21 сентября Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку c использованием фейкового сайта компании КриптоПро, разработчика средств криптографической защиты. Угроза была нейтрализована решением F.A.C.C.T. Managed XDR.
Злоумышленники поместили на фишинговом ресурсе ссылку на архив с трояном DarkWatchman под видом криптографической утилиты для создания электронной подписи. Сам вредоносный сайт они активно продвигали в поисковиках, чтобы он был на верхних строках выдачи. При этом доменное имя фишинговой страницы никак не напоминало официальный сайт компании КриптоПро.
DarkWatchman RAT — это троян удаленного доступа, написанный на JavaScript. Используется для скрытого удаленного доступа к зараженному компьютеру, на котором троян может выполнять различные команды: загрузку других вредоносных программ, шпионаж и дальнейшее распространение по сети. DarkWatchman был замечен в кампаниях финансово мотивированной группы Hive0117, активной в феврале 2022 года. Троян использовался в качестве разведывательного инструмента на первоначальной стадии атаки.
Последнее время троян DarkWatchman часто фигурирует в различных инцидентах. В июле мы уже писали, как RAT распространялся через рассылку.
Угроза устранена: хронология обнаружения атаки
В процессе мониторинга кибератак специалисты Центра кибербезопасности F.A.C.C.T. с помощью системы Managed XDR обнаружили и своевременно остановили инцидент у одного из клиентов компании, связанный с загрузкой вредоносного файла на рабочее устройство. Модулем динамического анализа MDP вредоносная программа была атрибутирована к семейству DarkWatchman.
На компьютер пользователя была предпринята попытка загрузить архив CSP.rar. Архив содержал два файла, readme.txt с описанием легитимной программы КриптоПро CSP, а также исполняемый файл CSPSetup.exe, являющийся бэкдором DarkWatchman.
Индикаторы позволили убедиться в безошибочности вынесенного вердикта, а также дали возможность отследить все действия и изменения, произведенные пойманным экземпляром вредоноса.
Аналитики Центра кибербезопасности F.A.C.C.T. установили источник загрузки — фишинговый сайт, мимикрирующий под компанию КриптоПро, разработчика средств криптографической защиты.
Вредоносный сайт на домене pro-download.turbo[.]site был создан с помощью сервиса популярного поисковика.
- На самом сайте располагалась кнопка для загрузки и пароль от архива.
- Кнопка вела на ссылку, созданную с помощью сервиса сокращателя u[.]to.
- Загрузка архива происходила с сервиса Discord.
- Пароль от архива был указан на сайте приманке.
Хотя инструмент активно применялся финансово мотивированной группой киберпреступников, само вредоносное ПО DarkWatchman обладает функционалом трояна удаленного доступа (RAT) и используется в первую очередь для шпионажа, позволяя атакующим получать скрытый контроль над скомпрометированной системой и похищать конфиденциальные данные.
Решение КриптоПро CSP широко используется для криптографической защиты информации в различных организациях.
Поскольку без средств криптографической защиты нельзя использовать электронную цифровую подпись, софт на основе СКЗИ (криптографических технологий) востребован практически у всех ведущих частных компаний и госорганизаций. Атакующие, вероятно, пытались скомпрометировать компьютеры тех сотрудников, которые искали утилиту для сдачи налоговой отчётности и работы с ДБО — дистанционное банковское обслуживание.
SEO — злоупотребление
Во время исследования фишинговый сайт был первым в списке выдачи поисковой системы.
Примечательно, что злоумышленники не использовали покупку контекстной рекламы для размещения своего сайта в топе выдачи. Использование сервиса от поисковика при создании сайта позволило атакующим эффективно применить классическое seo-продвижение, тем самым занять верхнюю позицию по целевому поисковому запросу.
Техника размещения вредоносного сайта в топе поисковой выдачи SEO poisoning — является довольно популярной и эффективной, когда речь идет о широком охвате целевой аудитории. Часто применяется в традиционных финансовых фишинговых веб-атаках, а также в распространении ВПО.
Сайт был заблокирован командой CERT-F.A.C.C.T.. Тем не менее, опасность сохраняется, так как злоумышленники могут активировать копии вредоносного ресурса.
Технические детали
RarSFX
Защищенный паролем архив CSP.rar (пароль: 123) содержит файлы: CSPSetup.exe (самораспаковывающийся архив RarSFX), readme.txt (текстовый файл, содержащий информацию о дистрибутиве «КриптоПро CSP»).
RarSFX файл CSPSetup.exe содержит: DarkWatchman (обфусцированный JS файл 41779253.js), C# кейлоггер в закодированном виде (файл 108788037) и множество мусорных файлов. Пример содержимого RarSFX файла:
RarSFX файл CSPSetup.exe содержит в комментариях следующую команду:
Silent=2 Overwrite=1 Path=%TMP% Setup=wscript.exe 41779253.js 40 "%sfxname%"
В результате выполнения указанной команды содержимое CSPSetup.exe распакуется в каталог %TEMP% и запустится DarkWatchman RAT(процесс: «wscript.exe» 41779253.js 40 «[полный путь до RarSFX файла]\CSPSetup.exe»).
При выполнении процесса wscript.exe отображается диалоговое окно с текстом «Unexpected end of file.» Чтобы DarkWatchman продолжил работу, пользователю необходимо нажать «OK».
DarkWatchman
DarkWatchman представляет собой троян удаленного доступа (RAT). DarkWatchman написан на JavaScript и распространяется в паре с простым C# кейлоггером.
Функциональные возможности DarkWatchman:
- Сбор информации о системе: версия ОС, название компьютера, имя пользователя, часовой пояс, язык системы, роль пользователя, является ли хост частью домена, тип хоста, антивирусное ПО. Сбор информации о системе осуществляется посредством обращения к реестру ОС, COM и WMI.
- Отправка собранной информации о системе на C2 сервер.
- Выполнение произвольного JS кода через порождение процесса wscript.exe или без создания нового процесса через вызов функции eval().
- Загрузка и запуск произвольного EXE файла.
- Загрузка и запуск произвольного DLL файла с вызовом указанной функции.
- Выполнение Powershell скриптов.
- Выполнение WMI команд.
- Выполнение Windows Shell команд.
- Запуск и удаленное обновление кейлоггера.
- Запись произвольного JS кода, запускаемого при каждом старте DarkWatchman, в реестр.
- Очистка журналов событий Windows.
- Очистка истории браузеров: остановка процессов и удаление файлов в каталогах.
- Удаление теневых копий с помощью vssadmin.exe.
- Загрузка файлов с зараженной машины на C2 сервер.
- Создание отложенных задач в планировщике задач.
- Использование алгоритма генерации доменных имен (Domain Generation Algorithm – DGA).
Команды с C2 сервера передаются в виде HTTP статус-кода. Список команд DarkWatchman:
Код команды | Описание команды |
---|---|
820 | Загрузка и выполнение EXE-файла, используя WMI |
821 | Загрузка DLL и вызов функции, указанной в аргументе команды |
822 | Выполнение команды в интерпретаторе командной строки cmd.exe |
823 | Загрузка и выполнение команд WMI |
824 | Загрузка и выполнение JS кода через порождение wscript.exe |
825 | Загрузка и выполнение JS через вызов функции eval() (без порождения нового процесса) |
826 | Загрузка и выполнение Powershell скрипта |
827 | Завершение работы кейлоггера и DarkWatchman |
828 | Деинсталляция с зараженного хоста |
829 | Выгрузка файла на C2 |
830 | Установка таймаута запросов к С2 |
831 | Установка нового С2 URL |
832 | Загрузка и запуск обновленного DarkWatchman |
833 | Загрузка и обновление кейлоггера |
834 | Установка DarkWatchman в автозагрузку |
835 | Загрузка и выполнение EXE-файла |
Кейлоггер
DarkWatchman считывает содержимое файла 108788037, затем декодирует и расшифровывает содержимое с помощью операции XOR.
В качестве ключа используются первые 4 байта файла 108788037, в данном случае {A6 0C 4B 25}.
Расшифрованное содержимое кейлоггера закодировано алгоритмом Base64. Далее файл 108788037 удаляется, а расшифрованное содержимое записывается в параметр <%UID%+1> (например: ba8c3a321) ключа реестра [HKCU\Software\Microsoft\Windows\DWM].
Кейлоггер запускается с помощью команды: «powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc <закодированный Base64 кейлоггер>». Декодированная Base64 нагрузка имеет следующий вид: «Add-Type -TypeDefinition @»<исходный C# код кейлоггера>»@ -ReferencedAssemblies System.Windows.Forms;[k1.g2]::Run( { $null = [console]::CapsLock } )».
Кейлоггер записывает нажатия клавиш, данные буфера обмена и информацию смарт-карт в параметры ключа реестра [HKCU\Software\Microsoft\Windows\DWM]: <%UID%+»a»> — нажатия клавиш и данные буфера обмена, <%UID%+»d»> — информация смарт-карт. Сетевые функциональные возможности в кейлоггере отсутствуют. Для защиты от повторного запуска кейлоггер проверяет наличие мьютекса с именем <%UID%+»m»>, если он отсутствует, тогда кейлоггер создает мьютекс и продолжает работу, иначе завершает свое выполнение. Также кейлоггер проверяет значение параметра <%UID%+»s»> ключа реестра [HKCU\Software\Microsoft\Windows\DWM], если оно не равно нулю, тогда кейлоггер удаляет этот параметр ключа реестра и завершает свою работу. Значение %UID% кейлоггер получает из переменной среды «__UID_ENV_VAR__», в случае, если такая переменная отсутствует, тогда в качестве %UID% кейлоггер будет использовать значение «12345678». Фрагмент декомпилированного кода кейлоггера представлен ниже.
Выводы
Как мы ранее писали RAT (Remote Access Trojan) сегодня один из самых активно распространяемых киберпреступниками типов вредоносного ПО. Это связано с относительной простотой разработки, обеспечивающей большое количество предложений на рынке, а также широкими возможностями для использования вредоноса. В этом году киберпреступники довольно активно распространяют DarkWatchman RAT – этот троян рассылали по российским компаниям под видом зашифрованного архива с итогами фейкового тендера от Минобороны или лже-повесток от военных комиссариатов. В случае, который мы описали в блоге, они использовали фишинговый сайт, который копировал ресурс разработчика криптографической защиты. Чтобы скомпрометировать инфраструктуру и учетную запись в подходящей организации злоумышленники придумывают, пробуют все новые изощренные сценарии, которых мы еще увидим немало.
Рекомендации
- Организации в случае реальной заинтересованности в обеспечении защиты от современных кибератак должны либо вкладывать в развитие собственной экспертизы мониторинга и реагирования, либо обратиться к специалистам из этой области. Сегодня для этих целей существуют управляемые сервисы, позволяющие компаниям полностью отдать мониторинг угроз и реагирование на них профессионалам.
- Для защиты инфраструктуры от подобных угроз организациям необходим комплексный подход к безопасности, который может обеспечить, к примеру, F.A.C.C.T. Managed XDR — комплекс высокотехнологичных решений для продвинутого обнаружения, реагирования и защиты от сложных и неизвестных киберугроз.
- В современных атаках киберпреступники применяют различные вектора, но социальная инженерия остается одним из самых популярных. Поэтому необходимо уделять особое внимание повышению уровня цифровой грамотности сотрудников и их навыков обнаружения потенциальных угроз.
Если ваша компания подверглась кибератаке, важно как можно скорее обратиться к экспертам по реагированию на инциденты.
Сообщить об инциденте: +7 495 984-33-64 или response@facct.ru
Попробовать Managed XDR от F.A.C.C.T.
Запросите демо и начните выявлять и устранять киберугрозы с F.A.С.С.T. Managed XDR
Матрица MITRE ATT&CK
Тактика | Техника | Процедура |
---|---|---|
Resource Development (TA0042) | SEO Poisoning (T1608.006) | Злоумышленники продвигают в поисковой системе подконтрольные им сайты, с которых осуществляется распространение DarkWatchman. |
Initial Access (TA0001) | Phishing (T1566) | Злоумышленники используют фишинговый сайт, мимикрирующий под компанию КриптоПро. |
Execution (TA0002) | User Execution: Malicious File (T1204.002) | Злоумышленники при распространении DarkWatchman используют защищенный паролем архив. В архиве предоставляется информация о дистрибутиве. |
Command and Scripting Interpreter: JavaScript (T1059.007) | DarkWatchman выполняет JavaScript код, полученный от C2. | |
Command and Scripting Interpreter: PowerShell (T1059.001) | DarkWatchman выполняет PowerShell команды, полученные от C2. | |
Command and Scripting Interpreter: Windows Command Shell (T1059.003) | DarkWatchman выполняет команды, полученные от C2, в интерпретаторе командной строки. | |
Inter-Process Communication: Component Object Model (T1559.001) | DarkWatchman использует COM-объекты для работы с файлами, создания отложенных задач, исполнения команд (cmd, PowerShell), взаимодействия с реестром ОС. | |
Windows Management Instrumentation (T1047) | DarkWatchman выполняет WMI команды. | |
Scheduled Task/Job: Scheduled Task (T1053.005) | DarkWatchman создает отложенные задачи в планировщике задач. | |
Persistence (TA0003) | Scheduled Task/Job: Scheduled Task (T1053.005) | |
Privilege Escalation (TA0004) | Scheduled Task/Job: Scheduled Task (T1053.005) | |
Defense Evasion (TA0005) | Deobfuscate/Decode Files or Information (T1140) | DarkWatchman считывает содержимое файла 108788037, затем декодирует и расшифровывает содержимое с помощью операции XOR. |
Masquerading (T1036) | Файл CSPSetup.exe мимикрирует под официальный установщик «КриптоПро CSP». | |
Modify Registry (T1112) | DarkWatchman использует ключ реестра HKCU\Software\Microsoft\Windows\DWM для хранения кейлоггера, перехваченных данных и конфигурационных параметров. | |
Obfuscated Files or Information: Compile After Delivery (T1027.004) | Компиляция кейлоггера с помощью csc.exe в ходе выполнения сценария PowerShell. | |
Obfuscated Files or Information: Command Obfuscation (T1027.010) | Кейлоггер запускается с помощью закодированной в Base64 команды. | |
Obfuscated Files or Information: Fileless Storage (T1027.011) | Расшифрованное содержимое кейлоггера (файл:108788037) записывается в параметр ключа реестра. | |
Indicator Removal: Clear Windows Event Logs (T1070.001) | DarkWatchman осуществляет очистку журналов событий Windows с помощью команды: ‘cmd.exe /c for /F «tokens=*» %1 in(\’wevtutil.exe el\’)DO wevtutil.exe cl «%1″‘. | |
Indicator Removal: File Deletion (T1070.004) | DarkWatchman удалянет RarSFX файл CSPSetup.exe и файлы из каталога %TEMP%: 41779253.js, 108788037. | |
Indicator Removal: Clear Persistence (T1070.009) | DarkWatchman получает информацию от C2 и производит деинсталляцию с зараженного хоста. | |
Discovery (TA0007) | System Information Discovery (T1082) | DarkWatchman собирает информации о версии атакованной ОС. |
System Owner/User Discovery (T1033) | DarkWatchman собирает информации о названии компьютера и имени пользователя. | |
System Time Discovery (T1124) | DarkWatchman собирает информацию о часовом поясе. | |
System Location Discovery: System Language Discovery (T1614.001) | DarkWatchman собирает информацию о языке системы. | |
Account Discovery: Local Account (T1087.001) | DarkWatchman собирает информацию о роли пользователя. | |
Account Discovery: Domain Account (T1087.002) | DarkWatchman собирает информацию о том, является ли хост частью домена. | |
Software Discovery: Security Software Discovery (T1518.001) | DarkWatchman собирает информацию об антивирусном ПО. | |
Process Discovery (T1057) | DarkWatchman осуществляет остановку процессов для очистки истории браузеров (Google Chrome, Yandex Browser, Mozilla Firefox). | |
Browser Information Discovery (T1217) | DarkWatchman чистит историю браузеров. | |
Application Window Discovery (T1010) | Кейлоггер осуществляет сбор данных об окнах запущенных процессов. | |
File and Directory Discovery (T1083) | DarkWatchman осуществляет сбор данных о файлах и папках на хосте. | |
Peripheral Device Discovery (T1120) | Кейлоггер осуществляет сбор данных подписанных драйверах PnP для устройств чтения смарт-карт. | |
Query Registry (T1012) | DarkWatchman обращается к ключам реестра для сбора информации об ОС, например, для получения GUID зараженного хоста. | |
Collection (TA0009) | Input Capture: Keylogging (T1056.001) | DarkWatchman использует функционал кейлоггера для записи нажатия клавиш, данных буфера обмена и информации смарт-карт. |
Data Staged: Local Data Staging (T1074.001) | DarkWatchman размещает локальные данные в реестре Windows. Записывает расшифрованное содержимое кейлоггера в реестр системы. | |
Data from Local System (T1005) | DarkWatchman отправляет собранную информацию о системе и загружает файлы с зараженного хоста на C2 сервер. | |
Command and Control (TA0011) | Application Layer Protocol: Web Protocols (T1071.001) | DarkWatchman получает информацию от C2 в виде HTTP статус-кода. |
Data Encoding: Standard Encoding (T1132.001) | Собранную информацию с зараженного хоста (телеметрию) DarkWatchman кодирует в виде HEX-строки. | |
Dynamic Resolution: Domain Generation Algorithms (T1568.002) | DarkWatchman использует алгоритм генерации доменных имен (Domain Generation Algorithm – DGA). | |
Fallback Channels (T1008) | DarkWatchman может использовать дополнительные 100 доменов, сгенерированных с помощью собственного алгоритма генерации доменных имен. | |
Exfiltration (TA0010) | Exfiltration Over C2 Channel (T1041) | DarkWatchman отправляет собранную информацию о системе и загружает файлы с зараженного хоста на C2 сервер. |
Impact (TA0040) | Inhibit System Recovery (T1490) | DarkWatchman удаляет теневые копии с помощью vssadmin.exe. |
YARA-правила
rule darkwatchman_rarsfx { meta: author = "Dmitry Kupin" company = "F.A.C.C.T." description = "Detects DarkWatchman RarSFX samples" sample = "5f7527bdb49d1f6a440aad9296888f8884818bea3b6af7d85da1ee5bde7f2574" sample = "d439a3ce7353ef96cf3556abba1e5da77eac21fdba09d6a4aad42d1fc88c1e3c" // old sample from Cyble blog date = "2023-09-27" strings: $rar = { 52 61 72 21 } // Rar! $setup_0 = "Setup=wscript.exe" fullword ascii $setup_1 = "Setup=cmd.exe" fullword ascii $sfxname = "%sfxname%" fullword ascii $r_cmnd0 = /Overwrite=(1|2)\r\nPath=.{4,15}\r\nSetup=wscript\.exe .{4,15}\.js [0-9]{1,4} \"%sfxname%\"/ $r_cmnd1 = /Overwrite=(1|2)\r\nPath=.{4,15}\r\nSetup=cmd\.exe \/c \(start \/MIN powershell\.exe -NonI -W Hidden -Exec Bypass Add-MpPreference -ExclusionPath "%SYSTEMDRIVE%"\) & \(start \/MIN wscript\.exe \/E:jscript .{4,15} [0-9]{1,4} \"%sfxname%\"/ condition: $rar and $sfxname and (any of ($setup_*) or any of ($r_*)) } rule darkwatchman_js { meta: author = "Dmitry Kupin" company = "F.A.C.C.T." description = "Detects DarkWatchman obfuscated JavaScript samples" sample = "ae4c56ae10c6569f33638a6ed1da035731c4f6089bdaa80fa87cc5b09e78a57f" date = "2023-09-27" strings: $s0 = ");\x0D\x0A}\x0D\x0Areturn String.fromCharCode[String.fromCharCode(" ascii $s1 = ");\x0D\x0A}\x0D\x0Acatch(e)\x0D\x0A{\x0D\x0A}\x0D\x0A" ascii condition: uint16be(0) == 0x0D0A and filesize < 70KB and $s0 and $s1 in (filesize-30..filesize) } rule darkwatchman_keylogger { meta: author = "Dmitry Kupin" company = "F.A.C.C.T." description = "Detects DarkWatchman keylogger samples" sample = "f583dac65dc542063a9270f0e5e40c841f67779e133c72b9333b74a1d640627b" date = "2023-09-27" strings: // '=Software\Microsoft\Windows\DWM %HKEY_CURRENT_USER\' $h0 = { 3D 53 00 6F 00 66 00 74 00 77 00 61 00 72 00 65 00 5C 00 4D 00 69 00 63 00 72 00 6F 00 73 00 6F 00 66 00 74 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 44 00 57 00 4D 00 00 25 48 00 4B 00 45 00 59 00 5F 00 43 00 55 00 52 00 52 00 45 00 4E 00 54 00 5F 00 55 00 53 00 45 00 52 00 5C 00 } // '[<<] [del] :: Clipboard' $h1 = { 5B 00 AB 00 5D 00 01 0B 5B 00 64 00 65 00 6C 00 5D 00 00 1B 20 00 3A 00 3A 00 20 00 43 00 6C 00 69 00 70 00 62 00 6F 00 61 00 72 00 64 00 } condition: uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and filesize < 11KB and any of them }
Индикаторы компрометации
- d0e352ba8198a9791bc21df9d40da653c8d267364fdd652cf534645bccd2c579 — CSP.rar
- 5f7527bdb49d1f6a440aad9296888f8884818bea3b6af7d85da1ee5bde7f2574 — CSPSetup.exe
- ae4c56ae10c6569f33638a6ed1da035731c4f6089bdaa80fa87cc5b09e78a57f — 41779253.js
- 65c22eca2a518748606c6c02fd84986991a23595d555bf9a8f8ff2ebb7e8613c — 108788037
- f583dac65dc542063a9270f0e5e40c841f67779e133c72b9333b74a1d640627b — C# keylogger
- %LOCALAPPDATA%\[0-9a-f]{8}0.js (<%UID% + «0»>, например, ba8c3a320.js)
- %TEMP%\bayspsyc.r14
- %TEMP%\bgai224f.4pu
- %TEMP%\bixdpgxb.o1o
- %TEMP%\emcqzedg.epk
- %TEMP%\isirzhga.vf2
- %Windows%\system32\wbem\wmiprvse.exe -secured -Embedding (родительский процесс: svchost.exe)
- wscript.exe %LOCALAPPDATA%\[0-9a-f]{8}0.js [0-9]{1,4} (родительский процесс: WmiPrvSE.exe), например: wscript.exe %LOCALAPPDATA%\ba8c3a320.js 40 (родительский процесс: WmiPrvSE.exe)
- powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc <закодированный Base64 кейлоггер> (родительский процесс: WmiPrvSE.exe)
- Шаблон: [HKCU\Software\Microsoft\Windows\DWM] «[0-9a-f]{8}[01aszphcbrtjvd]{1}»
- [HKCU\Software\Microsoft\Windows\DWM] <%UID% + [01aszphcbrtjvd]{1}>, например, %UID% — ba8c3a32:
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a320» = 1
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a321» = <закодированный Base64 кейлоггер>
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a32a» = <информация об активных окнах и перехваченные вводимые данные с клавиатуры>
- [HKCU\Software\Microsoft\Windows\DWM] «ba8c3a32d»
- Мьютекс процесса powershell.exe: <%UID% + m>, например, %UID% — ba8c3a32, тогда имя мьютекса имеет вид: ba8c3a32m.
- Переменная среды с именем «__UID_ENV_VAR__», содержащая значение %UID%, например, ba8c3a32.
- Запланированная задача с именем %GUID%, например, ba8c3a32-f8d9-07cc-f8d9-ba8c3a32f8d0, которая выполняет команду: wscript.exe %LOCALAPPDATA%\[0-9a-f]{8}0.js [0-9]{1,4}, например: wscript.exe %LOCALAPPDATA%\ba8c3a320.js 40.
- pro-download.turbo[.]site
- Шаблон: [0-9a-f]{8}.(cyou|shop|icu)
- ec311447.(cyou|shop|icu)
- 9da3ecce.(cyou|shop|icu)
- beb73561.(cyou|shop|icu)
- 1ee79f0e.(cyou|shop|icu)
- 4fad40dc.(cyou|shop|icu)
- f8831f57.(cyou|shop|icu)
- eeca47ca.(cyou|shop|icu)
- 832db572.(cyou|shop|icu)
- 6b02f7da.(cyou|shop|icu)
- b8530e71.(cyou|shop|icu)
- 6f5a23d4.(cyou|shop|icu)
- 9fb2b319.(cyou|shop|icu)
- 9a9a8b91.(cyou|shop|icu)
- 5126a432.(cyou|shop|icu)
- d5ac39cb.(cyou|shop|icu)
- 6ec6f49c.(cyou|shop|icu)
- b2a97b8f.(cyou|shop|icu)
- 0f580158.(cyou|shop|icu)
- 025ad916.(cyou|shop|icu)
- a7590e40.(cyou|shop|icu)
- hxxps://u[.]to/98yNHg
- hxxps://cdn.discordapp[.]com/attachments/1071280949523927053/1088019667878154250/CSP.rar
- Шаблон: hxxp://[0-9a-f]{8}.(cyou|shop|icu)/index.php, например, hxxp://ec311447[.]cyou/index.php