はじめに
2021年11月中旬以降,日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており,独立行政法人情報処理推進機構(IPA)や一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)が Emotet の活動再開に関する注意1 2 を呼びかけています. 本ブログでは,2021年12月から2022年2月にかけて,我々が観測した Emotet への感染を狙ったメール(以降,Emotet メール)ついて分析した結果を紹介します.
(2022年3月4日)
2022年3月1日から現時点で既に 2月の件数を越える量の Emotet メールを確認しています.本ブログに記載している特徴から変化している場合がありますので,ご注意ください.
概要
- NICT を標的とする事例を確認:
NICT には345件の Emotet メールが届きました.全てのメールの件名または署名に,NICT の職員名や過去の取引先組織の情報が記載されていました.このうち,322件のメールが日本のワーキングタイム(平日の9時~18時頃)に配信されていました. - 添付ファイルの新しい配信パターンを確認:
zip ファイル添付型が最も多く届いており,329件のメールを確認しました.zip の中身はほとんどが xls または xlsm ファイルで,xls や xlsm のみが添付された事例も観測しました. - Emotet 本体をダウンロードする新しい手法を確認:
- XLM4.0を用いてDLLをダウンロードする手法(12/7以降に観測)
- mshtaを介してPowerShellを実行する手法(1/28以降に観測)
- wscriptからcmd経由でPowerShellを実行する手法(2/3以降に観測)
Emotet への感染を狙ったメールの特徴
NICT には,2021年12月2日から2022年2月28日にかけて,345件の Emotet メールが届きました(図1).
Emotet メールが届いた時期には,図1のような傾向が見られました.特に,2月3日から9日はメールが集中的に届いた時期であり,160件のメールを観測しました.これらの Emotet メールについて調査したところ,攻撃者が NICT の職員や過去の取引先組織を装って,NICT 職員の個人メールアドレスを標的としていました.
また,メールは配信と休止を繰り返しており,12月3日から6日,12月8日から1月17日,1月19日から27日,1月29日から2月2日,2月14日から22日の期間は,メールの配信がなく休止していました.メールの配信が再開した時期には,メールの配信パターンに変化が見られました.こちらについては,Emotet ダウンローダの配信パターンで後述します.
NICT に届いた Emotet メールについて,以下の4つの観点で特徴をまとめました.前回の記事3と併せてご参照ください.
- Emotet メールの件名
- Emotet メールの配信時間帯
- Emotet ダウンローダの配信パターン
- Emotet ダウンローダの特徴
それぞれの項目について,次節以降で紹介します.
Emotet メールの件名
Emotet メールの件名に使用されている言語には,英語と日本語の2種類を確認しました.Emotet メールに使用された件名を表1に示します.
表1では,Emotet メールの件名を返信型,多用型の2種類に分類しました.
- 返信型:
件名に「Re:」や「Fwd:」が付いた件名を返信型として分類しました.多用型と違い,業務を連想させるような件名も確認しています.メールの文面が返信を装った事例には,いずれも返信型の件名を確認しています. - 多用型:
ばらまき型メールで使い回された件名を多用型として分類しました.件名のパターンは少なく,「(無題)」または「NICT の職員名」の2種類のみ確認しています.返信型と異なり,メールの文面に返信を装った部分や業務に関する内容は確認されませんでした.
Emotet メールの配信時間帯
Emotet メールの配信時間帯には,図2のような傾向が見られました.
図2では,345件の Emotet メールのうち,322件が9時から18時にかけて配信されていました.配信日も平日に集中しており,日本のワーキングタイムを狙ったような配信傾向は以前の Emotet メールでは観測されなかった特徴です.
Emotet ダウンローダの配信パターン
Emotet ダウンローダの配信パターンには,以下の4種類がありました.zip ファイル添付型メール,URL 記載型メールについては前回の記事3で解説しているので,そちらをご参照ください.
-
zip ファイル添付型メール:
- メールに zip ファイルが添付されているもの
- zip ファイルには doc または xls ファイルが格納されている
- 観測時期: 2021年12月2日から
- メールの件数: 329件
-
xlsm ファイル添付型メール:
- メールに xlsm ファイルが添付されているもの
- 観測時期: 2021年12月7日から
- メールの件数: 10件
-
URL 記載型メール:
- メール本文に xls ファイルのダウンロードリンクが記載されているもの
- 観測時期: 2022年1月18日のみ
- メールの件数: 1件
-
xls ファイル添付型メール:
- メールに xls ファイルが添付されているもの
- 観測時期: 2022年2月4日から
- メールの件数: 5件
本節では,新たに観測された zip ファイル添付型メール(xlsを格納したタイプ),xlsm ファイル添付型メール,xls ファイル添付型メールの3点について紹介します.
zip ファイル添付型メールの特徴
図3に,2022年2月9日に NICT に届いた zip ファイル添付型メールを示します.
図3のメールは,実在する組織のメールアドレスを利用して,NICT の職員のメールアドレスに送信されました.送信者を過去の取引先組織に詐称し,メール本文には,簡素な文章と zip ファイルの解凍用パスワード,送信者の署名,返信を装った内容が記載されていました.また,署名については,詐称された取引先組織の職員の情報が使われていました.
メール本文のパスワードで zip ファイルを解凍すると,図4の xls ファイル(SHA-256:9c62600a0885e39bd39748150b9b64155c9ea2dbbcdd43241eb24c8e098de782)が格納されていました.
xls ファイルを開くと,以下のような「コンテンツの有効化」を促す文章が書かれていました.
If you are opening the attached file with Excel and you see a Protected view warning, then no document content will be displayed until editing and content are enabled.
以前の zip ファイル添付型メールと比較して,新たに xls ファイルを格納した事例や,メール本文に実在する組織の署名が使われている事例を多数確認しています.
xlsm ファイル添付型メールの特徴
図5に,2021年12月7日に NICT に届いた xlsm ファイル添付型メールを示します.
図5のメールは,実在する組織のメールアドレスを利用して,NICT のメーリングリストに送信されました.送信者を実在する国内組織(送信元アドレスと無関係)に詐称し,メール本文には,添付ファイルの確認を促す簡素な文章と詐称された国内組織の署名が記載されていました.また,メールの件名に「RE:」が含まれていましたが,返信を装った内容はなく,ばらまき型の Emotet メールとなっていました.このメールには,図6の xlsm ファイル(SHA-256:8c9dd1e63a57a6c1ced39fa5d620831f18ef989a0618ae9cbdbc423db062686c)が添付されていました.
xlsm ファイルを開くと,図4と同様に「コンテンツの有効化」を促す文章が書かれていました.
THIS DOCUMENT IS ONLY AVAILABLE FOR DESKTOP OR LAPTOP VERSIONS OF MICROSOFT OFFICE EXCEL. Open the document in Microsoft Office. Previewing online is not available for protected documents. CLICK “ENABLE EDITING” FROM YELLOW BAR ABOVE Once you have enabled editing, please click “Enable Content” button
2月23日からは,前述の zip に xlsm ファイルが格納された事例も確認しています.
xls ファイル添付型メールの特徴
図7に,2022年2月4日に NICT に届いた xls ファイル添付型メールを示します.
図7のメールは,実在する国内組織のメールアドレスを利用して,NICT のメーリングリストに送信されました.送信者を NICT 職員に詐称し,メール本文には,添付ファイルの確認を促す簡素な文章と NICT 職員の署名,返信を装った内容が記載されていました.このメールには,図6と同じ見た目の xls ファイルが添付されていました.
Emotet ダウンローダの特徴
Emotet メールに添付されていたファイルは,全部で67種類ありました.添付ファイルを開いた際に表示されるドキュメントの外観を分類すると,3つのパターンがありました.確認した添付ファイルの外観は,付録 に記載しています.
本節では,上記の添付ファイルについて,前回の観測3で見られなかった特徴を紹介します.
時系列で整理した Emotet メールの特徴について
NICT に届いた Emotet メールの特徴を時系列で表2に整理しました.
時系列で見ると,配信と休止を繰り返しながら,添付ファイルや感染手法など様々な特徴が追加されていました.特に,2月に入ってからは,特定の NICT の職員を狙った zip ファイル添付型の増加も見られ,業務に関する返信を装った Emotet メールが観測されました.
以前の Emotet メール3と比較すると,doc ファイルではなく xls や xlsm ファイルが扱われるようになり,件数こそ少ないものの,日本のワーキングタイム(平日の9時~18時頃)を狙って配信されていました.特に特徴的だった3つの感染手法について次節以降で紹介します.
XLM4.0 のみを使用する検体
2021年12月7日に初めて確認した XLM4.0 のみを使用する検体について紹介します.まずは,Emotet ダウンローダ実行時のプロセスツリーを図8に示します.
図8 のプロセスツリーから,EXCEL.EXE と rundll32.exe のみが実行されていることが分かります.Excel ファイルについて確認すると,図9 のように非表示シートが用意されており,そのシート中に XLM4.0 マクロが挿入されていました.シートを再表示にした後,「=」で検索すると,図10のように挿入されているマクロが確認できます.
また,これらのマクロは,XLMMacroDeobfuscator4 で簡単に抽出することもできます.抽出結果を図11に示します.
上記のマクロを確認すると,URLDownloadToFileA を用いて,以下の3つの URL のいずれかから DLL をダウンロードしています.
hxxp[://]morishim[.]com/wp-content/T4tLwhzP37/
hxxp[://]alittlebrave[.]com/wp-content/QOy63rcf4nKlwLH/
hxxps[://]cms[.]gdtnbvu[.]club/gash/D2xjCeK1MVCVv/
最後に rundll32 を用いて,ダウンロードした DLL を実行することで,Emotet に感染します.また,2月23日頃から同様の手法ですが,最後に regsvr32 を使用して DLL を実行する検体を確認しています.
XLM4.0/JavaScript/VBScript/PowerShell を使用する検体
2022年1月18日に初めて確認した XLM4.0/JavaScript/VBScript/PowerShell を使用する検体について紹介します.まずは,Emotet ダウンローダ実行時のプロセスツリーを図12 に示します.
前節と異なり,CMD.EXE,mshta.exe,powershell.exe が実行されていることが分かります.Excel ファイルは,図13 のように前節よりシンプルで,mshta を用いて,外部のファイル(hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]html
)にアクセスする実装でした.
hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]html
をダウンロードしてブラウザで確認すると,図14 のようなメッセージが書かれていました.
また,このファイルには,図15 のように unescape や eval などを用いて難読化された JavaScript が埋め込まれていました.
このスクリプトを実行すると,最終的に図16のような script タグが末尾付近に挿入されます.これは,VBScript で書かれており,WScript.Shell を用いて,PowerShell を起動するような実装でした.
上記の VBScript によって実行される PowerShell スクリプトを図17に示します.
このスクリプトの難読化を解いて整形すると,図18のようになります.
外部からファイル(hxxp[://]91[.]240[.]118[.]172/gg/ff/fe[.]png
)をダウンロードし,PowerShell スクリプトとして実行されます.実際に実行されるスクリプトを図19に示します.
このスクリプトは,以下の 12 個の URL のいずれかから DLL をダウンロードします.
hxxp[://]hostfeeling[.]com/wp-admin/4XsjtOT7cFHvBV3HZ/
hxxp[://]jurnalpjf[.]lan[.]go[.]id/assets/iM/
hxxp[://]it-o[.]biz/bitrix/xoDdDe/
hxxp[://]bimesarayenovin[.]ir/wp-admin/G1pYGL/
hxxp[://]gardeningfilm[.]com/wp-content/pcMVUYDQ3q/
hxxp[://]daisy[.]sukoburu-secure[.]com/8plks/v8lyZTe/
hxxps[://]property-eg[.]com/mlzkir/97v/
hxxp[://]totalplaytuxtla[.]com/sitio/DgktL3zd/
hxxp[://]maxtdeveloper[.]com/okw9yx/Gc28ZX/
hxxp[://]www[.]inablr[.]com/elenctic/fMFtRrbsEX1gXu3Z1M/
hxxp[://]activetraining[.]sytes[.]net/libraries/8s/
hxxps[://]gudangtasorichina[.]com/wp-content/GG01c/
最後に,rundll32 を用いてダウンロードした DLL を実行することで,Emotet に感染します.
VBA/VBScript/PowerShell を使用する検体
このタイプの Emotet ダウンローダは,2022年2月3日に初めて確認しました.まずは,Emotet ダウンローダ実行時のプロセスツリーを図20 に示します.
前節と異なり,wscript.exe から powershell.exe や rundll32.exe が実行されていることが分かります.また,Excel ファイルも前節と異なり,XLM4.0 ではなく,VBA が使用されていました.図21 のように VBAProject は,パスワードでロックされていますが,EvilClippy5 で解除することができます.
VBA マクロが実行されると,C:\ProgramData
ディレクトリ配下に 図22,図23 の2 種類のファイルが生成されます.
各ファイル生成後に WScript で C:\ProgramData\wetidjks.vbs
が実行されます(図24).
VBA で生成される2つのファイルの難読化を解いて整形すると,図25,図26のようになります.
まず,wetidjks.vbs により,jledshf.bat が実行され,PowerShell スクリプトが実行されます.図27 に難読化を解いて整形した PowerShell スクリプトを示します.
このスクリプトは,以下の12個の URL のいずれかから DLL をダウンロードします.
hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/BlkdOKDXL/
hxxp[://]sbcopylive[.]com[.]br/rjuz/w/
hxxps[://]trasix[.]com/wp-admin/y5Aa1jt0Sp2Qk/
hxxps[://]www[.]parkinsons[.]co[.]in/abc/Y6Y0fTbUEg6/
hxxps[://]biz[.]merlin[.]ua/wp-admin/W6agtFSRZGt371dV/
hxxp[://]bruckevn[.]site/3yztzzvh/nmY4wZfbYL/
hxxps[://]pardiskood[.]com/wp-content/NR/
hxxps[://]daujimaharajmandir[.]org/wp-includes/63De/
hxxps[://]datasits[.]com/wp-includes/Zkj4QO/
hxxps[://]anugerahmasinternasional[.]co[.]id/wp-admin/SJbxE5I/
hxxps[://]atmedic[.]cl/sistemas/3ZbsUAU/
hxxps[://]anwaralbasateen[.]com/Fox-C404/mDHkfgebMRzmGKBy/
最後に wetidjks.vbs の処理により,PowerShell でダウンロードされた DLL が rundll32 で実行され,Emotet に感染します.
まとめ
本ブログでは,NICT に届いた Emotet メールについて,以下の3点を紹介しました.
- NICT を標的とした配信:
「Re:」や「Fwd:」,「NICT 職員の氏名」が扱われた件名が多く,NICT の職員や過去の取引先組織を装って配信されていました.また,殆どのメールが日本のワーキングタイム(平日の9時~18時頃)に集中していました. - Emotet ダウンローダの配信パターン:
Excel ファイルをメールに添付する xlsm ファイル添付型や xls ファイル添付型が新たに確認されました.zip ファイル添付型については,doc ファイルではなく xls や xlsm ファイルを格納している事例を確認しています. - Emotet ダウンローダの特徴:
Emotet 本体のダウンロード用マクロには XLM4.0,mshta,wscript が使われており,難読化や通信先の増加など新たな特徴が確認されました.
他にも,以前の観測では見られなかった特徴として,新たな添付ファイルの外観を2種類確認しました.2022年2月以降,NICT では Emotet メールの増加を確認しており,セキュリティベンダのブログ6 7でも国内を狙った攻撃が報告されています.NICT では,本ブログのような傾向で Emotet を観測しており,Emotet の分析や傾向の把握,注意喚起,Emotet の通信先の遮断に役立てています.メールや添付ファイルの特徴は今後も変わっていく可能性があるため,我々は引き続き動向を観測していきます.
付録
添付ファイル名
-
2021年12月:3種類
- jom-
日付(mmdd)
.zip - jom-
日付(mmdd)
.doc - DOCUMENT 5.xlsm
- jom-
-
2022年1月:2種類
英数字の文字列
.zip英数字の文字列
.xls
-
2022年2月:12種類
英数字の文字列
.zip英数字の文字列
.xls日付(yyyy-mm-dd_hh:mm)
.zip日付(yyyy-mm-dd_hh:mm)
.xls- form.zip
- form.xls
- NU-4626 report.xls
- PXI-010222 XXJF-040222.zip
- PXI-010222 XXJF-040222.xls
- Report.xls
- report 02 23 2022.xls
- YZ-2793 report.xls
添付ファイルの外観:3種類
- パターン1(2021年12月2日~)
- パターン2(2021年12月7日~)
- パターン3(2022年2月9日~)
Emotet ダウンローダのハッシュ値(MD5)
-
2021年12月:2種類
6d8e23934c72dbc48017a816594ce307 8f48e6209f4596de4c0c4bd896c5ab55
-
2022年1月:1種類
10e94dbe911f43b590ee04fc025d3e75
-
2022年2月:128種類
00e205a81bbd8924ed4704f1a6b7d950 023df726de12283edbb9bf03117fb442 02447345bc4538a4d5eeb2bd896a183d 078b6f8a32e762e0a98a7e9c45bd2947 07b1cd7428b8de5f82ca6f3848ebfaf2 08c7639d5f453160199e5dad8710a861 09d3a68b8db86cdfb6913fe95d29558e 0aa7668f75b4a7ed142db39be937063c 0ad570941fc5cf7aa54d542b5b7feaa0 0bc5f9cf4a4537b9b739564c26bb3a11 0d5b50d012a9bf86db7e69b1695d3fe9 169bf191cee0aecb80ec4e4e9c290787 1a18755a99d4b822aebba6f14f6f1df4 1a2b8e8694c0d91cc88dffabf19312e5 1a8cf71394868da22b830d4d8101e706 1bc20d441fd1e83087b10d9cf8bcacec 1e3d14414410e6a0a314f899c6772a20 203bf078f82f4d423d3fee3323891d83 210f90fc5399159d32a242d506021a6e 254ce017c9c2982ba289c866a944adb3 255e92fdbd7aa0ec851490723b5e90e2 25a3c2256812f7edc20155ab99104f59 26444b2dee6eaa81eac47a3356af71dd 26a2ec709aaabf949ef1d637c9371c48 2b229f1d8cc2b4e514e1cd6aa74296b7 2e26c98a6ed4b2838d896749021b1e09 370cd5610472f571ff75cfae568defb9 3b77d03803d739a50f043496d57941a8 3baf7aa6309bfd46f6bc6308db8b6c50 42b84cb0b9766febad3de8d25703dde3 47af62ea6f19843fa3a6aa823f0920a2 49b6ddbd9c7322acaa92d947db70bf51 4c96f70b5916411e8874171d5e3360d3 4ca173bedc4fc060d034ec45f3dda873 4cc5ac1b2f3f66671cd15d23f5f8cf31 511f8a768b1dcde446c40e009ec5619a 53d0a9e27239c457675a0e72e6a2370b 54a1fa13b8b32f3794394aa11b7866d2 551d4fced29c70be4e1b453f643ac8cd 5c10f41fde57e8c2811f5903846f0997 5e07d79cfc4ad2e844b8cd18b5ef6e79 5efe43f4fd5f25df432926f99a5fc415 6027d3fa1e7cbee435fa7a3455589d2c 612534e55a3e9d2078fe485c33ea0e72 69e50f00dfd3eaf44fe8aa12856c65aa 6bf70a6aea414045073ee484d36d07ae 6c8d54be16b1634fbf051994b0f78944 6e98dd5ebb820ccdae9df21313b76624 721c1e3f3a7456dce007304b916a53cb 73e942ab08570edbe1b8d8cbf7d145f5 773d8e0c1096499ed0c0aec18bdecab5 78ee5efc7e2438db2c4950f5bba64335 798a723780cdefa2e93c6705924c9f8c 7b13abf8fbe60ae155fc348a1ebcc8f2 7f6dbe11e42c6f71099c3ddca60ca0ca 7f7e44f7f62a2903c7866ec053371d97 80eb486b4b3f33a03932ccb0992b68f3 864e2c9eba94363c03cd1f5dca7d1cd4 87b6478e28cfd849f574412491816574 89f7cfd0168d3360f1a13291c7b63da3 8c8e022f7ad738b47b4e44c226abd6cd 8fc59bbf80df6a8c65d191d36968888f 8ffe4f117186a82aa4299faf4120cb4a 909d33a948a9f4350b943809c55b45c7 9136bd84296838f78a8d76d09db70ca3 913a142eb16a99f068a0ab1f26707b31 91f00a1b9604fe6a56a3e2d560ed6f82 9262a97db661cb6f7f86ee606c9be042 934d0520484541a7f0b3a9172112180c 93b53be7c82684335dd9d5c8736fed80 93f9be36cbf0176001f18ca9d242a851 95a48bbf83a01a754f6671dcddf55f6d 9622445736cbdb2220e53d3d0b422a03 98739d4a0a282e1a91aea7b0fb72ad4f 9ebfbff4728fc024851edee35bb112a7 a0a52481798f12ef987c25dceb40153c a1e91a9221d6ef75a12a5f63ae159784 a284aa2f01051f78e8434e23ff06092f a316f9a4aec8bd88dc596b27f181544d a5052fd380f715b2388cebc2e6f9328e a830dcb4d20938ac91ba235c526b9ad1 a84aeb5219b3cd81065911ecf2cae30c a99eb9a5a6419b27ee05e5be68f64d66 aa2120f2e5b6f649ccb006b9bc1be2fe aa265aacd88fa850d7faf761f1c1e200 aab1caa1875f8c81f0fc847c8c16a525 ab7f592c0cd15ba7f3e1497a2f3d79a9 ae8249c24ccb0a38cd444928e0d12488 b150ae747936696d3adb30923448ca5c b483c910c5dd3f60c978697448db295f b7dfae799012fd46cf7c76173207f002 bafe79eff6e6b4024b8aa1972e91e1b2 bd2121f2abc4e929dd8924d42952eb40 bda0c651e003fa762cb4963ad8ef25c1 c3eb5c8dc1c709e045ef341aa8be9b33 c414f8df59ae5349fec0ba436a840269 c475730d0c8cea817400573e71923905 c52a3a5504db37aad112e3ba7d4c4815 c78f213b18d6ad42d058d33afe95d23a c7c0b6c2f9c2cad477b4e603a41f8a67 ca2eb30f1a2d03d5623d4e8526be7ff8 cb1e26e6446cb647ac34af336799d261 ccb98f4d093e527c43f0130462658c73 cdd83e0f08d1c26b2963ba8fac143ae8 d081ae40c892ee33346b1e13cf816daf d83cd825d0e22683f6806b3d8d706816 dbea7ece5b95759bf93cade7ef99d6f5 dc9371bc01a0f194b2b0ae065d4bae24 ddfc5396bf08500adf2062323b5fdaea e2aa9baf25683ecf217e3544ed8abd59 e356ae805df158eb3846fd217e6a39a6 e8f75114cc17f0b94381b1d7cee00131 e98d513ad99ae5ca200fa7af7ba40854 ea3d098f302a65aa55ed79cd517034f4 ed36ceeaa01155abcc48d17d09b2fa2c eeeb23222ac7d1d08cc96048c24e5ef9 ef2ee187425f057bd8c88fe300618bd7 f0b0fd5cd4a9a1334e8bee3e1e436eae f1b97c48b8066eba9c8120d890525f55 f32a95a228f9b9ceb8e556d60da3030a f43c8e9a5db5c9b3071957b9e4c87736 f91da2dbfb731e8aed5528f6c75d2266 fa595e4ff12c589c57ec6df27267d4a4 fb932877d6efb6e0da29eac833527bbf fc46051a0113d6c40e8249fc9ec14940 fda4ca230274a05fe204e821450dcdab fe87807ccf15011dcf1e788a8ef40b9e fff8a44e6fc5f977ba0196534ce4263d
Emotet ダウンローダの通信先 URL
-
2021年12月:10種類
hxxp[://]alittlebrave[.]com/wp-content/QOy63rcf4nKlwLH/ hxxp[://]chauvettheatre[.]com/wp-includes/nm55qK7wCxKBRLM/ hxxp[://]morishim[.]com/wp-content/T4tLwhzP37/ hxxp[://]veletrgovina[.]net/_Include/449XbSn6C/ hxxp[://]www[.]hyperz[.]top/wp-admin/includes/MZxGPP9KUXc3T8mp/ hxxps[://]a[.]sjmall[.]top/begv/XH2SMEMvHBTDUzH8IuehbWW/ hxxps[://]chinchincargo[.]com/wp-admin/GhmjcEnREnnUpBLEaAdtz/ hxxps[://]cms[.]gdtnbvu[.]club/gash/D2xjCeK1MVCVv/ hxxps[://]kiemtientugame[.]com/images/yBBNzwalwxZWA6kY6wXIXYp/ hxxps[://]nlmwebdev[.]com/threeaminos/wp-content/NrvRJjRU/
-
2022年1月:12種類
hxxp[://]activetraining[.]sytes[.]net/libraries/8s/ hxxp[://]bimesarayenovin[.]ir/wp-admin/G1pYGL/ hxxp[://]daisy[.]sukoburu-secure[.]com/8plks/v8lyZTe/ hxxp[://]gardeningfilm[.]com/wp-content/pcMVUYDQ3q/ hxxp[://]hostfeeling[.]com/wp-admin/4XsjtOT7cFHvBV3HZ/ hxxp[://]it-o[.]biz/bitrix/xoDdDe/ hxxp[://]jurnalpjf[.]lan[.]go[.]id/assets/iM/ hxxp[://]maxtdeveloper[.]com/okw9yx/Gc28ZX/ hxxp[://]totalplaytuxtla[.]com/sitio/DgktL3zd/ hxxp[://]www[.]inablr[.]com/elenctic/fMFtRrbsEX1gXu3Z1M/ hxxps[://]gudangtasorichina[.]com/wp-content/GG01c/ hxxps[://]property-eg[.]com/mlzkir/97v/
-
2022年2月:113種類
hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/BlkdOKDXL/ hxxp[://]actividades[.]laforetlanguages[.]com/wp-admin/dU8Ds/ hxxp[://]albatrospatagonia[.]com/phkcvt/t53ceSMDqgPQlq/ hxxp[://]annefront[.]com/eln-images/gANlH/ hxxp[://]appyhorsey[.]com/FeedBack/adJcH8XSC66hKK/ hxxp[://]balden[.]com/eln-images/O9xRZhm47Bt50Q/ hxxp[://]barnhart-studios[.]com/eln-images/Vghg1n/ hxxp[://]beeabouttown[.]com/eln-images/NW7KUn/ hxxp[://]blog[.]centralhome[.]hu/wp-content/pB1RfPCnBlS1WfpcOL/ hxxp[://]blute[.]com/3Dtech/jLu8IAnnj3gK9Wc/ hxxp[://]boamorph[.]com/cgi/hTa5ip96VSdNjX/ hxxp[://]bruckevn[.]site/3yztzzvh/nmY4wZfbYL/ hxxp[://]chpopesco[.]com/Gallery/wPY7j2SE5MIv/ hxxp[://]dadsgetinthegame[.]com/eln-images/tAAUG/ hxxp[://]dev[.]learncaraudio[.]com/wp-admin/v6IKIDu90k8C6Y8/ hxxp[://]donbaham[.]com/Home_files/YS0PAZPXcYeraes/ hxxp[://]donboscoschoolputhuppally[.]org/wp-content/UuQ7LBsPoGu9Q/ hxxp[://]dushkin[.]net/img/bhQSTNicEMtNQxP/ hxxp[://]elm[.]kg/wp-admin/sZnZSz3iN/ hxxp[://]environmentalaw[.]com/cgi/Qb/ hxxp[://]explorationit[.]com/screwing/AxLm/ hxxp[://]fastxmfg[.]com/voluptatum-voluptatum/rh2CNMHNjdgb6/ hxxp[://]flynn-flynn[.]com/cgi/bdxP8s4Jbx4C/ hxxp[://]franmulero[.]es/mbx/8c5RBJx6/ hxxp[://]gavalisangh[.]astravit[.]com/umar-rack/fyMw4DZw1JAB/ hxxp[://]gocut[.]com/eln-images/cAw7Uw2w/ hxxp[://]goyaluat[.]vmesh[.]in/0v6kcny/CG/ hxxp[://]gumpertdrucker[.]com/cgi/p8Y8sv8mpD4LQj/ hxxp[://]hardstonecap[.]com/well-known/lW/ hxxp[://]hoanglephat[.]vn/wp-admin/9spO9pp/ hxxp[://]hollywoodvisual[.]com/eln-images/HIWl5z/ hxxp[://]jkonderhoud[.]nl/wp-content/6of/ hxxp[://]kentuckyrversjournal[.]com/cgi/U/ hxxp[://]mangumrealty[.]com/OldPages/2ci1zAELGjBw/ hxxp[://]mapcommunications[.]co[.]zw/wp-admin/mdRRbSdU3aB7Xpx6z/ hxxp[://]marcowine[.]com/Images/SLlwnvS7Uxnymm/ hxxp[://]marezdecor[.]com/MarezGallery/sEQxWTpMJ7A8rAtY0D/ hxxp[://]miniflam[.]com/eln-images/fSwbQjUMAfGxgdw/ hxxp[://]missionnyc[.]org/fonts/JO5/ hxxp[://]modsociete[.]com/cgi/qtAP/ hxxp[://]moveconnects[.]com/item-immo/5NAtMXXCkzQ5NrX3z/9moeTie4vHJ/ hxxp[://]moveconnects[.]com/item-immo/5NAtMXXCkzQ5NrX3z/eTD8Fbu3JSWQ/ hxxp[://]mpmcomputing[.]com/fonts/fJJrjqpIY3Bt3Q/ hxxp[://]mtc[.]joburg[.]org[.]za/-/GBGJeFxXWlNbABv2/ hxxp[://]myclassroomtime[.]com/mongery/ZlPsROtQiXIujmJmAA/ hxxp[://]mymicrogreen[.]mightcode[.]com/Fox-C/NWssAbNOJDxhs/ hxxp[://]niplaw[.]com/asolidfoundation/yCE9/ hxxp[://]o2omart[.]co[.]in/infructuose/m4mgt2MeU/ hxxp[://]odconsult[.]co[.]uk/ALFA_DATA/HHr0FqOXAn62/ hxxp[://]orbdyn[.]com/eln-images/72ua/ hxxp[://]palmcoastdevelopment[.]net/eln-images/wRhHb5xE4a7/ hxxp[://]realacorp[.]net/PhotoGallery/UwmRHceSGbaCeGF/ hxxp[://]robertflood[.]us/eln-images/DGI2YOkSc99XPO/ hxxp[://]robertmchilespe[.]com/cgi/3f/ hxxp[://]rogerschultz[.]com/eln-images/u0vT/ hxxp[://]rosevideo[.]net/eln-images/EjdCoMlY8Gy/ hxxp[://]rosewoodcraft[.]com/Merchant2/5[.]00/PGqX/ hxxp[://]santafetortilla[.]com/_baks/tUx9/ hxxp[://]sbcopylive[.]com[.]br/rjuz/w/ hxxp[://]schildersbedrijfdsdevos[.]nl/wp-content/ItnBDmJay1Udk/ hxxp[://]sep[.]dfwsolar[.]club/hzh3v/c083ujO5b11tuo92/ hxxp[://]sesco-ks[.]com/wp-content/rDARACyF1lDOz9GP1r/ hxxp[://]smbservices[.]net/cgi/JO01ckuwd/ hxxp[://]stkpointers[.]com/eln-images/D/ hxxp[://]teamlogisticsconsulting[.]com/cgi/TGdv/ hxxp[://]varafood[.]com/Ajax/cnM91G/ hxxp[://]vbaint[.]com/eln-images/H2pPGte8XzENC/ hxxp[://]visualaudit[.]com/eln-images/c4L61/ hxxp[://]vocoptions[.]net/cgi/ifM9R5ylbVpM8hfR/ hxxp[://]watertechservices[.]com/cgi/XlLR7Lj2laOu4X/ hxxp[://]wearsweetbomb[.]com/wp-content/15zZybP1EXttxDK4JH/ hxxp[://]webnatico[.]com/wp-content/upgrade/AMnS3zau6FvzG/ hxxp[://]www[.]ajaxmatters[.]com/c7g8t/zbBYgukXYxzAF2hZc/ hxxp[://]www[.]ama[.]cu/jpr/00YpKFEZ/ hxxp[://]www[.]ama[.]cu/jpr/VVP/ hxxp[://]www[.]beholdpublications[.]com/home/BABxyyWZx8Vu/ hxxp[://]zenzebra[.]net/plath/9Q0DBlE/ hxxp[://]zimrights[.]co[.]zw/oldsite/k0EoCWycU9tNo1d/ hxxps[://]1566xueshe[.]com/wp-includes/z92ZVqHH8/ hxxps[://]7jcat[.]com/wp-content/t/ hxxps[://]ajmotorsshop[.]com/grad-ooze/O/ hxxps[://]anugerahmasinternasional[.]co[.]id/wp-admin/SJbxE5I/ hxxps[://]anwaralbasateen[.]com/Fox-C404/mDHkfgebMRzmGKBy/ hxxps[://]atmedic[.]cl/sistemas/3ZbsUAU/ hxxps[://]biz[.]merlin[.]ua/wp-admin/W6agtFSRZGt371dV/ hxxps[://]canopuseng[.]in/b/5G1sl6x/ hxxps[://]datasits[.]com/wp-includes/Zkj4QO/ hxxps[://]daujimaharajmandir[.]org/wp-includes/63De/ hxxps[://]dev[.]subs2me[.]com/wp-includes/EMa/ hxxps[://]dwwmaster[.]com/wp-content/1sR2HfFxQnkWuu/ hxxps[://]edu-media[.]cn/wp-admin/0JAE/ hxxps[://]estesgroup[.]net/New-site-25062021/UkQPppHG9pLNE/ hxxps[://]framemakers[.]us/eln-images/U5W2IGE9m8i9h9r/ hxxps[://]gurmitjaswal[.]ca/frer-hate/LW37erwSAhgU/ hxxps[://]iacademygroup[.]cl/office/G42LJPLkl/ hxxps[://]imagecarephotography[.]com/wp-includes/KVRvUyat0qqK0W/ hxxps[://]karmapedia[.]com/wp-includes/X0PZpQ/ hxxps[://]mars[.]srl/wp-admin/7Ffk6LLN2Xs2W/ hxxps[://]msubrahm[.]com/wp-admin/5SjBp9WHfGbtgY/ hxxps[://]mudhands[.]com/error/BfH/ hxxps[://]new[.]tokosatu[.]com/wp-admin/QzzQZAIDuBhOplwOnhJ/ hxxps[://]oroanddentalcarecenter[.]com/wp-includes/0JRI2sOVpNkDhAe/ hxxps[://]pardiskood[.]com/wp-content/NR/ hxxps[://]robointeligentedecomentarios[.]com/wp-includes/YBS9a02Y68auiEdP/ hxxps[://]thecanadianarab[.]com/wp-content/VJ/ hxxps[://]themillionairesweb[.]com/wp-admin/MD/ hxxps[://]trasix[.]com/wp-admin/y5Aa1jt0Sp2Qk/ hxxps[://]triclicks[.]net/wp-admin/bv/ hxxps[://]vasilestudio[.]com/wp-admin/pZ1vbd5Z/ hxxps[://]www[.]parkinsons[.]co[.]in/abc/Y6Y0fTbUEg6/ hxxps[://]yanapiri[.]com/upeatv/9IZP9RfbH338pFPI/ hxxps[://]youlanda[.]org/eln-images/n8DPZISf/ hxxps[://]znzhou[.]top/mode/0Qb/
Emotet のC2
-
2021年12月:29種類
104[.]131[.]62[.]48:8080 116[.]124[.]128[.]206:8080 128[.]199[.]192[.]135:8080 142[.]4[.]219[.]173:8080 159[.]69[.]237[.]188:443 168[.]197[.]250[.]14:80 177[.]72[.]80[.]14:7080 185[.]148[.]168[.]15:8080 185[.]148[.]168[.]220:8080 190[.]90[.]233[.]66:443 191[.]252[.]103[.]16:80 195[.]154[.]146[.]35:443 195[.]77[.]239[.]39:8080 207[.]148[.]81[.]119:8080 209[.]239[.]112[.]82:8080 210[.]57[.]209[.]142:8080 217[.]182[.]143[.]207:443 37[.]44[.]244[.]177:8080 37[.]59[.]209[.]141:8080 45[.]63[.]5[.]129:443 51[.]178[.]61[.]60:443 51[.]210[.]242[.]234:8080 54[.]37[.]228[.]122:443 54[.]38[.]242[.]185:443 62[.]171[.]178[.]147:8080 66[.]42[.]57[.]149:443 78[.]46[.]73[.]125:443 78[.]47[.]204[.]80:443 85[.]214[.]67[.]203:8080
-
2022年1月:45種類
103[.]75[.]201[.]2:443 104[.]168[.]155[.]129:8080 104[.]251[.]214[.]46:8080 107[.]182[.]225[.]142:8080 110[.]232[.]117[.]186:8080 129[.]232[.]188[.]93:443 131[.]100[.]24[.]231:80 138[.]185[.]72[.]26:8080 158[.]69[.]222[.]101:443 159[.]8[.]59[.]82:8080 159[.]89[.]230[.]105:443 160[.]16[.]102[.]168:80 162[.]214[.]50[.]39:7080 162[.]243[.]175[.]63:443 164[.]68[.]99[.]3:8080 173[.]212[.]193[.]249:8080 173[.]214[.]173[.]220:8080 176[.]104[.]106[.]96:8080 178[.]63[.]25[.]185:443 178[.]79[.]147[.]66:8080 185[.]157[.]82[.]211:8080 192[.]254[.]71[.]210:443 195[.]154[.]133[.]20:443 200[.]17[.]134[.]35:7080 203[.]114[.]109[.]124:443 207[.]38[.]84[.]195:8080 209[.]59[.]138[.]75:7080 212[.]237[.]17[.]99:8080 212[.]237[.]5[.]209:443 212[.]237[.]56[.]116:7080 212[.]24[.]98[.]99:8080 216[.]158[.]226[.]206:443 217[.]182[.]143[.]207:443 41[.]76[.]108[.]46:8080 45[.]118[.]115[.]99:8080 45[.]118[.]135[.]203:7080 45[.]142[.]114[.]231:8080 45[.]176[.]232[.]124:443 46[.]55[.]222[.]11:443 50[.]116[.]54[.]215:443 51[.]15[.]4[.]22:443 51[.]38[.]71[.]0:443 58[.]227[.]42[.]236:80 79[.]172[.]212[.]216:8080 81[.]0[.]236[.]90:443
-
2022年2月:106種類
1[.]234[.]2[.]232:8080 103[.]134[.]85[.]85:80 103[.]41[.]204[.]169:8080 103[.]75[.]201[.]2:443 103[.]75[.]201[.]4:443 104[.]131[.]62[.]48:8080 104[.]251[.]214[.]46:8080 107[.]182[.]225[.]142:8080 110[.]232[.]117[.]186:8080 116[.]124[.]128[.]206:8080 118[.]98[.]72[.]86:443 119[.]235[.]255[.]201:8080 128[.]199[.]192[.]135:8080 129[.]232[.]188[.]93:443 131[.]100[.]24[.]231:80 135[.]148[.]121[.]246:8080 138[.]185[.]72[.]26:8080 139[.]196[.]72[.]155:8080 144[.]76[.]186[.]49:8080 144[.]76[.]186[.]55:7080 149[.]56[.]163[.]161:8080 152[.]89[.]239[.]34:443 153[.]126[.]203[.]229:8080 156[.]67[.]219[.]84:7080 158[.]69[.]222[.]101:443 159[.]65[.]88[.]10:8080 159[.]69[.]237[.]188:443 159[.]8[.]59[.]82:8080 159[.]89[.]230[.]105:443 160[.]16[.]102[.]168:80 162[.]214[.]50[.]39:7080 162[.]243[.]175[.]63:443 164[.]68[.]99[.]3:8080 168[.]197[.]250[.]14:80 169[.]197[.]131[.]16:8080 173[.]203[.]78[.]138:443 173[.]212[.]193[.]249:8080 175[.]107[.]196[.]192:80 176[.]104[.]106[.]96:8080 178[.]128[.]83[.]165:80 178[.]63[.]25[.]185:443 178[.]79[.]147[.]66:8080 185[.]148[.]168[.]15:8080 185[.]148[.]168[.]220:8080 185[.]157[.]82[.]211:8080 185[.]184[.]25[.]78:8080 185[.]248[.]140[.]40:443 190[.]90[.]233[.]66:443 191[.]252[.]103[.]16:80 192[.]254[.]71[.]210:443 192[.]95[.]56[.]148:8080 194[.]9[.]172[.]107:8080 195[.]154[.]133[.]20:443 195[.]154[.]146[.]35:443 195[.]154[.]253[.]60:8080 195[.]77[.]239[.]39:8080 198[.]199[.]98[.]78:8080 200[.]17[.]134[.]35:7080 203[.]114[.]109[.]124:443 203[.]153[.]216[.]46:443 207[.]148[.]81[.]119:8080 207[.]38[.]84[.]195:8080 209[.]126[.]98[.]206:8080 210[.]57[.]209[.]142:8080 212[.]237[.]17[.]99:8080 212[.]237[.]5[.]209:443 212[.]237[.]56[.]116:7080 212[.]24[.]98[.]99:8080 213[.]190[.]4[.]223:7080 216[.]158[.]226[.]206:443 217[.]182[.]143[.]207:443 23[.]246[.]204[.]126:443 27[.]254[.]174[.]84:8080 31[.]24[.]158[.]56:8080 37[.]44[.]244[.]177:8080 37[.]59[.]209[.]141:8080 41[.]76[.]108[.]46:8080 45[.]118[.]115[.]99:8080 45[.]118[.]135[.]203:7080 45[.]142[.]114[.]231:8080 45[.]176[.]232[.]124:443 45[.]71[.]195[.]104:8080 46[.]41[.]130[.]218:8080 46[.]55[.]222[.]11:443 50[.]116[.]54[.]215:443 50[.]30[.]40[.]196:8080 51[.]254[.]140[.]238:7080 51[.]38[.]71[.]0:443 54[.]37[.]106[.]167:8080 54[.]37[.]228[.]122:443 54[.]38[.]242[.]185:443 58[.]227[.]42[.]236:80 59[.]148[.]253[.]194:443 61[.]7[.]231[.]226:443 61[.]7[.]231[.]229:443 62[.]171[.]178[.]147:8080 66[.]42[.]57[.]149:443 68[.]183[.]93[.]250:443 78[.]46[.]73[.]125:443 78[.]47[.]204[.]80:443 79[.]172[.]212[.]216:8080 8[.]9[.]11[.]48:443 81[.]0[.]236[.]90:443 82[.]165[.]152[.]127:8080 85[.]214[.]67[.]203:8080 93[.]104[.]209[.]107:8080
更新履歴
- 2022年3月4日 初版
- 2022年3月9日 xlsm ファイル添付型メールの観測時期の訂正
(誤: 観測時期: 2021年12月7日のみ,正: 観測時期: 2021年12月7日から)