روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  مدتی پیش، تحلیل‌گران سرویس پاسخ به تهدیدات کسپرسکی (MDR) یک حمله هدفمند علیه سامانه‌های فناوری اطلاعات دولتی در منطقه آفریقا را شناسایی کردند. مهاجمان از نام‌های از پیش تعریف‌شده برای سرویس‌های داخلی، آدرس‌های IP و سرورهای پراکسی استفاده کرده بودند که به‌طور مستقیم در بدافزار جاسازی شده بودند. یکی از سرورهای فرمان و کنترل (C2) شناسایی‌شده، یک سرورشیرپونیتداخلی در زیرساخت قربانی بود.

در جریان تحلیل این رخداد، مشخص شد که عامل این حمله گروه APT41 بوده است؛ یک گروه جاسوسی سایبری با منشأ چینی که به فعالیت علیه سازمان‌های فعال در حوزه‌های مختلف از جمله مخابرات، انرژی، آموزش، بهداشت و شرکت‌های فناوری اطلاعات در دست‌کم ۴۲ کشور شناخته می‌شود. شایان ذکر است که پیش از این حمله، منطقه آفریقا کمترین سطح فعالیت از سوی این گروه را تجربه کرده بود.

بررسی رخداد و تحلیل ابزارهای مورد استفاده

شناسایی

تیم MDR کسپرسکی فعالیتی مشکوک را در چند ایستگاه کاری در زیرساخت یک سازمان شناسایی کرد. این هشدارها نشان‌دهنده استفاده از ماژول WmiExec از مجموعه ابزار Impacket بودند. مشخصاً این فعالیت‌ها با نشانه‌هایی از جمله موارد زیر همراه بود:

• زنجیره‌ای از فرایندها به ترتیب: svchost.exe ➔ exe ➔ cmd.exe
• ثبت خروجی دستورات اجراشده در یک فایل واقع در یک مسیر اشتراک‌گذاری‌شده در شبکه ادمین، که نام فایل شامل مجموعه‌ای از اعداد جداشده با نقطه بود.

مهاجمان همچنین از ماژول Atexec در مجموعه Impacket بهره برده بودند.

این دستورات برای بررسی در دسترس بودن سرور فرمان و کنترل (C2) مهاجمان مورد استفاده قرار گرفت؛ هم از طریق اینترنت و هم از طریق پراکسی داخلی سازمان. منبع این فعالیت مشکوک، یک میزبان بدون نظارت بود که مورد نفوذ قرار گرفته بود. ابزار Impacket روی این میزبان در قالب یک حساب کاربری سرویس اجرا شده بود. در ادامه، این میزبان به سامانه تله‌متری ما متصل شد تا منبع آلودگی با دقت شناسایی شود. پس از پایان اجرای ماژول‌های Atexec و WmiExec، مهاجمان به‌طور موقت فعالیت خود را متوقف کردند.

ارتقای سطح دسترسی و حرکت درون شبکه

پس از یک وقفه کوتاه، مهاجمان بار دیگر وارد عمل شدند. در این مرحله، آن‌ها به بررسی فرایندهای فعال و پورت‌های اشغال‌شده در سامانه‌ها پرداختند. مهاجمان به‌احتمال زیاد در تلاش بودند تا بررسی کنند آیا میزبان‌های هدف از راهکارهای امنیتی مانند EDR، MDR یا XDR، یا ابزارهای مدیریت میزبان بهره می‌برند یا خیر. آن‌ها همچنین از ابزار داخلی reg.exe  برای استخراج محتویات هیوهای SYSTEM و SAM رجیستری استفاده کردند. در ایستگاه‌هایی که تحت نظارت سیستم‌های امنیتی ما بودند، فعالیت مهاجمان مسدود شد و در نتیجه فایل خروجی استخراج، خالی ماند. اما برخی میزبان‌ها در سازمان فاقد راهکارهای امنیتی بودند. در نتیجه، مهاجمان موفق شدند اطلاعات کاربری را از رجیستری استخراج و در مراحل بعدی حمله از آن‌ها استفاده کنند.

این موضوع یک نکته حیاتی را برجسته می‌کند:
برای شناسایی سریع تهدیدات و کاهش خسارت احتمالی، نصب عوامل امنیتی روی تمام ایستگاه‌های کاری بدون استثنا ضروری است. هرچه داده‌های تله‌متری کامل‌تر باشد، واکنش به رخدادها نیز مؤثرتر خواهد بود. همچنین نظارت دقیق بر سطح دسترسی حساب‌های کاربری و سرویس بسیار مهم است؛ به‌ویژه در مواردی که یک حساب روی چند میزبان در شبکه وجود دارد، نباید بیش از حد نیاز دسترسی داشته باشد. در این رخداد خاص، مهاجمان از دو حساب دامنه که از رجیستری استخراج شده بودند برای حرکت جانبی در شبکه استفاده کردند:

• حساب دامنه با دسترسی مدیر محلی به تمام ایستگاه‌ها
• حساب مربوط به راهکار پشتیبان‌گیری با دسترسی مدیر دامنه

دسترسی سطح ادمین محلی به مهاجمان اجازه داد تا از طریق پروتکل SMB ابزارهای مورد استفاده برای ارتباط با سرور فرمان و کنترل (C2) را به مسیر اشتراکیC$ منتقل کنند. این ابزارها شامل Cobalt Strike  و یک عامل سفارشی می‌شدند که در ادامه به آن‌ها خواهیم پرداخت.

در بیشتر موارد، مهاجمان ابزارهای مخرب خود را در مسیر C:\WINDOWS\TASKS\روی میزبان‌های هدف قرار می‌دادند، اما از مسیرهای دیگر نیز استفاده شده بود.

ارتباط با سرور فرمان و کنترل (C2)

Cobalt Strike

مهاجمان از ابزار Cobalt Strike  برای برقراری ارتباط C2 روی میزبان‌های آلوده استفاده کردند. آن‌ها این ابزار را به‌صورت یک فایل رمزگذاری‌شده معمولاً با پسوند TXT یا INI توزیع می‌کردند.
برای رمزگشایی، یک کتابخانه مخرب (DLL)  را از طریق تکنیک DLL sideloading  در یک برنامه قانونی تزریق کرده بودند.

مهاجمان تمام فایل‌های مورد نیاز شامل برنامه قانونی، کتابخانه DLL مخرب، و فایل باریا همان پی‌لود  را در یکی از مسیرهای مشخص‌شده قرار داده بودند.
کتابخانه مخرب در واقع یک DLL قانونی تغییریافته بود که به‌گونه‌ای اصلاح شده بود تا به‌دنبال یک فایل خاص در همان مسیر بگردد و بار رمزگذاری‌شده‌ی Cobalt Strike را از آن استخراج کند. به همین دلیل، نام فایل‌های بار بسته به محتوای هاردکد شده در DLL مخرب متفاوت بود.

در طول حمله، مهاجمان از نسخه‌های مختلفی از DLLهای تغییریافته به‌همراه بارهای مربوط به آن‌ها استفاده کردند. با وجود استفاده از برنامه‌های قانونی متنوع برای اجرای Cobalt Strike، فرآیند رمزگشایی بار در بیشتر موارد مشابه بود.
در یکی از نمونه‌ها، مهاجمان از فایل قانونی cookie_exporter.exe، که بخشی از مرورگر Microsoft Edge است، برای اجرای Cobalt Strike استفاده کردند. این برنامه هنگام اجرا به‌دنبال فایل msedge.dll در همان مسیر می‌گردد.

مهاجمان با تغییر نام فایل cookie_exporter.exe به Edge.exe و جایگزین کردن فایل msedge.dll با نسخه مخرب خود (اما با همان نام)، اجرای کد مخرب را ممکن کردند. هنگام بارگذاری هر کتابخانه دینامیکی، ابتدا تابع DllEntryPointاجرا می‌شود. در نسخه تغییریافته DLL، این تابع شامل بررسی‌هایی برای شناسایی محیط‌های دیباگ بود. علاوه بر آن، در اجرای اولیه، کتابخانه زبان‌های نصب‌شده روی میزبان را بررسی می‌کرد. اگر هر یک از بسته‌های زبانی زیر شناسایی می‌شد، کد مخرب اجرا نمی‌شد:

• ژاپنی (ژاپن)
• کره‌ای (کره جنوبی)
• چینی (چین)
• چینی (تایوان)

این اقدام احتمالاً برای جلوگیری از شناسایی توسط تحلیل‌گران امنیتی در کشورهای شرق آسیا انجام شده بود. اگر سامانه از بررسی‌های اولیه عبور می‌کرد، برنامه‌ای که کتابخانه مخرب را بارگذاری کرده بود، تابع DLL صادرشده‌ای را اجرا می‌کرد که حاوی کد مخرب بود. از آنجا که در سناریوهای مختلف از برنامه‌های گوناگونی برای اجرای DLL استفاده شده بود، توابع صادرشده نیز بر اساس نحوه فراخوانی برنامه‌ها متفاوت بودند.
برای نمونه، در فایل msedge.dll، کد مخرب در تابع ShowMessageWithStringقرار داشت که توسط برنامه cookie_exporter.exeفراخوانی می‌شد.

تابع ShowMessageWithStringبار مخرب خود را از فایلی به نام Logs.txtکه در همان مسیر قرار داشت، دریافت می‌کرد. نام این فایل‌ها معمولاً در کد DLLهای مخرب به‌صورت هاردکد شده نوشته شده‌اند.
پس از رمزگشایی بار، DLL مخرب با استفاده از روش مرسوم، کد اجرایی را راه‌اندازی می‌کرد: ابتدا ناحیه‌ای از حافظه مجازی در فضای خود اختصاص می‌داد، سپس کد را در آن کپی کرده و با ایجاد یک ترِد  جدید آن را اجرا می‌کرد. در نسخه‌های دیگر عامل‌های Cobalt Strike که به‌صورت مشابه توزیع شده بودند، اجرای کد مخرب از طریق ایجاد یک فرایند جدید یا تزریق در حافظه یک فرایند در حال اجرا نیز مشاهده شده بود.

جالب است که در کنار این عملکردها، بخشی از کد در کتابخانه‌های مخرب کشف شد که ظاهراً پیامی برای تحلیل‌گران امنیتی بود. این رشته‌ها فقط در صورت اجرای DLL در محیط دیباگ نمایش داده می‌شوند، اگرچه در عمل چنین چیزی مشاهده نشد.

عامل مخرب

در جریان بررسی‌ها، یک سرور SharePoint آلوده شناسایی شد که مهاجمان از آن به‌عنوان سرور فرمان و کنترل (C2) استفاده می‌کردند. آن‌ها فایل‌هایی با نام‌های agents.exe و agentx.exe را از طریق پروتکل SMB  بین میزبان‌های قربانی توزیع کرده بودند.
هر یک از این فایل‌ها در واقع تروجان‌هایی مبتنی بر C# بودند که عملکرد اصلی آن‌ها اجرای دستورات دریافتی از یک وب‌شل به نام CommandHandler.aspxنصب‌شده روی سرور SharePoint بود.

مهاجمان نسخه‌های مختلفی از این Agentها را روی میزبان‌ها آپلود کرده بودند. این فایل‌ها دستورات دریافتی را با استفاده از پوسته cmd.exe و سوییچ /c اجرا می‌کردند. اگرچه مهاجمان دائماً فایل‌ها را تغییر می‌دادند، تحلیل‌ها نشان داد که تنوع عملکردی زیادی در هسته‌ی این Agentها وجود نداشت. تغییرات اغلب جزئی و با هدف فرار از شناسایی انجام می‌شد. نسخه‌های قدیمی نیز از روی میزبان‌های آلوده حذف می‌شدند.

مهاجمان از این Agentها برای شناسایی محیط  و جمع‌آوری اطلاعات حساس استفاده می‌کردند؛ از جمله:

• تاریخچه مرورگرها
• فایل‌های متنی و پیکربندی
• اسناد با پسوندهای .doc, .docx, و .xlsx

اطلاعات جمع‌آوری‌شده از طریق یک وب‌شل دیگر به نام upload.ashxبه سرور SharePoint منتقل می‌شد.

نکته جالبی که در بررسی‌ها مشخص شد، خطاهایی بود که مهاجمان در پیاده‌سازی مکانیزم ارتباط با سرور SharePoint مرتکب شده بودند. به‌طور مشخص، اگر وب‌شل CommandHandler.aspxروی سرور در دسترس نبود، عامل تلاش می‌کرد پیام خطای صفحه را به‌عنوان یک دستور اجرا کند. این اشتباه می‌تواند منجر به رفتارهای غیرمنتظره یا ثبت شواهد در سامانه شود.

دریافت دسترسی خط فرمان: ریورس‌شل از طریق فایل HTA

اگر مهاجمان پس از مرحله شناسایی اولیه، میزبان آلوده را باارزش برای ادامه عملیات تشخیص می‌دادند، تلاش می‌کردند دسترسی به خط فرمان را به‌صورت جایگزین و پایدار برقرار کنند. برای این کار، آن‌ها دستوری را اجرا می‌کردند که از یک منبع خارجی فایل مخرب HTAرا که حاوی اسکریپت JavaScript جاسازی‌شده بود دانلود و اجرا می‌کرد. مهاجمان تلاش کرده بودند این فعالیت مخرب را با استفاده از منابعی که ظاهر قانونی داشتند پنهان کنند. در این مورد خاص، آدرس مقصد، دامنه‌ای جعلی به نام github[.]githubassets[.]netبود که تقلیدی از دامنه رسمی GitHubبه‌نظر می‌رسید. این وب‌سایت عمدتاً برای میزبانی کدهای JavaScriptاستفاده می‌شد.

این اسکریپت‌ها یا مرحله بعدی بدافزار را تحویل می‌دادند یا ابزارهایی را که برای پیشبرد حمله لازم بود، بارگذاری می‌کردند. در زمان بررسی، از دامنه مذکور به‌جای محتوای مخرب، یک اسکریپت بی‌خطر دانلود می‌شد. به‌احتمال زیاد این اقدام با هدف پنهان‌سازی فعالیت‌ها و دشوارسازی تحلیل حمله انجام شده بود. با این حال، ما موفق شدیم نسخه‌ای از اسکریپت‌های مخرب قبلی را که توسط مهاجمان توزیع شده بود، بازیابی و تحلیل کنیم؛ از جمله فایل مخرب با شناسه 2CD15977B72D5D74FADEDFDE2CE8934F.
هدف اصلی این اسکریپت، ایجاد یک ریورس‌شل روی میزبان بود تا مهاجمان بتوانند دستورات خود را از راه دور اجرا کنند.

پس از اجرا، اسکریپت ابتدا اطلاعات اولیه‌ای از میزبان را جمع‌آوری می‌کرد.
سپس به سرور C2 به آدرس github[.]githubassets[.]net متصل می‌شد و در کنار داده‌های جمع‌آوری‌شده، یک شناسه منحصر‌به‌فرد با نام ATTACK_ID را ارسال می‌کرد. برای برقراری ارتباط، اسکریپت از روش‌های مختلفی مانند WebSocket، AJAX و Flash استفاده می‌کرد. انتخاب روش بسته به قابلیت‌های مرورگر یا محیط اجرای میزبان انجام می‌شد.

جمع‌آوری داده‌ها

در مرحله بعد، مهاجمان با استفاده از ابزارهای خودکار از جمله Stealerها و ابزارهای استخراج اطلاعات کاربری  داده‌های حساس را جمع‌آوری می‌کردند.
اطلاعات استخراج‌شده نیز از طریق سرور SharePoint آلوده به بیرون انتقال داده می‌شد. علاوه بر وب‌شل یادشده، پروتکل SMB نیز برای بارگذاری داده‌ها روی یک مسیر اشتراکی در این سرور به کار رفته بود.

ابزار Pillager

در میان ابزارهایی که مهاجمان برای جمع‌آوری اطلاعات روی میزبان‌ها مستقر کرده بودند، نسخه تغییریافته‌ای از ابزار Pillager  بیش از بقیه برجسته بود. این ابزار برای استخراج و رمزگشایی داده‌ها از سیستم هدف استفاده می‌شود. نسخه اصلی Pillager به‌صورت عمومی در یک مخزن در دسترس است و توضیحاتی به زبان چینی دارد.

انواع اصلی داده‌هایی که توسط این ابزار جمع‌آوری می‌شوند شامل موارد زیر می‌شود:

• اطلاعات کاربری ذخیره‌شده در مرورگرها، پایگاه‌داده‌ها، و ابزارهای مدیریتی مانند MobaXterm
• کد منبع پروژه‌ها
• اسکرین‌شات‌ها
• داده‌ها و مکالمات فعال چت
• پیام‌های ایمیل
• نشست‌های SSH و FTP فعال
• فهرست نرم‌افزارهای نصب‌شده
• خروجی دستورات systeminfoو tasklist
• اطلاعات کاربری ذخیره‌شده در سیستم‌عامل و رمزهای وای‌فای
• اطلاعات حساب از اپلیکیشن‌های چت، کلاینت‌های ایمیل و نرم‌افزارهای دیگر

این سطح از جمع‌آوری داده نشان‌دهنده تمرکز شدید مهاجمان بر دسترسی به اطلاعات محرمانه و قابل بهره‌برداری برای ادامه حمله یا فروش اطلاعات است.مهاجمان در اقدامی متفاوت، کد مخرب خود را به جای یک فایل اجرایی (EXE)، به‌صورت یک کتابخانه‌ی داینامیک (DLL) به نام wmicodegen.dll بازنویسی و کامپایل کرده‌اند. این فایل سپس از طریق تکنیکی به نام DLL Sideloadingدر سیستم قربانی اجرا می‌شود. آن‌ها برای اجرای این DLL، فایل convert-moftoprovider.exe را که بخشی از ابزارهای رسمی Microsoft SDK است، هدف قرار داده‌اند. این برنامه معمولاً برای تولید کد از فایل‌های MOF استفاده می‌شود. مهاجمان باوجود تغییر کد، نام و مسیر فایل خروجی پیش‌فرض استیلر را دست‌نخورده باقی گذاشتند:
C:\Windows\Temp\Pillager.zip.

نکته جالب این است که کتابخانه مخربی که استفاده کردند، بر پایه کتابخانه معتبر SimpleHD.dllمربوط به رندر HDR از مجموعه توسعه ایکس‌باکس ساخته شده بود. سورس این کتابخانه روی گیت‌هاب در دسترس است. آنها این کد را تغییر دادند تا برنامه convert-moftoprovider.exeبتواند یک تابع صادر شده را بارگذاری کند که حاوی کد Pillager بود.

Checkout

استیلر دوم مهاجمان، Checkout  بود. علاوه بر سرقت اطلاعات ذخیره‌شده ورود و تاریخچه مرورگر، اطلاعات فایل‌های دانلود شده و داده‌های کارت اعتباری ذخیره شده در مرورگر را نیز جمع‌آوری می‌کند.
مهاجمان هنگام اجرای Checkout، پارامتری به نام j8به آن می‌دهند؛ بدون این پارامتر استیلر اجرا نمی‌شود. این بدافزار داده‌ها را در فایل‌های CSV جمع‌آوری کرده و سپس آنها را در یک آرشیو با نام CheckOutData.zipذخیره می‌کند. این فایل در دایرکتوری خاصی به نام CheckOut نگهداری می‌شود.

RawCopy

علاوه بر روش‌های معمول برای گرفتن نسخه‌ای از رجیستری مثل استفاده از reg.exe، مهاجمان از ابزار عمومی RawCopy استفاده کردند (MD5: 0x15D52149536526CE75302897EAF74694). این برنامه خط فرمانی است که با روش خواندن پایین‌رده دیسک، فایل‌ها را از پارتیشن‌های NTFS کپی می‌کند.

Mimikatz

مهاجمان از ابزار مشهور Mimikatz برای استخراج رمزهای حساب‌ها نیز بهره بردند. مشابه استیلر Pillager، Mimikatz هم بازنویسی و به صورت DLL کامپایل شده بود. این DLL توسط فایل قانونی java.exeکه برای کامپایل کد جاوا استفاده می‌شود از طریق DLL sideloading بارگذاری می‌شد.
یک اسکریپت BAT به نام 123.batفرمان‌های اجرای java.exe قانونی را دارد که DLL مخرب را بارگذاری می‌کند. این DLL سپس فایل پیکربندی Mimikatz به نام config.ini را رمزگشایی و اجرا می‌کند. این فایل از قبل از یک هاست نفوذ شده در شبکه توزیع شده بود.

شکار تهدید به صورت گذشته‌نگر

همان‌طور که گفته شد، پوشش نظارتی سازمان قربانی در ابتدا ناقص بود و در مراحل اولیه فقط آدرس IP خارجی منبع اولیه را مشاهده کردیم و نمی‌توانستیم فعالیت‌های آن میزبان را رصد کنیم.
بعد از مدتی آن میزبان به سیستم‌های نظارتی متصل شد و فهمیدیم که یک وب‌سرور IIS است. با وجود زمان از دست رفته، هنوز آثار حمله روی آن بود. از جمله این آثار، ایمپلنت Cobalt Strikeدر مسیر *c:\programdata* و یک تسک زمان‌بندی شده برای ایجاد پایداری در سیستم بود. همچنین یک وب‌شل روی میزبان باقی مانده بود که توسط راهکارهای امنیتی ما با نام HEUR:Backdoor.MSIL.WebShell.genشناسایی شد.
این وب‌شل با نام newfile.aspx شناخته می‌شد. بر اساس نام توابع آن، متوجه شدیم که این نمونه از وب‌شل تونلینگ Neo-reGeorg استفاده می‌کرد. این ابزار برای پروکسی کردن ترافیک از شبکه خارجی به داخلی از طریق یک وب‌سرور قابل دسترس خارجی استفاده می‌شود. بنابراین، اجرای ابزارهای Impacket که در ابتدا تصور می‌کردیم از یک میزبان ناشناس -وب‌سرور IIS-صادر شده، در واقع از طریق این تونل، از شبکه خارجی هدایت می‌شد.

نسبت دادن حمله

با اطمینان بالا، این حمله را به گروه APT41 نسبت می‌دهیم، بر اساس شباهت‌های واضح در تاکتیک‌ها، تکنیک‌ها و رویه‌ها، ابزارها و زیرساخت‌های کنترل و فرمان (C2) با دیگر عملیات‌های شناخته شده این گروه. به ویژه:

•          استفاده از ابزارهای مشخصه APT41 مثل Impacket، WMIو Cobalt Strike
•          به‌کارگیری تکنیک‌های DLL sideloading
•          ذخیره شدن فایل‌های مختلف در مسیر C:\Windows\Temp
•          دامنه‌های C2 کشف شده در این حمله (s3-azure.comو زیر دامنه‌های آن) مشابه دامنه‌های پیشین این گروه بوده‌اند (مانند us2.s3bucket-azure.online و status.s3cloud-azure.com).

نکات و درس‌های آموخته شده

مهاجمان از مجموعه‌ای گسترده از ابزارهای هم اختصاصی و هم عمومی بهره می‌برند. به طور خاص، در مراحل مختلف حمله از ابزارهای تست نفوذ مثل Cobalt Strike استفاده می‌کنند. آنها به سرعت خود را با زیرساخت هدف وفق می‌دهند و ابزارهای مخرب خود را برای هماهنگی با ویژگی‌های خاص آن به‌روزرسانی می‌کنند. حتی می‌توانند از سرویس‌های داخلی برای ارتباط با سرور فرمان و کنترل و استخراج داده‌ها بهره ببرند. فایل‌های به‌دست آمده نشان می‌دهد که مهاجمان در طول حمله تکنیک‌های خود را تغییر می‌دهند تا فعالیت‌هایشان پنهان بماند، مانند بازنویسی فایل‌های اجرایی و کامپایل مجدد آن‌ها به شکل DLL برای بهره‌برداری از DLL sideloading.

هرچند این ماجرا در نهایت به خوبی ختم شد و مهاجمان از سیستم‌های سازمان هدف بیرون رانده شدند، اما مقابله با حملات پیچیده‌ای از این دست بدون دانش کامل و پایش مستمر کل زیرساخت غیرممکن است. به عنوان مثال، در این رخداد برخی از دارایی‌ها به سیستم‌های نظارتی متصل نبودند و این باعث شد نتوانیم بلافاصله کل ماجرا را مشاهده کنیم. حفظ پوشش کامل زیرساخت با ابزارهای امنیتی که توانایی مسدودسازی خودکار فعالیت‌های مخرب در مراحل ابتدایی را دارند، حیاتی است. در نهایت، اکیداً توصیه می‌کنیم به حساب‌های کاربری دسترسی‌های بیش از حد ندهید و به‌خصوص از استفاده از این حساب‌ها در تمام میزبان‌ها خودداری کنید.

فهرست شاخص نفوذ

فایل‌ها

2F9D2D8C4F2C50CC4D2E156B9985E7CA
9B4F0F94133650B19474AF6B5709E773
A052536E671C513221F788DE2E62316C
91D10C25497CADB7249D47AE8EC94766
C3ED337E2891736DB6334A5F1D37DC0F
9B00B6F93B70F09D8B35FA9A22B3CBA1
15097A32B515D10AD6D793D2D820F2A8
A236DCE873845BA4D3CCD8D5A4E1AEFD
740D6EB97329944D82317849F9BBD633
C7188C39B5C53ECBD3AEC77A856DDF0C
3AF014DB9BE1A04E8B312B55D4479F69
4708A2AE3A5F008C87E68ED04A081F18
125B257520D16D759B112399C3CD1466
C149252A0A3B1F5724FD76F704A1E0AF
3021C9BCA4EF3AA672461ECADC4718E6
F1025FCAD036AAD8BF124DF8C9650BBC
100B463EFF8295BA617D3AD6DF5325C6
2CD15977B72D5D74FADEDFDE2CE8934F
9D53A0336ACFB9E4DF11162CCF7383A0

دامنه‌ها و آی‌پی‌ها

47.238.184[.]9
38.175.195[.]13
hxxp://github[.]githubassets[.]net/okaqbfk867hmx2tvqxhc8zyq9fy694gf/hta
hxxp://chyedweeyaxkavyccenwjvqrsgvyj0o1y.oast[.]fun/aaa
hxxp://toun[.]callback.red/aaa
hxxp://asd.xkx3[.]callback.[]red
hxxp[:]//ap-northeast-1.s3-azure[.]com
hxxps[:]//www[.]msn-microsoft[.]org:2053
hxxp[:]//www.upload-microsoft[.]com
s3-azure.com
*.ns1.s3-azure.com
*.ns2.s3-azure.com
upload-microsoft[.]com
msn-microsoft[.]org

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.