結尾識別符號,對這些資訊進行AES加密並用Base64編碼。加密資料作為POST請求的batac參數發送給C2伺服器。回傳資訊的URL如下:
https://briefdeal.buzz/Treolekomana/recopereta |
如果C2伺服器有響應,則請求下載後續元件WingMndre.dll。拼接victim id和後續元件的名字,加密後作為POST請求的data參數。下載後續DLL的URL如下:
https://briefdeal.buzz/Likorecasta/mikachar |
若下載成功,將WingMndre.dll保存在之前創建的Nsget目錄下。刪除匯出函數StTskloipy執行時釋放的windin.txt檔案,設置計劃任務調用WingMndre.dll的StConectert匯出函數。因為該計劃任務與運行匯出函數SDtuiopnhukm時設置的計劃任務同名(」OneDriveUpdaton」),相當於更改原計劃任務的執行內容。
在Nsget目錄下釋放Uwn.txt檔案,保存AES加密後的victim id。然後通過CreateProcessW調用如下格式化字串,刪除當前DLL在磁碟上的檔案。
cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q “%s” |
(2) 外掛管理器
後續元件WingMndre.dll功能為外掛管理器,基本資訊如下。
檔案名 | WingMndre.dll |
MD5 | d7e123fe7fb8a5f56ec9d89f7787340d |
檔案類型 | pe32 dll |
檔案大小 | 343040位元組 |
編譯時間 | 2023-01-24 06:42:57 UTC |
匯出函數StConectert首先調用的函數sub_100112D0主體部分是一個while循環,循環開始首先向C2伺服器發送victim id作為信標訊息。Victim id從Nsget目錄下的Uwn.txt中獲取,如果該檔案不存在則重新生成。值得注意的是,外掛管理器解密Uwn.txt內容所使用的AES金鑰與iv和下載器元件相同,而發送信標訊息時使用另一套AES金鑰和iv加密victim id。發送信標訊息的URL為:
https://repidyard.buzz/Romexicarto/terokanama |
如果獲取到C2的響應訊息則進行下一步操作,否則休眠30s,進入下一次循環。
響應訊息用」|」分隔,每一部分表示針對某一外掛元件(包括外掛管理器自身)的具體操作,捕獲的一條響應訊息如下所示:
CKyLongD.dll>287744>0>Kystub>0|SSrtuioUpd.dll>270848>7>Stbingo>0|FoThreeDut.dll>363520>0>StNgtop>0|RRRvso.dll>164872>0>wavervs>0|WingMndre.dll>343040>40>StConectert| |
格式與之前Donot的攻擊活動[2]類似,不過這次響應訊息沒保存為磁碟檔案,而是直接在記憶體中處理。將」|」分隔的每部分依次交給函數sub_1000FCA0解析並分發相應操作。每部分用」>」再次分隔具體資訊,前4個元素的含義分別如下:
序號 | 含義 | 說明 |
1 | 元件名稱 | |
2 | 元件大小 | 下載相應元件時進行校驗 |
3 | 指令程式碼 | 對該元件的具體操作 |
4 | 匯出函數 | 運行該元件時調用的匯出函數 |
下載的外掛元件保存在」C:\Users\[user]\AppData\Local\Nsget\Updates」目錄中,獲取後續元件的URL如下:
https://repidyard.buzz/xoexapolicreate/ertyprmekabiops |
指令程式碼通過stoi由字串轉換為整型數,然後分發。
指令程式碼 | 功能 | 說明 |
0 | 禁用 | 改變外掛相關的某個變數值,等待其運行狀態改變,然後卸載外掛DLL |
7 | 啟動 | 檢查Updates目錄下是否存在相應外掛,若不存在則從C2伺服器下載,載入外掛DLL,調用指定的匯出函數 |
-5 (0xFFFFFFFB) | 刪除 | 首先執行外掛禁用操作,然後從Updates目錄刪除DLL檔案 |
-3 (0xFFFFFFFD) | 更新 | 首先執行外掛刪除操作,再執行外掛啟動操作(啟動時因為外掛不存在會從C2伺服器下載) |
41 (0x29) | 更新外掛管理器 | 將新的外掛管理器保存到Updates目錄下,釋放alex.bat,通過設置計劃任務進行更新,同時設置循環退出標誌 |
其他 | 無操作 |
更新外掛管理器時,釋放的alex.bat也在Updates目錄下,內容如下。該bat腳本將新的外掛管理器複製到Updates的上層目錄Nsget中,然後刪除原檔案,同時刪除名為」Windows」的計劃任務。
Copy C:\Users\[user]\AppData\Local\Nsget\Updates\[外掛名稱] C:\Users\[user]\AppData\Local\Nsget del “C:\Users\[user]\AppData\Local\Nsget\Updates\[外掛名稱]” schtasks /delete /tnWindows/f |
接著設置名為」Windows」的計劃任務,該計劃任務就是用於執行釋放的alex.bat。
然後設置另一個計劃任務」WindowsMainHawk」,執行新外掛管理器的匯出函數StConectert。
舊外掛管理器在退出while循環後,同下載器DLL一樣,會執行自刪除操作。函數sub_1000A960調用CreateProcessA執行如下格式化字串命令。
cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q “%s” |
(3) 外掛
從WingMndre.dll捕獲到一個名為SSrtuioUpd.dll的外掛,基本資訊如下。
檔案名 | SSrtuioUpd.dll |
MD5 | 20c581284cccadd8b6193c2e1c84a900 |
檔案類型 | pe32 dll |
檔案大小 | 270848位元組 |
編譯時間 | 2023-01-23 14:04:33 UTC |
該外掛的功能為截圖回傳,主體功能在函數sub_10006D10中實現,主要程式碼如下。
截圖通過模擬按下截圖鍵完成。截圖檔案保存在創建的目錄”C:\Users\[user]\AppData\Local\Nsget\srt\”中,以生成的GUID命名。截圖資料首先以jpg後綴名直接保存在磁碟上,然後加密處理得到同名的upr後綴檔案,原jpg檔案被刪除。
然後將srt目錄中upr檔案資料回傳到C2伺服器,回傳URL如下:
https://salcomp.buzz/Terolekaremos/romeosata |
輕量型外掛下載器
在樣本關聯過程中,我們發現了一種功能更為簡單的外掛下載器DLL元件,該元件通過宏文件加shellcode的方式植入,樣本資訊如下。
MD5 | 檔案類型 | 編譯時間 |
5e464d04b35a83d28c4e26c06eec28f5 | pe32 dll | 2022-11-22 13:39:46 UTC |
9946df6c429b83009535dca8d1a5d321 | pe64 dll | 2022-11-22 13:43:00 UTC |
以上兩個樣本功能一致,因此以32位版本為例進行說明。匯出函數Rfvgyrty複製樣本自身到創建的目錄」C:\Users\[user]\AppData\Local\Logo」中,名稱為difg02rf.dll。創建計劃任務調用複製後DLL的另一個匯出函數rgbrgbbgr。
而另一個匯出函數rgbrgbbgr會依次檢查外掛保存目錄」C:\ProgramData\Winstom\Dnt」下是否存在Kyingert.dll, tr2201dcv.dll, SSrtfgad.dll三個外掛,如果不存在則從C2伺服器下載,然後調用外掛DLL的St函數啟動外掛。獲取外掛的URL如下:
https://grapehister.buzz/DoPstRgh512nexcvv.php |
三個外掛的功能分別如下:
名稱 | 功能 |
Kyingert.dll | 鍵盤記錄並回傳 |
tr2201dcv.dll | 收集當前使用者Desktop, Documents, Downloads目錄下特定後綴的檔案資訊並回傳,包括.doc, .xls, .ppt, .pdf, .rtf等 |
SSrtfgad.dll | 截圖並回傳 |
3個外掛回傳資訊的URL相同,如下所示:
https://orangeholister.buzz/kolexretriya78ertdcxmega895200.php |
EXE元件攻擊過程
Donot也在攻擊活動中使用EXE元件作為下載器獲取後續,近期出現的相關樣本資訊如下。
MD5 | 檔案名 | VT上傳時間 |
171c011571f94ea2f5c928bdf5d560dc | OUTSTANDING PAYMENTS.xls | 2023-01-19 11:30:41 UTC |
79cff3bc3cbe51e1b3fecd131b949930 | New SOPs Consular Services.xls | 2023-02-10 09:26:12 UTC |
dcac3a03c0c58b90cd4cbcc814d12847 | Visit Details.xls | 2023-02-24 09:26:00 UTC |
VBA
宏文件1(MD5: 171c011571f94ea2f5c928bdf5d560dc)的VBA使用大量註釋填充,整理程式碼後,可以看到樣本首先釋放pkhfg.bat,用於創建3個計劃任務,為執行後續元件做鋪墊。
然後調用gtru_fdtr函數釋放dfer.cab檔案。
接著再釋放tbreah.bat檔案,該檔案負責從dfer.cab檔案解壓出下載器元件dfer.exe。該bat檔案通過上面創建的名為」fghru」計劃任務執行,執行完畢刪除該計劃任務。
宏文件2和3的VBA程式碼相似,因此以宏文件2(MD5: 79cff3bc3cbe51e1b3fecd131b949930)為例進行說明。與之前不同,宏程式碼的執行時機從文件打開(Open)換成了關閉前(BeforeClose)。
直接調用Schedule.Service接口創建計劃任務,不再通過釋放bat檔案完成。
釋放壓縮包djkd.zip後,直接在程式碼中解壓縮,並將解壓後的檔案重新命名為之前計劃任務中設置的路徑名mnvc.exe,推測攻擊者試圖以這種修改後綴名的方式躲避殺軟對解壓檔案的查殺。
EXE下載器
3個宏文件釋放的EXE元件程式碼基本一致,功能較為簡單,作用是從C2下載兩個後續元件,通過初值為1的全局變數控制元件下載順序,其中的bat檔案對應在上述VBA程式碼中設置計劃任務的檔案路徑。主體程式碼如下所示。
整理上面宏文件涉及的EXE元件資訊如下。
宏文件MD5 | 171c011571f94ea2f5c928bdf5d560dc |
下載器MD5 | a84d7a5b8831d7494ee20b939e37e56f |
下載路徑1 | https://blogs.firelive.pics/pooireoairoeeae/yuytetyur3544uyraif (保存檔案C:\\Users\\Public\\Music\\aco) |
下載路徑2 | https://blogs.firelive.pics/yureyuryquyey/dskjrhekjjkdhjrae (保存檔案C:\\Users\\Public\\Music\\aco.bat) |
宏文件MD5 | 79cff3bc3cbe51e1b3fecd131b949930 |
下載器MD5 | 3b730afd4ed953a9031a3facf111a64e |
下載路徑1 | https://records.libutires.info/loproiaoroaspdrjro/reoriaweoprdpoi (保存檔案C:\\Users\\Public\\Videos\\nota) |
下載路徑2 | https://records.libutires.info/yryerewuaoirjljrq/bcalkrhwejkarje (保存檔案C:\\Users\\Public\\Videos\\nota.bat) |
宏文件MD5 | dcac3a03c0c58b90cd4cbcc814d12847 |
下載器MD5 | cf646416025a84c5ef25b99dc999da9d |
下載路徑1 | https://forum.winidowtech.info/jkdegqgegcqegog/hfogrcgegdhpgdgeq (保存檔案C:\\Users\\Public\\Videos\\nota) |
下載路徑2 | https://forum.winidowtech.info/jilmvldfhqohcqhog/ntbahoghbhcghqo (保存檔案C:\\Users\\Public\\Videos\\nota.bat) |
遺憾的是我們未能獲取到上述攻擊樣本的後續,EXE元件攻擊活動與之前友商披露的Donot活動一致[3]。Donot在去年年中就藉助宏文件釋放壓縮包的方式植入惡意軟體,並且至少從2022年9月起在該植入流程中使用EXE元件。
字串加密
Donot在PE類攻擊元件中經常用各類加密方式對關鍵字串加密,除了簡單的按位元組加減固定數值,單重01變換外,我們發現近期出現的DLL元件經常使用雙重01變換和自定義多層加密隱藏關鍵字串,並且有時還會使用兩種加密方式對不同字串進行處理。
01變換
在這類加密方式中,字串的ASCII碼按位元組轉換為二進位制形式,並以01字串格式存在於樣本中。如果只經過一次這樣的轉換,就是單重01變換。在2022年底出現的Donot樣本中,開始出現雙重01變換,經過一輪轉換得到的01字串再以同樣的方式進行轉換,這意味著原始字串的每個字符需要用64個字符長度的01字串表示。
自定義多層加密
採用這類加密方式的樣本在恢復原始字串時,會在base64解碼和AES解密後,對解密資料再依次進行如下操作:(1)按位元組減1;(2)每相鄰兩位元組交換位置;(3)字串逆序。
總結
從總體來看Donot組織的攻擊手法相對固定,攻擊鏈中常用計劃任務串聯前後元件,不過該團伙也在拓展自己的攻擊流程,無論是惡意元件的植入方式還是使用的元件類型,都更加多樣化。
儘管暫未發現國內受到相關攻擊活動影響,不過奇安信紅雨滴團隊仍在此提醒廣大使用者,切勿打開社交媒體分享的來歷不明的連結,不點選執行未知來源的郵件附件,不運行誇張標題的未知檔案,不安裝非正規途徑來源的APP。做到及時備份重要檔案,更新安裝補丁。
若需運行,安裝來歷不明的應用,可先通過奇安信威脅情報檔案深度分析平臺(https://sandbox.ti.qianxin.com/sandbox/page)進行判別。目前已支持包括Windows、安卓平臺在內的多種格式檔案深度分析。
目前,基於奇安信威脅情報中心的威脅情報資料的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC、奇安信態勢感知等,都已經支持對此類攻擊的精確檢測。
IOCs
MD5
(宏文件)
06adbb4ba31a52cc5c9258bf6d99812c
d98e2d7c8e91a9d8e87abe744f6d43f9
c839d8a01c97407526b3407022823c8a
1c4fb7c41e7928bfb74784d910522771
e1d235c95a7c06b1203048972cf179fa
6de75b200652eefa4a6a3bb84da7f798
0ec8911f9764ea7b254ea19cd171535e
171c011571f94ea2f5c928bdf5d560dc
79cff3bc3cbe51e1b3fecd131b949930
dcac3a03c0c58b90cd4cbcc814d12847
(DLL)
e46cd1c4b32355cad39b41ef3b66b659
c231254ced08ca556bf35e587469628f
5557b32672ee9ad6be20395d447a3e52
3feb4de4375dcc3ffb4144e2fc61dd94
4c0dadc4b6938dcc9ca8951d34cb2a09
d30631ba67a28a6e4ab0c4e9584e26c2
2abc60fa1e042612e723360ccd8220c6
3c6ad03f0ab284350d8b0d3d4cf22196
07a3c19bc67c5f44c888ce75d4147ecf
d7e123fe7fb8a5f56ec9d89f7787340d
20c581284cccadd8b6193c2e1c84a900
5e464d04b35a83d28c4e26c06eec28f5
9946df6c429b83009535dca8d1a5d321
ee24afbe471b5e63b06a759fa0eba0cc
7750cac1cab5e6fd9e5cadecbc3c51f6
0844b582c202dca08083d04d10bdf36e
(SFX)
4eaa63dd65fc699260306c743b46303b
(EXE)
a84d7a5b8831d7494ee20b939e37e56f
3b730afd4ed953a9031a3facf111a64e
cf646416025a84c5ef25b99dc999da9d
C2
one.localsurfer.buzz
orangevisitorss.buzz
morphylogz.buzz
crezdlack.buzz
crushter.info
monitoriing.buzz
m.seasurfer.buzz
bloggerboy.buzz
sky.ydnmovers.buzz
itygreyhound.buzz
balancelogs.buzz
mayosasa.buzz
goldliney.buzz
briefdeal.buzz
repidyard.buzz
salcomp.buzz
grapehister.buzz
orangeholister.buzz
blogs.firelive.pics
records.libutires.info
forum.winidowtech.info
URL
hxxp://one.localsurfer.buzz/jl60UwJBkaWEkCSS/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8[.ico|.png|.mp3|.mp4]
hxxp://orangevisitorss.buzz/QcM8y7FsH12BUbxY/XNJxFhZdMSJzq1tRyF47ZXLIdqNGRqiHQQHL6DJIjl2IoxUA[.ico|.png|.mp3|.mp4]
hxxp://morphylogz.buzz/Ik3EIidq3fc2GGig/aFwrDmHIiBWh62kZPVb4bmV0waydPv0WtgqM0QTte5iAFzF0[.ico|.png|.mp3|.mp4]
hxxp://crezdlack.buzz/icsJOzJVtdTcGPB3/PT0w3akYLzLtd5AGs3PVEjMKJ1aO5xtfGvWbFmc4ubgXBvJO[.ico|.png|.mp3|.mp4]
hxxp://crushter.info/m4k1doWVqrvvbjsc/AOg9AQ2SVeHsiL61tkS53q02NnMToZuOb8s5yUe8jEcBxAs0[.ico|.png|.mp3|.mp4]
hxxp://monitoriing.buzz/3fHYKahOXhkVV3Uj/dqyWpAfXBcyQkTkzoamk25hn3cbTbeuhImfJO08uTOFCkhIa[.ico|.png|.mp3|.mp4]
hxxp://m.seasurfer.buzz/33lhGEeiVe57s8gY/nmEVLghL0B5dMtBiZMAgeIVniuP4bVFETWfsZqQ2jZ1bMJYd[.ico|.png|.mp3|.mp4]
hxxps://bloggerboy.buzz/zapterserty512wer/plekobakarester
hxxps://bloggerboy.buzz/zapterserty512wer/xcvderioneytr
hxxps://sky.ydnmovers.buzz/Kolpt523ytcserstrew/torel
hxxps://sky.ydnmovers.buzz/Kolpt523ytcserstrew/meoko/P/sa
hxxps://itygreyhound.buzz/Kolpt523ytcserstrew/torel
hxxps://itygreyhound.buzz/Kolpt523ytcserstrew/meoko/P/sa
hxxps://balancelogs.buzz/Kolpt523ytcserstrew/torel
hxxps://balancelogs.buzz/Kolpt523ytcserstrew/meoko/P/sa
hxxps://mayosasa.buzz/Testoresisty/kolimekatares
hxxps://mayosasa.buzz/Testoresisty/bekolopexar
hxxps://goldliney.buzz/Lomiapekaso/texadikkomanapel
hxxps://goldliney.buzz/Lomiapekaso/ertopikana
hxxps://briefdeal.buzz/Treolekomana/recopereta
hxxps://briefdeal.buzz/Likorecasta/mikachar
hxxps://repidyard.buzz/Romexicarto/terokanama
hxxps://repidyard.buzz/xoexapolicreate/ertyprmekabiops
hxxps://salcomp.buzz/Terolekaremos/romeosata
hxxps://grapehister.buzz/DoPstRgh512nexcvv.php
hxxps://orangeholister.buzz/kolexretriya78ertdcxmega895200.php
hxxps://blogs.firelive.pics/pooireoairoeeae/yuytetyur3544uyraif
hxxps://blogs.firelive.pics/yureyuryquyey/dskjrhekjjkdhjrae
hxxps://records.libutires.info/loproiaoroaspdrjro/reoriaweoprdpoi
hxxps://records.libutires.info/yryerewuaoirjljrq/bcalkrhwejkarje
hxxps://forum.winidowtech.info/jkdegqgegcqegog/hfogrcgegdhpgdgeq
hxxps://forum.winidowtech.info/jilmvldfhqohcqhog/ntbahoghbhcghqo
參考連結
[1] https://twitter.com/RedDrip7/status/1619267505650036738
[2] https://ti.qianxin.com/blog/articles/Donot-uses-Google-Drive-to-distribute-malware/
[3] https://mp.weixin.qq.com/s/rslBGQgTL_jZD73AJqI05Q
點選閱讀原文至ALPHA 6.0
即刻助力威脅研判