盲眼鷹(APT-C-36):持續針對哥倫比亞政企機構的攻擊活動揭露
一、背景
從2018年4月起至今,一個疑似來自南美洲的APT組織盲眼鷹(APT-C-36)針對哥倫比亞政府機構和大型公司(金融、石油、製造等行業)等重要領域展開了有組織、有計劃、針對性的長期不間斷攻擊。
其攻擊平臺主要為Windows,攻擊目標鎖定為哥倫比亞政企機構,截止目前360威脅情報中心一共捕獲了29個針對性的誘餌文件,Windows平臺木馬樣本62個,以及多個相關的惡意域名。
2018年4月,360威脅情報中心捕獲到第一個針對哥倫比亞政府的定向攻擊樣本,在此後近一年時間內,我們又先後捕獲了多起針對哥倫比亞政企機構的定向攻擊。攻擊者習慣將帶有惡意巨集的MHTML格式的Office Word誘餌文件通過RAR加密後配合魚叉郵件對目標進行投遞,然後將RAR解壓密碼附帶在郵件正文中,具有很好的躲避郵件閘道器查殺的效果。其最終目的是植入Imminent後門以實現對目標計算機的控制,為接下來的橫向移動提供基礎。
360威脅情報中心通過分析攻擊者投遞的多個加密的Office Word文件的最後修改時間、MHTML文件字符集(語言環境)、攻擊者使用的作者名稱等資訊,並結合地緣政治等APT攻擊的相關要素,判斷攻擊者疑似來自於UTC時區在西4區(UTC-4)正負1小時對應的地理位置區域(南美洲)。
由於該組織攻擊的目標中有一個特色目標是哥倫比亞盲人研究所,而哥倫比亞在足球領域又被稱為南美雄鷹,結合該組織的一些其它特點以及360威脅情報中心對 APT 組織的命名規則,我們將該組織命名為盲眼鷹(APT-C-36)。
二、攻擊目標和受害者分析
根據關聯到的樣本對受害者進行分類統計後,我們發現攻擊者主要針對哥倫比亞的政府機構和大型公司,其目的是植入Imminent後門以實現對目標計算機的控制,為接下來的橫向移動等攻擊行為提供基礎。從受害者的背景資訊來看,攻擊者所關注的政企機構在戰略層面有重大意義,同時也不排除其同時有竊取商業機密和智慧財產權的動機。
偽裝來源及行業分佈
基於360威脅情報中心對該APT組織的攻擊資訊統計顯示,攻擊者偽裝成哥倫比亞國家民事登記處、哥倫比亞國家稅務和海關總署、哥倫比亞國家統計局、哥倫比亞國家網路警察局、哥倫比亞國家司法部門,對哥倫比亞的政府、金融機構,本國大型企業或跨國公司的哥倫比亞分公司進行攻擊,相關資訊統計如下。
| 誘餌偽裝來源 | 攻擊目標 |
|---|---|
| 哥倫比亞國家民事登記處 | 哥倫比亞國家盲人研究所 |
| 哥倫比亞國家稅務和海關總署 | 哥倫比亞國家石油公司 哥倫比亞石油公司(Hocol) 哥倫比亞車輪製造商(IMSA) 哥倫比亞Byington公司 |
| 哥倫比亞國家統計局 | 哥倫比亞物流公司(Almaviva) |
| 哥倫比亞國家網路警察局 | 哥倫比亞國家金融機構(BancoAgrario) |
| 哥倫比亞國家司法部門 | 哥倫比亞銀行(Banco de Occidente) ATH哥倫比亞分部 |
| 哥倫比亞移民權力機構 | Sun Chemical哥倫比亞分部 |
攻擊者使用的部分惡意域名也仿冒了哥倫比亞的政府網站,比如diangovcomuiscia.com從名稱上仿冒了muiscia.dian.gov.co,而後者是哥倫比亞稅務與海關總署官網。
攻擊者對使用的木馬程式的公司資訊也進行了偽造,相關列表如下:
| 木馬程式公司資訊 | 公司資訊 |
|---|---|
| Abbott Laboratories | 位於美國的一家醫療保健公司 |
| Chevron | 雪佛龍,美國一家跨國能源公司。 |
| Energizer Holdings Inc. | 美國電池製造商 |
| Progressive Corporation | 美國最大汽車保險提供商 |
| Simon Property Group Inc | 美國商業地產公司 |
| Sports Authority Inc | 美國的一家體育用品零售商 |
| Strongeagle, Lda. | 葡萄牙一家與公司法,稅務債務和法院訴訟相關公司 |
部分受影響目標
360威脅情報中心在近一年內針對該APT攻擊進行監控和關聯後發現了其多個用於攻擊哥倫比亞政府、金融機構及大型企業的相關郵件。基於對魚叉郵件的分析,我們列舉了如下針對性的誘餌文件以及對應的受害政企。
1. 哥倫比亞國家石油公司
1)被攻擊機構資訊及相關郵件
哥倫比亞國家石油公司( www.ecopetrol.com.co )主要經營範圍包括石油、天然氣勘探開發,管線建設以及石油煉製。
攻擊哥倫比亞國家石油公司的相關郵件
2)相關誘餌文件
攻擊者偽裝成哥倫比亞國家稅務和海關總署進行攻擊活動:
Dian Embargo Bancario # 609776.doc
2. 哥倫比亞石油公司(Hocol)
1)被攻擊機構資訊及相關郵件
Hocol成立於1956年,是哥倫比亞國家石油公司Ecopetrol的子公司,專注於哥倫比亞國內各地的勘探和生產活動。
攻擊哥倫比亞石油公司Hocol的相關郵件
2)相關誘餌文件
攻擊者偽裝成哥倫比亞國家稅務和海關總署進行攻擊活動:
estado de cuenta.doc
3. 哥倫比亞物流公司(Almaviva)
1)被攻擊機構資訊及相關郵件
Almaviva是一家物流運營商,通過流程和工具的安全管理優化供應鏈,確保物流運營的效率。
攻擊物流公司Almaviva的相關郵件
2)相關誘餌文件
攻擊者偽裝成哥倫比亞國家統計局進行攻擊活動:
listado de funcionarios autorizados para censo nacional 2018.doc
4. 哥倫比亞國家金融機構(BancoAgrario)
1)被攻擊機構資訊及相關郵件
哥倫比亞國家金融機構(BancoAgrario)主要致力於向農村地區提供金融服務。
攻擊BancoAgrario的相關郵件
2)相關誘餌文件
攻擊者偽裝成哥倫比亞國家網路警察局(caivirtual.policia.gov.co)進行攻擊活動
Reporte fraude desde su dirrecion ip.doc
5. 哥倫比亞車輪製造商(IMSA)
1)被攻擊機構資訊及相關郵件
IMSA是專業的車輪製造商,致力於使用優質原材料進行車輪製造。
攻擊IMSA的相關郵件
2)相關誘餌文件
攻擊者偽裝成哥倫比亞國家稅務和海關總署( www.dian.gov.co )進行攻擊活動
Dian Embargo Bancario # 609776.doc
6. 哥倫比亞銀行(Banco de Occidente)
1) 被攻擊機構資訊
Banco de Occidente是哥倫比亞最大的銀行之一,是哥倫比亞Grupo Aval金融服務集團的一部分。
攻擊Banco de Occidente的相關郵件
2) 相關誘餌文件
攻擊者偽裝成哥倫比亞國家司法部門( www.fiscalia.gov.co )進行攻擊活動
Citacion Fiscalia general de la Nacion Proceso 305351T.doc
7. ATH哥倫比亞分部
1) 被攻擊機構資訊
ATH是一個跨國銀行金融機構,在哥倫比亞開設有分部。
攻擊ATH哥倫比亞分部相關郵件
2) 相關誘餌文件
攻擊者偽裝成哥倫比亞國家司法部門( www.fiscalia.gov.co )進行攻擊活動
Fiscalia proceso 305351T.doc
8. Sun Chemical哥倫比亞分部
1) 被攻擊機構資訊
Sun Chemical是印刷油墨,塗料等用品的跨國企業,同樣在哥倫比亞開設有分公司。
攻擊Sun Chemical哥倫比亞分公司的郵件
2) 相關誘餌文件
攻擊者偽裝成哥倫比亞移民權力機構( www.migracioncolombia.gov.co )進行攻擊活動
Proceso Pendiente Migracion Colombia.doc
9. 哥倫比亞Byington公司
1) 被攻擊機構資訊
Byington對哥倫比亞主要的商業公司進行評級和財務評估。
攻擊哥倫比亞Byington公司的相關郵件
2) 相關誘餌文件
攻擊者偽裝成哥倫比亞國家稅務和海關總署( www.dian.gov.co )進行攻擊活動
estado de cuenta.doc
三、技術細節
360威脅情報中心基於該APT組織常見的攻擊手法對整個攻擊過程進行了詳細分析。
1. 最新的一次攻擊
2019年2月14日,360威脅情報中心再次監控到該APT組織的最新攻擊活動,根據最近捕獲到的誘餌文件(MD5:0c97d7f6a1835a3fe64c1c625ea109ed)並沒有找到對應的郵件,不過在進行關聯調查後,我們發現了另外一個類似的誘餌文件(MD5:3de286896c8eb68a21a6dcf7dae8ec97)及其對應的有針對性攻擊郵件(MD5:f2d5cb747110b43558140c700dbf0e5e)。該郵件偽裝來自哥倫比亞國家民事登記處,對哥倫比亞國家盲人研究所進行攻擊。
最近捕獲的誘餌文件,偽裝來自哥倫比亞國家民事登記處(MD5:0c97d7f6a1835a3fe64c1c625ea109ed)
攻擊哥倫比亞國家盲人研究所的郵件
2. 偽造來源及躲避查殺
攻擊者在攻擊不同目標時,仔細考慮瞭如何偽裝郵件的來源從而使其看起來更加可信。比如通過偽裝民事登記處來攻擊盲人研究所,偽裝成稅務和海關總署來攻擊那些有國際貿易的企業,偽裝成司法部門和移民權力機構來針對銀行和跨國公司哥倫比亞分部等。
攻擊者同樣對郵件內容進行精心構造,使其看似源自被偽造的機構,且與被攻擊者日常工作生活相關。下圖為偽裝成哥倫比亞國家司法部門對ATH哥倫比亞分部的攻擊中對應郵件的內容翻譯:
郵件附件被加密存放在壓縮包內,並在郵件正文中提供解密密碼,用於繞過郵件閘道器的安全檢測。
郵件正文附帶RAR密碼
對郵件進行分析後,我們發現攻擊者在傳送郵件時都使用了VPN等方式來隱藏自身,因此尚未能獲得發件者的真實IP,只是發現這些郵件通過位於美國佛羅里達州的IDC機房發出,部分相關的IP地址為:
128.90.106.22 128.90.107.21 128.90.107.189 128.90.107.236 128.90.108.126 128.90.114.5 128.90.115.28 128.90.115.179
3. 誘餌文件
此次攻擊活動誘餌文件均採用MHTML格式的Word文件進行攻擊,MHTML格式的Word文件能在一定程度上避免防毒軟體的查殺。例如360威脅情報中心在2019年2月中旬捕獲的樣本:Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc
| 檔名 | Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc |
|---|---|
| MD5 | 0c97d7f6a1835a3fe64c1c625ea109ed |
| 偽裝來源 | 哥倫比亞國家民事登記處 |
MHTML格式的Word文件
文件偽裝成哥倫比亞國家民事登記處,並利用西班牙語提示受害者開啟巨集程式碼,從而執行後續Payload
當受害者開啟該MIME文件並啟用巨集功能後,將自動呼叫Document_Open函式:
Document_Open首先呼叫Main函式下載 h xx p://diangovcomuiscia.com/media/a.jpg 並儲存為%AppData%\1.exe(md5: ef9f19525e7862fb71175c0bbfe74247):
接著呼叫fcL4qOb4函式,設定偽裝成Google的計劃任務,相關計劃任務的資訊如下:
| 作者 | Google Inc |
|---|---|
| 描述(翻譯後) | 在使用者登入系統時檢查並上傳有關Google解決方案的使用和錯誤的資訊 |
| 任務內容 | 啟動%AppData%\1.exe |
| 任務定義 | GoogleUpdate |
相關程式碼如下圖所示:
4. Payload(Imminent)
| 檔名 | 1.exe |
|---|---|
| MD5 | ef9f19525e7862fb71175c0bbfe74247 |
| 編譯資訊 | .NET |
釋放執行的1.exe為最終的木馬後門,該樣本為混淆比較嚴重的C#程式碼:
去混淆後可以明確看到Imminent Monitor字串,該樣本為Imminent Monitor RAT:
樣本執行後首先從資原始檔中提取名稱為“application”的資料,並解密出一個來自7zip合法的lzma.dll庫:
隨後從資原始檔中提取名稱為“_7z的”資料,並利用lzma.dll解壓縮該段資料,得到真正的Imminent Monitor RAT樣本(MD5: 4fd291e3319eb3433d91ee24cc39102e):
核心功能分析
1)靜態分析
該樣本包含Imminent Monitor RAT實體功能程式碼,但採用了ConfuserEx+Eazfuscator.NET雙重淆器加密了程式碼,如下圖所示:
部分去混淆後可以看出其提供的功能如下表:
| ID | 功能 |
|---|---|
| bDfBqxDCINCfwSAfMnZwspLefnc | 主機管理 |
| ChatPacket | 使用者支援 |
| cokLfFnjBwgKtzdTpdXSgQIPacR | 登錄檔管理 |
| CommandPromptPacket | 遠端命令列 |
| ConnectionSocketPacket | 網路傳輸通道管理 |
| ExecutePacket | 上傳、下載、執行PE檔案 |
| FastTransferPacket | 支援快速傳輸 |
| FilePacket | 檔案管理 |
| FileThumbnailGallery | 支援檔案縮圖庫 |
| KeyLoggerPacket | 鍵盤記錄 |
| MalwareRemovalPacket | 惡意功能管理 |
| MessageBoxPacket | 聊天訊息 |
| MicrophonePacket | 麥克風聊天 |
| MouseActionPacket | 滑鼠動作 |
| MouseButtonPacket | 滑鼠左、右、掠過等 |
| NetworkStatPacket | 主機網路管理 |
| PacketHeader | 通訊資料頭資訊 |
| PasswordRecoveryPacket | 瀏覽器密碼恢復 |
| PluginPacket | 外掛管理 |
| ProcessPacket | 程序管理 |
| ProxyPacket | 代理管理(反向代理等) |
| RDPPacket | 提供遠端桌面功能 |
| RegistryPacket | 登錄檔操作 |
| RemoteDesktopPacket | 標誌遠端桌面資料包 |
| ScriptPacket | 執行指令碼(html、vbs、batch) |
| SpecialFolderPacket | Windows特殊資料夾 |
| StartupPacket | 啟動項操作 |
| TcpConnectionPacket | TCP重新整理及關閉 |
| ThumbnailPacket | 縮圖相關 |
| TransferHeader | 通訊連線操作 |
| WebcamPacket | 網路攝像頭相關 |
| WindowPacket | Windows操作(重新整理、最大化、最小化等) |
通過分析與其官方網站提供的功能說明一致:
2)動態除錯
核心模組執行後會檢測是否在%temp%\[appname]目錄下,如果不在則將自身拷貝為%temp%\[appname]\[appname],並設定檔案屬性為隱藏:
然後啟動%temp%\[appname]:
最後刪除原始檔案,並退出程序
樣本重新啟動後將在%AppData%目錄建立Imminent目錄,該目錄將儲存加密後的日誌、網路資訊、系統資訊等檔案,當接受到相應指令時傳送到服務端:
C&C地址為:mentes.publicvm.com:4050
四、TTP(戰術、技術、過程)
360威脅情報中心總結了該APT組織的TTP如下:
| 攻擊目標 | 哥倫比亞的政府機構、大型企業以及跨國企業的哥倫比亞分支部門 |
|---|---|
| 最早活動時間 | 2018年4月 |
| 主要風險 | 主機被遠端控制,機密資訊被竊取 |
| 攻擊入口 | 魚叉郵件 |
| 初始載荷 | MHTML檔案格式含惡意巨集程式碼的Word文件 |
| 惡意程式碼 | Imminent後門 |
| 通訊控制 | 基於動態域名的遠端控制 |
| 抗檢測能力 | 中 |
| 受影響應用 | Windows系統主機 |
| 主要攻擊戰術技術特徵分析 | 1. 通過入侵西班牙語網站或者註冊有隱私保護的域名並上傳用於投放的攻擊載荷檔案和文件; 2. 傳送帶有MHTML檔案格式幷包含惡意巨集程式碼的Word文件的魚叉郵件,並會使用RAR加密誘餌文件以避免郵件閘道器的查殺; 3. 攻擊者偽裝成哥倫比亞國家民事登記處、哥倫比亞國家稅務和海關總署、哥倫比亞國家統計局、哥倫比亞國家網路警察局、哥倫比亞國家司法部門,對哥倫比亞的政府、金融機構,本國大型企業或跨國公司的哥倫比亞分公司進行攻擊; 4. 使用了商業木馬Imminent對目標進行遠端控制,並採用了基於動態域名的遠端控制技術; |
五、溯源和關聯
360威脅情報中心通過分析攻擊者投遞的多個加密的Office Word文件的最後修改時間、MHTML文件字符集(語言環境)等資訊,並結合地緣政治等APT攻擊的相關要素,懷疑攻擊者來自於UTC時區在西4區(UTC-4)正負1小時對應的地理位置區域。
1. 可靠的檔案修改時間
以投遞的加密RAR壓縮包(Registraduria Nacional del Estado Civil -Proceso inicado.rar)為例,由於RAR會儲存檔案的修改時間,所以解密RAR包後得到的Word文件的修改時間非常可靠。右邊為解密得到的Word文件修改時間,這和左邊誘餌文件(MHTML)元資訊內包含的文件修改時間一致(由於筆者處於UTC+8時區,需要將檔案修改時間減8小時對比):
通過對比所有加密RAR檔案內的誘餌文件修改時間和文件元資訊內的文件修改時間,我們有很大的把握確認文件元資訊內的修改時間為攻擊者的真實修改時間,這樣我們可以以捕獲到的所有誘餌文件元資訊內的修改時間做資料統計。
2. MHTML誘餌文件修改時間統計
我們統計了所有誘餌文件的修改時間如下表:
| UTC+00 |
|---|
| 00:32 |
| 01:15 |
| 01:15 |
| 01:17 |
| 01:35 |
| 01:59 |
| 02:57 |
| 03:28 |
| 04:40 |
| 04:55 |
| 05:17 |
| 12:27 |
| 12:49 |
| 12:50 |
| 13:38 |
| 13:42 |
| 13:49 |
| 14:21 |
| 14:22 |
| 15:19 |
| 15:26 |
| 15:30 |
| 15:56 |
| 17:22 |
| 17:58 |
| 18:31 |
| 20:53 |
| 21:31 |
| 23:30 |
從大量樣本的修改時間可以看出,從未出現過修改時間在05:30到12:30之間的誘餌文件。基於最合理的推測:正常的休息時間應該在晚12點到早8點之間的區域(睡覺時間段),那麼攻擊者所處的時區應該在西4區(UTC-4)正負1小時的區間內。
3. PE時間戳與誘餌文件修改時間對比
我們還統計了木馬程式去混淆後dump出來的核心PE檔案時間戳資訊,與每個對應的誘餌文件修改時間進行對比可以看出:誘餌文件的修改時間與對應的PE檔案的時間戳間隔都非常接近,這更加說明了該攻擊活動的定向屬性:
| 誘餌文件修改時間 | 木馬核心模組時間戳 |
|---|---|
| 2019/2/11 17:58 | 2019/2/14 3:28 |
| 2018/12/3 15:30 | 2018/12/3 23:26 |
| 2018/11/26 18:31 | 2018/10/17 22:29 |
| 2018/11/15 12:49 | 2018/10/17 22:29 |
| 2018/11/8 14:21 | 2018/10/17 22:29 |
| 2018/10/26 13:49 | 2018/10/17 22:29 |
| 2018/10/22 17:22 | 2018/10/17 22:29 |
| 2018/10/12 15:56 | 2018/10/17 22:29 |
| 2018/10/4 5:17 | |
| 2018/9/13 13:42 | 2018/8/27 22:08 |
| 2018/9/9 0:32 | |
| 2018/9/2 20:53 | 2018/8/27 22:08 |
| 2018/8/27 15:19 | 2018/8/27 22:08 |
| 2018/8/6 1:35 | 2018/8/1 11:25 |
| 2018/8/1 2:57 | 2018/8/1 11:25 |
| 2018/7/31 1:59 | 2018/8/1 11:25 |
| 2018/7/30 1:17 | 2018/8/1 11:25 |
| 2018/7/26 3:28 | 2018/8/27 22:08 |
| 2018/7/10 4:55 | 2018/7/11 11:47 |
| 2018/6/19 21:31 | |
| 2018/6/14 1:15 | |
| 2018/6/14 1:15 | |
| 2018/5/29 13:38 | |
| 2018/5/18 14:22 | 2018/5/22 20:11 |
| 2018/4/28 12:27 | 2018/5/22 20:11 |
| 2018/4/25 23:30 | 2018/5/22 20:11 |
| 2018/4/24 12:50 | |
| 2018/4/17 15:26 | 2018/5/22 20:11 |
| 2018/4/6 4:40 |
4. 語言和charset
另外,我們統計了所有的誘餌文件(MHTML),可以看到所有誘餌文件都基於西歐語言環境(西班牙語等)編寫:
Charset:windows-1252
而部分誘餌文件的作者資訊也是西班牙文:
Centro de Servicios Judiciales
5. 攻擊者畫像
基於攻擊者所處時區、使用的語言以及APT攻擊的地緣政治因素我們總結了以下觀點:
1. 攻擊者所處時區的地理範圍剛好處於南美洲 2. 南美洲大部分國家都使用西班牙語(除巴西),這和攻擊者的語言環境及Office使用者名稱吻合 3. APT攻擊大部分基於地緣政治因素(本國或鄰國) 4. 從受害者的背景以及本次攻擊行動的持續時間來看,攻擊者所關注的政企機構在戰略層面有重大意義,且持續時間較長。
綜上所述,360威脅情報中心認為攻擊者有較大可能是來源於南美洲國家的具有國家背景的APT組織。
IOC
| 誘餌文件MD5 | 檔名 |
|---|---|
| 0c97d7f6a1835a3fe64c1c625ea109ed | Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc |
| 16d3f85f03c72337338875a437f017b4 | estado de cuenta.doc |
| 27a9ca89aaa7cef1ccb12ddefa7350af | 455be8a4210b84f0e93dd96f7a0eec4ef9816d47c11e28cf7104647330a03f6d.bin |
| 3a255e93b193ce654a5b1c05178f7e3b | estado de cuenta.doc |
| 3be90f2bb307ce1f57d5285dee6b15bc | Reporte Datacredito.doc |
| 3de286896c8eb68a21a6dcf7dae8ec97 | egistraduria Nacional del Estado Civil -Proceso inicado.doc |
| 46665f9b602201f86eef6b39df618c4a | Orden de comparendo N\xc2\xb0 5098.doc |
| 476657db56e3199d9b56b580ea13ddc0 | Reporte Negativo como codeudor.doc |
| 4bbfc852774dd0a13ebe6541413160bb | listado de funcionarios autorizados para censo nacional 2018.doc |
| 51591a026b0962572605da4f8ecc7b1f | Orden de comparendo multa detallada.doc |
| 66f332ee6b6e6c63f4f94eed6fb32805 | Codigo Tarjeta Exito Regalo.doc |
| 688b7c8278aad4a0cc36b2af7960f32c | fotos.doc |
| 7fb75146bf6fba03df81bf933a7eb97d | Dian su deuda a la fecha.doc |
| 91cd02997b7a9b0db23f9f6377315333 | credito solicitado.doc |
| 9a9167abad9fcab18e02ef411922a7c3 | comparendo electronico.doc |
| a91157a792de47d435df66cccd825b3f | C:\Users\kenneth.ubeda\Desktop\Migracion colombia proceso pendiente 509876.doc |
| b4ab56d5feef2a35071cc70c40e03382 | Reporte fraude desde su dirrecion ip.doc |
| b6691f01e6c270e6ff3bde0ad9d01fff | Dian Embargo Prima de Navidad.doc |
| cbbd2b9a9dc854d9e58a15f350012cb6 | IMPORTANTE IMPORTANT.doc |
| cf906422ad12fed1c64cf0a021e0f764 | Migracion colombia Proceso pendiente.doc – copia.nono.txt |
| e3050e63631ccdf69322dc89bf715667 | Citacion Fiscalia general de la Nacion Proceso 305351T.doc |
| ea5b820b061ff01c8da527033063a905 | Fiscalia proceso 305351T.doc |
| eb2ea99918d39b90534db3986806bf0c | Proceso Pendiente Migracion Colombia (2).doc |
| ecccdbb43f60c629ef034b1f401c7fee | Dian Embargo Bancario |
| ee5531fb614697a70c38a9c8f6891ed6 | BoardingPass.doc |
| fd436dc13e043122236915d7b03782a5 | text.doc |
| bf95e540fd6e155a36b27ad04e7c8369 | Migracion colombia Proceso pendiente.mht |
| ce589e5e6f09b603097f215b0fb3b738 | estado de cuenta.mht |
| b0687578284b1d20b9b45a34aaa4a592 | sanción declaracion de renta.doc |
| 木馬MD5 |
|---|
| 0915566735968b4ea5f5dadbf7d585cc |
| 0a4c0d8994ab45e5e6968463333429e8 |
| 0e874e8859c3084f7df5fdfdce4cf5e2 |
| 1733079217ac6b8f1699b91abfb5d578 |
| 19d4a9aee1841e3aee35e115fe81b6ab |
| 1bc52faf563eeda4207272d8c57f27cb |
| 20c57c5efa39d963d3a1470c5b1e0b36 |
| 2d52f51831bb09c03ef6d4237df554f3 |
| 30ecfee4ae0ae72cf645c716bef840a0 |
| 3155a8d95873411cb8930b992c357ec4 |
| 3205464645148d393eac89d085b49afe |
| 352c40f10055b5c8c7e1e11a5d3d5034 |
| 42f6f0345d197c20aa749db1b65ee55e |
| 4354cb04d0ac36dab76606c326bcb187 |
| 43c58adee9cb4ef968bfc14816a4762b |
| 4daacd7f717e567e25afd46cbf0250c0 |
| 4e7251029eb4069ba4bf6605ee30a610 |
| 50064c54922a98dc1182c481e5af6dd4 |
| 519ece9d56d4475f0b1287c0d22ebfc2 |
| 53774d4cbd044b26ed09909c7f4d32b3 |
| 5be9be1914b4f420728a39fdb060415e |
| 5dee0ff120717a6123f1e9c05b5bdbc2 |
| 60daac2b50cb0a8bd86060d1c288cae2 |
| 6d1e586fbbb5e1f9fbcc31ff2fbe3c8c |
| 763fe5a0f9f4f90bdc0e563518469566 |
| 7a2d4c22005397950bcd4659dd8ec249 |
| 7b69e3aaba970c25b40fad29a564a0cf |
| 8518ad447419a4e30b7d19c62953ccaf |
| 8ec736a9a718877b32f113b4c917a97a |
| 940d7a7b6f364fbcb95a3a77eb2f44b4 |
| 9b3250409072ce5b4e4bc467f29102d2 |
| 9db2ac3c28cb34ae54508fab90a0fde7 |
| a1c29db682177b252d7298fed0c18ebe |
| a3f0468657e66c72f67b7867b4c03b0f |
| a7cc22a454d392a89b62d779f5b0c724 |
| aaf04ac5d630081210a8199680dd2d4f |
| ac1988382e3bcb734b60908efa80d3a5 |
| ad2c940af4c10f43a4bdb6f88a447c85 |
| afb80e29c0883fbff96de4f06d7c3aca |
| b0ed1d7b16dcc5456b8cf2b5f76707d6 |
| b3be31800a8fe329f7d73171dd9d8fe2 |
| b5887fc368cc6c6f490b4a8a4d8cc469 |
| b9d9083f182d696341a54a4f3a17271f |
| c654ad00856161108b90c5d0f2afbda1 |
| ccf912e3887cae5195d35437e92280c4 |
| d0cd207ae63850be7d0f5f9bea798fda |
| df91ac31038dda3824b7258c65009808 |
| e2771285fe692ee131cbc072e1e9c85d |
| e2f9aabb2e7969efd71694e749093c8b |
| e3dad905cecdcf49aa503c001c82940d |
| e4461c579fb394c41b431b1268aadf22 |
| e770a4fbada35417fb5f021353c22d55 |
| e7d8f836ddba549a5e94ad09086be126 |
| e9e4ded00a733fdee91ee142436242f4 |
| edef2170607979246d33753792967dcf |
| ef9f19525e7862fb71175c0bbfe74247 |
| f1e85e3876ddb88acd07e97c417191f4 |
| f2776ed4189f9c85c66dd78a94c13ca2 |
| f2d81d242785ee17e7af2725562e5eae |
| f3d22437fae14bcd3918d00f17362aad |
| f7eb9a41fb41fa7e5b992a75879c71e7 |
| f90fcf64000e8d378eec8a3965cff10a |
| 惡意域名 |
|---|
| ceoempresarialsas.com |
| ceosas.linkpc.net |
| ceoseguros.com |
| diangovcomuiscia.com |
| ismaboli.com |
| medicosco.publicvm.com |
| mentes.publicvm.com |
| RAR加密壓縮包MD5 | 密碼 |
|---|---|
| 592C9B2947CA31916167386EDD0A4936 | censonacionaldepoblacion2018307421e68dd993c4a8bb9e3d5e6c066946ro |
| A355597A4DD13B3F882DB243D47D57EE | documentoadjuntodian876e68dd993c4a8bb9e3d5e6c066946deudaseptiembre |
| 77FEC4FA8E24D580C4A3E8E58C76A297 | procesofiscalia30535120180821e68dd993c4a8bb9e3d5e6c066946se |
| 0E6533DDE4D850BB7254A5F3B152A623 | migracioncolombia |
| F486CDF5EF6A1992E6806B677A59B22A | credito |
| FECB2BB53F4B51715BE5CC95CFB8546F | 421e68dd993c4a8bb9e3d5e6c066946r |
| 19487E0CBFDB687538C15E1E45F9B805 | centrociberneticoenviosipfraude876e68dd993c4a8bb9e3d5e6c066946octubre |
| 99B258E9E06158CFA17EE235A280773A | fiscaliadocumentos421e68dd993c4a8bb9e3d5e6c066946agosto |
| B6E43837F79015FD0E05C4F4B2F30FA5 | 20180709registraduria421e68dd993c4a8bb9e3d5e6c066946r |
參考連結
[2]. http://www.pwncode.club/2018/09/mhtml-macro-documents-targeting.html
*本文作者:360天眼實驗室,轉載請註明來自FreeBuf.COM