Dear Joohn行动：看Sofacy组织如何在全球掀起风浪

正如我们在 之前 分析 Cannon 木马 的文章 中所提到的那样， Sofacy 组织（又名 Fancy Bear 、 APT28 、 STRONTIUM 、 Pawn Storm 、 Sednit ）在今年 10 月中旬到 11 月中旬期间一直在忙于攻击世界各地的各种政府和私人组织。虽然其大部分攻击目标都位于北约盟国，但也有少部分位于前苏联国家。所有这些攻击大都旨在传播我们在 之前已经分析过的 Zebrocy 木马 变种 ，但 ESET 的报告 显示，其中一些恶意文档也传播了 Cannon 或 Zebrocy Delphi 变种。自 2015 年年中开始追踪 Zebrocy 的使用情况以来，我们发现该木马的使用率一直呈上升趋势。相比其他与 Sofacy 组织相关的后门工具， Zebrocy 在攻击行动中的使用率明显要高得多。

我们将在本文中详细介绍的所有攻击都有一个共同点——恶意文档使用的都是同一个作者名称： Joohn 。最初引起我们注意的恶意文档样本被命名为“ crash list(Lion Air Boeing 737).docx ”，旨在传播 Zebrocy 木马。通过利用我们的 AutoFocus 威胁情报平台，以及从 VirusTotal 收集到的数据，我们基于这份文档的元数据和行为发现了 Cannon 木马，以及其他更多的恶意文档、 payload 和攻击目标。

需要说明的是，所有这些攻击的初始攻击媒介几乎全都是鱼叉式网络钓鱼电子邮件。另外，攻击使用的都是注册到合法电子邮件服务提供商的电子邮件帐户，而不是被黑的账户。这些帐户的名称看上去与合法政府组织的名称或其他受信任的第三方实体的名称十分相似。

此外，所有这些恶意文档在功能上几乎完全相同——利用 Microsoft Word 的远程模板下载功能从第一阶段 C2 检索恶意宏，加载并执行初始 payload 。大多数恶意文档都不包含任何文字内容，仅包含一张通用的诱饵图片，以诱使收件人启用宏。从这一点来看，攻击者似乎主要是想通过文件名来吸引受害者，而不是文档的内容。

总的来说，我们在 2018 年 10 月 17 日到 2018 年 11 月 15 日期间共捕获了 9 份不同的恶意文档，它们都使用了相同作者名（即 Joohn ），旨在传播 Zebrocy 或 Cannon 变种。我们 收集到的数据显示， Dear Joohn 行动的 攻击目标 横跨四大洲，从联邦层面的政府机构到地方政府机构。

此外，我们还利用收集到的数据创建了 Dear Joohn 行动的时间表，从而能够更加清晰地展示 Sofacy 组织是在何时向他们的目标发起了攻击，以及他们是如何利用自动化 工具 来实施攻击的。

攻击活动分析

从 10 月 17 日开始，我们一共捕获到了 9 份不同的恶意文档，它们被发送给了位于世界各地的多个组织。具体来说，攻击目标包括一个北美外交事务组织、几个欧洲外交事务组织以及几个前苏联国家政府实体。更多的证据表明，此次行动可能还针对了世界各地的执法机构，包括北美、澳大利亚和欧洲。另外，我们的遥测数据还显示，此次行动有可能也针对了一些非政府组织、营销公司以及医疗行业的组织。所有这些攻击的攻击媒介都是鱼叉式网络钓鱼电子邮件，且使用的都是注册到免费电子邮件服务提供商 Seznam 的电子邮件帐户。这里需要说明一下的是， Seznam 是一家位于捷克的合法电子邮件服务提供商。图 1 展示的是一封钓鱼电子邮件示例。

图 1. 在 Dear Joohn 行动中发送的鱼叉式网络钓鱼电子邮件示例

在此次行动中， Sofacy 组织似乎主要是想通过文件名来吸引受害者。文档的名称包括英国脱欧（ Brexit ）、狮航客机坠毁，以及最近在以色列发生的火箭袭击（完整的恶意文档列表见表 1 ）。虽然文档名称似乎透露出攻击具有高度针对性，但文档的实际内容却大体一致，都仅包含一张通用的诱饵图片，如图 2 所示。

图 2. 通用的诱饵图片

到了 11 月份， Sofacy 组织改变了其战术，开始为他们的恶意文档使用不同的诱饵内容。在这个月，我们一共捕获到了三份针对北约盟国的恶意文档样本，它们的内容均不相同，如图 3 所示。

图 3. 有针对性的诱饵内容

其中一份文档向收件人展示的内容是模糊不清的，但可以很明显地看到北约爆炸军械处理小组（ EOD ）的印章。实际上，恶意文档所包含的内容仍然仅是一张图片，只是经过了模糊处理，上面的内容与一个北约研讨会议有关。另外两份文档彼此之间非常相似，向收件人展示的内容都是一堆乱码，以及有关如何正确查看文档的说明。有趣的是，其中一份文档中的说明是采用俄文编写的，这可能表明其攻击目标位于一个讲俄语的国家。

无论实际内容如何，所有恶意文档均使用了相同的策略来实施攻击。在被打开之后，恶意文档首先会利用 Microsoft Word 自带的功能来尝试下载一个远程模板，然后加载恶意宏，如图 4 所示。

图 4.Microsoft Word 尝试下载远程模板

如果 C2 服务器在文档被打开时处于开启状态，那么下载将会成功，而恶意宏将被加载到同一 Microsoft Word 会话中。然后，收件人将看到一个“ Enable Content （启用内容）”提示，如图 5 所示。但如果 C2 服务器处于关闭状态，那么下载将会失败，收件人将不会看到“ Enable Content （启用内容）”提示，因为没有宏被下载。”

图 5. 下载的远程模板，提示收件人单击“ Enable Content ”以运行宏

恶意文档分析

我们在 10 月和 11 月期间捕获的所有恶意文档都存在大量相似之处（如表 1 所示），这使得我们可以将这些攻击联系起来。其中最明显的相似之处就是，文档作者的名字都是 Joohn 。不过，这种相似性在 11 月份出现了一个细微的偏差。虽然我们在该月捕获的三个样本仍然使用了 Joohn 这个名字，但它仅作为“最后一次保存者”出现，而“作者”属性改为了使用默认的“ USER/user ”。

散列值	文件名	作者	最后一次保存者	远程模版位置	远程模版散列值
c20e5d56b3..	1500029.docx	Joohn	Joohn	185.203.118[.]198	86bb3b00bc..
abfc14f7f7..	Passport.docx	Joohn	Joohn	185.203.118[.]198	86bb3b00bc..
40318f3593..	DN_325_170428_DEA Basic Narcotics Investigation Course invitation.docx	Joohn	Joohn	145.249.105[.]165	2da5a388b8..
5749eb9d7b..	2018_10_13_17_15_21.docx	Joohn	Joohn	145.249.105[.]165	0d7b945b9c..
2cfc4b3686..	crash list(Lion Air Boeing 737).docx	Joohn	Joohn	188.241.58[.]170	f1e2bceae8..
af77e845f1..	Заявление.docx	Joohn	Joohn	188.241.58[.]170	fc69fb278e..
34bdb5b364..	Rocket attacks on Israel.docx	user	Joohn	109.248.148[.]42	ed8f52cdfc..
79bd5f3486..	201811131257.docx	USER	Joohn	109.248.148[.]42	b9f3af84a6..
77ff53211b..	Brexit 15.11.2018.docx DIP 89 OIC Condemns 14 Nov Attacks.docx 15.11 attacks.docx	USER	Joohn	109.248.148[.]42	< 未知 >

表 1. 出现在 Dear Joohn 行动中的恶意文档

此外，由表 1 中的恶意文档下载的远程模板也使用了相同的作者名称： xxx ，如表 2 所示（想要查看完整的散列值和元数据，请戳 这里 ）。

散列值	文件名	作者	创建时间	最后修改时间	托管 IP
f1e2bceae8..	office.dotm	xxx	10/31/18 10:52	10/31/18 10:52	188.241.58[.]170
86bb3b00bc..	Note_template.dotm	xxx	10/17/18 05:35	10/17/18 05:35	185.203.118[.]198
2da5a388b8..	release.dotm	xxx	10/25/18 07:06	10/25/18 07:06	145.249.105[.]165
0d7b945b9c..	message_template.dotm	xxx	10/23/18 13:55	10/23/18 13:55	145.249.105[.]165
fc69fb278e..	documents.dotm	xxx	11/01/18 05:00	11/01/18 05:06	188.241.58[.]170
ed8f52cdfc..	templates.dotm	xxx	11/13/18 10:52	11/13/18 10:52	109.248.148[.]42
b9f3af84a6..	attachedTemplate.dotm	xxx	11/15/18 05:35	11/15/18 05:35	109.248.148[.]42

表 2.Dear Joohn 恶意文档下载的远程模板

如表 1 所示，恶意文档分别从四台不同的 C2 服务器下载对应的远程模板，服务器的 IP 地址如下：

l   185.203.118[.]198

l   145.249.105[.]16

l   188.241.58[.]170 

l   109.248.148[.]42

这些初始 C2 服务器 IP 地址不仅托管了会在随后加载第一阶段 Zebrocy 或 Cannon payload 的远程模板，而且还托管了第一阶段 payload 的 C2 服务器。在 Dear Joohn 行动中使用的所有 C2 服务器都基于 IP ，并且基础设施与早前的 Zebrocy 或 Sofacy 基础设施之间不存在任何重叠或关联。 Dear Joohn 行动的基础设施网络如图 6 所示。

图 6.Dear Joohn 行动的基础设施网络

我们根据收集的数据创建了 Dear Joohn 行动的时间表（基于表 3 中的时间戳），且发现攻击主要集中在 10 月中下旬和 11 月中旬，如图 7 所示。

文件名	创建时间	最后修改时间	首次出现	时间间隔 （天）
Passport.docx instruction.docx	9/11/18 04:22	10/13/18 08:21	10/18/18 07:38	37.1
DN_325_170428_DEA…invitation.docx	9/11/18 04:22	10/13/18 08:21	10/25/18 08:15	44.12
crash list(Lion Air Boeing 737).docx Бурханов.docx	9/11/18 04:22	10/13/18 08:21	11/01/18 06:50	51.1
Заявление.docx	9/11/18 04:22	10/13/18 08:21	11/01/18 11:41	51.3
1500029.docx	10/18/18 06:59	10/18/18 07:00	10/18/18 08:47	0.4
2018_10_13_17_15_21.docx	10/18/18 06:59	10/18/18 07:00	10/24/18 07:38	6.2
Rocket attacks on Israel.docx	11/13/18 12:17	11/13/18 10:46	11/14/18 05:14	0.7
Brexit 15.11.2018.docx DIP 89 OIC Condemns 14 Nov Attacks.docx 15.11 attacks.docx	11/14/18 14:17	11/15/18 04:50	11/15/18 06:28	0.8
201811131257.docx	11/14/18 14:33	11/15/18 04:50	11/15/18 12:31	0.9

表 3. 恶意文档的时间戳（所有时间均为 UTC ）

图 7.Dear Joohn 行动时间表

从时间戳来看，最初的四份恶意文档是在 2018 年 9 月 11 日 04:22 同时被创建的，并在 2018 年 10 月 13 日 08:21 同时被修改。四份恶意文档在完全相同的时间被创建并修改，但却被嵌入了三个不同的 C2 地址，这可能表明攻击者使用了某种自动化工具。我们都知道，这可以通过使用基于命令行的渗透测试工具包来实现。比如 Phishery ，它就允许我们通过一个简单的脚本，以不同的输入同时生成多个文档。总的来说，这四份文档从最初创建到用于攻击的平均时间间隔为 46 天。随着时间的推移， Dear Joohn 行动的节奏明显加快，从文件的创建到用于攻击的平均时间间隔下降到了大约两天。

Payload分析

如上所述，出现在 Dear Joohn 行动中的恶意文档会下载一个远程模板，包含在其中的恶意宏被用于安装第一阶段 payload 。除了 Cannon 之外，第一阶段 payload 几乎都是 Zebrocy 木马的变种。在此次行动中传播的 Zebrocy 变种由多种不同的语言编写而成，包括 Delphi 、 C ＃和 VB.NET 。表 4 列出了出现在 Dear Joohn 行动中的所有第一阶段 payload 的信息。

SHA256	编译日期	变种	C2
5173721f30..	10/23/18	C# Zebrocy	145.249.105[.]165
61a1f3b4fb..	11/1/18	C# Cannon	sahro.bella7[at]post.cz
6ad3eb8b56..	6/19/92	Delphi Zebrocy	188.241.58[.]170
9a0f00469d..	10/25/18	C# Zebrocy	145.249.105[.]165
b41480d685..	6/19/92	Delphi Zebrocy	109.248.148[.]42
c91843a69d..	6/19/92	Delphi Zebrocy	185.203.118[.]198
e5aece694d..	11/13/18	VB.NET Zebrocy	109.248.148[.]42

表 4. 出现在 Dear Joohn 行动中的第一阶段 payload

值得注意的是，出现在 Dear Joohn 行动中的 Zebrocy Delphi 变种与我们之前 在 2018 年 6 月 有关 Zebrocy 的分析文章 中 讨论的 Delphi downloader 非常相似。因此，这个 Delphi 变种应该算是一种已知的变种。但是，出现在此次行动中的 C ＃和 VB.NET 变种此前从未被报道过。需要指出的是，出现在此次行动中的所有 Zebrocy Delphi 变种均采用了 UPX 压缩，而其他变种都没有经过压缩。我们推测，这很可能也正是因为 Zebrocy Delphi 变种作为一种已知变种已经被广泛分析的原因， Sofacy 组织可能是想要通过对它进行压缩来增加逃过安全检测的机率。

通过对 Cannon 样本的收集和分析，我们认为采用 Delphi 编写的 Cannon 也是一个全新的变种。鉴于我们已经看到 Sofacy 组织使用了多种语言来创建 Zebrocy 变种，因此该组织同样也有能力在多种编程语言中创建 Cannon 变种。

C ＃ Cannon

自我们 发布有关 Cannon 的 分析文章 以来，我们成功捕获了其他的一些 Cannon 样本，以便更好地了解它的起源。从目前看来，第一个已知的 C ＃ Cannon 样本似乎是在 2018 年 4 月 18 日创建的，从那以后至少有 7 个样本被发布。表 5 展示了目前已知的所有 C ＃ Cannon 样本、它们的编译时间以及用于 C2 通信的电子邮箱帐户。

SHA256	编译时间	C2 账户	POP3S 账户	SMTPS 账户
861b6bc1f9..	4/18/18	sym777.g	kae.mezhnosh	vebek.morozh30 g0r7tsa45s marvel.polezha
4405cfbf28..	5/14/18	sym777.g	kae.mezhnosh	vebek.morozh30 g0r7tsa45s marvel.polezha
174effcdee..	6/15/18	sym777.g	kae.mezhnosh	vebek.morozh30 g0r7tsa45s marvel.polezha
a23261e2b6..	6/22/18	sym777.g	kae.mezhnosh	vebek.morozh30 g0r7tsa45s marvel.polezha
651d5aab82..	10/19/18	sym777.g	kae.mezhnosh	vebek.morozh30 g0r7tsa45s marvel.polezha
68df0f924c..	10/22/18	sym777.g	kae.mezhnosh	vebek.morozh30 g0r7tsa45s marvel.polezha
61a1f3b4fb..	11/1/18	sahro.bella7	trala.cosh2	Bishtr.cam47 Lobrek.chizh Cervot.woprov

表 5. 已知的 C ＃ Cannon 样本

正如我们在最初的分析文章中所提到那样，被攻击者用来充当 C2 的电子邮箱地址是 sahro.bella7[at]post.cz ，但所有早期的 C ＃ Cannon 样本使用的都是 sym777.g[at]post.cz 。此外，所有早期的 C ＃ Cannon 样本都使用了同一个帐户名 kae.mezhnosh 来接收来自攻击者的电子邮件，同时使用帐户名 vebek.morozh30 、 g0r7tsa45s 和 marvel.polezha 来向攻击者发送电子邮件。

也正如我们在最初的分析文章中所提到那样， C ＃ Cannon 能够使用 POP3S 登录到一个电子邮箱帐户，并检查具有特定文件名的电子邮件，该文件将被保存到目标系统并执行。需要指出的是，我们最初分析的 C ＃ Cannon 样本查找的是一个文件名为 auddevc.txt 的附件，但其他 C ＃ Cannon 样本查找的是以下文件名：

l   wmssl.txt

l   audev.txt

Delphi Cannon

在收集 Cannon 样本的过程中，我们发现了另一类使用电子邮件来进行 C2 通信的 Cannon 变种。我们之所以将它与 Cannon 联系起来，是因为它使用了文件名“ wmssl.exe ”。实际上，它是由 wmssl.txt 附件转换而来的，用于安装和执行一个辅助 payload 。当然，仅凭这一点，我们是无法将它与 Cannon 完全联系起来，但在收集到了 Delphi Cannon 的其他样本之后，我们发现了更多能够证明它们之间存在联系的证据。表 6 展示的是我们收集到的所有 Delphi Cannon 样本，其中样本（ SHA256 ： 215f7c08c2 .. ）与 ESET 分析文章 中 讨论的木马非常相似。

SHA256	创建时间	C2 电子邮箱地址	POP3S 账户	SMTPS 账户
5a02d4e5f6..	1/23/18	heatlth500@ambcomission[.]com	trash023@ambcomission[.]com	trasler22@ambcomission[.]com
d06be83a40..	2/21/18	heatlth500@ambcomission[.]com	trash023@ambcomission[.]com	trasler22@ambcomission[.]com
78adc8e5e4..	2/28/18	heatlth500@ambcomission[.]com	trash023@ambcomission[.]com	trasler22@ambcomission[.]com
054c5aa73d..	3/3/18	heatlth500@ambcomission[.]com	trash023@ambcomission[.]com	trasler22@ambcomission[.]com
cac630c11c..	4/18/18	N/A	N/A	N/A
ecc5805898..	5/4/18	heatlth500@ambcomission[.]com	trash023@ambcomission[.]com	trasler22@ambcomission[.]com
215f7c08c2..	6/14/18	rishit333@ambcomission[.]com	tomasso25@ambcomission[.]com	kevin30@ambcomission[.]com

表 6. 我们收集到的所有 Delphi Cannon 样本

从表 6 我们可以看出， Delphi Cannon 变种的编译时间要早于我们在最初报告中讨论的变种的编译时间，因为第一个已知的 Delphi 样本是在 2018 年 1 月份编译的，而我们在最初报告中讨论的 Cannon 样本是在 2018 年 4 月份编译的。 Delphi Cannon 变种没有使用合法的基于 Web 的电子邮件服务来进行 C2 通信，而是使用自主域名 ambcomission[.]com 电子邮箱帐户，而这个域名连接到一个更大的 Sofacy 基础设施网络，正如 ThreatConnect 所报道的那样。虽然 Delphi Cannon 也使用了 POP3S 和 SMTPS 来进行 C2 通信，但由于它使用的是由攻击者控制的自主域名，因此相对 Seznam 这样的合法电子邮件服务提供商来说，此类电子邮件更加容易被收件人屏蔽掉。

已知最早的 Delphi 变种样本（ SHA256 ： 5a02d4e5f6 … ）为我们提供了更多能够证明 Delphi Cannon 和 Cannon 之间存在联系的证据。例如，这个样本会将收集到的系统信息发送给 C2 ，其中涉及到将正在运行进程的路径附加到 header 字符串 Running place ，而这个字符串也可以在 C ＃ Cannon 样本（ SHA256 ： 4405cfbf28 … ）的 inf 函数中找到，如图 8 所示：

图 8. C ＃ Cannon 的 inf 函数

在对比这两类 Cannon 变种的过程中，我们在 Delphi Cannon 样本（ SHA256 ： 5a02d4e5f6 … ）中也发现了一个函数，它使用 Running place 和 Logical_Drivers 作为 header 字符串来将收集到的系统信息通过电子邮件发送给 C2 。虽然不完全匹配，但如图 9 所示， C ＃ Cannon 同样包含类似的 header 字符串，这使得我们更加确信，这两类变种的确来自同一个木马家族：

图 9. Delphi Cannon 和 C ＃ Cannon 的相似之处

VB.NET Zebrocy

VB.NET Zebrocy 变种（ SHA256 ： e5aece694d .. ）与其他已知的 Zebrocy 变种非常相似，它会将硬盘卷序列号包含在被它用作 C2 beacon 的 URL 中。需要说明的是，这个 beacon 是通过使用 Scripting.FileSystemObject 对象从存储在 Environment.SpecialFolder.LocalApplicationData 中的路径调用 GetDriveName 获得的。然后，它会使用从 GetDriveName 函数获取到的硬盘卷调用 GetDrive ，以获取硬盘的 SerialNumber 。接下来，这个 VB.NET 变种会通过运行以下命令来收集系统信息和正在运行的进程：

systeminfo & tasklist

用于将系统信息、正在运行的进程和屏幕截图发送到 C2 服务器的 URL 如下所示：

hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php?res=[serial number]

VB.NET Zebrocy 变种通过将一个 HTTP POST 请求发送到上面的 URL 来传输收集到的数据，这些数据包含在 HTTP POST 请求中，其结构如下（注意： “ ＆ ” 前后都有一个空格）：

data=[system information and running processes] & arg=[screenshot in BMP format]

C ＃ Zebrocy

C ＃ Zebrocy 变种在功能上与其他变种类似，但也有一些值得讨论的独有特性。与其他 Zebrocy 变种一样， C ＃ Zebrocy 变种会收集硬盘卷序列号，以用于 C2 服务器的出站 beacon 。具体来说， C ＃ Zebrocy 变种会使用 Windows API 函数 GetVolumeInformation 来获取 C 盘的序列号。另外，这个变种还能够捕获屏幕截图，并以 JPEG 格式传输到 C2 服务器。

除了使用的编程语言之外， C ＃ Zebrocy 变种最显着的变化是收集系统信息和正在运行的进程的方式。具体来说， C ＃ Zebrocy 变种使用的是 WMI 查询来收集此类信息，而不是使用 systeminfo 和 tasklist 命令。具体的 WMI 查询列表如下所示：

l   wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace

l   wmic diskdrive get Model, SerialNumber

l   wmic computersystem get Manufacturer, Model, Name, SystemTypec

l   wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages

l   wmic process get Caption,ExecutablePath

用于将系统信息、正在运行的进程和屏幕截图发送到 C2 服务器的 URL 如下所示：

hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php?fm=[serial number]

C ＃ Zebrocy 变种通过将一个 HTTP POST 请求发送到上面的 URL 来传输收集到的数据，这些数据包含在 HTTP POST 请求中，其结构如下：

spp=[system information from WMI queries] &spvg=[screenshot in JPEG format]

总结

Sofacy 组织仍在继续使用类似的策略和技术来攻击全球各地的组织。我们观察到，他们在 10 月底到 11 月期间通过鱼叉式网络钓鱼电子邮件实施了攻击，通常利用近期新闻事件作为文件名来诱使收件人打开恶意附件。在这些攻击中，该组织明显倾向于使用类似 Zebrocy 这样的简单 downloader 作为第一阶段 payload 。另一方面，该组织显然仍在继续对 Zebrocy 进行开发，并已经开发出了 VB.NET 和 C ＃版本。此外，他们在过去的攻击行动中似乎还使用了不同版本的 Cannon 。

IOC

恶意文档散列值：

2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f

c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f

abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74

40318f3593bca859673827b88d65c5d2f0d80a76948be936a60bda67dff27be9

5749eb9d7b8afa278be24a4db66f122aeb323eaa73a9c9e52d77ac3952da5e7d

af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

34bdb5b364358a07f598da4d26b30bac37e139a7dc2b9914debb3a16311f3ded

79bd5f34867229176869572a027bd601bd8c0bc3f56d37443d403a6d1819a7e5

77ff53211bd994293400cb3f93e3d3df6754d8d477cb76f52221704adebad83a

远程模板散列值：

f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46

2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8

0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef

fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba

b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809

远程模板 URL ：

hxxp://188.241.58[.]170/live/owa/office.dotm

hxxp://185.203.118[.]198/documents/Note_template.dotm

hxxp://185.203.118[.]198/documents/Note_template.dotm

hxxp://145.249.105[.]165/doc/temp/release.dotm

hxxp://145.249.105[.]165/messages/content/message_template.dotm

hxxp://188.241.58[.]170/version/in/documents.dotm

hxxp://109.248.148[.]42/officeDocument/2006/relationships/templates.dotm

hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm

hxxp://109.248.148[.]42/office/thememl/2012/main/attachedTemplate.dotm

Zebrocy 散列值：

5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a

9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9

b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3

c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65

e5aece694d740ebcb107921e890cccc5d7e8f42471f1c4ce108ecb5170ea1e92

Zebrocy C2 URL ：

hxxp://188.241.58[.]170/local/s3/filters.php

hxxp://185.203.118[.]198/en_action_device/center_correct_customer/drivers-i7-x86.php

hxxp://145.249.105[.]165/resource-store/stockroom-center-service/check.php

hxxp://109.248.148[.]42/agr-enum/progress-inform/cube.php

Cannon 散列值：

861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb

4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47

174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a

a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce

651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12

68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12

d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4

78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead

054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b

cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1

ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4

215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae

与 Cannon 相关的电子邮箱：

sym777.g[at]post.cz

kae.mezhnosh[at]post.cz

vebek.morozh30[at]post.cz

g0r7tsa45s[at]post.cz

marvel.polezha[at]post.cz

sahro.bella7[at]post.cz

trala.cosh2[at]post.cz

Bishtr.cam47[at]post.cz

Lobrek.chizh[at]post.cz

Cervot.woprov[at]post.cz

heatlth500[at]ambcomission[.]com

trash023[at]ambcomission[.]com

trasler22[at]ambcomission[.]com

rishit333[at]ambcomission[.]com

tomasso25[at]ambcomission[.]com

kevin30[at]ambcomission[.]com