エグゼクティブ サマリー

標的のマシンにアクセスし、その帯域幅へのアクセスを収益化することを目的としたキャンペーンを検出しました。これはGeoServer地理空間データベースの脆弱性CVE-2024-36401を悪用するものです。重大なリモートコード実行を許す本脆弱性のCVSSスコアは9.8です。

犯罪者はこの脆弱性を利用することで、正規のソフトウェアの開発キット(SDK)や改変したアプリをデプロイし、ネットワーク共有や住宅用プロキシ経由で受動的な利益を得ています。

この受動的な利益を得る方法は、特に隠密性が高いとされています。これは、従来の広告を表示する代わりにSDKを選択する、合法的なアプリ開発者が使用する収益化戦略を模倣したものであり、一見ではこれはユーザーエクスペリエンスを保護し、アプリのリテンションを向上させる善意の選択として映るからです。

弊社が行った観察では、この悪質な行為が確認されたアプリケーションは、動作中はほぼ存在を感じさせないものでした。標的のインターネット帯域幅を収益化しながら、マルウェアを作成したり配布したりすることなく、最小限のリソースしか消費しないからです。この統合により、アプリ開発者は従来通り支払いを受け取ることができ、犯罪者は未使用のサーバー リソースから利益を得ることができるため、発覚のリスクが最小限に抑えられています。

2025年3月以来、攻撃者はインターネットに公開されたGeoServerインスタンスを探っていることが確認されています。Cortex Xpanseは、2025年5月第1週に一般にアクセス可能となっているGeoServersが3,706台あることを報告しており、これによりCVE-2024-36401を標的とする攻撃者にとって潜在的に大きなアタックサーフェスが存在していることが示唆されます。

パロアルトネットワークスのお客様は、以下の製品およびサービスを通じて、記載されている脅威に対する確実な保護を構築いただけます。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、Unit 42インシデント レスポンス チームまでご連絡ください。

Unit 42の関連トピック Vulnerabilities

キャンペーンのブレイク ダウン

弊社では、2025年3月初旬に始まった本キャンペーンを注視してきました。攻撃者は攻撃の持続性を維持するために、戦術、技術、手順(TTP)だけでなく、インフラも変化させていることが確認されています。

弊社では、攻撃者がキャンペーン中にSDKとアプリを悪用していることを検出しました。

  • SDKを利用することで開発者はユーザーデータを収集することができ、これにより他のアプリを収益化し、受動的な収入を得ることができます。
  • このアプリは、ユーザーがインターネット接続を共有することで受動的な収益を得ることができるものです。

以下のタイムラインは、この脅威がどのように進化してきたかを示すものです。

第1段階: 初期侵害(2025年3月初旬)

キャンペーンはCVE-2024-36401を標的としたエクスプロイトの試みから始まり、悪用されたアプリとSDKのペイロードをそれぞれ配信しています。

  • 2025年3月8日: キャンペーンは、送信元IPアドレス108.251.152[.]209から発信されたエクスプロイト活動から始まりました。攻撃者はCVE-2024-36401を標的としたエクスプロイトを使用しています。
  • カスタマイズされた実行可能ファイルの配信: これらの初期エクスプロイトでは、37.187.74[.]75でホストされているカスタマイズされた実行ファイルを取得していることが確認されています。
  • 以下の2つの主要な実行ファイルがホストより配信されていることが確認されました。
    • 悪用されたアプリ: 弊社が行った調査では、a193、d193、e193と名付けた3つのアプリケーションを含む、アプリケーションのバリアントが検出されています。
    • 悪用されたSDK: SDKの亜種として、a593、c593、d593、s593、z593の5種が検出されています。

第2段階: 戦術の変更(2025年3月下旬~4月上旬)

攻撃側はキャンペーンのこの段階で戦術を変えています。

  • 2025年3月24日: VirusTotalのいくつかのベンダーは、配信IPアドレス37.187.74[.]75を悪意のあるものとしてフラグを立てています。この変化は、セキュリティ コミュニティがそのIPアドレスから発信される悪意ある活動を認識し始めたことを示すものです。弊社では、これが脅威アクターを別のIPアドレスにインフラを移動させた重要な要因となったものだと考えています。
  • 2025年3月26日: 攻撃者は悪用する新たなアプリ サンプルの配布を停止しており、活動の焦点は悪用されたSDKに完全に移ったと見受けられます。
  • 2025年4月1日: 脅威アクターは、主要なエクスプロイト配信インフラを新しいソースIPアドレスである185.246.84[.]189に切り替えました。これはブロック リストを回避し、妨害されることなく活動を続けようとしたものと思われます。

第3段階: インフラの拡大と持続性(2025年4月中旬~継続中)

攻撃者はキャンペーンのこの段階でインフラを拡大しています。

  • 2025年4月17日: 攻撃者はさらにバックエンドのインフラを拡大しました。新しくカスタマイズされた実行可能な配信IPアドレス(64.226.112[.]52)がオンラインに投入されています。
  • オリジナルの配信IPアドレス(37.187.74[.]75)は、6月中旬になってもライブのままでした。

この記事を書いている時点では、185.246.84[.]189から悪用の試みが続いており、カスタマイズされた実行ファイルの配信ホストはオンライン上に残っています。

CVE-2024-36401のエクスプロイト分析

この脆弱性の核心は、攻撃者がJXPathクエリ文に任意のコードを注入する能力にあります。JXPathはXPathの実装を提供するApache Commonsプロジェクト内のライブラリです。

XML文書のクエリーや変換のために広く採用されている標準として、JXPathは、XPath式の使用を、JavaBeansや複数のコレクションなど、XML以外のさまざまなJavaデータ構造に透過的に拡張するものです。セキュリティの観点からは、このような柔軟性の追加は重大な懸念をもたらすものとされています。

JXPathは拡張機能をサポートしており、攻撃者がクエリ ステートメントを制御できるようになると、これを悪用して任意のコードを実行できるようになります。これは典型的なクエリーインジェクションの脆弱性よりも大きなリスクをもたらします。

例えば、攻撃者はStandard Extension Functionsを使ってgetRuntime().exec()のようなメソッドを呼び出していることが確認されています。

図1は、JXPathの式を評価する機能を利用する悪意のあるコードの例を示したものです。攻撃者はこのコードを用いることで、#{cmd}プレースホルダを介して任意のシステムコマンドを注入し、実行することができます。攻撃者はcontext.getValue内でexec(java.lang.Runtime.getRuntime())を参照し、Javaのランタイム実行メカニズムを起動、標的のシステム上でリモート コードを実行することができます。

ダークモード背景に表示されるコード行は、Javaランタイムを使用して不要なコマンドを実行するコマンド インジェクションの脆弱性を示している。
図1.Java実行関数を参照するJXPathを含む悪意のあるコード。

図2は、この攻撃によるペイロードを示したものです(ペイロードの重要な部分は編集して伏せています)。伏せ字となっている部分は、標的となった被害者にシステム コマンドを実行させ、攻撃者のホスト配信IPアドレスからファイルをダウンロードするよう指示するものです。

コンピュータのコード スニペットのスクリーンショット。GetPropertyValueやValueReferenceなどのタグがある。背景は黒で文字は緑。情報の一部は消去されている。
図2.実際に発見されたエクスプロイトのペイロード。

NVDの報告:

この脆弱性は、GetFeature、GetPropertyValue、GetMap、GetFeatureInfo、GetLegendGraphic、および Execute リクエストを含む、さまざまな Web Feature Service (WFS)、Web Map Service (WMS)、および Web Processing Service (WPS) リクエストを通じて悪用可能であることが確認されています。

この攻撃で使用されるエクスプロイトを分析する過程で、私たちはエクスプロイトがどのように機能するかを分析するために、GeoServerインスタンスをセットアップし、 実際のエクスプロイトのペイロードを使用しました。コードフローをたどることで、GeoServerの内部で何が起こっているかが分かるからです。

攻撃ペイロードの送信をシミュレートした後、コマンドは関数GetPropertyValue渡されました。図3の下に示されているように、ハイライトされた行は、送られてきたリクエスト オブジェクトを受け取り、それをrunメソッドに渡しています。コマンドはrequest.valueReferenceによって運ばれていることが分かります。

IDE上のコードのスクリーンショット。実装されたサービスのメソッドをオーバーライドするようにマークされたクラス内のメソッド定義を含む。コードには、赤と青の色によるシンタックス ハイライトが含まれている。
図3.悪意のあるペイロードのエントリー ポイント。

この関数を確認すると、図4のエクスプロイト コードで示されているように、図2のペイロードがオブジェクトpropertyNameNoIndexes渡されていることがわかります。その後、このオブジェクトはGeotoolsのメソッドevaluate呼び出しています。

IDEでのコードのスクリーンショット。シンタックスのハイライト、メソッドの表示、属性プロパティに関連する例外処理を特徴とする。画像はコメントとエラー表示付きの複数行のコードを示している。
図4.安全でないGeotoolsのメソッドに送られる悪意のあるペイロード。

ここで留意されたいのは、GeoToolsコード ベースに入っていることです。evaluateメソッドは、指定されたオブジェクトからGeotools属性の値を取得します。このメソッド内では、プロパティを読み取るためにPropertyAccessorオブジェクトが使用されています。図5は、PropertyAccessor、オブジェクトのプロパティ値を読み書きするための操作を定義するコア インターフェースであることを示したものです。GeoToolsは、提供されたパラメータに基づいてアクセサを見つけるために使われています。

IDEプログラムのコードのスクリーンショット。いくつかのメソッドとif-else文があり、行番号とシンタックスハイライトで表示される。PropertyAccessorsの行が強調表示されている。
図5.オブジェクトPropertyAccessorメソッド findPropertyAccessorsに送られる悪意のあるペイロード。

アクセサが正常に見つかったら、オブジェクトのgetメソッドを使用してプロパティ値の取得が行われます。図6は、ペイロードがattPathパラメーターを通してこのメソッドに渡されたことを示したものです。

コンピューターのスクリーンショット。getAttributeExpression'という名前のメソッドに焦点を当てていて、プログラミング言語で書かれた関数やプロパティを含むIDE内のコードがある。
図6.attPathに渡される悪意のあるペイロード。

オブジェクトのgetメソッドは、JXPathライブラリの関数iteratePointersを呼び出します。図7に示すように、ペイロードがxpath変数に注入され、それがcontext.iteratePointersメソッドに渡されます。

HTTPリクエストとエラー処理に関連する、統合開発環境のコンピューターコードのスクリーンショット。
図7.JXPath関数 iteratePointers

攻撃者によって操作されたExtensionFunctionは、computeValueを使用して式を評価します。図8のように、関数変数は、オペレーティング システム コマンドを実行するためのJavaの標準メソッドであるjavax.lang.Runtime.exec直接指すようになります。この関数に渡されるパラメーターには攻撃者のコマンドが含まれており、ハイライトされた行がそのコマンドの実行を指示するものです。

HTMLとJavaScriptコードを表示するIDEのコーディング インターフェイスのスクリーンショット。
図8.悪意のあるコードの実行。

公開された脆弱なサーバー

2025年3月と4月のCortex Xpanseの遠隔測定データから、99ヶ国で7,126のGeoServerインスタンスが露出していることが判明しています。図9はこれらのインスタンスが最も多くホストされている5ヶ国を示したものであり、露出しているサーバーの大半は中国でホストされていることが分かります。

上位5ヶ国におけるGeoServerの露出度分布を示す棒グラフ。中国が2,500人以上と最も多く、次いでアメリカ、ドイツ、イギリス、シンガポールがかなり少ない。
図9.GeoServerが最もよくホストされている 5ヶ国におけるGeoServerの露出分布。

攻撃チェーン分析

このキャンペーンから弊社チームは複数の明確なエクスプロイト戦略を捕捉しました。すべての戦略は、標的のシステム上にSDKをデプロイし、実行することを目的としています。この分析では、z593と指定したSDKバリアントをレビューします。図10は、ステージ1がCVE-2024-36401を利用して、攻撃者の制御下にある悪意のあるホストから第2段階のペイロードz593をダウンロードしていることを示したものです。

WFSに関連するXML形式のコード スニペットを表示した画像。Javaランタイムの実行可能ファイルやシステム パスへの参照が含まれている。コーディングエリアの視覚的背景は暗く、テキストは緑、赤、黄、白で強調されている。
図10:第1段階: 第2段階のペイロードをダウンロードするために使用される初期エクスプロイト。

第2段階では、図11に示すように、攻撃者は再びCVE-2024-36401を使用して第2段階のペイロードz593を実行します。

namespace URLとJavaランタイム環境を使用したクエリを持つWFSに関連するXMLコードを表示したスクリーンショット。
図11.第2段階: 第2段階のペイロードを実行するエクスプロイト。

攻撃者は、標準的なHTTP Webサーバーを使う代わりに、ファイル共有サーバーのプライベートインスタンスをデプロイし、transfer.shを使ってファイル共有サーバーのプライベート インスタンスをデプロイしています。図12に示すように、transfer.shのインスタンスは攻撃者の配信IPアドレスの1つにホストされています。

「Easy file sharing from the command line(コマンドラインから簡単ファイル共有)」と題されたWebサイトのスクリーンショット。ファイル アップロード コマンドの例と、ファイルのドラッグ アンド ドロップ エリアが表示され、下部には「Learn more(さらに詳しく)」のボタンがある。左上にIPアドレスがある。
図12.攻撃者が64.226.112[.]52:8080でホストしていたTransfer.shサーバーのインデックス ページのスクリーンショット。
図12で指摘したデプロイメントは、攻撃者のコントロール下にある以下の2つのIPアドレスで8080番ポートをリッスンしていました。

  • 64.226.112[.]52
  • 37.187.74[.]75

初期エクスプロイトが成功すると、スクリプトは次にステージャーとして動作し、図13に示すように、2つの追加ファイルをフェッチします。

特定のIPアドレスからwgetを使ってファイルをダウンロードするコマンドを表示したコンピュータ端末のスクリーンショット。
図13.追加ファイルにつながる64.226.112[.]52からのファイルz593の内容。
図13で名付けられた初期スクリプトはz401で、隠密用に設計されており、図14で指摘されているように、隠しディレクトリを作成し、その中にメインの実行ファイルをデプロイします。

コンピュータ端末のスクリーンショット。ディレクトリの削除、作成、移動のためのUnixシェルコマンドと、指定したIPアドレスからwgetを使ってファイルをダウンロードするコマンドが表示されている。
図14.64.226.112[.]52からのz401のコンテンツ。
図15は、図13の2番目のスクリプトz402が環境の確立後、メイン実行ファイルを起動し、appキーを渡す様子を示したものです。

PATH'という環境変数を設定するコマンドライン インターフェイスを示すターミナルウィンドウに表示されるテキスト。
図15.64.226.112[.]52からのz402のコンテンツ。
運用が始まると、実行ファイルはバックグ ラウンドで密かに動作し、デバイスのリソースを監視し、可能な限り標的の帯域幅を不正に共有します。これにより、攻撃側は受動的な利益を得ることができます。

これらのエクスプロイトによる実行ファイルは、悪用されたアプリと悪用されたSDKという2つの正規サービスとやり取りするように設計されています。どちらのサービスも、アイドル状態のデバイスのネットワークリソースを共有することで、受動的な収入を得る方法を合法的にユーザーに提供するものです。

こうした戦略において、攻撃者はアプリやSDKの機能を同時に利用しています。暗号通貨の採掘者が金銭的な目的でシステムリソースを徴用するのと同様に、これらの悪用されたアプリケーションもまた、金銭的な利益のためにデバイスリソースを使用しています。しかし、悪意のある暗号通貨の採掘者とは異なり、この種のアプリやSDKの悪用は一般的に知名度がありません。したがって、注目を集めるリスクは低く、脅威アクターの利益は小さいものの、より長時間の潜伏が可能とされています。

悪用されたアプリの分析

攻撃者が被害者のサーバーにインストールしたバイナリをさらに分析したところ、図16に示すように、攻撃者はDartを使用していたことが判明しました。 Dartはオープンソースのプログラミング言語であり、この選択には以下の2つの理由が考えられます。

  • SDKによる収益化: 攻撃者はDartを使って受動的な収益SDKを統合し、そのサービスとやりとりしていることが確認されています。この相互作用は、脅威アクターの受動的な収入源の生成と収集を確実にするように設計されています。
  • Linux用のクロス プラットフォーム機能: 攻撃者はまた、Dart固有の移植性を利用しています。この機能を利用して、Linuxシステム アーキテクチャ専用の実行ファイルをコンパイルし、潜在的なターゲット環境を拡大しています。

このような目的のためにDartを採用することは、主にマルウェアとより一般的に関連する言語に焦点を当てた検出シグネチャを潜在的に回避しようとする試みである可能性があるため、注目に値します。

主にDartプログラミング言語に関連するコードと関数のリストを表示するコンピュータ プログラミング インターフェースのスクリーンショット。特定の文字列がハイライトされている。
図16.マルチ プラットフォーム対応のDartを使用したバイナリ。

悪用されたSDKの分析

このキャンペーンで使用されたSDKコンポーネントの性質を検証するために、脅威攻撃で確認された悪用されたSDKバイナリと、ベンダーのWebサイトにある公式SDKバージョンを比較しました。弊社が行った分析では、2つのファイルが同一であることが確認されました。すなわち、攻撃者がエンドポイント検出を回避できる、改造されていない正規のSDKを使用していることが示唆されます。

結論

継続的な本キャンペーンでは、侵害されたシステムを収益化する方法における重要な進化が示されました。攻撃者の中心的な戦略は、積極的なリソースの搾取よりも、隠密的で持続的な収益化に重点を置いているものです。合法的な受動的収入サービスを悪用する実行ファイルをデプロイすることで、帯域幅共有のような活動を秘密裏にデバイス リソースを使用することで実行していることが確認されました。このアプローチは、発見されやすいテクニックよりも、長期的で目立たない収益創出を優先したものです。

この脅威に対抗するため、弊社では可能な限りパッチやアップデートを適用することを強く推奨しています。

パロアルトネットワークスのお客様は、以下の製品およびサービスを通じて、脆弱性やマルウェアに対する確実な保護を構築いただけます。

  • Advanced Threat Preventionは、脅威防御シグネチャ95463を使用したベストプラクティスにより、攻撃をブロックできます。さらにATPには、悪用トラフィックをリアルタイムで検出できる機械学習ベースの保護機能が搭載されています。
  • Advanced WildFireは、カスタマイズされた実行ファイルの転送を停止することができます。
  • Advanced URL Filteringそして Advanced DNS Securityは、C2ドメインをカスタマイズした実行可能ホストURLをブロックすることができます。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、Unit 42インシデント レスポンス チームまでご連絡ください。

  • 北米:フリーダイヤル: +1 (866) 486-4842 (866.4.UNIT42)
  • 英国: +44.20.3743.3660
  • ヨーロッパおよび中東: +31.20.299.3130
  • アジア: +65.6983.8730
  • 日本: +81.50.1790.0200
  • オーストラリア: +61.2.4062.7950
  • インド: 000 800 050 45107

パロアルトネットワークスは、本調査結果をサイバー脅威アライアンス(CTA)のメンバーと共有しています。CTAの会員は、この情報を利用して、その顧客に対して迅速に保護を提供し、悪意のあるサイバー アクターを組織的に妨害しています。サイバー脅威アライアンスについて詳細を見る。

侵害のインジケーター

キャンペーンインフラに使用されたIPアドレスとTCPポート

  • 37.187.74[.]75:8080
  • 64.226.112[.]52:8080

キャンペーンのアーティファクト

ファイルのSHA256ハッシュ ファイルから連絡されたURL
89f5e7d66098ae736c39eb36123adcf55851268973e6614c67e3589e73451b24 hxxp://37.187.74[.]75:8080/w1wOYGVLEX/a101
6db4b685f413a3e02113677eee10a29c7406414f7f4da611f31d13e3f595f85d hxxp://37.187.74[.]75:8080/IyxzymKCp2/a102
4e4a467abe1478240cd34a1deaef019172b7834ad57d46f89a7c6c357f066fdb hxxp://37.187.74[.]75:8080/cE58oqrYGO/a193
4e40a0df8f4ba4a87ab8fc64950c67f6725a7e8f14a0a84a4ed79b3a8924ba19 hxxp://37.187.74[.]75:8080/YDjV1ocro3/a401
663970530e764f91b0be43936331e6c0a93610db6b86c6c4b64de270ae4d4630 hxxp://37.187.74[.]75:8080/3g5eBN8nqv/a402
7c18fe9da63c86f696f9ad7b5fcc8292cac9d49973ba12050c0a3a18b7bd1cc9 hxxp://37.187.74[.]75:8080/JadF0ucQNf/a593
84ee11f40da3538e4601456912c3efa0e92a903948812fd17fe650c5f7ac33ad hxxp://37.187.74[.]75:8080/Do4YwzvAJN/alog
0971264967ba8d461ce98f86b90810493c5e22fc80bf61f0d0eb7a2599a7f77a hxxp://37.187.74[.]75:8080/DQ5ydzkPnK/c401
491f5af9d29f52a6df026159a8ebd27ee6e27151ea78c4782eb05b2c5d39bfc3 hxxp://37.187.74[.]75:8080/a8HejAHngH/c402
a852133ff7f24b14e4224e7052f6d309353b4838fe5f17d25c712d7a1dd6e80a hxxp://37.187.74[.]75:8080/vLs5vxpDgV/c593
b66c64ccd7b9c96fad53f6d3aa0441e46eca899ad8d97964573e41c94fccddba hxxp://37.187.74[.]75:8080/KaMJw2fsDW/d101
f340abe5689e51cf78b10165cb93ab8a2988d0fedd0e74c74fc23ac2dca93a13 hxxp://37.187.74[.]75:8080/TMuAS1wp8m/d102
fc28f97f818d07fd8824333de26e5a0ca0d3fe7233d86f7e227e4838cfea0ca4 hxxp://37.187.74[.]75:8080/iKA3jGXk6x/d193
7c0c69aa0dcfc937c1fef8d42c74f7e46d128898c1d99d3362f2d18397be36ae hxxp://37.187.74[.]75:8080/fK4SCflkNg/d401
33aad585d6280d1921b5f46f8894ee05d426c7751c2133ed5484bf65af587576 hxxp://37.187.74[.]75:8080/Y1WT747MRP/d402
2c5581572ec4877df8ec3e5d2b30bfff5718ecd27d8b3dbe2f393aa5821e7ddd hxxp://37.187.74[.]75:8080/H0cwXMzCrJ/d593
0e2b92991186bc8a817e0187a9b58928969350bc8d8ad7e6b6cd91c185a7e03c hxxp://37.187.74[.]75:8080/XA8Dkr1CJ4/dlog
5bc5dfeaeb43fb1e967cad028f8d2c48f5db17ee6c23c383faee74455c2f1f33 hxxp://37.187.74[.]75:8080/52F6SqfuuS/e101
8b25144ad17d023f67477be4791db45d9197d7cfb666b3a5ccc1b1c0e4bae3af hxxp://37.187.74[.]75:8080/7kS5qiHwg8/e102
8aafb9965e946e5d4be085a1373abc750a1488ff78e6e082cc36ff20ff328465 hxxp://37.187.74[.]75:8080/ei0Ul7l75J/e193
a13a07d15d94c996d8b7e8ed633073f6a3e2268a8d14363f16ad48160b85df08 hxxp://37.187.74[.]75:8080/kGQtGhOpCP/elog
cdae958629383c4dba22a115615d8a63211bbccb06335cd1c4b5e2c2aa3fee77 hxxp://37.187.74[.]75:8080/wHNOFLazdK/glog (from d401)
bbdda70f0c4a3de4ec955e134ad46895ac931e21b930837a85633277128ab7d2 hxxp://37.187.74[.]75:8080/wlLiXFNtjU/hlog (from c401)
4fd789a19db35e054a5135466d610452bea607a11b7ec765b5474847c22e637c hxxp://37.187.74[.]75:8080/gmhm4lmSLO/plog (from z401)
43b49294b778d4489c69922ff3aca27964a04e0f08bcc830108dc83261a0b205 hxxp://37.187.74[.]75:8080/QF8plwpY8Y/s401
ae706c149497c2fc809682e8827996ea3ceb7bcecddd87be7543d1dca4853470 hxxp://37.187.74[.]75:8080/zJ03zmSrz6/s402
3fd7794be80782b11a09f51ac8cbf2147e9d79303923f279d610ee45e12506eb hxxp://37.187.74[.]75:8080/22mINruojN/s593
e25d6134c6a0573ded1d340f609dd71d15934ca165ea79d47898aa37a5185415 hxxp://37.187.74[.]75:8080/3pHrSu54Pf/slog (from s401)
085da541d7555ac6afcacd5899027c3fa4132c1eccfb3d8223794c4e0e3eb361 hxxp://37.187.74[.]75:8080/vPN5rgRMTz/wlog (from a401)
2aa6f95dbe8d17e8e70db677808c96ee956c36b7cc8f274435173cfed0b1f5af hxxp://37.187.74[.]75:8080/T8VevroEJT/z401
2b176eb8afa0b089ee8fb072c68c6fdcfe4b2f034c776cc32064f26c0e6c69a3 hxxp://37.187.74[.]75:8080/uCX4Nl2Pwu/z402
915d1bb1000a8726df87e0b15bea77c5476e3ec13c8765b43781d5935f1d2609 hxxp://37.187.74[.]75:8080/3twwHaJzxo/z593
fa2687f94955fbdc2c41f1cff8c7df24937aeb942e4d7856bf2ff52ebf2e61aa hxxp://64.226.112[.]52:8080/MFTYFuqKGU/a401
663970530e764f91b0be43936331e6c0a93610db6b86c6c4b64de270ae4d4630 hxxp://64.226.112[.]52:8080/cxtpjeM3KU/a402
e0b886a39cf098a3c7daa021c7af022b0ceb6edcf3fa49e3c3b8f70b843423c2 hxxp://64.226.112[.]52:8080/XEQS3MTzdS/a593
9515df36a6d16c0a9fcca680d6b181539d80efd4cda85dacbfb30127a7f11736 hxxp://64.226.112[.]52:8080/fAFUQgw7Py/c401
491f5af9d29f52a6df026159a8ebd27ee6e27151ea78c4782eb05b2c5d39bfc3 hxxp://64.226.112[.]52:8080/0rX20C97S6/c402
b381e8355cf3a432e63064897cc7719e8b9c38e91c6151cd1e7aed4cd219a75b hxxp://64.226.112[.]52:8080/LuoHgydq6F/c593
dec84a568b6393ccd863bb38851a76f54de6f59193660e4b88aa1f941b744469 hxxp://64.226.112[.]52:8080/g1Gl1JWEUw/d401
33aad585d6280d1921b5f46f8894ee05d426c7751c2133ed5484bf65af587576 hxxp://64.226.112[.]52:8080/AORGz7zIzn/d402
7620f22a5ed1a8ac2a1da732e55e14a13197b631e5abba6431f88e5cfa3ae2de hxxp://64.226.112[.]52:8080/rKS64mUmF7/d593
3d7ac752bb0d54802f2def38f44e10854f70ab5a9a001b5c39ab0531b9ed74bf hxxp://64.226.112[.]52:8080/vbbdG8dpAw/s401
ae706c149497c2fc809682e8827996ea3ceb7bcecddd87be7543d1dca4853470 hxxp://64.226.112[.]52:8080/W7lJoMcuOu/s402
6dd6751bae92dfa504f0ad5558ab8adfdfba3df5a7f218245627574bfac39f11 hxxp://64.226.112[.]52:8080/6mXfFz7ltE/s593
357ca4ad31132ad4bd605e3217968819b04d577884a4e9dd760ed0182c4609ed hxxp://64.226.112[.]52:8080/YbEYCqCFVl/z401
2b176eb8afa0b089ee8fb072c68c6fdcfe4b2f034c776cc32064f26c0e6c69a3 hxxp://64.226.112[.]52:8080/1Vt9KBLEFr/z402
97c8ec63766ce63b8ace283928922cfceb7c8f3bc72edcbd255e157a1afb15fe hxxp://64.226.112[.]52:8080/09KvYAUSHm/z593

その他の資料

目次

Enlarged Image