Дмитрий Кардава

Старший аналитик, Центр кибербезопасности F.A.C.C.T.

Дмитрий Купин

Руководитель отдела по анализу вредоносного кода компании F.A.C.C.T.

Троян расставил сети: DarkWatchman скрывался под видом криптографической утилиты

Эксперты Центра кибербезопасности и Threat Intelligence компании F.A.C.C.T. рассказали, как нашли и исследовали DarkWatchman на фишинговом сайте, использовавшем бренд известного российского разработчика средств криптографической защиты.

29 сентября, 2023 · мин. на чтение · Вредоносное ПО

DarkWatchman

Троян

21 сентября Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку c использованием фейкового сайта компании КриптоПро, разработчика средств криптографической защиты. Угроза была нейтрализована решением F.A.C.C.T. Managed XDR.

Злоумышленники поместили на фишинговом ресурсе ссылку на архив с трояном DarkWatchman под видом криптографической утилиты для создания электронной подписи. Сам вредоносный сайт они активно продвигали в поисковиках, чтобы он был на верхних строках выдачи. При этом доменное имя фишинговой страницы никак не напоминало официальный сайт компании КриптоПро.

DarkWatchman RAT — это троян удаленного доступа, написанный на JavaScript. Используется для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. DarkWatchman был замечен в кампаниях финансово мотивированной группы Hive0117, активной в феврале 2022 года. Троян использовался в качестве разведывательного инструмента на первоначальной стадии атаки.

Последнее время троян DarkWatchman часто фигурирует в различных инцидентах. В июле мы уже писали, как RAT распространялся через рассылку.

Угроза устранена: хронология обнаружения атаки

В процессе мониторинга кибератак специалисты Центра кибербезопасности F.A.C.C.T. с помощью системы Managed XDR обнаружили и своевременно остановили инцидент у одного из клиентов компании, связанный с загрузкой вредоносного файла на рабочее устройство. Модулем динамического анализа MDP вредоносная программа была атрибутирована к семейству DarkWatchman.

Рис. 1 Инцидент обнаружен и своевременно остановлен

На компьютер пользователя была предпринята попытка загрузить архив CSP.rar. Архив содержал два файла, readme.txt с описанием легитимной программы КриптоПро CSP, а также исполняемый файл CSPSetup.exe, являющийся бэкдором DarkWatchman.

Рис 2. Содержимое архива CSP.rar

Рис.3 Отчет об инциденте

Рис 4. Детали инцидента

Индикаторы позволили убедиться в безошибочности вынесенного вердикта, а также дали возможность отследить все действия и изменения, произведенные пойманным экземпляром вредоноса.

Аналитики Центра кибербезопасности F.A.C.C.T. установили источник загрузки — фишинговый сайт, мимикрирующий под компанию КриптоПро, разработчика средств криптографической защиты.

Вредоносный сайт на домене pro-download.turbo[.]site был создан с помощью сервиса популярного поисковика.

Рис.5 Фишинговый сайт

На самом сайте располагалась кнопка для загрузки и пароль от архива.
Кнопка вела на ссылку, созданную с помощью сервиса сокращателя u[.]to.
Загрузка архива происходила с сервиса Discord.
Пароль от архива был указан на сайте приманке.

Хотя инструмент активно применялся финансово мотивированной группой киберпреступников, само вредоносное ПО DarkWatchman обладает функционалом трояна удаленного доступа (RAT) и используется в первую очередь для шпионажа, позволяя атакующим получать скрытый контроль над скомпрометированной системой и похищать конфиденциальные данные.

Решение КриптоПро CSP широко используется для криптографической защиты информации в различных организациях.

Поскольку без средств криптографической защиты нельзя использовать электронную цифровую подпись, софт на основе СКЗИ (криптографических технологий) востребован практически у всех ведущих частных компаний и госорганизаций. Атакующие, вероятно, пытались скомпрометировать компьютеры тех сотрудников, которые искали утилиту для сдачи налоговой отчётности и работы с ДБО — дистанционное банковское обслуживание.

SEO — злоупотребление

Во время исследования фишинговый сайт был первым в списке выдачи поисковой системы.

Рис.6 Фейковый сайт в поисковой выдаче

Примечательно, что злоумышленники не использовали покупку контекстной рекламы для размещения своего сайта в топе выдачи. Использование сервиса от поисковика при создании сайта позволило атакующим эффективно применить классическое seo-продвижение, тем самым занять верхнюю позицию по целевому поисковому запросу.

Техника размещения вредоносного сайта в топе поисковой выдачи SEO poisoning — является довольно популярной и эффективной, когда речь идет о широком охвате целевой аудитории. Часто применяется в традиционных финансовых фишинговых веб-атаках, а также в распространении ВПО.

Сайт был заблокирован командой CERT-F.A.C.C.T.. Тем не менее, опасность сохраняется, так как злоумышленники могут активировать копии вредоносного ресурса.

Технические детали

RarSFX

Защищенный паролем архив CSP.rar (пароль: 123) содержит файлы: CSPSetup.exe (самораспаковывающийся архив RarSFX), readme.txt (текстовый файл, содержащий информацию о дистрибутиве «КриптоПро CSP»).

RarSFX файл CSPSetup.exe содержит: DarkWatchman (обфусцированный JS файл 41779253.js), C# кейлоггер в закодированном виде (файл 108788037) и множество мусорных файлов. Пример содержимого RarSFX файла:

Рис.7 Содержимое самораспаковывающегося архива CSPSetup.exe

RarSFX файл CSPSetup.exe содержит в комментариях следующую команду:

Silent=2
Overwrite=1
Path=%TMP%
Setup=wscript.exe 41779253.js 40 "%sfxname%"

В результате выполнения указанной команды содержимое CSPSetup.exe распакуется в каталог %TEMP% и запустится DarkWatchman RAT(процесс: «wscript.exe» 41779253.js 40 «[полный путь до RarSFX файла]\CSPSetup.exe»).

При выполнении процесса wscript.exe отображается диалоговое окно с текстом «Unexpected end of file.» Чтобы DarkWatchman продолжил работу, пользователю необходимо нажать «OK».

Рис.8 Диалоговое окно Windows

DarkWatchman

DarkWatchman представляет собой троян удаленного доступа (RAT). DarkWatchman написан на JavaScript и распространяется в паре с простым C# кейлоггером.

Функциональные возможности DarkWatchman:

Сбор информации о системе: версия ОС, название компьютера, имя пользователя, часовой пояс, язык системы, роль пользователя, является ли хост частью домена, тип хоста, антивирусное ПО. Сбор информации о системе осуществляется посредством обращения к реестру ОС, COM и WMI.
Отправка собранной информации о системе на C2 сервер.
Выполнение произвольного JS кода через порождение процесса wscript.exe или без создания нового процесса через вызов функции eval().
Загрузка и запуск произвольного EXE файла.
Загрузка и запуск произвольного DLL файла с вызовом указанной функции.
Выполнение Powershell скриптов.
Выполнение WMI команд.
Выполнение Windows Shell команд.
Запуск и удаленное обновление кейлоггера.
Запись произвольного JS кода, запускаемого при каждом старте DarkWatchman, в реестр.
Очистка журналов событий Windows.
Очистка истории браузеров: остановка процессов и удаление файлов в каталогах.
Удаление теневых копий с помощью vssadmin.exe.
Загрузка файлов с зараженной машины на C2 сервер.
Создание отложенных задач в планировщике задач.
Использование алгоритма генерации доменных имен (Domain Generation Algorithm – DGA).

Команды с C2 сервера передаются в виде HTTP статус-кода. Список команд DarkWatchman:

Код команды	Описание команды
820	Загрузка и выполнение EXE-файла, используя WMI
821	Загрузка DLL и вызов функции, указанной в аргументе команды
822	Выполнение команды в интерпретаторе командной строки cmd.exe
823	Загрузка и выполнение команд WMI
824	Загрузка и выполнение JS кода через порождение wscript.exe
825	Загрузка и выполнение JS через вызов функции eval() (без порождения нового процесса)
826	Загрузка и выполнение Powershell скрипта
827	Завершение работы кейлоггера и DarkWatchman
828	Деинсталляция с зараженного хоста
829	Выгрузка файла на C2
830	Установка таймаута запросов к С2
831	Установка нового С2 URL
832	Загрузка и запуск обновленного DarkWatchman
833	Загрузка и обновление кейлоггера
834	Установка DarkWatchman в автозагрузку
835	Загрузка и выполнение EXE-файла

Кейлоггер

DarkWatchman считывает содержимое файла 108788037, затем декодирует и расшифровывает содержимое с помощью операции XOR.

Рис. 9 Фрагмент кода DarkWatchman: чтение и расшифровка содержимого файла 108788037

В качестве ключа используются первые 4 байта файла 108788037, в данном случае {A6 0C 4B 25}.

Рис.10 Фрагмент кода DarkWatchman: алгоритм XOR

Расшифрованное содержимое кейлоггера закодировано алгоритмом Base64. Далее файл 108788037 удаляется, а расшифрованное содержимое записывается в параметр <%UID%+1> (например: ba8c3a321) ключа реестра [HKCU\Software\Microsoft\Windows\DWM].

Рис. 11 Расположение кейлоггера в реестре ОС

Кейлоггер запускается с помощью команды: «powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc <закодированный Base64 кейлоггер>». Декодированная Base64 нагрузка имеет следующий вид: «Add-Type -TypeDefinition @»<исходный C# код кейлоггера>»@ -ReferencedAssemblies System.Windows.Forms;[k1.g2]::Run( { $null = [console]::CapsLock } )».

Кейлоггер записывает нажатия клавиш, данные буфера обмена и информацию смарт-карт в параметры ключа реестра [HKCU\Software\Microsoft\Windows\DWM]: <%UID%+»a»> — нажатия клавиш и данные буфера обмена, <%UID%+»d»> — информация смарт-карт. Сетевые функциональные возможности в кейлоггере отсутствуют. Для защиты от повторного запуска кейлоггер проверяет наличие мьютекса с именем <%UID%+»m»>, если он отсутствует, тогда кейлоггер создает мьютекс и продолжает работу, иначе завершает свое выполнение. Также кейлоггер проверяет значение параметра <%UID%+»s»> ключа реестра [HKCU\Software\Microsoft\Windows\DWM], если оно не равно нулю, тогда кейлоггер удаляет этот параметр ключа реестра и завершает свою работу. Значение %UID% кейлоггер получает из переменной среды «__UID_ENV_VAR__», в случае, если такая переменная отсутствует, тогда в качестве %UID% кейлоггер будет использовать значение «12345678». Фрагмент декомпилированного кода кейлоггера представлен ниже.

Рис. 12 Фрагмент декомпилированного кода кейлоггера

Выводы

Как мы ранее писали RAT (Remote Access Trojan) сегодня один из самых активно распространяемых киберпреступниками типов вредоносного ПО. Это связано с относительной простотой разработки, обеспечивающей большое количество предложений на рынке, а также широкими возможностями для использования вредоноса. В этом году киберпреступники довольно активно распространяют DarkWatchman RAT – этот троян рассылали по российским компаниям под видом зашифрованного архива с итогами фейкового тендера от Минобороны или лже-повесток от военных комиссариатов. В случае, который мы описали в блоге, они использовали фишинговый сайт, который копировал ресурс разработчика криптографической защиты. Чтобы скомпрометировать инфраструктуру и учетную запись в подходящей организации злоумышленники придумывают, пробуют все новые изощренные сценарии, которых мы еще увидим немало.

Матрица MITRE ATT&CK

Тактика	Техника	Процедура
Resource Development (TA0042)	SEO Poisoning (T1608.006)	Злоумышленники продвигают в поисковой системе подконтрольные им сайты, с которых осуществляется распространение DarkWatchman.
Initial Access (TA0001)	Phishing (T1566)	Злоумышленники используют фишинговый сайт, мимикрирующий под компанию КриптоПро.
Execution (TA0002)	User Execution: Malicious File (T1204.002)	Злоумышленники при распространении DarkWatchman используют защищенный паролем архив. В архиве предоставляется информация о дистрибутиве.
	Command and Scripting Interpreter: JavaScript (T1059.007)	DarkWatchman выполняет JavaScript код, полученный от C2.
	Command and Scripting Interpreter: PowerShell (T1059.001)	DarkWatchman выполняет PowerShell команды, полученные от C2.
	Command and Scripting Interpreter: Windows Command Shell (T1059.003)	DarkWatchman выполняет команды, полученные от C2, в интерпретаторе командной строки.
	Inter-Process Communication: Component Object Model (T1559.001)	DarkWatchman использует COM-объекты для работы с файлами, создания отложенных задач, исполнения команд (cmd, PowerShell), взаимодействия с реестром ОС.
	Windows Management Instrumentation (T1047)	DarkWatchman выполняет WMI команды.
	Scheduled Task/Job: Scheduled Task (T1053.005)	DarkWatchman создает отложенные задачи в планировщике задач.
Persistence (TA0003)	Scheduled Task/Job: Scheduled Task (T1053.005)
Privilege Escalation (TA0004)	Scheduled Task/Job: Scheduled Task (T1053.005)
Defense Evasion (TA0005)	Deobfuscate/Decode Files or Information (T1140)	DarkWatchman считывает содержимое файла 108788037, затем декодирует и расшифровывает содержимое с помощью операции XOR.
	Masquerading (T1036)	Файл CSPSetup.exe мимикрирует под официальный установщик «КриптоПро CSP».
	Modify Registry (T1112)	DarkWatchman использует ключ реестра HKCU\Software\Microsoft\Windows\DWM для хранения кейлоггера, перехваченных данных и конфигурационных параметров.
	Obfuscated Files or Information: Compile After Delivery (T1027.004)	Компиляция кейлоггера с помощью csc.exe в ходе выполнения сценария PowerShell.
	Obfuscated Files or Information: Command Obfuscation (T1027.010)	Кейлоггер запускается с помощью закодированной в Base64 команды.
	Obfuscated Files or Information: Fileless Storage (T1027.011)	Расшифрованное содержимое кейлоггера (файл:108788037) записывается в параметр ключа реестра.
	Indicator Removal: Clear Windows Event Logs (T1070.001)	DarkWatchman осуществляет очистку журналов событий Windows с помощью команды: ‘cmd.exe /c for /F «tokens=*» %1 in(\’wevtutil.exe el\’)DO wevtutil.exe cl «%1″‘.
	Indicator Removal: File Deletion (T1070.004)	DarkWatchman удалянет RarSFX файл CSPSetup.exe и файлы из каталога %TEMP%: 41779253.js, 108788037.
	Indicator Removal: Clear Persistence (T1070.009)	DarkWatchman получает информацию от C2 и производит деинсталляцию с зараженного хоста.
Discovery (TA0007)	System Information Discovery (T1082)	DarkWatchman собирает информации о версии атакованной ОС.
	System Owner/User Discovery (T1033)	DarkWatchman собирает информации о названии компьютера и имени пользователя.
	System Time Discovery (T1124)	DarkWatchman собирает информацию о часовом поясе.
	System Location Discovery: System Language Discovery (T1614.001)	DarkWatchman собирает информацию о языке системы.
	Account Discovery: Local Account (T1087.001)	DarkWatchman собирает информацию о роли пользователя.
	Account Discovery: Domain Account (T1087.002)	DarkWatchman собирает информацию о том, является ли хост частью домена.
	Software Discovery: Security Software Discovery (T1518.001)	DarkWatchman собирает информацию об антивирусном ПО.
	Process Discovery (T1057)	DarkWatchman осуществляет остановку процессов для очистки истории браузеров (Google Chrome, Yandex Browser, Mozilla Firefox).
	Browser Information Discovery (T1217)	DarkWatchman чистит историю браузеров.
	Application Window Discovery (T1010)	Кейлоггер осуществляет сбор данных об окнах запущенных процессов.
	File and Directory Discovery (T1083)	DarkWatchman осуществляет сбор данных о файлах и папках на хосте.
	Peripheral Device Discovery (T1120)	Кейлоггер осуществляет сбор данных подписанных драйверах PnP для устройств чтения смарт-карт.
	Query Registry (T1012)	DarkWatchman обращается к ключам реестра для сбора информации об ОС, например, для получения GUID зараженного хоста.
Collection (TA0009)	Input Capture: Keylogging (T1056.001)	DarkWatchman использует функционал кейлоггера для записи нажатия клавиш, данных буфера обмена и информации смарт-карт.
	Data Staged: Local Data Staging (T1074.001)	DarkWatchman размещает локальные данные в реестре Windows. Записывает расшифрованное содержимое кейлоггера в реестр системы.
	Data from Local System (T1005)	DarkWatchman отправляет собранную информацию о системе и загружает файлы с зараженного хоста на C2 сервер.
Command and Control (TA0011)	Application Layer Protocol: Web Protocols (T1071.001)	DarkWatchman получает информацию от C2 в виде HTTP статус-кода.
	Data Encoding: Standard Encoding (T1132.001)	Собранную информацию с зараженного хоста (телеметрию) DarkWatchman кодирует в виде HEX-строки.
	Dynamic Resolution: Domain Generation Algorithms (T1568.002)	DarkWatchman использует алгоритм генерации доменных имен (Domain Generation Algorithm – DGA).
	Fallback Channels (T1008)	DarkWatchman может использовать дополнительные 100 доменов, сгенерированных с помощью собственного алгоритма генерации доменных имен.
Exfiltration (TA0010)	Exfiltration Over C2 Channel (T1041)	DarkWatchman отправляет собранную информацию о системе и загружает файлы с зараженного хоста на C2 сервер.
Impact (TA0040)	Inhibit System Recovery (T1490)	DarkWatchman удаляет теневые копии с помощью vssadmin.exe.

YARA-правила

rule darkwatchman_rarsfx
{
  meta:
    author = "Dmitry Kupin"
    company = "F.A.C.C.T."
    description = "Detects DarkWatchman RarSFX samples"
    sample = "5f7527bdb49d1f6a440aad9296888f8884818bea3b6af7d85da1ee5bde7f2574"
    sample = "d439a3ce7353ef96cf3556abba1e5da77eac21fdba09d6a4aad42d1fc88c1e3c" // old sample from Cyble blog
    date = "2023-09-27"
   
  strings:
    $rar = { 52 61 72 21 } // Rar!
    $setup_0 = "Setup=wscript.exe" fullword ascii
    $setup_1 = "Setup=cmd.exe" fullword ascii
    $sfxname = "%sfxname%" fullword ascii
    $r_cmnd0 = /Overwrite=(1|2)\r\nPath=.{4,15}\r\nSetup=wscript\.exe .{4,15}\.js [0-9]{1,4} \"%sfxname%\"/
    $r_cmnd1 = /Overwrite=(1|2)\r\nPath=.{4,15}\r\nSetup=cmd\.exe \/c \(start \/MIN powershell\.exe -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "%SYSTEMDRIVE%"\) & \(start \/MIN wscript\.exe \/E:jscript .{4,15} [0-9]{1,4} \"%sfxname%\"/


  condition:
    $rar and $sfxname and (any of ($setup_*) or any of ($r_*))
}


rule darkwatchman_js
{
  meta:
    author = "Dmitry Kupin"
    company = "F.A.C.C.T."
    description = "Detects DarkWatchman obfuscated JavaScript samples"
    sample = "ae4c56ae10c6569f33638a6ed1da035731c4f6089bdaa80fa87cc5b09e78a57f"
    date = "2023-09-27"
 
  strings:
    $s0 = ");\x0D\x0A}\x0D\x0Areturn String.fromCharCode[String.fromCharCode(" ascii
    $s1 = ");\x0D\x0A}\x0D\x0Acatch(e)\x0D\x0A{\x0D\x0A}\x0D\x0A" ascii
 
  condition:
    uint16be(0) == 0x0D0A and filesize < 70KB and $s0 and $s1 in (filesize-30..filesize)
}


rule darkwatchman_keylogger
{
  meta:
    author = "Dmitry Kupin"
    company = "F.A.C.C.T."
    description = "Detects DarkWatchman keylogger samples"
    sample = "f583dac65dc542063a9270f0e5e40c841f67779e133c72b9333b74a1d640627b"
    date = "2023-09-27"


  strings:
    // '=Software\Microsoft\Windows\DWM  %HKEY_CURRENT_USER\'
    $h0 = { 3D 53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65
            00 5C 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F
            00 66 00 74 00 5C 00 57 00 69 00 6E 00 64 00 6F
            00 77 00 73 00 5C 00 44 00 57 00 4D 00 00 25 48
            00 4B 00 45 00 59 00 5F 00 43 00 55 00 52 00 52
            00 45 00 4E 00 54 00 5F 00 55 00 53 00 45 00 52
            00 5C 00 }
    // '[<<] [del] :: Clipboard'
    $h1 = { 5B 00 AB 00 5D 00 01 0B 5B 00 64 00 65 00 6C 00
            5D 00 00 1B 20 00 3A 00 3A 00 20 00 43 00 6C 00
            69 00 70 00 62 00 6F 00 61 00 72 00 64 00 }


  condition:
    uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and filesize < 11KB and any of them
}

Индикаторы компрометации

Хеши (SHA256):

arrow_drop_down

d0e352ba8198a9791bc21df9d40da653c8d267364fdd652cf534645bccd2c579 — CSP.rar
5f7527bdb49d1f6a440aad9296888f8884818bea3b6af7d85da1ee5bde7f2574 — CSPSetup.exe
ae4c56ae10c6569f33638a6ed1da035731c4f6089bdaa80fa87cc5b09e78a57f — 41779253.js
65c22eca2a518748606c6c02fd84986991a23595d555bf9a8f8ff2ebb7e8613c — 108788037
f583dac65dc542063a9270f0e5e40c841f67779e133c72b9333b74a1d640627b — C# keylogger

Файлы

arrow_drop_down

%LOCALAPPDATA%\[0-9a-f]{8}0.js (<%UID% + «0»>, например, ba8c3a320.js)
%TEMP%\bayspsyc.r14
%TEMP%\bgai224f.4pu
%TEMP%\bixdpgxb.o1o
%TEMP%\emcqzedg.epk
%TEMP%\isirzhga.vf2

Процессы

arrow_drop_down

%Windows%\system32\wbem\wmiprvse.exe -secured -Embedding (родительский процесс: svchost.exe)
wscript.exe %LOCALAPPDATA%\[0-9a-f]{8}0.js [0-9]{1,4} (родительский процесс: WmiPrvSE.exe), например: wscript.exe %LOCALAPPDATA%\ba8c3a320.js 40 (родительский процесс: WmiPrvSE.exe)
powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc <закодированный Base64 кейлоггер> (родительский процесс: WmiPrvSE.exe)

Реестр

arrow_drop_down

Шаблон: [HKCU\Software\Microsoft\Windows\DWM] «[0-9a-f]{8}[01aszphcbrtjvd]{1}»
[HKCU\Software\Microsoft\Windows\DWM] <%UID% + [01aszphcbrtjvd]{1}>, например, %UID% — ba8c3a32:
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a320» = 1
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a321» = <закодированный Base64 кейлоггер>
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a32a» = <информация об активных окнах и перехваченные вводимые данные с клавиатуры>
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a32d»

Мьютекс

arrow_drop_down

Мьютекс процесса powershell.exe: <%UID% + m>, например, %UID% — ba8c3a32, тогда имя мьютекса имеет вид: ba8c3a32m.

Прочие

arrow_drop_down

Переменная среды с именем «__UID_ENV_VAR__», содержащая значение %UID%, например, ba8c3a32.
Запланированная задача с именем %GUID%, например, ba8c3a32-f8d9-07cc-f8d9-ba8c3a32f8d0, которая выполняет команду: wscript.exe %LOCALAPPDATA%\[0-9a-f]{8}0.js [0-9]{1,4}, например: wscript.exe %LOCALAPPDATA%\ba8c3a320.js 40.

Домены

arrow_drop_down

pro-download.turbo[.]site
Шаблон: [0-9a-f]{8}.(cyou|shop|icu)
ec311447.(cyou|shop|icu)
9da3ecce.(cyou|shop|icu)
beb73561.(cyou|shop|icu)
1ee79f0e.(cyou|shop|icu)
4fad40dc.(cyou|shop|icu)
f8831f57.(cyou|shop|icu)
eeca47ca.(cyou|shop|icu)
832db572.(cyou|shop|icu)
6b02f7da.(cyou|shop|icu)
b8530e71.(cyou|shop|icu)
6f5a23d4.(cyou|shop|icu)
9fb2b319.(cyou|shop|icu)
9a9a8b91.(cyou|shop|icu)
5126a432.(cyou|shop|icu)
d5ac39cb.(cyou|shop|icu)
6ec6f49c.(cyou|shop|icu)
b2a97b8f.(cyou|shop|icu)
0f580158.(cyou|shop|icu)
025ad916.(cyou|shop|icu)
a7590e40.(cyou|shop|icu)

URLs

arrow_drop_down

hxxps://u[.]to/98yNHg
hxxps://cdn.discordapp[.]com/attachments/1071280949523927053/1088019667878154250/CSP.rar
Шаблон: hxxp://[0-9a-f]{8}.(cyou|shop|icu)/index.php, например, hxxp://ec311447[.]cyou/index.php