TAG-124の多層TDSインフラストラクチャと広範なユーザーベース
注:このレポートはTAG-124と404TDSが無関係であることが判明した後の、2025年5月12日に更新されました。TAG-124に属するエイリアスとしての404TDSへのすべての参照が削除されました。
Executive Summary
Insikt Groupは、Recorded FutureがTAG-124として追跡しているトラフィック分散システム(TDS)にリンクされた多層インフラストラクチャを特定しました。これは、LandUpdate808、KongTuke、Chaya_002として知られる脅威活動クラスターと重複しています。TAG-124は、侵害されたWordPressサイトのネットワーク、攻撃者が制御するペイロードサーバー、中央サーバー、疑わしい管理サーバー、追加のパネル、およびその他のコンポーネントで構成されています。TAG-124の背後にいる脅威アクターは、侵害されたWordPressサイトに埋め込まれたURLの定期的な更新、サーバーの追加、検出を回避するためのTDSロジックの改良、感染戦術の適応など、高度な活動を示しています。これらは、最近実装されたClickFix技術によって示されています。
Insikt Groupは、Rhysidaランサムウェア、Interlockランサムウェア、TA866/Asylum Ambuscade、SocGholish、D3F@CK Loader、TA582などの運営者を含む、初期感染チェーン内でTAG-124を使用している複数の脅威アクターを特定しました。特に、TAG-124の共有使用は、RhysidaとInterlockランサムウェアのつながりを強化します。これらのランサムウェアは、戦術、ツール、暗号化の動作、身代金要求のテーマ、コードの重複、データ流出技術の類似性によってすでに関連付けられています。Insikt Groupは、TAG-124がますます高度化し、専門化しているサイバー犯罪エコシステム内で活動を継続し、その有効性を高め、さらに多くのユーザーとパートナーを引き付けると予測しています。
主な調査結果
- Insikt Groupは、TAG-124として追跡されているTDSにリンクされた多層インフラストラクチャを特定しました。このインフラストラクチャには、侵害されたWordPressサイトのネットワーク、攻撃者が制御している可能性のあるペイロードサーバー、中央サーバー、疑わしい管理サーバー、追加のパネルなどのコンポーネントが含まれます。
- TAG-124に関連する脅威アクターは非常に活発で、侵害されたWordPressサイトのURLを定期的に更新して検出を回避し、インフラストラクチャに新しいサーバーを追加し、TDSにリンクされた条件付きロジックと感染戦術を改善しています。
- 複数の脅威アクターが、Rhysidaランサムウェア、Interlockランサムウェア、TA866/Asylum Ambuscade、SocGholish、D3F@CK Loader、TA582などの運営者を含め、TAG-124のサービスを初期感染チェーンに組み込んでいると評価されています。
- Rhysida ランサムウェアと Interlock ランサムウェアは、戦術、ツール、暗号化の動作、身代金メモのテーマ、コードの重複、データの抽出手法などの類似性から互いに関連付けられていますが、TAG-124 の共通使用がこの関連性を強化しています。
背景
TAG-124は、LandUpdate808、KongTuke、Chaya_002と重複するTDSであり、Rhysidaランサムウェア、Interlockランサムウェア、TA866/Asylum Ambuscade、SocGholish、D3F@CK Loader、TA582などの脅威アクターに代わってマルウェアを配布するために使用されます(1、2、3)。TDSは通常、位置情報やデバイスの種類などのパラメーターに基づいてウェブトラフィックを分析し、リダイレクトするために使用されるシステムを指します。このシステムは、特定の訪問者のみをフィッシングサイト、マルウェア、エクスプロイトキットなどの悪意のある目的地に誘導し、検出を回避してサイバー犯罪キャンペーンを最適化します。
より具体的には、TAG-124は、侵害されたWordPressウェブサイトに悪意のあるJavaScriptコードを注入することで動作します。訪問者が感染したウェブサイトにアクセスすると、マルウェアのダウンロードや実行につながるアクションを実行するように操作するため設計された、攻撃者が制御するリソースを無意識のうちに読み込みます。TAG-124 は、マルウェアをGoogle Chromeブラウザの必須アップデートとして提示することで、被害者を欺くことがよくあります。
最近のバリエーションでは、TAG-124のClickFix技術使用が観測されています。このアプローチは、訪問者にクリップボードに事前にコピーされたコマンドを実行するよう指示するダイアログを表示します。訪問者がそのコマンドを実行すると、マルウェアのペイロードをダウンロードして実行するための多段階プロセスが開始されます。
脅威分析
TAG-124
Insikt Groupは、TDS TAG-124に関連する多層インフラストラクチャを特定しました。このインフラストラクチャは、侵害されたWordPressサイトのネットワーク、攻撃者が制御している可能性のあるペイロードサーバー、分析時点で正確な目的が不明な中央サーバー、疑わしい管理サーバー、追加の管理パネルで構成されています。訪問者が特定の条件を満たした場合、侵害されたWordPressウェブサイトは偽のGoogle Chromeアップデートのランディングページを表示し、最終的にマルウェア感染につながります。本レポートの「TAG-124のユーザー」セクションで説明されています(図1参照)。
侵害されたWordPressウェブサイト
TAG-124のインフラストラクチャはWordPressウェブサイトの広範なネットワークで構成されています(付録A参照)。これらのウェブサイトには、業界、トピックや地理に関する一貫したテーマが欠如しているように見えます。これは、悪用や情報窃取型マルウェアを介して取得した認証情報を通じて、日和見的に侵害された可能性を示唆しています。
初期配信における第一段階のWordPressウェブサイト
初期配信フェーズの最初の段階で侵害されたウェブサイトには、通常、ドキュメントオブジェクトモデル(DOM)の任意の場所にasync属性を持つスクリプトタグが含まれています。これにより、ページと並行して外部JavaScriptファイルを読み込み、レンダリングの遅延を回避できます(図2参照)。
JavaScript ファイル名は時間の経過とともに頻繁に変更され、以前の名前は認識可能なパターン (metrics.js など) に従っていますランダムにフォーマットされている ように見える 最近のもの(hpms1989.jsなど)。ファイル名の例は次のとおりです。
- 3561.js
- 365h.js
- e365r.js
- hpms1989.js
- metrics.js
- nazvanie.js
- web-analyzer.js
- web-metrics.js
- web.js
- wp-config.js
- wp.js
注目すべきは、脅威アクターが侵害されたウェブサイトのURLを定期的に更新しているように見えることです。例えば、www[.]ecowas[.]intに関連するウェブサイトでは、JavaScriptファイルを取得するために使用されるURLが一貫して変更されています。この挙動は、脅威アクターがこれらのWordPressサイトへの継続的なアクセスを維持し、検出を回避するためにドメインやJavaScriptファイル名を含むURLを頻繁に変更していることを示しています。
侵害されたWordPressウェブサイトの多くはあまり知られていない組織に関連しているように見えますが、Insikt Groupは、ポーランド試験認証センターにリンクされたサブドメインwww[.]pcbc[.]gov[.]plおよび西アフリカ諸国経済共同体(ECOWAS)のドメインwww[.]ecowas[.]intを含む注目すべき事例を特定しました。どちらも侵害され、TAG-124キャンペーンで使用されています。
初期配信における最終段階のWordPressウェブサイト
訪問者が完全に特定できない特定の基準を満たしている場合、侵害されたWordPressドメインは通常、偽のGoogle Chromeアップデートのランディングページを表示します。これらのページは、ユーザーにダウンロードボタンをクリックするように促し、侵害されたWordPressサイトのセカンダリセットの指定されたエンドポイントから実際のペイロードをダウンロードさせます。これには以下が含まれますが、これらに限定されません。
- /wp-admin/images/wfgth.php
- /wp-includes/pomo/update.php
- /wp-content/upgrade/update.php
- /wp-admin/images/rsggj.php
偽のGoogle Chrome更新ランディングページ
Insikt Groupは、TAG-124に関連する偽のGoogle Chromeアップデートのランディングページの2つのバリアントを発見しました(図3を参照)。URLScanの送信データによれば、バリアント1はより長く活動しており、最も古い送信は 2024年4月24日に記録されています。
まだ未知の特定の条件を満たす被害者のみが偽のGoogle Chromeアップデートランディングページに誘導され、その結果、限られた数のドメインしか観察されません( 表1を参照)。これらのドメインは、DOM に埋め込まれた URL、public (threatについての)レポート作成、またはその他の指標に基づいて TAG-124 に帰属することができます。 特に、脅威アクターはクエリ パラメーターで「referer」という単語を「refferer」と一貫して間 違 えており、これは以前のレポートで 観察された 誤植です。
表1:偽のGoogle Chromeアップデートページをホストしている可能性のある危険なウェブサイト(出典:Recorded Future)
脅威アクターが所有している可能性のあるドメイン
表1に記載されたドメインは侵害されている可能性が高いですが、Insikt Groupはさらに2つのドメインでホストされているウェブサイトに存在するURLを分析しました(表2を参照)。当社の分析では、これらのドメインがTAG-124に高い確率で関連していることが示唆されています。
表2:視覚的類似性検索で見つかったその他のドメイン(出典:Recorded Future)
ドメイン update-chronne[.]com、Cloudflareの背後でホストされており、Google Chromeを直接なりすますため、脅威アクターが所有しているようです( 図4を参照)。分析の時点では、ドメインはまだアクティブであり、Google 検索によってインデックスに登録され、REMCOS RAT として 識別 されたファイル Release.zip をホストしていました。
特に、被害者が「Chromeを更新」ボタンをクリックすると、ウェブサイトはdownloading[.]bplnetempresas[.]comにリダイレクトされ、IPアドレス146.70.41[.]191が3つの異なるポートと組み合わせられて表示されます(図5参照)。このIPアドレスは以前、REMCOS RATに関連付けられたことがあります。
さらに、このドメインはmoc.txtというファイルをホストしていました。これには、Release.zipの内容をダウンロードして実行するように設計されたPowerShellスクリプトが含まれます(図6参照)。URLは短縮URLhttps://wl[.]gl/25dW64を介してリダイレクトされました。
シェルの疑いのあるウェブサイト
update-chronne[.]comとdownloading[.]bplnetempresas[.]comのいずれもブラジルの組織らしき「YSOFEL」に関連すると思われるウェブサイトをホストしていました(図7参照)。しかし、この組織に関する情報はオンラインでは見つからず、架空の組織である可能性が高いことが示唆されています。
Insikt Groupは他のいくつかのドメインを特定しており、その一部は「侵害されたWordPressウェブサイト」セクションに記載されています(例:mktgads[.]com)他のものはGoogleを偽装しているように見えます(例: check-googlle[.]com)(表3を参照)。これは、このウェブサイトが「シェルウェブサイト」として機能し、ドメインのエイジングのため、または訪問者が特定の基準を満たした場合にのみコンテンツを表示するために使用される可能性があることを示唆しています。
表3:上記の偽のブラジル組織に関連付けられた疑わしい「シェルウェブサイト」にリンクされているドメイン(出典:Recorded Future)
表3のすべてのドメインが悪意のあるものなのか、同じ活動に関連しているのかは不明です。しかし、同じウェブサイトを共有ホスティングしていること、他のブランド(例えばChainList)になりすましていること、感染へのリンクが部分的に検証されていることなどから少なくとも疑わしいと言えます。
TAG-124配信サーバー
TAG-124は、感染チェーンのさまざまなコンポーネントに対して、侵害されたWordPressウェブサイトを活用します。これらの侵害されたファーストステージWordPressサイトのDOMに埋め込まれたサーバーは、「初期配信におけるファーストステージWordPressウェブサイト」セクションで詳述されているように、脅威アクターによって所有されている可能性が高いです。Insikt Groupは、TAG-124脅威アクターに接続され、管理されている可能性が高いサーバーの大規模なネットワークを特定しました(表4参照)。
表4:脅威アクターが管理する可能性の高いTAG-124配信サーバー(出典:Recorded Future)
ほとんどのドメインは2024年11月に解決を開始しており、この期間中にTAG-124が勢いを増し、分析時点では大半のドメインがまだアクティブであることを示唆しています。注目すべきは、45[.]61[.]136[.]67でホストされている2つのドメインpiedsmontlaw[.]comとpemalite[.]comで、2022年にすでにこのIPアドレスに解決されており、同期間中にサーバーがすでに脅威アクターの制御下にあった可能性があることを示しています。
上位インフラストラクチャの疑い
「TAG-124 配信サーバー」セクションに記載されているように、脅威アクターによる制御が疑われるTAG-124配信サーバーの大部分は、TCPポート443を介してサーバーと通信していることが確認されています(図1参照)。このサーバーの構成は配信サーバーの構成と類似しており、アクセスすると一般的なHTMLページのみを返すドメインをホストしています。分析時点でInsikt Groupはこのサーバーの正確な目的を特定できませんでしたが、運用において中心的な役割を果たしていると疑っています。1つの可能性として、TDSのコアロジックが含まれていることがあります。
さらに、Insikt Groupは、TAG-124に関連付けられている疑わしい管理サーバーを特定しました。このサーバーは、TCPポート80と443を介して配信サーバーと通信していることが観察されています。また、「Ads Panel」と呼ばれるTAG-124にリンクされた別のパネルとも連携しています。その目的には、指定されたエンドポイントを通じて最新の配信サーバーを提供することが含まれます(図1を参照)。
TAG-124の多層TDSインフラストラクチャと広範なユーザーベース
分析全文をお読みください
付録A — 侵害を示す指標
1stproducts[.]com
3hti[.]com
academictutoringcenters[.]com
adpages[.]com
adsbicloud[.]com
advanceair[.]net
airbluefootgear[.]com
airinnovations[.]com
allaces[.]com[.]au
alumni[.]clemson[.]edu
ambir[.]com
americanreloading[.]com
antiagewellness[.]com
architectureandgovernance[.]com
astromachineworks[.]com
athsvic[.]org[.]au
baseball[.]razzball[.]com
bastillefestival[.]com[.]au
bigfoot99[.]com
blacksportsonline[.]com
blog[.]contentstudio[.]io
bluefrogplumbing[.]com
canadamotoguide[.]com
canadanickel[.]com
capecinema[.]org
careers[.]bms[.]com
careers[.]fortive[.]com
castellodelpoggio[.]com
catholiccharities[.]org
chamonixskipasses[.]com
changemh[.]org
chicklitplus[.]com
clmfireproofing[.]com
comingoutcovenant[.]com
complete-physio[.]co[.]uk
complete-pilates[.]co[.]uk
conical-fermenter[.]com
cssp[.]org
deathtotheworld[.]com
deerfield[.]com
denhamlawoffice[.]com
dev[.]azliver[.]com
development[.]3hti[.]com
digimind[.]nl
dotnetreport[.]com
drcolbert[.]com
dzyne[.]com
earthboundfarm[.]com
eivcapital[.]com
elitetournaments[.]com
ergos[.]com
esfna[.]org
espumadesign[.]com
exceptionalindividuals[.]com
experiencebrightwater[.]ca
firstpresbyterianpaulding[.]com
fractalerts[.]com
fusionstone[.]ca
global-engage[.]com
gobrightwing[.]com
gov2x[.]com
hksusa[.]com
hmgcreative[.]com
hmh[.]org
hoodcontainer[.]com
hospitalnews[.]com
housingforhouston[.]com
houstonmaritime[.]org
hrsoft[.]com
hungryman[.]com
icmcontrols[.]com
ijmtolldiv[.]com
innsbrook[.]com
jewelryexchange[.]com
jodymassagetherapyclinic[.]com
joelbieber[.]com
knewhealth[.]com
lamaisonquilting[.]com
legacy[.]orlandparkprayercenter[.]org
levyso[.]com
luxlifemiamiblog[.]com
magnoliagreen[.]com
magnotics[.]com
manawatunz[.]co[.]nz
mantonpushrods[.]com
michiganchronicle[.]com
michigantownships[.]org
monlamdesigns[.]com
montessoriwest[.]com
movinbed[.]com
my[.]networknuts[.]net
myrtlebeachgolf[.]com
ncma[.]org
oglethorpe[.]edu
oningroup[.]com
orlandparkprayercenter[.]org
outdoornativitystore[.]com
parksaverscom[.]kinsta[.]cloud
peoria[.]org
peridotdentalcare[.]ca
phfi[.]org
pikapp[.]org
powerlineblog[.]com
prek4sa[.]com
psafetysolutions[.]com
puntademita-rentals[.]com
resf[.]com
retaildatallc[.]com
rhodenroofing[.]com
rm-arquisign[.]com
rvthereyet[.]com
schroederindustries[.]com
sec-group[.]co[.]uk
sixpoint[.]com
slotomoons[.]com
sollishealth[.]com
sparkcarwash[.]com
spectralogic[.]com
sramanamitra[.]com
stg-seatrail-staging[.]kinsta[.]cloud
stg-townandcountryplanningassoci-staging[.]kinsta[.]cloud
sustaincharlotte[.]org
teamtoc[.]com
terryrossplumbing[.]com
theawningcompanc[.]mrmarketing[.]us
theepicentre[.]com
theyard[.]com
tristatecr[.]com
true-blood[.]net
turtl[.]co
tustinhistory[.]com
tysonmutrux[.]com
uk[.]pattern[.]com
unsolved[.]com
vanillajoy[.]ykv[.]ijh[.]mybluehost[.]me
vectare[.]co[.]uk
villageladies[.]co[.]uk
walkerroofingandconstruction[.]com
wildwestguns[.]com
wildwoodpress[.]org
wlplastics[.]com
worldorphans[.]org
www[.]211cny[.]com
www[.]6connex[.]com
www[.]900biscaynebaymiamicondos[.]com
www[.]accentawnings[.]com
www[.]acvillage[.]net
www[.]airandheatspecialistsnj[.]com
www[.]als-mnd[.]org
www[.]americancraftbeer[.]com
www[.]anoretaresort[.]com
www[.]architectureandgovernance[.]com
www[.]atlantaparent[.]com
www[.]atlas-sp[.]com
www[.]atmosera[.]com
www[.]belvoirfarm[.]co[.]uk
www[.]betterengineering[.]com
www[.]bluefoxcasino[.]com
www[.]boatclubtrafalgar[.]com
www[.]bordgaisenergytheatre[.]ie
www[.]brandamos[.]com
www[.]cairnha[.]com
www[.]cdhcpa[.]com
www[.]cds[.]coop
www[.]cgimgolf[.]com
www[.]cheericca[.]org
www[.]conwire[.]com
www[.]cssp[.]org
www[.]dces[.]com
www[.]disabilityscot[.]org[.]uk
www[.]doctorkiltz[.]com
www[.]drivenbyboredom[.]com
www[.]ecowas[.]int
www[.]evercoat[.]com
www[.]facefoundrie[.]com
www[.]foxcorphousing[.]com
www[.]genderconfirmation[.]com
www[.]gofreight[.]com
www[.]gunnerroofing[.]com
www[.]hayeshvacllc[.]com
www[.]hksusa[.]com
www[.]hollingsworth-vose[.]com
www[.]hollywoodburbankairport[.]com
www[.]hopechc[.]org
www[.]icmcontrols[.]com
www[.]inboundlogistics[.]com
www[.]infra-metals[.]com
www[.]jasperpim[.]com
www[.]koimoi[.]com
www[.]louisvillemechanical[.]com
www[.]lsbn[.]state[.]la[.]us
www[.]mallorcantonic[.]com
www[.]marketlist[.]com
www[.]mocanyc[.]org
www[.]motherwellfc[.]co[.]uk
www[.]murphyoilcorp[.]com
www[.]myrtlebeachgolfpackages[.]co
www[.]napcis[.]org
www[.]nelsongonzalez[.]com
www[.]netzwerkreklame[.]de
www[.]onthegreenmagazine[.]com
www[.]orthodontie-laurentides[.]com
www[.]pamelasandalldesign[.]com
www[.]parajohn[.]com
www[.]parksavers[.]com
www[.]parmacalcio1913[.]com
www[.]patio-supply[.]com
www[.]pcbc[.]gov[.]pl
www[.]perfectduluthday[.]com
www[.]powerlineblog[.]com
www[.]progarm[.]com
www[.]rafilawfirm[.]com
www[.]reddiseals[.]com
www[.]riaa[.]com
www[.]robertomalca[.]com
www[.]sevenacres[.]org
www[.]sigmathermal[.]com
www[.]sisdisinfestazioni[.]it
www[.]spectralink[.]com
www[.]sramanamitra[.]com
www[.]sunkissedindecember[.]com
www[.]sweetstreet[.]com
www[.]system-scale[.]com
www[.]tcpa[.]org[.]uk
www[.]thatcompany[.]com
www[.]the-kaisers[.]de
www[.]thecreativemom[.]com
www[.]thedesignsheppard[.]com
www[.]therialtoreport[.]com
www[.]thetrafalgargroup[.]co[.]uk
www[.]thetruthaboutguns[.]com
www[.]totem[.]tech
www[.]ultrasound-guided-injections[.]co[.]uk
www[.]urbis-realestate[.]com
www[.]vending[.]com
www[.]venetiannj[.]com
www[.]visitarundel[.]co[.]uk
www[.]wefinanceanycar[.]com
www[.]wilsonsd[.]org
www[.]wilymanager[.]com
www[.]wvwc[.]edu
zerocap[.]com
Likely Compromised Websites Showing Fake Google Chrome Update Pages:
avayehazar[.]ir
cvqrcode[.]lpmglobalrelations[.]com
elamoto[.]com
evolverangesolutions[.]com
gmdva[.]org
incalzireivar[.]ro
mgssoft[.]com
mktgads[.]com
ns1[.]webasatir[.]ir
selectmotors[.]net
sollishealth[.]com
update-chronne[.]com
www[.]de[.]digitaalkantoor[.]online
www[.]ecowas[.]int
www[.]lovebscott[.]com
www[.]reloadinternet[.]com
TAG-124 Domains:
ambiwa[.]com
boneyn[.]com
calbbs[.]com
chewels[.]com
chhimi[.]com
coeshor[.]com
dechromo[.]com
dhusch[.]com
discoves[.]com
djnito[.]com
dncoding[.]com
dsassoc[.]com
ecrut[.]com
elizgallery[.]com
eliztalks[.]com
enerjjoy[.]com
enethost[.]com
esaleerugs[.]com
fastard[.]com
franklinida[.]com
gcafin[.]com
genhil[.]com
gwcomics[.]com
habfan[.]com
hdtele[.]com
howmanychairs[.]com
ilsotto[.]com
iognews[.]com
mercro[.]com
mirugby[.]com
mtclibraries[.]com
nastictac[.]com
nyciot[.]com
opgears[.]com
pemalite[.]com
piedsmontlaw[.]com
pursyst[.]com
pushcg[.]com
pweobmxdlboi[.]com
rshank[.]com
safigdata[.]com
satpr[.]com
sdrce[.]com
selmanc[.]com
sokrpro[.]com
tayakay[.]com
theinb[.]com
tibetin[.]com
tickerwell[.]com
usbkits[.]com
vicrin[.]com
xaides[.]com
TAG-124 IP Addresses:
45[.]61[.]136[.]9
45[.]61[.]136[.]40
45[.]61[.]136[.]41
45[.]61[.]136[.]67
45[.]61[.]136[.]89
45[.]61[.]136[.]132
45[.]61[.]136[.]196
64[.]7[.]198[.]66
64[.]94[.]85[.]98
64[.]94[.]85[.]248
64[.]95[.]11[.]65
64[.]95[.]11[.]184
64[.]95[.]12[.]38
64[.]95[.]12[.]98
64[.]190[.]113[.]41
64[.]190[.]113[.]111
162[.]33[.]177[.]36
162[.]33[.]177[.]82
162[.]33[.]178[.]59
162[.]33[.]178[.]63
162[.]33[.]178[.]75
162[.]33[.]178[.]113
193[.]149[.]176[.]179
193[.]149[.]176[.]223
193[.]149[.]176[.]248
216[.]245[.]184[.]179
216[.]245[.]184[.]210
216[.]245[.]184[.]225
Additional Domains Observed in TAG-124 Activity:
winworld[.]es
true-blood[.]net
Matomo Instance:
dating2go[.]store
Domains Likely Linked to apple-online[.]shop:
micronsoftwares[.]com
mysamsung7[.]shop
nvidias[.]shop
expressbuycomputers[.]shop
amdradeon[.]shop
mobileyas[.]shop
cryptotap[.]site
REMCOS RAT C2 IP Address:
146.70.41[.]191
Domains Likely Linked to TA582 and MintsLoader Cluster:
527newagain[.]top
abhbdiiaehdejgh[.]top
adednihknaalilg[.]top
anjmhjidinfmlci[.]top
azure-getrequest[.]icu
azurearc-cdn[.]top
azuregetrequest[.]icu
bkkeiekjfcdaaen[.]top
cignjjgmdnbchhc[.]top
ckebfjgimhmjgmb[.]top
cljhkcjfimibhci[.]top
cmcebigeiajbfcb[.]top
cmcuauec[.]top
cryptoslate[.]cc
eebchjechginddk[.]top
ehnediemcaffbij[.]top
ejlhaidjmhcmami[.]top
faybzuy3byz2v[.]top
fpziviec[.]top
futnbuzj3nh[.]top
gbkffjcglabkmne[.]top
gdihcicdghmcldd[.]top
get-azurecommand[.]icu
get-iwrreq[.]top
getazurecommand[.]icu
gnmdjjckbgddaie[.]top
gubyzywey6b[.]top
iadkainhkafngnk[.]top
ikhgijabfnkajem[.]top
ikjfjkkagafbdke[.]top
imfiejalbhhgijl[.]top
kffgkjmjangegkg[.]top
khcjgjmfjgdleag[.]top
kjalcimbfaaddff[.]top
mcajijknegnbbga[.]top
melmejkjaakiakn[.]top
mgjabikgjhhambm[.]top
pretoria24[.]top
rifiziec[.]top
riuzvi4tc[.]top
robnzuwubz[.]top
saighbuzu32uvv[.]top
PyInstaller Hashes:
7683d38c024d0f203b374a87b7d43cc38590d63adb8e5f24dff7526f5955b15a
950f1f8d94010b636cb98be774970116d98908cd4c45fbb773e533560a4beea7
7f8e9d7c986cc45a78c0ad2f11f28d61a4b2dc948c62b10747991cb33ce0e241
CleanUpLoader Loader Hashes:
183c57d9af82964bfbb06fbb0690140d3f367d46d870e290e2583659609b19f2
22dc96b3b8ee42096c66ab08e255adce45e5e09a284cbe40d64e83e812d1b910
9d508074a830473bf1dee096b02a25310fa7929510b880a5875d3c316617dd50
28c49af7c95ab41989409d2c7f98e8f8053e5ca5f7a02b2a11ad4374085ec6ff
2da62d1841a6763f279c481e420047a108da21cd5e16eae31661e6fd5d1b25d7
342b889d1d8c81b1ba27fe84dec2ca375ed04889a876850c48d2b3579fbac206
42c1550b035353ae529e98304f89bf6065647833e582d08f0228185b493d0022
42d7135378ed8484a6a86a322ea427765f2e4ad37ee6449691b39314b5925a27
430fd4d18d22d0704db1c4a1037d8e1664bfc003c244650cb7538dbe7c3be63e
43f4ca1c7474c0476a42d937dc4af01c8ccfc20331baa0465ac0f3408f52b2e2
46aac6bf94551c259b4963157e75073cb211310e2afab7a1c0eded8a175d0a28
4fa213970fdef39d2506a1bd4f05a7ceee191d916b44b574022a768356951a23
57e9e1e3ebd78d4878d7bb69e9a2b0d0673245a87eb56cf861c7c548c4e7b457
6464cdbfddd98f3bf6301f2bf525ad3642fb18b434310ec731de08c79e933b3e
67b5b54c85e7590d81a404d6c7ea7dd90d4bc773785c83b85bcce82cead60c37
700f1afeb67c105760a9086b0345cb477737ab62616fd83add3f7adf9016c5e5
77dc705cecbc29089c8e9eea3335ba83de57a17ed99b0286b3d9301953a84eca
7b8d4b1ab46f9ad4ef2fd97d526e936186503ecde745f5a9ab9f88397678bc96
7ea83cca00623a8fdb6c2d6268fa0d5c4e50dbb67ab190d188b8033d884e4b75
8d911ef72bdb4ec5b99b7548c0c89ffc8639068834a5e2b684c9d78504550927
92d2488e401d24a4bfc1598d813bc53af5c225769efedf0c7e5e4083623f4486
941fa9119eb1413fdd4f05333e285c49935280cc85f167fb31627012ef71a6b3
95b9c9bf8fa3874ad9e6204f408ce162cd4ae7a8253e69c3c493188cb9d1f4da
97105ed172e5202bc219d99980ebbd01c3dfd7cd5f5ac29ca96c5a09caa8af67
9d508074a830473bf1dee096b02a25310fa7929510b880a5875d3c316617dd50
Suspected MintsLoader:
d738eef8756a03a516b02bbab0f1b06ea240efc151f00c05ec962d392cfddb93
77bd80e2a7c56eb37a33c2a0518a27deb709068fdc66bd1e00b5d958a25c7ad8
ccdf82b45b2ee9173c27981c51958e44dee43131edfbce983b6a5c146479ac33