Mit Innovationen zum Erfolg
Während des gesamten Zeitraums, in dem FireEye die FIN7-Kampagnen beobachtete, versuchten die Hacker, ihre Aktivitäten mit immer neuen Taktiken zu verschleiern. Dabei schien es ihnen nicht an Ressourcen zu fehlen. Im April 2017 veröffentlichte FireEye einen Blogbeitrag über Spear-Phishing-E-Mails mit verborgenen LNK-Dateien, die von FIN7 versendet wurden. Die versteckten Verknüpfungen starteten mshta.exe, das dann VBScript-Funktionen aufrief, um das Zielsystem zu infizieren. Dies war ein neuer Ansatz, da die Gruppe bis zu diesem Zeitpunkt meist Office-Makros verwendet hatte. Der Vorfall macht deutlich, wie schnell die Hacker ihre Methoden ändern können, um unerkannt zu bleiben.
FireEye hatte auch darauf hingewiesen, dass FIN7 die Backdoor CARBANAK nutzte, um sich dauerhaft Zugang zu den infiltrierten Netzwerken und den Infrastrukturen ihrer Opfer zu verschaffen. CARBANAK wird bereits seit 2013 bei äußerst rentablen und komplexen Angriffen eingesetzt. FIN7 schien diese Backdoor seit Ende 2015 zu nutzen. Es ist allerdings noch unklar, ob und wie eng die verschiedenen CARBANAK-Kampagnen der letzten fünf Jahre miteinander verbunden sind. Der Einsatz von CARBANAK durch FIN7 ist allerdings besonders interessant, da die Gruppe einen kreativen Persistenzmechanismus zum Starten der Backdoor nutzte. Sie verwendete eine Shim-Datenbank, die ein schädliches In-Memory-Patch in den Services Control Manager-Prozess (services.exe) injizierte, um CARBANAK einzuschleusen. FIN7 verwendete dieselbe Taktik, um ein Dienstprogramm zu installieren, das Kreditkartendaten abgreift.
Ein weiteres Merkmal von FIN7 ist der häufige Einsatz digitaler Zertifikate. Cyberkriminelle versuchen natürlich, die Legitimität dieser Zertifikate für ihre Zwecke zu missbrauchen. Durch das Einfügen digitaler Signaturen in seine Phishing-Dokumente, Backdoors und Tools für die nächsten Angriffsstufen konnte FIN7 zahlreiche Sicherheitsmaßnahmen umgehen, die die Ausführung unsignierter Binärdateien und Makros aus Office-Dokumenten in vertrauenswürdigen Systemen verhindern.
Unternehmen |
Land |
Seriennummer |
E-Mail-Adresse |
Korsar Travel TOV |
UA |
88:21:ac:7e:6c:da:11:00:1d:b3:d3:1a:16:c1:5c:26 |
korsartravel@bk.ru |
Kaitschuck James |
GB |
30:2e:7f:14:3a:f3:f3:98:20:70:42:4e:ea:52:5d:d2 |
oliversoftware@hotmail.com |
Park Travel |
RU |
4d:e2:87:56:98:bf:c7:74:a3:f3:47:d6:70:7c:9b:f0 |
inga@parktravel-mx.ru |
Tabelle 1: Beispiele für Code-Signing-Zertifikate von FIN7
Die Verschleierung scheint FIN7 besonders wichtig zu sein. Im Verlauf des Jahres 2017 entwickelte FIN7 neue Verschleierungsmethoden und wandelte diese mitunter täglich ab, wenn Angriffe auf mehrere Opfer liefen. Die Hackergruppe glich regelmäßig schädliche DOC-, DOCX- und RTF-Phishing-Dokumente mit öffentlichen Verzeichnissen ab, um zu ermitteln, auf welchem Stand die Engine zur statischen Bedrohungserkennung war. FIN7 entwickelte eine einzigartige Methode zur Payload-Verschleierung, die auf dem Austausch nativer Strings im Windows-Befehlsinterpreter (cmd.exe) beruht. FireEye bezeichnet dieses Verfahren als „FINcoding“." Diese Methoden waren der Anlass für eine umfassende Studie zu Verschleierungstechniken über die Befehlszeile und für die Veröffentlichung der Präsentation Invoke-DOSfuscation von Daniel Bohannon. In den Tabellen 2 und 3 finden Sie einige Beispiele für Verschleierungsmethoden mit den entsprechenden Befehlszeilen.
Typisch FIN7: Unaufhörliche Anrufe und endlose Beschwerden
FireEye hat drei Jahre lang auf viele durch FIN7 verursachte Sicherheitsverstöße reagiert und proaktive Abwehrmaßnahmen implementiert. Dabei fiel auf, dass FIN7 Social Engineering in einem bisher beispiellosen Maß nutzte. Die Angreifer nutzten diverse Methoden, von Webformularen für die Kontaktaufnahme bis hin zu direkten Anrufen bei zuvor ausgewählten Managern von Ladengeschäften. FIN7 beschränkte sich auch nicht nur auf die Computersysteme der Opfer. FireEye war bei Vorfällen im Einsatz, bei denen FIN7-Mitglieder die Opfer angerufen hatten, bevor sie ihnen über digitale Kommunikationskanäle Beschwerden voller schädlicher Dokumente zuschickten. Danach riefen die Hacker erneut an, um sich den Eingang ihrer Phishing-Dokumente bestätigen zu lassen. Mit dieser etwas primitiven, aber durchaus effektiven Methode konnte FIN7 den Fortschritt der Kampagne verfolgen.
FIN7 hat seine Fähigkeiten konsequent erweitert und gleichzeitig die Qualität seiner Phishing-E-Mails und ‑Vorlagen verbessert. Diese wurden häufig über gefälschte, aber gut getarnte Konten von Einzelpersonen und Unternehmen versendet. Gelegentlich versuchten sie auch den Eindruck zu erwecken, die E-Mail stamme von einer legitimen staatlichen Stelle. Als Aufhänger dienten oft dringende, für das jeweilige Opfer wichtige Anfragen. Bei den Managern von Ladengeschäften waren dies beispielsweise Fragen über „verlorenes“ Eigentum oder „Quittungen“, die angeblich zeigten, dass für einen Artikel zu viel berechnet worden war. Andere Phishing-E-Mails von FIN7 sahen wie detaillierte Catering-Bestellungen oder Anfragen zu Angeboten für Personen mit speziellen Diäten oder Allergien aus.
Anfang 2017 wurde ein Angriffsmuster offensichtlich, das über ein Jahr lang ausgenutzt wurde: FIN7 kontaktierte Geschäfte und Unternehmen mit Beschwerden zu Lebensmittelvergiftungen. Diese E-Mails enthielten schädliche Anhänge. FireEye nannte diese Beschwerdemuster intern FINdigestion. Etwas später ging FIN7 zur „Ankündigung“ von Kontrollmaßnahmen durch Behörden über (siehe Abbildung 1).
Abbildung 1: Spear-Phishing-E-Mail mit gefälschtem FDA-Design
An dieser Stelle möchten wir daran erinnern, dass Proofpoint im Juli 2017 über Aktivitäten mit der Backdoor BATELEUR berichtete. FireEye vermutet, dass diese von einer Untergruppe von FIN7 ausgingen, die sehr echt wirkende Grafiken für ihre Kampagnen erstellt, häufig in Adobe Photoshop. Für diese Phishing-Kampagne passte FIN7 seine schädlichen Anhänge grafisch an die E-Mail an (siehe Abbildung 2).
Abbildung 2: Spear-Phishing-Anhang mit gefälschtem FDA-Design
Während der gesamten Kampagne wurden professionelle Designs und neu entwickelte Phishing-Elemente zusammen mit Tools für den Einsatz nach dem Angriff verwendet. Das deutet darauf hin, dass FIN7 über umfangreiche Ressourcen verfügt.
Aufschlussreiche Metadaten
FireEye konnte mehrere Identitäten von FIN7-Mitgliedern ermitteln. Dazu wurden verschiedene Dateitypen erfasst und geparst, um aufschlussreiche Metadaten herauszufiltern. Wir haben bereits in einem früheren Blogartikel beschrieben, wie die LNK-Dateien von FIN7 wertvolle Rückschlüsse auf die Entwicklungsumgebung zulassen.
LNK-Dateien enthalten mitunter Metadaten wie den ursprünglichen Dateipfad, die Seriennummer des Speichervolumes oder die MAC-Adresse bzw. den Hostnamen des Systems, auf dem die Datei erstellt wurde. Bei der Analyse der LNK-Metadaten finden wir häufig spezifische Zeichenketten oder Werte und andere Hinweise auf die Identität des Malware-Entwicklers oder Nutzers.
Die LNK-Metadaten von FIN7 zeigten, dass die Angreifer normalerweise Maschinen mit nichtssagenden Hostnamen, wie ANDY-PC oder USER-PC, und Standard-Hostnamen mit der Struktur WIN-[A-Z0-9]{11} nutzen (z. B. WIN-ABCDEFGH1JK).
FireEye konnte mehrere Hostnamen und Dateipfade der FIN7-Angriffe nachverfolgen und dadurch Aktivitätscluster aufdecken. Diese Markierungen stammen vermutlich von FIN7-Mitgliedern, die an der Tool-Entwicklung oder der Vorbereitung des Angriffs beteiligt waren. Einige der Identitäten, die wir aus den technischen Daten auslesen konnten, sind (weitere Details im Abschnitt „Anhang: Technische Daten“):
- "andy" / "andy-pc"
- "Hass"
- "jimbo"
- "Константин" (Konstantin)
- "oleg"
Anhand dieser Analyseergebnisse haben wir einen Einblick in die Systemstruktur von FIN7 gewonnen und konnten die folgenden Angriffe den verschiedenen Identitäten zuordnen. Außerdem können wir anhand dieser Ergebnisse gezielt nach von FIN7 erstellten Dateien suchen und die in den Metadaten enthaltenen Hinweise nutzen, um neue Methoden wie den direkten Zugriff über RDP oder SMB zu erkennen, falls die Gruppe ihre TTPs ändern sollte.
Videoaufzeichnung von FIN7-Angriffen
Bei Incident-Response-Einsätzen entdeckten FireEye-Experten, dass FIN7 im Rahmen seiner Angriffe eine benutzerdefinierte Videofunktion genutzt hatte. Das FLARE-Team von FireEye entschlüsselte das Videoprotokoll durch Reverse Engineering. Es wurde offenbar speziell von FIN7 entwickelt, da es keine externen Bibliotheken nutzt, der Code Kommentare in kyrillischer Schrift enthält und zum Abspielen ein Videoplayer erforderlich ist, den wir nur bei FIN7 gesehen haben. Die Hacker nutzten diese Videofunktion wahrscheinlich, um Abläufe in den Umgebungen ihrer Opfer aufzuzeichnen und diese Informationen in einer späteren Phase des Angriffs zu nutzen.
FireEye konnte sich über eine vertrauenswürdige Quelle eine Version des Videoplayers der Hackergruppe verschaffen. Da das FLARE-Team das Protokoll aus dem Reverse-Engineering-Verfahren kannte, konnte es den Quellcode modifizieren, um verschiedene Versionen des speziellen FIN7-Codes zu unterstützen. Mit diesem modifizierten Quellcode konnte FireEye die von FIN7 bei Opfern aufgezeichneten Videos entschlüsseln und abspielen.
Neue Entwicklung bei FIN7-Angriffen
Seit Anfang 2018 hat FireEye immer wieder Domains identifiziert, in denen aus bisherigen FIN7-Aktivitäten bekannte Muster erkennbar waren. Zudem haben wir mehrere Kampagnen mit verschiedenen TTP aufgedeckt, bei denen wir teilweise sehr sicher sind, dass sie FIN7 zuzuordnen sind. In einer 2018 (vermutlich von FIN7) registrierten Domain wurden ZIP-Dateien mit der Backdoor BIRDDOG gehostet. Mehrere Merkmale dieser Kampagnen deuten darauf hin, dass diese schädlichen Dokumente bereits im September 2017 an Kunden von Finanzinstituten in Osteuropa und Zentralasien gesendet wurden. Angriffe auf Einzelpersonen (anstelle von Unternehmen) wären eine ganz neue Taktik für FIN7. Es ist jedoch auch möglich, dass die Banken, deren Identitäten gefälscht wurden, die eigentlichen Ziele dieser Kampagnen waren.'
Wir konnten auch Ähnlichkeiten zwischen den Aktivitäten von FIN7 und den BATELEUR-Kampagnen feststellen, die bereits Mitte 2017 begannen und überwiegend auf US-amerikanische Restaurantketten abzielten. Bei diesen Kampagnen wurden Word-Dokumente verwendet, in die Makros eingebettet waren. Diese wurden entweder an E-Mails angehängt oder auf Google Drive gespeichert. Bei den Dokumenten handelte es sich um täuschend echt wirkende Fälschungen, die vorgeblich von Gaststättenverbänden, Anbietern von PoS-Hardware und anderen legitimen Absendern stammten. Diese Angriffe werden FIN7 zugeschrieben und gingen auch nach den jüngsten Verhaftungen durch die US-Strafverfolgungsbehörden weiter. Allerdings verwenden die Hacker inzwischen eine aktualisierte JavaScript-Backdoor namens GRIFFON.
Diese neuen Kampagnen sind möglicherweise ein Zeichen dafür, dass FIN7 inzwischen vielfältigere TTPs nutzt, um weiterhin unerkannt zu bleiben. Sie könnten aber auch von FIN7-Splittergruppen ausgehen, die eigenständig Kampagnen durchführen. Unternehmen müssen daher weiterhin äußerst wachsam bleiben und sich auf neue Angriffsmethoden von FIN7 einstellen.
Entlarvung einer FIN7-Tarnfirma
Abbildung 3: Das Logo von „Combi Security“, das 2016 aus einem Cache von combisecurity.com abgerufen wurde
US-amerikanischen Strafverfolgungsbehörden zufolge wurde zumindest ein Teil der FIN7-Aktivitäten über eine Tarnfirma namens Combi Security ausgeführt. In einer in einem Cache gefundenen Website wurde das Unternehmen als „weltweit führender Anbieter umfassender Cybersicherheitsmaßnahmen für große Informationssysteme“ mit Niederlassungen in Moskau, Haifa und Odessa beschrieben. Wir haben Stellenangebote von Combi Security gefunden, die auf bekannten russischen, ukrainischen und usbekischen Stellenportalen veröffentlich worden waren. Außerdem konnten wir mehrere Personen ausfindig machen, die vermutlich für das Unternehmen gearbeitet haben. Da die Stellenangebote legitim aussahen, waren sich einige Bewerber eventuell nicht bewusst, dass es sich um kriminelle Aktivitäten handelte. Viele kriminelle Organisationen stellen ahnungslose Mitarbeiter als Marionetten ein, zum Beispiel als sogenannte Finanz- und Warenagenten, die Pakete in Empfang nehmen und weiterverschicken. Die Stellenangebote versprechen viel Geld für leichte Arbeit von zuhause aus und locken damit Interessierte an. Doch FIN7 hat ein neues Niveau erreicht, da die Gruppe finanziell motivierte Angriffe in großem Maßstab hinter einem scheinbar legitimen Sicherheitsunternehmen verborgen hatte. Da Combi Security mit dieser Methode offenbar recht erfolgreich war, werden in Zukunft vermutlich auch andere Cyberkriminelle auf diese Weise nach technisch versierten Helfern suchen.
Bilden sich Splittergruppen?
Strafverfolgungsbehörden haben zwar einige Hacker festgenommen, aber die kriminelle Organisation hinter FIN7 hat höchstwahrscheinlich zahlreiche weitere Mitglieder. FireEye iSIGHT Intelligence rechnet damit, dass zumindest einige von ihnen weitere Angriffe durchführen werden, doch nach einschneidenden Ereignissen, wie der Verhaftung wichtiger Mitglieder und/oder der Veröffentlichung ihrer Methoden, modifizieren die Angreifer häufig ihre TTP oder unterbrechen ihre Aktivitäten vorübergehend.
In Abhängigkeit von der Organisations- und Kommunikationsstruktur der Gruppe ist auch denkbar, dass sie in mehrere Splittergruppen zerfällt, die zukünftig unabhängig voneinander agieren. Aktuelle Kampagnen und Aktivitäten mit für FIN7 neuen Taktiken, wie zum Beispiel die SEC-Kampagne mit ihren weit gestreuten Zielen, sind möglicherweise ein Anzeichen dafür, dass es bereits teilautonome Gruppen innerhalb von oder parallel zu FIN7 gibt, die gelegentlich mit FIN7 zusammenarbeiten. Wie in unserem CARBANAK-Überblick beschrieben, werden bestimmte Malware-Familien und Techniken nicht nur von einer Hackergruppe genutzt und eventuell von Entwicklern und Betreibern verbreitet, die von einer Hackergruppe oder Kampagne zur nächsten wechseln.
Fazit
Die Bekanntgabe der Verhaftungen durch die US-Strafverfolgungsbehörden ist ein gutes Beispiel für die erfolgreiche Zusammenarbeit zwischen Unternehmen und Institutionen im öffentlichen Sektor zur Bekämpfung der Cyberkriminalität. FIN7 ist ein Beispiel für Cyberkriminelle mit Zielen im Finanzsektor, die immer geschickter vorgehen und mit sorgfältig geplanten Kampagnen erheblichen Schaden verursachen können. Partnerschaften, wie die hier beschriebenen, werden in Zukunft im Kampf gegen technisch versierte und gut ausgerüstete Hacker immer wichtiger werden.
Danksagungen
Jordan Nuce, Tom Bennett, Michael Bailey und Daniel Bohannon
Anhang: Technische Details
FireEye-Experten waren nach zahlreichen FIN7-Angriffen im Einsatz und konnten dadurch umfassende Einblicke in die Aktivitäten der Gruppe gewinnen. In diesem Blogartikel führen wir zahlreiche Gefahrenindikatoren und eine Reihe von Methoden auf, die unserer Einschätzung nach FIN7 zuzuordnen sind. Damit wollen wir Unternehmen weltweit bei der Erkennung dieser Aktivitäten in ihren Netzwerken unterstützen.
Technische Details zu den Phishing-Dokumenten
Abgesehen von den LNK-Metadaten enthielten die Phishing-Dokumente von FIN7 immer auch Spuren lokaler Pfade für Dateien, die zur Erstellung der Spear-Phishing-Dokumente genutzt worden waren. In den folgenden Tabellen finden Sie zudem Beispiele für die extrem zahlreichen Befehlszeilen, die von FIN7 zur Verschleierung genutzt wurden. Bemerkenswert ist insbesondere, wie schnell FIN7 zwischen den Verschleierungsmethoden wechseln konnte.
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
||
2018:05:21 17:32:00 |
Vermutlich FIN7 |
GRIFFON |
7e703dddcfc83cd352a910b48eaca95e |
|
||
C:\Users\jimbo\Desktop\Files\Картинки\outlook2.png |
||||||
cmd.exe /k "SET a01=wscr& SET a02=ipt&&call %a01%%a02% /e:jscript //b %TEMP%\errors.txt |
||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
||
2018:01:26 15:59:00 |
Vermutlich FIN7 |
BATELEUR |
bb1a76702e2e7d0aa23385f24683d214 |
Doc1.doc |
||
C:\Users\Hass\Desktop\Картинки\New\outlook3.png |
||||||
cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini |
||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
||
2018:01:11 13:16:00 |
Vermutlich FIN7 |
BATELEUR |
5972597b729a7d2853a3b37444e58e01 |
check.doc |
||
C:\Users\Hass\Desktop\Картинки\New\outlook2.png |
||||||
cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini |
||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
||
2017:10:25 07:43:00 |
Vermutlich FIN7 |
BATELEUR |
c4aabdcf19898d9c30c4c2edea0147f0 |
document1.doc |
||
C:\Users\oleg\Desktop\Файлы\Картинки\New\defender.jpg |
||||||
cmd.exe /c wscript.exe //b /e:jscript %TEMP%\crashpad.ini |
||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
||
2017:06:23 15:18:00 |
Vermutlich FIN7 |
BATELEUR |
467062d2a5a341716c42c6d7f36ba0ed |
check.doc |
||
C:\Users\Work\Desktop\IMAGES\outlook2.png |
||||||
wscript.exe //b /e:jscript %TEMP%\debug.txt |
||||||
Tabelle 2: Wahrscheinliche Spear-Phishing-Parameter und andere Hinweise von den lokalen Systemen der FIN7-Mitglieder
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:10:06 11:21:00 |
FIN7 |
HALFBAKED |
29a3666cee0762fcd731fa663ebc0011 |
Doc0610.docx |
|||
C:\Users\andy\Desktop\unlock.cmd |
|||||||
cmd /c ""%TMP%\unlock.cmd" " |
|||||||
@set w=wsc@ript /b /e:js@cript %HOMEPATH%\tt.txt |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:09:27 11:56:00 |
FIN7 |
HALFBAKED |
6146a18570e134c6c32633aca14375fb |
Doc2709.docx |
|||
C:\Users\usr\Documents\send\270917\unlock.doc.lnk |
|||||||
wmic.exe process call create "cmd start /min cmd /c for /f \"usebackq delims=\" %x in (`FindStr /R /C:\"@#[0-9]#@\" \"%TEMP%\unlock.doc.lnk\"`) do %x|cmd >nul 2>&1 &" |
|||||||
cmd.exe /S /D /c" echo /*@#8#@*/try{sh=new ActiveXObject("Wscript.Shell");fs=new ActiveXObject("Scripting.FileSystemObject");p=sh.ExpandEnvironmentStrings("%TM"+"P%");f=fs.GetFile(p+"//unlock.doc.lnk");s=f.OpenAsTextStream(1,0);c=s.Read(2403);c=s.ReadAll();s.Close();this[String.fromCharCode(101)+'va'+'l'](c);}catch(e){} >%HOMEPATH%\t.txt & wscript //b /e:jscript %HOMEPATH%\t.txt >nul 2>&1 &" |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:08:08 17:38:00 |
FIN7 |
HALFBAKED |
03e85ad4217775906e6b5ceae8dc27af |
Doc_n0908.rtf |
|||
C:\Users\andy\Desktop\unlock.doc.lnk |
|||||||
wmic.exe process call create "mshta javascript:eval(\"try{eval('wall=GetObject(\\'\\''+String.fromCharCode(44)+'\\'Word.Application\\')');eval(wall.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){};close();\")" |
|||||||
mshta.exe "try{jelo = 'try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+\\'va\\'+\\'l\\'](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){};';var fso = new ActiveXObject("Scripting.FileSystemObject");var sh = new ActiveXObject("Wscript.Shell");var p = sh.ExpandEnvironmentStrings("%HOMEPATH%") + "\\\\jelo.txt"" |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:07:27 15:51:00 |
FIN7 |
HALFBAKED |
63e2eb258a85ed4e72f951cdbff2a58e |
Dooq.docx |
|||
C:\Users\jinvr-3-1\Desktop\unlock.doc.lnk |
|||||||
cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%\ttt.txt & echo try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+'va'+'l'](w.ActiveDocument.Shapes(2).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%\ttt.txt & echo %x:@=%|cmd |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:06:28 16:21:00 |
FIN7 |
HALFBAKED |
22ad7c05128ca7b48b0a2a4507803b16 |
Doc0507.rtf |
|||
C:\Users\andy\Desktop\unprotect.rtf.lnk |
|||||||
cmd.exe /C set x=wsc@ript /e:js@cript %HOMEPATH%\md5.txt & echo try{w=GetObject("","Wor"+"d.Application");this[String.fromCharCode(101)+'va'+'l'](w.ActiveDocument.Shapes(1).TextFrame.TextRange.Text);}catch(e){}; >%HOMEPATH%\md5.txt & echo %x:@=%|cmd |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:05:11 12:59:00 |
FIN7 |
HALFBAKED |
99975b5ee2ddd31e89c9bdda7a3871d9 |
Doc1.docx |
|||
C:\Users\user\Documents\unprotect.lnk |
|||||||
C:\WINDOWS\system32\mshta.exe vbscript:Execute("On Error Resume Next:set yjdsqjtrn=GetObject(,""Word.Application""):execute yjdsqjtrn.ActiveDocument.Shapes(2).TextFrame.TextRange.Text:close") |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:04:20 16:27:00 |
FIN7 |
HALFBAKED |
42a2a2352f6b1f5818f3b695f240fc3a |
info.rtf |
|||
C:\Users\testadmin.TEST\Desktop\unprotect.lnk |
|||||||
C:\WINDOWS\system32\mshta.exe vbscript:Execute("On Error Resume Next:set wprotect=GetObject(,""Word.Application""):execute wprotect.ActiveDocument.Shapes(1).TextFrame.TextRange.Text:close") |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2017:01:12 18:00:00 |
FIN7 |
HALFBAKED |
cea2989309ccd5128f437335622978f1 |
order.rtf |
|||
C:\Users\testadmin.TEST\Desktop\unprotected.vbe |
|||||||
%WINDIR%\System32\Wscript.exe %TEMP%\WindowsUpdate_X24532\beginer.vbs |
|||||||
Erstellungsdatum der EXIF-Datei |
Zuordnung |
Malware |
MD5 |
Dateiname |
|||
2016:08:12 11:26:00 |
FIN7 |
HALFBAKED |
fbf653b89a0814f515ddbdcf82cc3795 |
Reservation - Copy.docx |
|||
C:\Users\test\Documents\sploits\120816\order.vbe |
|||||||
%WINDIR%\System32\Wscript.exe %TEMP%\AdobeUpdateManagementTool.vbs |
|||||||
Tabelle 3: Spear-Phishing-Parameter und andere Spuren von den lokalen Systemen der FIN7-Mitglieder
Taktiken, Techniken & Prozesse (TTP) von FIN7
FireEye stellt die wichtigsten Methoden von FIN7 für diverse Stufen des Angriffszyklus vor und gibt Tipps, wie Unternehmen diese Aktivitäten und ähnliches verdächtiges Verhalten in ihren Umgebungen erkennen können.
Stufe des Angriffszyklus |
Angriffsmethode |
Tipps für die Erkennung |
Erstes Eindringen |
Spear-Phishing-E-Mails werden über PHPMailer versendet. |
Eingehende E-Mails enthalten Metadaten wie „X-Mailer: PHPMailer“. |
Festsetzen im Zielsystem |
Persistenz mithilfe von Run- und RunOnce-Registrierungsschlüsseln |
Neue Run- und RunOnce-Registrierungseinträge rufen Dateien mit den Endungen .vbs und .vba auf. |
Festsetzen im Zielsystem |
Ausführung oder Persistenz mithilfe von geplanten Aufgaben |
Neue geplante Aufgaben rufen Dateien mit den Endungen .cmd, .lnk, .vbs, .vba, .ps1 oder den Endungen anderer Skriptsprachen auf |
Festsetzen im Zielsystem |
Persistenz mithilfe von Windows-Diensten und Startverzeichnissen |
Neue Windows-Dienste und neue Dateien in den Startverzeichnissen |
Festsetzen im Zielsystem |
Persistenz mit AppCompat Shim |
Neue Shim-Datenbankdateien und Modifizierung der AppCompatFlags-Registrierungsschlüssel (siehe FIN7 SDB Persistence) |
Langfristiger Systemzugriff |
C2 über bevorzugte C2-Ports |
Ausgehende Verbindungen über gängige Ports wie 53, 80, 443 oder 8080 mit einem nicht dazu passenden Protokoll |
Langfristiger Systemzugriff |
C2 mit bevorzugten generischen Third-Level-Domains |
Ausgehende Verbindungen oder DNS-Auflösungen zu "undurchsichtigen" Second-Level-Domains mit generischen Third-Level-Domains wie mail, www1, www2, dns, ftp (z. B. „mail[.]qefg[.]info“) |
Langfristiger Systemzugriff |
C2 über verdächtige VPS-Infrastrukturen |
Eingehende und ausgehende Verbindungen von und zu ungewöhnlichen IP-Adressbereichen, insbesondere von internationalen VPS-Anbietern (Virtual Private Server) |
Langfristiger Systemzugriff |
C2 über legitime Dienste wie Google Docs, Google Scripts und Pastebin |
|
Langfristiger Systemzugriff |
C2 über DNS A-, OPT- und TXT-Datensätze |
Ungewöhnlich lange oder viele DNS A-, TXT- und OPT-Datensatzabfragen |
Langfristiger Systemzugriff |
Bei REG.RU registrierte C2-Domains |
Erstmals auftretende, bei REG.RU registrierte Domains |
Langfristiger Systemzugriff |
Bei NameCheap registrierte C2-Domains |
Erstmals auftretende, bei NameCheap registrierte Domains |
Langfristiger Systemzugriff |
Registrierte C2-Domains mit ungewöhnlichen Formaten oder Top-Level-Domains |
Ungewöhnlich lange oder viele DNS-Abfragen mit der Struktur [a-zA-Z]{4,5}\.[pw|us|club|info|site|top] (z. B. „pvze[.]club“) |
Langfristiger Systemzugriff |
Registrierte C2-Domains mit Bindestrich |
Ausgehende Verbindungen zu neu registrierten Domains mit einem Bindestrich im Namen |
Tabelle 4: TTP von FIN7
FIN7-Indikatoren
FireEye hat diese detaillierten technischen Indikatoren zusammengestellt, damit interessierte Unternehmen die Methoden der Hacker besser verstehen und nach entsprechenden Aktivitäten in ihren Netzwerken suchen können.
Dropper für Phishing-Dokumente
Dateiname |
MD5 |
Zuordnung |
Malware |
menu.rtf |
c14eb54769ff208a2562e4ef47958d9e |
FIN7 |
|
|
76eb6f124fba6599a54e92b829c55b63 |
FIN7 |
BEACON |
3-ThompsonDan.rtf |
4b783bd0bd7fcf880ca75359d9fc4da6 |
FIN7 |
BEACON |
claim.rtf |
af53db730732aa7db5fdd45ebba34b94 |
FIN7 |
BEACON |
order.rtf |
cea2989309ccd5128f437335622978f1 |
FIN7 |
BEACON |
order.rtf |
cf4ccb3707e5597969738b4754782e4d |
FIN7 |
BEACON |
Doc2_rtf.rtf |
2dc0f4bece10759307026d90f585e006 |
FIN7 |
BEACON |
doc1.doc |
37759603c6cd91ebc8a1ea9ac0f2d580 |
FIN7 |
BEACON |
quote.rtf |
3c0bd71e91e0f18621ba43de4419f901 |
FIN7 |
BEACON |
Doc2_rtf.rtf |
562a64f1c09306d385962cf8084b6827 |
FIN7 |
BEACON |
information.doc |
5dace5ac5ba89c9bba4479264f75b2b6 |
FIN7 |
BEACON |
Doc_rest_rtf.rtf |
619aa4e6c9db275381ab0e7fc7078f5f |
FIN7 |
BEACON |
doc1.docx |
67c9bfd4d6ac397fb0cd7da2441a6fe2 |
FIN7 |
BEACON |
Doc33.docx |
6a5a42ed234910121dbb7d1994ab5a5e |
FIN7 |
BEACON |
info_.rtf |
6ac5ae6546746e3a9502cc489b71146e |
FIN7 |
BEACON |
bmg.docx |
754fc509328af413d93131e65fc46d31 |
FIN7 |
BEACON |
Doc_0405_1.rtf |
7b2315ff1f2d763857aa70ad34b75449 |
FIN7 |
BEACON |
doc1.docx |
99975b5ee2ddd31e89c9bdda7a3871d9 |
FIN7 |
BEACON |
doc0505_1.rtf |
9eb71edd5ec99294a1c341efa780b1b1 |
FIN7 |
BEACON |
DonovanR.docx |
b5829caad7c448c558cb1dab2d9f4320 |
FIN7 |
BEACON |
rising star.rtf |
c8b8420d1503ae48ff35362f5d29eeb3 |
FIN7 |
BEACON |
inf6.docx |
e494356fc0db7ef6009d29e5ae869717 |
FIN7 |
BEACON |
Claim.docx |
06b9e2fdd2c0eeb78b851c93ca66f25f |
FIN7 |
BELLHOP |
order.rtf |
80eed9f87a18b0093eb3f16fa495b6f7 |
FIN7 |
BELLHOP |
Details Joseph.docx |
b4d48f3e1ae339f2fcb94b7abceecfff |
FIN7 |
BELLHOP |
order.doc |
e2a6b351c276d02d71e18cd0677e8236 |
FIN7 |
BELLHOP |
|
b14bc8cbc7f2d36179ebff96ade6d867 |
FIN7 |
CARBANAK |
features.doc |
bbd99ef280efebe9066c0aef91bf02cd |
FIN7 |
DRIFTPIN |
doc2709.rtf |
01d666fcbc4cdcedbfe7963f498e7858 |
FIN7 |
HALFBAKED |
doc_n0908.rtf |
03e85ad4217775906e6b5ceae8dc27af |
FIN7 |
HALFBAKED |
doc1.docx |
0d6619481cfd29791a51ebb42ace5c03 |
FIN7 |
HALFBAKED |
doc1.rtf |
0e0a51489054529a9dcb177d39f08b81 |
FIN7 |
HALFBAKED |
doc0719.docx |
101bdbbd99cfd74aa5724842404642f2 |
FIN7 |
HALFBAKED |
doc0507.docx |
17fabe288d640476a70154c59d5a1ba1 |
FIN7 |
HALFBAKED |
info_1.rtf |
189c5a090d2b3b87ab65a8b156cd971e |
FIN7 |
HALFBAKED |
doc.docx |
1a6c18967f4ce1c91c77098af4957e6e |
FIN7 |
HALFBAKED |
Mail.rtf |
1a9e113b2f3caa7a141a94c8bc187ea7 |
FIN7 |
HALFBAKED |
Doc_rest_n_rtf.rtf |
1f5022a02c82fbe414dc91bf3f1b5180 |
FIN7 |
HALFBAKED |
doc.docx |
1f98c4ff12fc2c6fbf8247a5b2e4e7f4 |
FIN7 |
HALFBAKED |
doc1909.docx |
1fbe77a3b5771ce4f95e02a49c5b7f30 |
FIN7 |
HALFBAKED |
doc_n0808.rtf |
21926646a658bdf39cf28cdfbb1aced7 |
FIN7 |
HALFBAKED |
doc0507.rtf |
22ad7c05128ca7b48b0a2a4507803b16 |
FIN7 |
HALFBAKED |
Doc2.docx |
22e7d4f7401ef34b3b6d17c15291c497 |
FIN7 |
HALFBAKED |
menu.rtf |
24fab1e9831e57307d17981abaabf960 |
FIN7 |
HALFBAKED |
2-order.docx |
28ad8e3a225400a1d00f6023f8e6c9c8 |
FIN7 |
HALFBAKED |
doc0610.docx |
29a3666cee0762fcd731fa663ebc0011 |
FIN7 |
HALFBAKED |
doc2209_1.rtf |
2d36634974c85eff393698b39edc561c |
FIN7 |
HALFBAKED |
Doc1.rtf |
307a9ce257e97189e046fa91d3c27dab |
FIN7 |
HALFBAKED |
doc1.rtf |
325844f1b956c52fc220932bc717f224 |
FIN7 |
HALFBAKED |
doc0910.rtf |
3917028799d2aa3a43ec5bad067e99a5 |
FIN7 |
HALFBAKED |
doc1.docx |
397d45b6001919b04739e26379c84dd9 |
FIN7 |
HALFBAKED |
docr.rtf |
3a303f02e16d7d27fa78c3f48a55d992 |
FIN7 |
HALFBAKED |
oliver_davis.docx |
3b12f36a01326ec649e4def08b860339 |
FIN7 |
HALFBAKED |
doc2209.docx.docx |
402c34d7d6ce92bf5a048023bd2fde4a |
FIN7 |
HALFBAKED |
Dooq.docx |
41c6861313e731bd3f84dd70360573ce |
FIN7 |
HALFBAKED |
info.rtf |
42a2a2352f6b1f5818f3b695f240fc3a |
FIN7 |
HALFBAKED |
james.docx |
499ebef3ab31a2f98fc8a358bd085b0f |
FIN7 |
HALFBAKED |
doc1007.rtf |
4b7a742d5c98fc62f0f67445032e7bc6 |
FIN7 |
HALFBAKED |
tem6.doc |
4bf691809224d17e49cebb071d22a867 |
FIN7 |
HALFBAKED |
doc1.rtf |
511af2b4c62fa4c2bb91f3be1ca96094 |
FIN7 |
HALFBAKED |
doc1.docx |
52cf6a63da29331d805a5a9b5015580f |
FIN7 |
HALFBAKED |
doc2209.rtf |
560e72858ee413d7a6f72fff5ab7577b |
FIN7 |
HALFBAKED |
doc1.docx |
5a0b796c7a6040e02c822cac4475f11a |
FIN7 |
HALFBAKED |
doc0717.rtf |
5d49b444734b003b6917b81f0a779b3e |
FIN7 |
HALFBAKED |
|
5d9525b48870dc438130bd96fb8c5b66 |
FIN7 |
HALFBAKED |
doc2.doc |
5dd2e677fd1d65f051b7f54e7402721f |
FIN7 |
HALFBAKED |
Dooq.docx |
63e2eb258a85ed4e72f951cdbff2a58e |
FIN7 |
HALFBAKED |
doc0720.rtf |
6a860285a6f7521995151a2a0cb6e316 |
FIN7 |
HALFBAKED |
doc0719.rtf |
6adec78e874232722c3758bbbcb95829 |
FIN7 |
HALFBAKED |
virus.docx |
70f0f8db551dd6b084682188c3923e26 |
FIN7 |
HALFBAKED |
check.rtf |
72d973ebfbc00d26170bfafdfbbd0179 |
FIN7 |
HALFBAKED |
Doc_0405.rtf |
74165408ff12d195fb9d68afe0a6011e |
FIN7 |
HALFBAKED |
oliver_davis.rtf |
793511c86a0469d579ff8cc99a7311e3 |
FIN7 |
HALFBAKED |
doc_n0808.docx |
79628a598303692238cc4aeb19da6fed |
FIN7 |
HALFBAKED |
Doc1.rtf |
7d664485c53b98180e6f3c69e9dfa81e |
FIN7 |
HALFBAKED |
doc1.docx |
82a32d98e68891625b6de67a9d0b61c6 |
FIN7 |
HALFBAKED |
document.doc |
853a53419d9dbc606d2392b99e60c173 |
FIN7 |
HALFBAKED |
doc2806.rtf |
856cec68ddd28367c0d0f0a6f566187a |
FIN7 |
HALFBAKED |
doc1.rtf |
8608b31a446f42a7f36807bd6c16d2c0 |
FIN7 |
HALFBAKED |
Doc1.rtf |
8bd798e89d075827cc757b9586f15ce2 |
FIN7 |
HALFBAKED |
doc1.rtf |
94771bcf572d5c0b834f73d577f06cc8 |
FIN7 |
HALFBAKED |
doc1610.rtf |
973377e27b5dffa289f84e62a6833ebc |
FIN7 |
HALFBAKED |
Doc0725.rtf |
9788b3faa29ba9eb4cae46f3c249937e |
FIN7 |
HALFBAKED |
Doc1.rtf |
9b87f9f6498c241f50208f9906907195 |
FIN7 |
HALFBAKED |
doc1.rtf |
a5f75333d0c81387a5a9c7696b967a20 |
FIN7 |
HALFBAKED |
doc0610.rtf |
a8e312d0c230e226e97e7a441fadbd85 |
FIN7 |
HALFBAKED |
doc2_r_new.rtf |
a9c50b7761519fb684cdee2d59f99f91 |
FIN7 |
HALFBAKED |
credit details.rtf |
aaf42acedc38565f4c33cfdbb09733b9 |
FIN7 |
HALFBAKED |
doc2.docx_ |
b5cc86726ab8f1fb3c281ab8f935260f |
FIN7 |
HALFBAKED |
|
b6f005236a37367a147f9060c708ccca |
FIN7 |
HALFBAKED |
doc1.rtf |
c0d122bcdcb6ede7fc7f1182e4d0e599 |
FIN7 |
HALFBAKED |
doc2806.docx |
c3f48e69bb90be828ba2835b76fb2080 |
FIN7 |
HALFBAKED |
doc1.rtf |
c5e94d973ed4f963ddc09ab88def3b5f |
FIN7 |
HALFBAKED |
doc1.rtf |
c6cddc475d62503a17a34419918e7fc0 |
FIN7 |
HALFBAKED |
doc0714.docx |
caec3babdec3cf267cc846fd084c4626 |
FIN7 |
HALFBAKED |
doc1909.rtf |
d1f55491472ca747561509106b71eab8 |
FIN7 |
HALFBAKED |
doc_n0908.docx |
d38fb2d95812ffa1014e52ef3079e5da |
FIN7 |
HALFBAKED |
catering_.rtf |
d5cd1dedf3bf5c943e348a8b84e37b2a |
FIN7 |
HALFBAKED |
doc0714.rtf |
dde72a54716deb88c1ffef2a63faab6b |
FIN7 |
HALFBAKED |
m1.doc |
e0ca85c0d264b84d977df0c48fd383cc |
FIN7 |
HALFBAKED |
doc1.rtf |
e17fe2978ebe1b0a6923acd2ffeda3c2 |
FIN7 |
HALFBAKED |
doc2009.rtf |
e184219366afb2e6bd0b9502beab1156 |
FIN7 |
HALFBAKED |
doc1610.docx |
e9154e2f80389b853ab4cf2fe98f1ed2 |
FIN7 |
HALFBAKED |
doc1.rtf |
edc4f02f265a4aaa552435f293409f01 |
FIN7 |
HALFBAKED |
doc2_r_new.rtf |
ee5a600ef9fd1defe07ea097095d1beb |
FIN7 |
HALFBAKED |
doc1.rtf |
effdaf7f61acb277ac44ee4d9bc8900a |
FIN7 |
HALFBAKED |
info_.docx |
f2ac2ec8173db4963dc2089ac90b8807 |
FIN7 |
HALFBAKED |
Doc0725.docx |
f80a80d25b3393825baa1e84e76ddf6c |
FIN7 |
HALFBAKED |
1.rtf |
fa1c548a5d691ac9ce7bfd929f204261 |
FIN7 |
HALFBAKED |
|
fa93c93a02fe2dee8a3b3d1cd82f293f |
FIN7 |
HALFBAKED |
poisoning.rtf |
faed087e820cad3c023be1db8d4ba70a |
FIN7 |
HALFBAKED |
order.docx |
fc661e18137583dc140e201338582a99 |
FIN7 |
HALFBAKED |
SEC_Security_Policy_2017_02.doc |
032fe02e54a010d21fd71e97596f4101 |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_10.doc |
14334c8f93f049659212773ecee477a2 |
FIN7 |
POWERSOURCE |
VargheseJ.doc |
2abad0ae32dd72bac5da0af1e580a2eb |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_03.doc |
37d323ffc33a0e1c6cd20234589a965d |
FIN7 |
POWERSOURCE |
2017.doc |
5a88e3825c5e89b07fa9050b6b6eca7c |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017.doc |
6ff3272cd9edf115230bad6a55cb3ca8 |
FIN7 |
POWERSOURCE |
EDGAR_FILLINGS_RULES_2016.doc |
7bd2235f105dee20825b4395a04892bf |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_05.doc |
8fa8d4c30429c099dc7e565e57db55c0 |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_06.doc |
ccd2372bb6b07f1b5a125e597005688d |
FIN7 |
POWERSOURCE |
Important_Changes_to_Form10_K.doc |
d04b6410dddee19adec75f597c52e386 |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017.doc |
f20328b49ec605fd425ed101ff31f14b |
FIN7 |
POWERSOURCE |
SEC_Security_Policy_2017_07.doc |
f74958adcfb11abcb37e043013f6a90f |
FIN7 |
POWERSOURCE |
Filings_and_Forms.docx |
47111e9854db533c328ddbe6e962602a |
FIN7 |
POWERSOURCE (Downloader) |
doc.doc |
189c72bfd8ae31abcff5e7da691a7d30 |
Vermutlich FIN7 |
BATELEUR |
protected_instructions.doc |
302ab8bd6a8effa58a675165aa9600a2 |
Vermutlich FIN7 |
BATELEUR |
Doc2.doc |
40c4c02d1e506a5ffc2939ec0ee8e105 |
Vermutlich FIN7 |
BATELEUR |
3528579_security_protocol.doc |
58fbf6f9405327d8d158a1eeac19b81a |
Vermutlich FIN7 |
BATELEUR |
check.doc |
5972597b729a7d2853a3b37444e58e01 |
Vermutlich FIN7 |
BATELEUR |
|
6fff1d68203f8d23ccd23507ba00b9df |
Vermutlich FIN7 |
BATELEUR |
check.doc |
762eef684e01831aa2f96031eff378bf |
Vermutlich FIN7 |
BATELEUR |
check.doc |
9b1af2d9c0c0687c70466385800b6847 |
Vermutlich FIN7 |
BATELEUR |
Doc1.doc |
bb1a76702e2e7d0aa23385f24683d214 |
Vermutlich FIN7 |
BATELEUR |
check.doc |
d4088f8202e0eb27f90e692f988f0780 |
Vermutlich FIN7 |
BATELEUR |
invoices.doc |
dc8b30c5253f02a790a31f2853fe41f8 |
Vermutlich FIN7 |
BATELEUR |
blah.doc |
e020668055eb1d22710aa07f72860075 |
Vermutlich FIN7 |
BATELEUR |
photos.doc |
c517f48bf95a4f3ecba2046d12e62c88 |
Vermutlich FIN7 |
GRIFFON |
test.doc |
d7ca38e21327541787ab84bde83d7f81 |
Vermutlich FIN7 |
GRIFFON |
Weitere Malware
MD5 |
Malware |
Zuordnung |
5f73beb23c45006ad952a71fa62c6f9f |
BABYMETAL |
FIN7 |
a3754fba24f85d1d1bb7c0382e41586b |
BABYMETAL |
FIN7 |
dad8ebcbb5fa6721ccad45b81874e22c |
BABYMETAL |
FIN7 |
ecd8879702347966750c37247ef6c2e6 |
BABYMETAL |
FIN7 |
039d9e47e4474bee24785f8ec5307695 |
BIRDDOG |
FIN7 |
92dfd0534b080234f9536371be63e37a |
BIRDDOG |
FIN7 |
188f261e5fca94bd1fc1edc1aafee8c0 |
CARBANAK |
FIN7 |
2828ea78cdda8f21187572c99ded6dc2 |
CARBANAK |
FIN7 |
291a17814d5dbb5bce5b186334cde4b1 |
CARBANAK |
FIN7 |
4b3dac0a4f452b07d29f26b119180bd2 |
CARBANAK |
FIN7 |
4eda75dfd4d12eda6a6219423b5972bd |
CARBANAK |
FIN7 |
6e9408c338e98a8bc166a8d4f8264019 |
CARBANAK |
FIN7 |
749c5085cda920e830cfed32842ba835 |
CARBANAK |
FIN7 |
80b022b39d91527f6ae5b4834d7c8173 |
CARBANAK |
FIN7 |
8ae284d547bd1b8bd6bc2431735f9142 |
CARBANAK |
FIN7 |
8e1e7f5ad99e48b740fd00085eab1f84 |
CARBANAK |
FIN7 |
9ae433cd5397af6b485f1abb06b2c5a2 |
CARBANAK |
FIN7 |
be1154e38df490e1dcbde3ffb2ebd05c |
CARBANAK |
FIN7 |
c6b57e042ceadb60d6fab217d3523e17 |
CARBANAK |
FIN7 |
c6ec176592ea26c4ee27974273e592ff |
CARBANAK |
FIN7 |
dd4f312c7e1c25564a8d00b0f3495e24 |
CARBANAK |
FIN7 |
facd37cd76989f45088ae98de8ed7aa0 |
CARBANAK |
FIN7 |
4dc99280459292ef60d6d01ed8ece312 |
DRIFTPIN |
FIN7 |
63241a3580cd1135170b044a84005e92 |
DRIFTPIN |
FIN7 |
70345aa0b970e1198a9267ae4532a11b |
DRIFTPIN |
FIN7 |
de50d41d70b8879cdc73e684ad4ebe9f |
DRIFTPIN |
FIN7 |
ddc9b71808be3a0e180e2befae4ff433 |
SIMPLECRED |
FIN7 |
90f35fd205556a04d13216c33cb0dbe3 |
BIRDDOG |
Vermutlich FIN7 |
IP-Adressen
IP-Adresse |
Malware |
Zuordnung |
107.161.159.17 |
CARBANAK |
FIN7 |
107.181.160.12 |
CARBANAK |
FIN7 |
107.181.160.75* |
DRIFTPIN |
FIN7 |
162.244.32.168 |
CARBANAK |
FIN7 |
162.244.32.175 |
CARBANAK |
FIN7 |
179.43.140.82* |
CARBANAK |
FIN7 |
179.43.140.85* |
CARBANAK |
FIN7 |
179.43.160.162 |
CARBANAK |
FIN7 |
179.43.160.215 |
CARBANAK |
FIN7 |
185.104.8.173 |
CARBANAK |
FIN7 |
198.100.119.28 |
CARBANAK |
FIN7 |
204.155.30.100 |
CARBANAK |
FIN7 |
204.155.30.100 |
DRIFTPIN |
FIN7 |
23.249.162.161 |
CARBANAK |
FIN7 |
5.8.88.64 |
BIRDDOG |
FIN7 |
94.140.120.132 |
CARBANAK |
FIN7 |
95.215.45.95 |
CARBANAK |
FIN7 |
95.215.46.70 |
CARBANAK |
FIN7 |
95.215.46.76 |
CARBANAK |
FIN7 |
185.66.15.50 |
|
Vermutlich FIN7 |
194.165.16.113 |
|
Vermutlich FIN7 |
46.161.3.23 |
|
Vermutlich FIN7 |
85.93.2.148 |
|
Vermutlich FIN7 |
85.93.2.149 |
|
Vermutlich FIN7 |
81.177.27.41 |
|
Vermutlich FIN7 |
95.46.45.128 |
BATELEUR |
Vermutlich FIN7 |
185.17.121.200 |
BATELEUR |
Vermutlich FIN7 |
185.20.184.109* |
BATELEUR |
Vermutlich FIN7 |
185.220.35.20 |
BATELEUR |
Vermutlich FIN7 |
185.5.248.167* |
BATELEUR |
Vermutlich FIN7 |
194.165.16.134 |
BATELEUR |
Vermutlich FIN7 |
195.133.48.65 |
BATELEUR |
Vermutlich FIN7 |
195.133.49.73 |
BATELEUR |
Vermutlich FIN7 |
217.23.155.19 |
BATELEUR |
Vermutlich FIN7 |
31.184.234.66 |
BATELEUR |
Vermutlich FIN7 |
31.184.234.71 |
BATELEUR |
Vermutlich FIN7 |
5.188.10.102 |
BATELEUR |
Vermutlich FIN7 |
5.188.10.102 |
BATELEUR |
Vermutlich FIN7 |
5.188.10.248 |
BATELEUR |
Vermutlich FIN7 |
85.93.2.111 |
BATELEUR |
Vermutlich FIN7 |
85.93.2.148 |
BATELEUR |
Vermutlich FIN7 |
85.93.2.56 |
BATELEUR |
Vermutlich FIN7 |
85.93.2.73 |
BATELEUR |
Vermutlich FIN7 |
85.93.2.92 |
BATELEUR |
Vermutlich FIN7 |
89.223.30.99 |
BATELEUR |
Vermutlich FIN7 |
104.193.252.167 |
HALFBAKED |
FIN7 |
104.232.34.166 |
HALFBAKED |
FIN7 |
104.232.34.36 |
HALFBAKED |
FIN7 |
107.181.160.76* |
HALFBAKED |
FIN7 |
119.81.178.100 |
HALFBAKED |
FIN7 |
119.81.178.101 |
HALFBAKED |
FIN7 |
138.201.44.3 |
HALFBAKED |
FIN7 |
138.201.44.4 |
HALFBAKED |
FIN7 |
179.43.147.71 |
HALFBAKED |
FIN7 |
185.180.197.20 |
HALFBAKED |
FIN7 |
185.180.197.34 |
HALFBAKED |
FIN7 |
185.86.151.175 |
HALFBAKED |
FIN7 |
191.101.242.162 |
HALFBAKED |
FIN7 |
195.54.162.237* |
HALFBAKED |
FIN7 |
195.54.162.245 |
HALFBAKED |
FIN7 |
195.54.162.79* |
HALFBAKED |
FIN7 |
198.100.119.6 |
HALFBAKED |
FIN7 |
198.100.119.7 |
HALFBAKED |
FIN7 |
204.155.31.167 |
HALFBAKED |
FIN7 |
204.155.31.174 |
HALFBAKED |
FIN7 |
217.12.208.80 |
HALFBAKED |
FIN7 |
31.148.219.141* |
HALFBAKED |
FIN7 |
31.148.219.18* |
HALFBAKED |
FIN7 |
31.148.219.44* |
HALFBAKED |
FIN7 |
31.148.220.107* |
HALFBAKED |
FIN7 |
31.148.220.215* |
HALFBAKED |
FIN7 |
5.149.250.235 |
HALFBAKED |
FIN7 |
5.149.250.241 |
HALFBAKED |
FIN7 |
5.149.252.144 |
HALFBAKED |
FIN7 |
5.149.253.126 |
HALFBAKED |
FIN7 |
8.28.175.68* |
HALFBAKED |
FIN7 |
81.17.28.118* |
HALFBAKED |
FIN7 |
91.235.129.251* |
HALFBAKED |
FIN7 |
94.140.120.122 |
HALFBAKED |
FIN7 |
94.140.120.134 |
HALFBAKED |
FIN7 |
95.215.46.229 |
HALFBAKED |
FIN7 |
95.215.47.105 |
HALFBAKED |
FIN7 |
5.135.73.113 |
BIRDDOG |
Vermutlich FIN7 |
5.8.88.64 |
BIRDDOG |
FIN7 |
* Über den VPS wird unter Umständen auch legitimer Datenverkehr übermittelt.
Vollständig qualifizierte Domainnamen (FQDNs)
Domain |
Malware |
Zuordnung |
bigred-tours.com |
|
FIN7 |
clients12-google.com |
BEACON.DNS |
FIN7 |
clients2-google.com |
|
FIN7 |
p3-marketing.com |
|
FIN7 |
cdn-googleapi.com |
GRIFFON |
Vermutlich FIN7 |
cdn-googleservice.com |
GRIFFON |
Vermutlich FIN7 |
acity-lawfirm.com |
|
FIN7 |
algew.me |
POWERSOURCE |
FIN7 |
aloqd.pw |
POWERSOURCE |
FIN7 |
amhs.club |
TEXTMATE |
FIN7 |
anselbakery.com |
|
FIN7 |
apvo.club |
TEXTMATE |
FIN7 |
arctic-west.com |
|
FIN7 |
auyk.club |
|
FIN7 |
b-bconsult.com |
|
FIN7 |
bcleaningservice.com |
|
FIN7 |
bigrussianbss.com |
|
FIN7 |
bipismol.com |
|
FIN7 |
bipovnerlvd.com |
|
FIN7 |
blopsadmvdrl.com |
|
FIN7 |
blopsdmvdrl.com |
|
FIN7 |
bnrnboerxce.com |
|
FIN7 |
bpee.pw |
POWERSOURCE |
FIN7 |
bureauofinspections.com |
|
FIN7 |
bvyv.club |
POWERSOURCE |
FIN7 |
bwuk.club |
POWERSOURCE |
FIN7 |
bwwrvada.com |
|
FIN7 |
cgqy.us |
POWERSOURCE |
FIN7 |
chatterbuzz-media.com |
|
FIN7 |
chenstravelconsulting.com |
|
FIN7 |
cihr.site |
POWERSOURCE |
FIN7 |
citizentravel.biz |
|
FIN7 |
cjsanandreas.com |
|
FIN7 |
ckwl.pw |
POWERSOURCE |
FIN7 |
cloo.com |
POWERSOURCE |
FIN7 |
cnkmoh.pw |
POWERSOURCE |
FIN7 |
cnlu.net |
TEXTMATE |
FIN7 |
cnmah.pw |
POWERSOURCE |
FIN7 |
coec.club |
POWERSOURCE |
FIN7 |
coffee-joy-usa.com |
|
FIN7 |
cspg.pw |
TEXTMATE |
FIN7 |
ctxdns.org |
|
FIN7 |
ctxdns.pw |
|
FIN7 |
cuuo.us |
POWERSOURCE |
FIN7 |
daskd.me |
POWERSOURCE |
FIN7 |
dbxa.pw |
POWERSOURCE |
FIN7 |
ddmd.pw |
POWERSOURCE |
FIN7 |
deliciouswingsny.com |
|
FIN7 |
dlex.pw |
POWERSOURCE |
FIN7 |
dlox.pw |
POWERSOURCE |
FIN7 |
dnstxt.net |
|
FIN7 |
dnstxt.org |
|
FIN7 |
doof.pw |
POWERSOURCE |
FIN7 |
dosdkd.mo |
POWERSOURCE |
FIN7 |
dpoo.pw |
POWERSOURCE |
FIN7 |
dsud.com |
POWERSOURCE |
FIN7 |
dtxf.pw |
POWERSOURCE |
FIN7 |
duglas-manufacturing.com |
|
FIN7 |
dvso.pw |
POWERSOURCE |
FIN7 |
dyiud.com |
POWERSOURCE |
FIN7 |
eady.club |
POWERSOURCE |
FIN7 |
enuv.club |
POWERSOURCE |
FIN7 |
eter.pw |
POWERSOURCE |
FIN7 |
extmachine.biz |
|
FIN7 |
facs.pw |
TEXTMATE |
FIN7 |
fbjz.pw |
POWERSOURCE |
FIN7 |
fhyi.club |
POWERSOURCE |
FIN7 |
firsthotelgroup.com |
|
FIN7 |
firstprolvdrec.com |
|
FIN7 |
fkij.net |
TEXTMATE |
FIN7 |
flowerprosv.com |
|
FIN7 |
fredbanan.com |
POWERSOURCE |
FIN7 |
futh.pw |
POWERSOURCE |
FIN7 |
gcan.site |
TEXTMATE |
FIN7 |
ge-stion.com |
|
FIN7 |
gjcu.pw |
POWERSOURCE |
FIN7 |
gjuc.pw |
POWERSOURCE |
FIN7 |
glavpojdfde.com |
BEACON.DNS |
FIN7 |
gnoa.pw |
POWERSOURCE |
FIN7 |
gnsn.us |
TEXTMATE |
FIN7 |
goldman-travel.com |
|
FIN7 |
goproders.com |
BEACON.DNS |
FIN7 |
gprw.site |
TEXTMATE |
FIN7 |
grand-mars.ru |
|
FIN7 |
grij.us |
POWERSOURCE |
FIN7 |
gsdg.site |
TEXTMATE |
FIN7 |
guopksl.com |
BEACON.DNS |
FIN7 |
gxhp.top |
POWERSOURCE |
FIN7 |
hijrnataj.com |
|
FIN7 |
hilertonv.com |
BEACON.DNS |
FIN7 |
hilopser.com |
BEACON.DNS |
FIN7 |
hippsjnv.com |
|
FIN7 |
hldu.site |
POWERSOURCE |
FIN7 |
hoplessinple.com |
|
FIN7 |
hoplessinples.com |
|
FIN7 |
hopsl3.com |
BEACON.DNS |
FIN7 |
hvzr.info |
POWERSOURCE |
FIN7 |
idjb.us |
POWERSOURCE |
FIN7 |
ihrs.pw |
POWERSOURCE |
FIN7 |
imyo.site |
TEXTMATE |
FIN7 |
itstravel-ekb.ru |
|
FIN7 |
ivcm.club |
TEXTMATE |
FIN7 |
jblz.net |
TEXTMATE |
FIN7 |
jersetl.com |
BEACON.DNS |
FIN7 |
jimw.club |
POWERSOURCE |
FIN7 |
jipdfonte.com |
|
FIN7 |
jiposlve.com |
|
FIN7 |
jjee.site |
POWERSOURCE |
FIN7 |
johsimsoft.org |
|
FIN7 |
jomp.site |
POWERSOURCE |
FIN7 |
josephevinchi.com |
|
FIN7 |
just-easy-travel.com |
|
FIN7 |
juste-travel.com |
|
FIN7 |
jxhv.site |
POWERSOURCE |
FIN7 |
kalavadar.com |
|
FIN7 |
kashtanspb.ru |
|
FIN7 |
kbep.pw |
TEXTMATE |
FIN7 |
kiposerd.com |
BEACON.DNS |
FIN7 |
kiprovol.com |
|
FIN7 |
kiprovolswe.com |
|
FIN7 |
kjke.pw |
POWERSOURCE |
FIN7 |
kjko.pw |
POWERSOURCE |
FIN7 |
koldsdes.com |
|
FIN7 |
kshv.site |
POWERSOURCE |
FIN7 |
kuyarr.com |
|
FIN7 |
kwoe.us |
POWERSOURCE |
FIN7 |
ldzp.pw |
POWERSOURCE |
FIN7 |
lgdr.com |
POWERSOURCE |
FIN7 |
lhlv.club |
POWERSOURCE |
FIN7 |
lnoy.site |
POWERSOURCE |
FIN7 |
luckystartwith.com |
|
FIN7 |
lvrm.pw |
POWERSOURCE |
FIN7 |
lvxf.pw |
POWERSOURCE |
FIN7 |
manchedevs.org |
|
FIN7 |
maofmdfd5.com |
|
FIN7 |
meli-travel.com |
HALFBAKED |
FIN7 |
melitravel.ru |
|
FIN7 |
mewt.us |
POWERSOURCE |
FIN7 |
mfka.pw |
POWERSOURCE |
FIN7 |
michigan-construction.com |
|
FIN7 |
mjet.pw |
POWERSOURCE |
FIN7 |
mjot.pw |
POWERSOURCE |
FIN7 |
mjut.pw |
POWERSOURCE |
FIN7 |
mkwl.pw |
TEXTMATE |
FIN7 |
molos-2.com |
BEACON.DNS |
FIN7 |
mtgk.site |
POWERSOURCE |
FIN7 |
mtxf.com |
TEXTMATE |
FIN7 |
muedandubai.com |
|
FIN7 |
muhh.us |
|
FIN7 |
mut.pw |
POWERSOURCE |
FIN7 |
mvze.pw |
POWERSOURCE |
FIN7 |
mvzo.pw |
POWERSOURCE |
FIN7 |
mxfg.pw |
POWERSOURCE |
FIN7 |
mxtxt.net |
|
FIN7 |
myspoernv.com |
|
FIN7 |
navigators-travel.com |
|
FIN7 |
neartsay.com |
|
FIN7 |
nevaudio.com |
|
FIN7 |
neverfaii.com |
|
FIN7 |
nroq.pw |
POWERSOURCE |
FIN7 |
ns0.site |
POWERPIPE |
FIN7 |
ns0.space |
POWERPIPE |
FIN7 |
ns0.website |
POWERPIPE |
FIN7 |
ns1.press |
POWERPIPE |
FIN7 |
ns1.website |
POWERPIPE |
FIN7 |
ns2.press |
POWERPIPE |
FIN7 |
ns3.site |
POWERPIPE |
FIN7 |
ns3.space |
POWERPIPE |
FIN7 |
ns4.site |
POWERPIPE |
FIN7 |
ns4.space |
POWERPIPE |
FIN7 |
ns5.biz |
POWERPIPE |
FIN7 |
ns5.online |
POWERPIPE |
FIN7 |
ns5.pw |
MAL |
FIN7 |
ntlw.net |
POWERSOURCE |
FIN7 |
nwrr.pw |
POWERSOURCE |
FIN7 |
nxpu.site |
POWERSOURCE |
FIN7 |
oaax.site |
POWERSOURCE |
FIN7 |
odwf.pw |
POWERSOURCE |
FIN7 |
odyr.us |
POWERSOURCE |
FIN7 |
okiq.pw |
POWERSOURCE |
FIN7 |
oknz.club |
POWERSOURCE |
FIN7 |
olckwses.com |
|
FIN7 |
olgw.my |
POWERSOURCE |
FIN7 |
oloqd.pw |
POWERSOURCE |
FIN7 |
oneliveforcopser.com |
|
FIN7 |
onokder.com |
BEACON.DNS |
FIN7 |
ooep.pw |
POWERSOURCE |
FIN7 |
oof.pw |
POWERSOURCE |
FIN7 |
ooyh.us |
POWERSOURCE |
FIN7 |
orfn.com |
POWERSOURCE |
FIN7 |
otzd.pw |
POWERSOURCE |
FIN7 |
oxrp.info |
POWERSOURCE |
FIN7 |
oyaw.club |
POWERSOURCE |
FIN7 |
p3marketing.org |
|
FIN7 |
pafk.us |
POWERSOURCE |
FIN7 |
palj.us |
POWERSOURCE |
FIN7 |
park-travels.com |
|
FIN7 |
parktravel-mx.ru |
|
FIN7 |
partnersind.biz |
|
FIN7 |
pbbk.us |
POWERSOURCE |
FIN7 |
pbsk.site |
TEXTMATE |
FIN7 |
pdoklbr.com |
BEACON.DNS |
FIN7 |
pdokls3.com |
BEACON.DNS |
FIN7 |
pgnb.net |
POWERSOURCE |
FIN7 |
pinewood-financial.com |
|
FIN7 |
pjpi.com |
POWERSOURCE |
FIN7 |
plusmarketingagency.com |
|
FIN7 |
ppdx.pw |
POWERSOURCE |
FIN7 |
prideofhume.com |
|
FIN7 |
pronvowdecee.com |
|
FIN7 |
proslr3.com |
BEACON.DNS |
FIN7 |
prostelap3.com |
BEACON.DNS |
FIN7 |
proverslokv4.com |
|
FIN7 |
provnkfexxw.com |
|
FIN7 |
pvze.club |
POWERSOURCE |
FIN7 |
qdtn.us |
TEXTMATE |
FIN7 |
qefg.info |
POWERSOURCE |
FIN7 |
qlpa.club |
POWERSOURCE |
FIN7 |
qsez.club |
TEXTMATE |
FIN7 |
qznm.pw |
POWERSOURCE |
FIN7 |
rdnautomotiv.biz |
|
FIN7 |
redtoursuk.org |
|
FIN7 |
reld.info |
POWERSOURCE |
FIN7 |
rescsovwe.com |
BEACON.DNS |
FIN7 |
revital-travel.com |
|
FIN7 |
revitaltravel.com |
|
FIN7 |
rmbs.club |
TEXTMATE |
FIN7 |
rnkj.pw |
POWERSOURCE |
FIN7 |
rtopsmve.com |
BEACON.DNS |
FIN7 |
rzzc.pw |
POWERSOURCE |
FIN7 |
sgvt.pw |
POWERSOURCE |
FIN7 |
shield-checker.com |
|
FIN7 |
simpelkocsn.com |
|
FIN7 |
simplewovmde.com |
|
FIN7 |
soru.pw |
POWERSOURCE |
FIN7 |
sprngwaterman.com |
|
FIN7 |
strideindastry.biz |
|
FIN7 |
strideindustrial.com |
|
FIN7 |
strideindustrialusa.com |
MAL |
FIN7 |
strikes-withlucky.com |
|
FIN7 |
swio.pw |
POWERSOURCE |
FIN7 |
tijm.pw |
POWERSOURCE |
FIN7 |
tnt-media.net |
|
FIN7 |
true-deals.com |
BEACON.DNS |
FIN7 |
trustbankinc.com |
|
FIN7 |
tsrs.pw |
POWERSOURCE |
FIN7 |
turp.pw |
POWERSOURCE |
FIN7 |
twfl.us |
POWERSOURCE |
FIN7 |
ueox.club |
POWERSOURCE |
FIN7 |
ufyb.club |
POWERSOURCE |
FIN7 |
utca.site |
POWERSOURCE |
FIN7 |
uwqs.club |
TEXTMATE |
FIN7 |
vdfe.site |
POWERSOURCE |
FIN7 |
viebsdsccscw.com |
|
FIN7 |
viebvbiiwcw.com |
|
FIN7 |
vikppsod.com |
BEACON.DNS |
FIN7 |
vjro.club |
POWERSOURCE |
FIN7 |
vkpo.us |
POWERSOURCE |
FIN7 |
voievnenibrinw.com |
|
FIN7 |
vpua.pw |
POWERSOURCE |
FIN7 |
vpuo.pw |
POWERSOURCE |
FIN7 |
vqba.info |
POWERSOURCE |
FIN7 |
vwcq.us |
POWERSOURCE |
FIN7 |
vxqt.us |
POWERSOURCE |
FIN7 |
vxwy.pw |
POWERSOURCE |
FIN7 |
wein.net |
POWERSOURCE |
FIN7 |
wfsv.us |
POWERSOURCE |
FIN7 |
whily.pw |
|
FIN7 |
wider-machinery-usa.com |
|
FIN7 |
widermachinery.biz |
|
FIN7 |
widermachinery.com |
|
FIN7 |
wnzg.us |
TEXTMATE |
FIN7 |
wqiy.info |
POWERSOURCE |
FIN7 |
wruj.club |
TEXTMATE |
FIN7 |
wuc.pw |
POWERSOURCE |
FIN7 |
wvzu.pw |
POWERSOURCE |
FIN7 |
xhqd.pw |
POWERSOURCE |
FIN7 |
xnlz.club |
TEXTMATE |
FIN7 |
xnmy.com |
POWERSOURCE |
FIN7 |
yamd.pw |
POWERSOURCE |
FIN7 |
ybnz.site |
TEXTMATE |
FIN7 |
ydvd.net |
TEXTMATE |
FIN7 |
yedq.pw |
POWERSOURCE |
FIN7 |
yodq.pw |
POWERSOURCE |
FIN7 |
yomd.pw |
POWERSOURCE |
FIN7 |
yqox.pw |
POWERSOURCE |
FIN7 |
ysxy.pw |
POWERSOURCE |
FIN7 |
zcnt.pw |
POWERSOURCE |
FIN7 |
zdqp.pw |
POWERSOURCE |
FIN7 |
zjav.us |
POWERSOURCE |
FIN7 |
zjvz.pw |
POWERSOURCE |
FIN7 |
zmyo.club |
POWERSOURCE |
FIN7 |
zody.pw |
POWERSOURCE |
FIN7 |
zrst.com |
POWERSOURCE |
FIN7 |
zugh.us |
POWERSOURCE |
FIN7 |
clients14-google.com |
|
FIN7 |
clients18-google.com |
|
FIN7 |
clients19-google.com |
|
FIN7 |
clients23-google.com |
|
FIN7 |
clients31-google.com |
|
FIN7 |
clients33-google.com |
BEACON.DNS |
FIN7 |
clients39-google.com |
|
FIN7 |
clients46-google.com |
|
FIN7 |
clients47-google.com |
|
FIN7 |
clients51-google.com |
|
FIN7 |
clients52-google.com |
|
FIN7 |
clients55-google.com |
|
FIN7 |
clients56-google.com |
|
FIN7 |
clients57-google.com |
|
FIN7 |
clients58-google.com |
|
FIN7 |
clients6-google.com |
HALFBAKED |
FIN7 |
clients62-google.com |
|
FIN7 |
clients7-google.com |
MAL |
FIN7 |
fda-gov.com |
|
FIN7 |
dropbox-security.com |
|
FIN7 |
google-sll1.com |
|
FIN7 |
google-ssls.com |
|
FIN7 |
google-stel.com |
|
FIN7 |
google3-ssl.com |
|
FIN7 |
google4-ssl.com |
|
FIN7 |
google5-ssl.com |
|
FIN7 |
ssl-googles4.com |
|
FIN7 |
ssl-googlesr5.com |
|
FIN7 |
stats10-google.com |
|
FIN7 |
stats25-google.com |
BEACON.DNS |
FIN7 |
treasury-government.com |
|
FIN7 |
usdepartmentofrevenue.com |
|
FIN7 |
bols-googls.com |
|
FIN7 |
moopisndvdvr.com |
|
FIN7 |
dewifal.com |
|
Vermutlich FIN7 |
essentialetimes.com |
|
Vermutlich FIN7 |
fisrdteditionps.com |
|
Vermutlich FIN7 |
fisrteditionps.com |
|
Vermutlich FIN7 |
micro-earth.com |
|
Vermutlich FIN7 |
moneyma-r.com |
|
Vermutlich FIN7 |
newuniquesolutions.com |
|
Vermutlich FIN7 |
wedogreatpurchases.com |
|
Vermutlich FIN7 |
