Contents
- イントロダクション
- 主要ターゲット。
- 影響を受ける業界。
- 地理的焦点。
- 初期調査結果。
- おとり文書を調べてみると – 私は
- おとり文書を調べる - II
- 感染連鎖。
- テクニカル分析
- ステージ 1 – 悪意のある LNK スクリプトと VBScript。
- ステージ 2 – 悪意のあるコバルト ストライク ビーコン。
- 狩猟とインフラ。
- 結論
- SEQRITE保護
- IOC
- MITER ATT&CK
- 著者
イントロダクション
SEQRITE LabsのAPTチームは最近、パキスタンの防衛産業や香港の研究者など、様々な業界を標的とした攻撃キャンペーンを発見しました。 コバルト・ウィスパー作戦キャンペーン全体を通して、難読化されたVBScriptを使用して展開されるポストエクスプロイトツール「Cobalt Strike」が多用されています。これまでに合計20の感染チェーンと追加の個別サンプルが確認されており、そのうち18は香港を標的とし、30つはパキスタンを標的としています。パキスタンではXNUMX以上のデコイファイルが確認されています。
このブログでは、初期分析で発見したキャンペーンの一つについて、技術的な詳細を掘り下げ、感染チェーンの各段階を検証します。まずは、おとり文書の詳細な分析から始めます。次に、この脅威アクターがほとんどのキャンペーンで用いる悪意のあるVBScriptやLNKペイロードの使用など、共通の戦術、手法、手順(TTP)を検証します。これらの手法は、アーカイブファイルでこれらのルアーと共に配信されるCobalt Strikeインプラントのメモリ内実行を容易にします。
主なターゲット
影響を受ける業界
- 防衛産業
- 電気工学
- エネルギー(水力、再生可能エネルギー)
- 民間航空
- 環境エンジニアリング
- 学界および研究機関
- 医学科学機関。
- サイバーセキュリティ研究者。
地理的焦点
- 香港
- パキスタン
初期の調査結果
最近、9年2024月XNUMX日に、私たちのチームは悪質なRARアーカイブを発見しました。これは、次のようなさまざまなソースで発見されました。 VirusTotalのRARは、PDFとLNK拡張子を持つ複数のデコイと、最終的なCobalt Strikeインプラントを含む、初期の感染源として利用されました。これは他のマルウェアによっても発見されました。 脅威研究者 同様に。
RARアーカイブには、「アタッチメント1:《2024年度中国電気工技学会科学技奖推荐提名书》(技術発見奖および科技进步奖)充填报说明(2024)8年目月新版).pdf.lnk」という別の悪意のあるバッチスクリプトを実行する役割を担っています。 O365.vbsVBScriptは主にディスク上のCobalt Strikeビーコンをデコードする役割を担っており、 キャッシュ.bakこれがさらに実行され、コマンド&コントロールサーバーに接続されます。2つのおとり文書を見てみましょう。
感染連鎖
おとり文書を調べてみると – 私は
subscription.db として知られる最初のおとり文書を調べたところ、このおとり文書は授賞式へのノミネートに焦点を当てた中国電子学会にリンクされていることが判明しました。
このPDFの内容とデコイ全体から、このPDFが中国電気工学学会科学技術賞の応募および推薦プロセスに関する包括的なガイドラインであることが確認できます。このガイドラインでは、プロジェクトの提出に必要な書類、構成、具体的な要件、技術革新、評価、応募促進、経済的・社会的メリットに関する詳細が概説されています。
デコイには、現在のプロジェクトが他の賞も受賞している場合に備えて、ノミネートに関する興味深いガイドラインもいくつか記載されています。
この文書は、研究者が研究の正当性と信頼性を証明する必須文書を提出するためのガイドラインで締めくくられています。これには、専門家による推薦状、写真、動画フォーマットの仕様、追加の提出ガイドラインなど、その他の関連情報が含まれます。それでは、もう一つの囮文書を見てみましょう。
おとり文書を調べる - II
2つ目の文書「附属2024:《中国電気技術学会科学技術奖励办法》(4年2月改訂).pdf」は、「附属2024:中国電気技術学会科学技術賞に関する規定(XNUMX年XNUMX月改訂)」と訳されており、XNUMXつ目の文書と密接に関連していることは明らかです。この文書も授賞式の目的に焦点を当て、各種の賞の詳細を記載し、これらの授賞式を通じて社会全体の改善と成長が達成されることを強調しています。
デコイには、テクノロジー発明賞、科学技術進歩賞などのさまざまな賞や、主要なエンジニアリング プロジェクトを構築した人などのさまざまな基準が記載されています。また、電気工学分野への貢献を刺激し奨励することを目的とした Gaojingde 科学技術功績賞として知られる他の賞についても言及されています。
この文書は、不正な手段を用いて受賞が認められた場合に、受賞を取り消すためのガイドラインを遵守することで締めくくられています。最後に、このおとり文書で言及されているのは、中国電気工学協会が維持している様々な規則についてであり、同協会は規則の解釈に責任を負っています。全体として、このおとり文書は、電気工学分野における業績を評価する際の透明性を確保するための、評価プロセス全体、賞の種類、その他多くの事項に関するガイドラインとして機能します。
テクニカル分析
分析は主に 2 つのセクションに分けられます。 最初では、悪質なLNKとVBScriptコンポーネントがどのように利用されているかを調べます。 脅威 キャンペーン全体にわたる俳優。 秒では、悪意のある Cobalt Strike インプラントを詳しく調べ、その構成の詳細を抽出します。
私たちの調査では、 18の異なる感染経路 この脅威アクターに関連する攻撃キャンペーンが複数存在します。このブログでは、香港の電気技術研究者を標的としたキャンペーンの一つに焦点を当てます。詳細な調査を通じて、このキャンペーンで使用された手法を明らかにし、脅威アクターの戦術に関する洞察を提供します。
ステージ1 – 悪意のあるLNKスクリプトとVBScript
RAR には、附件 1:《2024 年度中国电工技术学会科学技术奖推荐提名书》(技术公開奖和科技进步奖)充填报说明(2024年8月新版).pdf.lnk として知られる LNK が含まれています。これを調べてみると、LNK の唯一の目的は、 wscript.exe として知られる Windows ユーティリティを使用した悪意のある VBScript O365.vbs。
悪意のある VBScript を分析したところ、次のことがわかりました。
① スクリプトの最初の部分は、MSI データベースから圧縮されたキャビネットを管理および生成するためのユーティリティを模倣しており、ソフトウェアの配布およびインストール プロセスに役立ちます。
② 次に、 ElZn と呼ばれる変数があります。この変数にはエンコードされたコンテンツが含まれており、これをさらにデコードすると別の VBScript になります。
③ デコードされたVBScriptは、ターゲットに配信されたRARファイル内のバックアップcache.bakの名前をsigverif.exeに変更し、subscription.dbをデコードされた名前に基づいて指定された場所に移動します。sigverif.exeを一時フォルダにコピーした後、元のsigverif.exeを削除して存在を消去します。スクリプトは、名前が変更された実行ファイルと一時フォルダにコピーされたバージョンの両方を実行します。これは、バックグラウンドでサイレントにアクションを実行する意図を示しています。さらに、WpnUserService_x64というスケジュールタスクを作成し、sigverif.exeを59分ごとに実行します。最後に、スクリプトは実行後に自身を削除します。
④ 最後に、永続化を実行するこの VBScript の実行後に、完全に無関係な追加のガベージ コードがいくつか存在します。
このセクションでは、このLNKファイルがVBScriptの実行を担っていることが明確に示されています。このスクリプトはCobalt Strikeインプラントの名前を変更し、スケジュールされたタスクを作成します。Cobalt Strikeビーコンについては、次のセクションで詳しく説明します。
ステージ 2 – 悪意のあるコバルト ストライク ビーコン。
分析の結果、基本的に SigVerifier.exe に名前が変更された cache.bak は、32 ビットの実行可能ファイルであることがわかりました。
バイナリを解析した結果、これは基本的にC2サーバーへの接続を試みているCobalt Strikeビーコンであることがわかりました。Cobalt Strikeインプラントの基礎については様々な研究が行われているため、ジッターやC2 URIといった概念についてはここでは触れません。次に、設定を抽出しました。
インプラントから抽出されたビーコン構成は次のとおりです。
抽出されたビーコン構成:
ビーコンタイプ: HTTPS
したがって、上記は悪意のある Cobalt Strike Beacon から抽出された構成であり、次に同様のサンプルを探し、脅威の攻撃者がホストする同様のインフラストラクチャを調査します。
狩猟とインフラ
このセクションでは、単純なアーティファクトである脅威アクターによる一貫した名前の使用を利用して、どのようにして追加のキャンペーンを発見したかについて説明します。 ImeBroker.exe 全てのキャンペーンで異なるCobalt Strikeインプラントが使用されています。当初は、 ImeBroker.exe は、言語入力に関連する正規の Windows ユーティリティであり、具体的には、ユーザーが複雑なスクリプトを持つ言語を入力できるようにする入力方式エディター (IME) を管理します。
インプラントをリバースエンジニアリングしている際に、疑わしいコードセグメントを発見しました。このセグメントを使用して、合計で 14サンプル 類似した名前と同一のバイナリサイズを持つこれらのマルウェアはすべて、脅威アクターによって「コンパイルタイムスタンプ:2015-07-10 03:27:31」というコンパイルタイムスタンプを持つCobalt Strikeビーコンとして配布され、異なるルアーを介して配信されていました。さらに、設定から、 さらに21個のコバルトストライクビーコン 類似した設定を持つ。このパターンは、脅威アクターが複数のキャンペーンで一貫した命名と設定を広範囲に使用していることを浮き彫りにしています。
この脅威アクターを追跡する際に使用したもう一つのアーティファクトは、香港とイスラマバードを標的としたキャンペーンで共通していた複数のLNKに存在したマシンIDでした。 ノートパソコン-g5qalv96 wscript.exe を使用してVBSを実行する他のマルウェアとは異なり、cscript.exe を起動します。このIDに基づいて、パキスタンを拠点とするルアーを使った2つのキャンペーンが発見されました。
別の関連ID デスクトップ-727otfd explorer.exeを起動し、「PressMe.pdf」を開きます。このファイルは、このキャンペーンの複数のアーカイブファイル内にあります。また、興味深いファイルパス「C:\LLVM\bin\LnkFishing\.asset\.asset.pdf」も存在します。
私たちは、発見した Cobalt Strike ビーコンに関連する一連の興味深いキャンペーンとそのおとりを調査します。
キャンペーン 1: 防衛産業をターゲットとする。
私たちはこのルアーを、軍事作戦における提案された理論的枠組みに焦点を当てた研究論文の評価であると思われるコバルト ストライク ビーコンの 1 つと一緒に発見しました。
キャンペーン 2: 電気技術研究者をターゲットとする。
私たちは、発電システムのモデリングとシミュレーションに焦点を当て、EbsilonソフトウェアとCFETRに言及した研究論文に対する批評について議論する別のルアーを見つけました。 [中国核融合工学試験炉]
キャンペーン 3: 電子工学教育業界をターゲットにします。
さて、博士後申请-王玉玺-华中科技大学-电气与電子工程-博士(英語ではPostdoctoral Application – Wang Yuxi – Huazhong University of Science and Technology – Electrical and Electronic Engineering – PhD)として知られる狩猟に基づいてRARを抽出したところ、脅威アクターが個人の博士研究員の誘惑を利用して被害者をターゲットにしていたことがわかりました。
キャンペーン 4: パキスタンの防衛産業をターゲットとする。
このルアーを調べたところ、ルアーは基本的にパキスタンの防衛産業をターゲットにしており、2024年XNUMX月にパキスタンで開催される予定の展示会に関する情報のデータが含まれていることがわかりました。
その他の興味深いキャンペーン
また、CNCERT を模倣したパキスタン軍事アカデミーと中国のサイバーセキュリティ研究者をターゲットにしたキャンペーンから、興味深いルアーも発見しました。最後に、脅威の攻撃者が中国に拠点を置く医療機関もターゲットにしていることもわかりました。
これらすべての類似インプラントのビーコンに基づいて、これらのサンプルのほとんどが、以下に示すように、Tencent に登録されたまったく同じ ASN5090 を持つ類似のコマンド アンド コントロール サーバーに接続していることがわかりました。
| IP | ASN | ジオロケーション |
| 139.155.190 84 .. | AS45090(深センテンセントコンピュータシステムズ株式会社) | China
|
| 43.137.69.76 | ||
| 139.155.190.198 | ||
| 106.55.77.71 | ||
| 129.204.98.221 | ||
| 119.45.2.30 | ||
| 119.45.67.241 | ||
| 119.45.2.56 |
Tencent (*tencentapigw.com または *tencentcs.com) にリンクされている膨大なホスト ヘッダー セットが特定されていますが、そのうちのいくつかは次のとおりです。
結論
新たな脅威アクターによる攻撃キャンペーンが発覚しました。この攻撃は主に南アジア諸国の防衛・研究分野を標的としており、特にパキスタンと香港を標的としており、インドへの関心も高まっています。当社の分析によると、工学研究者、教授、そして主要機関が特に狙われていることが示されています。 香港、中国本土、パキスタンこのキャンペーンは、電気技術学会、エネルギーインフラ、民間航空、環境工学に関連するおとり文書といった洗練されたルアーを活用し、技術分野の専門家を戦略的に標的としています。攻撃者は、エクスプロイト後のツールであるCobalt Strikeを多用しており、サイバースパイ活動への組織的なアプローチを示唆しています。
キャンペーンで使用された戦術、技術、手順(TTP)に基づいて、悪意のある攻撃の一貫した使用など、 リンク, VBScript, コバルトストライク ペイロードから、この脅威アクターはこの被害者グループを特に狙っていると結論付けることができます。 2024年5月 タイムスタンプに基づいて分類されています。キャンペーンの範囲と複雑さ、そしてカスタマイズされたルアー(餌)を合わせると、これらの業界における機密性の高い研究や知的財産を侵害しようとするAPTグループによる標的型攻撃であることが強く示唆されます。
保護を維持するために必要な予防措置を講じることをお勧めします。不明なリンクをクリックしたり、疑わしい添付ファイルをダウンロードしたりしないでください。ウイルス対策ソリューションとソフトウェア システムを更新し、データを定期的にバックアップし、多要素認証を有効にしてください。
SEQRITE保護
- ウィスパー.49086.GC
- ウィスパー.49085
- コバルトストライク
IOC
アーカイブ
| MD5 | ファイル名 |
| 86543a984e604430fb7685a1e707b2c4 | 科学技术奖充填报说明と奖励办法修订版.rar |
| 95557088474250a9749b958c3935dee4 | 最新停止车场收费标準调整方案.rar |
| 95f05674e4cb18a363346b488b67fd38 | ╒δ╢╘í╢│Θ╦«╨ε─▄╡τ╒╛╩Σ╦«╖ó╡τ╧╡═│╖╜░╕╔Φ╝╞▒╚╤í╤╨╛┐í╖╡─╨▐╕─╜¿╥Θ.zip |
| b8c94d2f66481cc52b30948f65fed761 | ╣π╕µ═╢╖┼╥¬╟≤╩Θ.zip |
| 4cf9bd6af64c3937e156ffb20537a6c1 | 预加油航班管理方法研究与软件实现(修改意见).rar |
| b2649134fbf0520222263d73b7e985d8 | aaa.zip |
| af669dfa074eb9b6fda3fd258f58e2d2 | 贾哲文-云南大学-环境工程.rar |
| 865483fea76242e687aa9e76b1a37f28 | 刘潇-清华大学-计算机.rar |
| 432230af1d59dac7dfb47e0684807240 | 李新宇-北京大学-2026毕业-金融硕士.rar |
| b9d04a61b30ddf53b28bf58a86fc28f5 | 热核聚变発行電岛三回路パラメータ优化研究(修改意见).rar |
| 2d478e4527486d85932254c7a7413951 | 国家相互網应急中心CCSC认请関数_海关情報中心.rar |
| e08dcbbd3e2ab9bcc2c02c44b6a97870 | 异构平台要素协同理论方法研究(修改意见).rar |
| fe4c575abf70ad11cdbce0b0821ee681 | 博士後申请-王玉玺-华中科技大学-電气与電子工程-博士.rar |
| 68278e47f36a44d9a8bbd46b74422bbe | 企画业资质素材.zip |
| 58f5ff5be4e765e62758b1f3e679a2ac | 《苍术半萜種化合物生物合成の研究展》の修正建议.rar |
| 955841a4d2315422818b47aec6ce51fb | 中债データベース無法使用情况.rar |
| 75def3a25b1d355c9163d3c247990867 | 参编《人工智能通用大モデル合规管理系指南》申请表.rar |
| 343a3944218a040089fa7131112c1681 | 外汇交易中心信息製品觸可表.rar |
| b28bb7cabfb12e9bc5b87692b065c83a | イスラマバード_セキュリティ_ダイアログ_Pub.rar |
| 7728fee377137e83e9bd1c609cc166c0 | IDEAS_2024_Calling_Letter.zip |
| dad7d9528e9506ebd0524b3ebd89ddf2 | 最終_複合_予測_MCP_FY_2024_25.zip |
LNK
| MD5 | ファイル名 |
| 22c07c76020f9311385cfaa97a2d6adb | 添付ファイル1:《2024年度中国電気工技学会科学技术奖推荐提名书》(技术公開奖和科技进步奖)充填报说明(2024年8月新版).pdf.lnk |
| 7a494f7448bc350bb46fb7f21450d1d9 | 最新停车场收费标標準调整方案.lnk |
| 3c3986899bdb4890ea6d44c00538e2fd | ╒δ╢╘í╢│Θ╦«╨ε─▄╡τ╒╛╩Σ╦«╖ó╡τ╧╡═│╖╜░ ╕╔Φ╝╞▒╚╤í╤╨╛┐í╖╡─╨▐╕─╜¿╥Θ.docx.lnk |
| 74ca14032a93be59098d607ba7039660 | 预加油航班管理方法研究与软件实现(修正意见).docx.lnk |
| cd14d51d27f294c2e60d1bc3ef907160 | 電影宣传要求.pdf.lnk |
| db08274efb374e2196a9f46961c8d8f8 | 中债データベース.jpg.lnk を使用する必要があります |
| 62eb90df5ee3a3b443c277d12b893141 | 贾哲文-云南大学-环境工程.docx.lnk |
| 41b5d5a04cf4534550e6ac3fc9a8f42d | 刘潇-清华大学-计計算機科学与技術学院-硕士.pdf.lnk |
| ae55cb4988f2f45197132631f5a86632 | ファイル名.lnk |
| 5ae488083403cd69002c29ef6326cca7 | 李新宇-北京大学-2026毕业-金融硕士.pdf.lnk |
| 72011305317d7e9d38a0e75650f22e34 | 修正建议.docx.lnk |
| d73a5c11423923d8a8c483cf6172f7e2 | |
| 473adee7068573fd01862b4bf43979e6 | イスラマバード_セキュリティ_ダイアログ_Pub.pdf.lnk |
| a02a664f80d9011e38c45762683771c0 | 最終統合予測MCP_FY_2024_25.pdf.lnk
12th_Edition_Of_Innovation_&_Excellence_IDEAS_2024.pdf.lnk |
| 10d0a351df1bfe57494ac18a7f2edec1 | 熱核聚变発行電岛三回路パラメータ优化研究(修正意见).docx.lnk |
| 10d6fb6ab395001a4424058a52c3c69f | 国家相互網应急中心CCSC认请関数_海关情報中心.pdf.lnk |
| 1070fc4a998cb7515842fb1b647340be | 异构平台要素协同理论方法研究(修正意见).docx.lnk |
| 1b538fef54102fd36e83e4fc549f960e | 博士後申请-王玉玺-华中科技大学-電气与電子工程博士-简历.pdf.lnk |
| c8231c5709ca548f1fe70f3b61d3537a | 《苍倍半萜種化合物の生合成の研究展》の修正建议.docx.lnk |
| 955a8b63723eb35686ddce6cbfe890cf | 中债データベース無法使用情况.jpg.lnk |
| da623c5ca61e25c6205904a5cb91bd55 | 参编《人工智能通用大モデル合规管理系指南》申请表.pdf.lnk |
| afc805006390b00713898c09d50343b6 | 外汇取引易中心情報製品许表可能.doc.lnk 中国 |
VBS
| MD5 | ファイル名 |
| 0a34cc8983fb581a59308135868b75d0 | O365.vbs |
| 5d18995193465c618844949f0ff9c786 | キャッシュ.vbs |
| 4c409d7201ec5dccf55a8ea54b0de101 | DS_Store.vbs |
| 39ab2053406493b9a0d81ed40212ffa8 | O365.vbs |
| 4711d0d163c00158abd4b20177d68b9a | DS_Store.vbs |
| 3dce8d8f9664c755448413cbfe1bc08f | DS_Store.vbs |
| 3b573c2229b43bde50f998f6cba17f2f | DS_Store.vbs |
| 318a1a18df75b49f72fbcc020384cc24 | DS_Store.vbs |
| a0d760492c0193d14114792f0c3fff7a | キャッシュ.vbs |
| cafdc03dcbe06ac43ec25fb38c1e013f | キャッシュ.vbs |
| d13828ae89a7dab34d2f380eef518332 | キャッシュ.vbs |
| 7e98bb7ffba4cf12d29132a2c71973eb | キャッシュ.vbs |
| c3d460ac3a93e86782c2bc374aa5ecd2 | Anx.vbs |
| 93eafad827126a9d12fc1d0e6e21aaef | cal.vbs |
| a4a47dd08cf59f8b6a7c907cf0e39029 | cal.vbs |
| b2c882f6121d758cfcd4ece31834f497 | O365.vbs |
| 86e4c5d39dda20eee4dd8f794be04c80 | DS_Store.vbs |
| e7f3c33a5cd569ebf4b57381f03c5337 | キャッシュ.vbs |
| 7ac5daaa5fe4e59137271eaf97c9e692 | O365.vbs |
| a2f64bafeafbeb303d24fd6ed1f5a89a | DS_Store.vbs |
| 8ba5b61454a29e09e7f536e85c951f53 | DS_Store.vbs |
| 4eeeb2b40e7189c271098c515b8f91d8 | DS_Store.vbs |
| 3711e1913f2ae74c4fc765bc28dbc60f | DS_Store.vbs |
| e112698125e67a1a6f26597371cae502 | DS_Store.vbs |
| 67dc90468327a0c733ca48881084593b | キャッシュ.vbs |
| d68fb3502e63ef3ca91c45f508d146b9 | キャッシュ.vbs |
| 91b7328a6064706fa9f125621a09f648 | キャッシュ.vbs |
| bfd61e5e133b2cd592d42ecdbc0eaee2 | キャッシュ.vbs |
| e5e709be4584031aefdc2a0782017f8f | キャッシュ.vbs |
| cf59916d271dce7f44bbf349464a31e2 | キャッシュ.vbs |
| 5d18995193465c618844949f0ff9c786 | キャッシュ.vbs |
| e213dc8060794bb97c5f94f563107e88 | キャッシュ.vbs |
| d01e7c41140aeff82ad87a558ae96587 | DS_Store.vbs |
| de3a0ff11c7645f5d0ac717b0eb98e52 | キャッシュ.vbs |
コバルトストライク(EXE)
| MD5 | ファイル名 |
| d29980f768aafdcf102cf1b3741c8a2b | ImeBroker.exe / キャッシュ.bak |
| 2acfad6fd814b02683038d21ba3eccbe | ImeBroker.exe / キャッシュ.bak |
| 1aa1f12d26d3a34265d0b99705bdf283 | DevicesFlow.EXE / DS_Store |
| e7550dd2db4dbe1a2cc1dadc47846cd0 | ImeBroker.exe / キャッシュ.bak |
| 1d109c8bb9e6ad16cd5f6813db39c21a | Microsoft IME / DS_Store |
| d8c348a2f27097d8689dba4452bb76eb | charmap.exe / DS_Store |
| 14df06539b72837adb9f8d13cfcea6db | CTTUNE.EXE / DS_Store |
| 6388625810652f0767be13b43363c10d | ImeBroker.exe / キャッシュ.bak |
| e8d3540212384d45ba9d7135c5bf8d8e | ImeBroker.exe / キャッシュ.bak |
| 352e299fc3f2327bfad5026b4a56b7cb | ImeBroker.exe / キャッシュ.bak |
| 73fa6149e68dd7842f7cfce78dd732c5 | ImeBroker.exe / cache.bak / sigverif.exe |
| 3813e4ebddd87615c1adc9c05888341d | 計画业资质材料/計画业签名解密专用解密工具.exe D:\MyPrograms\vs2022\vt01\vt\x64\Release\vt.pdb |
| 316e8d798f7db625c207532e2f7a5d38 | keycongif.exe / Anx |
| 5e7dba4aafb8176ab026e2f4aa3211dd | Adobbee.exe / cal |
| 33b3e322679f1500a9f3c162e4b25040 | ImeBroker.exe / キャッシュ.bak |
| 2694553347f23e250ed70a8c23096d8f | BioEnrollmentHost.exe / DS_Store |
| 800be8a4989d4b7ed07ddd068c6469f1 | DevicesFlow.EXE / DS_Store |
| bfd6c2f0787865ecb1604439ea9a5f15 | imecfmui.exe / キャッシュ.bak |
| 49c5553995f032195890b5bfc2abcb00 | ImeBroker.exe / キャッシュ.bak |
| ae9d676e4eda5cfa18a061e4bc2b1637 | ImeBroker.exe / キャッシュ.bak |
| 008255c14420420e9a53c9959d0d08b8 | ImeBroker.exe / キャッシュ.bak |
| 49a9c56fab34795b7e6e4c0b6185ca3e | ImeBroker.exe / キャッシュ.bak |
| d901fa81a4b3d83219440b80a1c338bc | ImeBroker.exe / キャッシュ.bak |
| 88b8bbe04b53e4af857cd1c032968c94 | ImeBroker.exe / cache.bak / sigverif.exe |
| 1d065492e7b5d118e31e571cc53dfe65 | ImeBroker.exe / cache.bak / sigverif.exe |
おとり
| MD5 | ファイル名 |
| 98b85b474c02ce8c0a33ad7507abbf2a | サブスクリプション.db |
| 5368f0b6ff56cce0de42165f14067427 | 添付ファイル2:《中国电工技术学会科学技术奖励办法》(2024年4月修订).pdf |
| 22ce60653860fe33bdfc47ce60deb681 | │Θ╦«╨ε─▄╡τ╒╛╩Σ╦«╖ó╡τ╧╡═│╖╜░╕╔Φ╝╞▒╚╤í╤╨╛┐_╦╬╫╙╞µ.pdf |
| b69c075caff565528bf42705d936a066 | キャッシュ.db |
| 477c5abea7299891b7f7c487f8636613 | ╡τ╙░╨√┤½╥з╟≤.pdf / 电影宣传要求.pdf |
| 298a27e24e4ca917020fa5a230fe6c8f | サブスクリプション.db |
| 820485d456ce6bfab933a1b662ff590a | 贾哲文-云南大学-环境工程.docx |
| 55467fcb1b51477104442e74d7baf3df | キャッシュ.db |
| ab1bc05e7f110042d7eacda5724918e0 | キャッシュ.db |
| 8423873a0eee6139c1eb6d5a9919121b | 計画业资质证明(请先解密).pptx |
| 6833e934c675717a0581472e00cb6d93 | 第 12 版イノベーション & エクセレンス IDEAS 2024.pdf |
| 9294dd350f921745602f745e501e8e43 | 预加油航班管理方法研究与软件实现.pdf |
| 43bed053851e7a182b99835bcd1d2d16 | 中债データベース.jpg を使用する必要があります |
| 154bf965c1c8e54540179b2d01c4202e | 刘潇-清华大学-计算机科学与技学院-硕士.pdf |
| 1fbffdc19d3cfee158558e266206f46f | 李新宇-北京大学-2026毕业-金融硕士.pdf |
| 8bdd5587b9863bdb154d9db85c67037b | 熱核聚变発行電岛三回路パラメータ数优化研究.pdf |
| 05770b4da4f87150f2faf6c4e821f727 | キャッシュ.db |
| c5b2970e227e311abb5acf480bc48934 | 异构平台要素协同理论方法研究.pdf |
| edd1a870a0eea3bf9dcbd88ece487920 | キャッシュ.db |
| 1c2126ea78d3430ce04bf96b0d1c524e | JPCS-2021-A_MMC-HVの新規電流差分保護.pdf |
| 13097891c790fbd3df75a2aebf993b16 | 论文及荣誉证书/電力系统自动化-2024-逆变型新能源场站送出線時間域方向要素.pdf |
| 23bd40035a9a9fd1d31a1c7aceda1727 | IET-2022-短絡電流シミュレーション解析のためのタイプ4風力タービンの簡略化モデル.pdf |
| 7763e73dd2e877c4770c0f10e4d3a1dd | 论文及荣誉证书/教育部学籍在線上验证报告-王玉玺.png |
| 162a9b9aee469b8de10c37c6311906cd | イスラマバード安全保障対話出版物.pdf |
| e8db7191c84a84717bffd0f1af9de36c | 最終統合予測MCP_FY_2024_25.pdf |
| 91611a155d4722d178f7697cd4ddd95f | 苍术倍半萜種化合物の生物合成の研究展_冯铃芳.pdf |
| 75c1403abfbe9f5c92625a1baf8b22f5 | サブスクリプション.db |
| d967a709472775c118ec339963c1d940 | 中债データベース無法使用情况.jpg |
| 154141caa12b828ace18fd4b3fda77e0 | 参编《人工智能通用大モデル合规管理系指南》申请表.pdf |
| c116a1971593a3a5468eb972b505fb57 | キャッシュ.db |
| 63d4015195c5006d81e14a85aa2459c4 | 联系方式.txt |
| a3df3505d89c15bb3940062f7abd786b | 联系方式.txt |
| 041d01a5495cdede35f4ad8e1fe437f7 | 清华通知.txt |
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシング添付ファイル |
| 実行 | T1204.002
T1059.005 |
ユーザーの実行:悪意のあるファイル
コマンドおよびスクリプトインタープリター:Visual Basic |
| 固執 | T1053.005 | スケジュールされたタスク |
| 防衛回避 | T1055.002 | プロセス インジェクション: ポータブル実行可能インジェクション |
| プーケットの魅力 | T1033 | システム所有者/ユーザーの発見 |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル |
著者
- サトウィック・ラム・プラッキ
- スバジート・シンハ
