標籤: Ransomware

國際知名的跨國汽車製造商日產汽車Nissan 再度成為全球資安焦點。
根據HackRead、Cybernews以及TechNadu等多家資安新聞網站的報導與俄羅斯具關聯的勒索組織 Everest 於 2026 年 1 月 10 日 在暗網公開聲稱，已成功入侵日本汽車製造巨頭日產汽車Nissan並竊取高達 900GB 的內部資料。

攻擊者同時發出 五天倒數 威脅，若 Nissan 不回應要求，相關資料將於暗網全面外洩。
這種「倒數公開」策略已成全球勒索組織施壓談判的標準手法。

Everest 公開的截圖顯示：內部文件、經銷商資料、營運報表疑遭掌握

Everest 在其暗網洩漏網站上傳多張資料樣本，根據Cybernews 研究團隊對這些樣本進行初步比對。

從資料樣本內容可見：

• 包含 經銷商名稱、地址、城市/州別、經銷計畫文件
• 內部文件目錄截圖：ZIP、TXT、CSV、XLS、PGP 等格式
• 涉及 經銷據點資料、認證流程文件、財務報告、營運系統輸出
• 甚至包含 遺失與尋獲鑰匙報告（lost & found car key reports）
• 其他與 Nissan 合作經銷商往來的作業文件

研究團隊指出，雖截圖未直接曝光個資，但有高度可能含有員工或客戶聯絡資訊，並表示：

「主要風險目前仍是聲譽，但若包含員工或客戶 PII，則會大幅提高法規責任與風險。」

換言之，目前外界最擔憂的不是截圖顯示了什麼，而是未公開的 900GB 裡還有什麼。

Nissan 過往資安事件頻傳：客戶資料、員工資料、原始碼都曾遭波及

Everest 這次的威脅並非 Nissan 首度面臨重大資安風險。
回顧近年紀錄，Nissan 的全球資安防線多次出現破口，從客戶個資、員工資料到原始碼，都曾受到不同程度的入侵與外洩影響：

2025 年 12 月：21,000 名客戶資料遭入侵

攻擊者透過 Nissan 使用的客戶管理系統 Red Hat 取得存取權限，成功入侵並竊取約 21,000 名客戶的個人資訊。事件引發官方調查並迫使 Nissan 進行系統補強與通報。

2024 年：Akira 勒索攻擊波及澳洲與紐西蘭，至少 10 萬人受影響

Akira 勒索集團成功入侵 Nissan 澳洲與紐西蘭的本地伺服器。
外洩內容包括客戶資料、員工資訊、內部文件，受影響規模超過 100,000 名個案，迫使 Nissan ANZ 停止部分線上服務並通知主管機關。

2024 年：北美子公司資料外洩，涉及 53,000 名員工

Nissan北美通報遭遇資料外洩事件，超過 53,000 名現任與前任員工的敏感資料遭駭，包括社會安全號碼、薪酬紀錄與人事文件。事件同時波及部分營運相關資料與內部流程文件。

2021 年：原始碼因錯誤設定外流

Nissan 的 Git 伺服器被發現使用「admin/admin」的預設帳密，導致多個專案原始碼遭公開外流。該事件凸顯基礎架構與身分存取管理（IAM）控管的嚴重疏漏。

綜合來看，Nissan 的資安防線在存取管理、基礎建設配置與全球性資料治理上明顯承受長期壓力。

Everest 的攻擊清單，足以讓任何企業感到壓力

Everest 在 2025 年是全球最活躍的勒索組織之一，其聲稱攻擊對象包含：

近期高調攻擊案例包括：

• ASUS — 聲稱竊取 1TB 相機原始碼與企業機密
• SIAD Group（義大利氣體大廠） — 影響生產但未中斷營運
• Petrobras（巴西油氣巨頭） — 攻擊者宣稱取得地震與探勘數據
• Air Miles España（西班牙最大忠誠計畫） — 攻擊者宣稱外洩 131GB 含上百萬筆顧客資料
• Iberia Airlines（伊比利亞航空） — 聲稱可「長期、無限制訪問」訂位系統並可篡改預訂

這些受害者涵蓋科技、製造、航空、能源、電信、交通等關鍵產業。
Everest 的行動特性通常包括：

1. 長期潛伏
2. 系統橫向移動
3. 大規模資料整併與打包
4. 多重勒索（加密 + 外洩威脅）
5. 外洩倒數壓力，迫使企業談判

這意味著一旦遭入侵，往往不是「單點事件」，而是完整的攻擊鏈已被完整走過。

合規風險更值得企業高層關注

若 Everest 的宣稱屬實，Nissan 可能面臨多國同步監管壓力：

• GDPR（歐盟）：延遲通報或跨境傳輸不當可能面臨巨額罰款
• 日本 APPI：需依法通報主管機關與受影響者
• 美國多州資料法：涉及經銷商與金融資料時，將加重法律責任
• 供應鏈管理壓力：合作夥伴將要求提供資安稽核與風險緩解措施
• 投資人關係（IR）與公司治理：是否構成重大訊息需對外揭露？

全球化企業的問題在此完全浮現：

資料可能在多國流動，使外洩同時在所有地方引發法律風險。

結語：這不是一則勒索新聞，而是一堂企業治理的示範課

目前 Nissan 尚未正式回應 Everest 的聲稱。
但無論事件後續發展為何，有三點已經非常明確：

1. 攻擊者的能耐正在提升
2. 跨國企業的防線正面臨更高壓力
3. 資料治理不再只是 IT 的工作，它已成為董事會必須親自把關的風險管理議題ˇ

Everest 展現出的攻擊模式與規模，再次提醒大型企業：

資料外洩並不會隨事件結束而結束，它只是換了一種形式持續存在。

根據最近一份來自Cisco Talos的報告揭露，一個以金錢利益為目的的勒索威脅集團，正透過 DeadLock 勒索軟體採用高級「自帶易受攻擊驅動程式（BYOVD, Bring Your Own Vulnerable Driver）」手法，成功繞過並關閉企業端點檢測與回應（EDR）系統。此現象顯示勒索軟體攻擊技術已進入新階段，企業防禦與復原面臨更大挑戰。

BYOVD 手法解析：Kernel 層級掌控安全服務

該攻擊利用一個內核模式驅動程式，擁有最高系統權限，透過 ZwTerminateProcess() 直接終止目標安全服務。攻擊者使用了此前未知的漏洞（CVE-2024-51324），將百度(Baidu)防毒驅動程式 BdApiUtil.sys 改作「DriverGay.sys」，借此漏洞實現內核級權限管理錯誤，使未授權使用者可終止任何系統進程。

攻擊過程中，攻擊者部署自訂載入程式「EDRGay.exe」，透過 Windows API 與易受攻擊驅動程式互動，精準下達終止安全與防毒服務的指令，確保 EDR 工具在勒索軟體執行前即被癱瘓。隨後，PowerShell 腳本繞過使用者帳戶控制（UAC）取得系統管理權限，關閉 Windows Defender，終止關鍵安全、防護、備份及資料庫服務，並刪除所有卷影複本，切斷系統復原途徑，迫使受害者付贖金。

DeadLock 勒索軟體運作特點

DeadLock 專攻 Windows 系統，採用自有的串流加密算法（stream cipher），使用時間驅動的加密金鑰進行檔案加密。其設計精密，可選擇性加密企業常用檔案，同時避免系統損毀，並實施反取證手法，增加復原難度。

勒索軟體內建 8,888-byte 設定區塊，控制整個運作策略。初始入侵通常透過有效帳號入侵，開啟 RDP 與防火牆例外，或暗中部署 AnyDesk 確保長期遠端存取。滲透後，攻擊者透過系統命令進行內部偵查，鎖定高價值目標，並以 RDP 及管理主控台橫向移動。

加密前，DeadLock 會投放批次腳本調整命令列頁碼為 UTF-8，以正確顯示贖金訊息，並將勒索軟體注入 rundll32.exe 偽裝成合法進程，多執行緒加密，排除關鍵系統檔案與路徑以維持系統穩定，便於與受害者談判。

此外，DeadLock 會關閉商業關鍵應用與備份服務，包括 Microsoft SQL Server、Veeam、Symantec Endpoint Protection，並透過自訂加密實作，避免使用 Windows 原生加密 API，降低偵測風險。勒索訊息宣稱使用「軍事等級加密」，並指示受害者使用匿名 Session 通訊工具與攻擊者聯絡，迴避執法監控。

防護建議

建議採取多層防禦策略：

1. 持續更新並強化針對 BYOVD 攻擊手法的防禦措施，及時修補與封鎖存在風險的易受攻擊驅動程式
2. 電子郵件安全 過濾散布 DeadLock 的釣魚郵件
3. 防火牆監控 偵測異常網路流量
4. 透過網路行為分析、沙箱檢測未知威脅，並落實零信任存取控制，以防堵攻擊橫向擴散
5. 隨時留意系統是否出現異常中斷，並儘快更新與修補以避免風險擴大

DeadLock 勒索軟體利用 BYOVD 技術關閉安全工具，凸顯攻擊者正透過內核漏洞創新手法。企業需保持高度警覺，落實補丁管理與多層防護，才能有效降低勒索風險。

DeadLock的部分入侵指標(Indicator of compromise -IOCs):

2D89FB7455FF3EBF6B965D8B1113857607F7FBDA4C752CCB591DBC1DC14BA0DA

47EC51B5F0EDE1E70BD66F3F0152F9EB536D534565DBB7FCC3A05F542DBE4428

be1037fac396cf54fb9e25c48e5b0039b3911bb8426cbf52c9433ba06c0685ce

3cd5703d285ed2753434f14f8da933010ecfdc1e5009d0e438188aaf85501612

3c1b9df801b9abbb3684670822f367b5b8cda566b749f457821b6481606995b3

在 2025 年 10 月下旬，俄語系勒索組織 Everest 再度掀起全球資安圈震撼，這個在暗網上活動多年的集團，不僅聲稱竊取了美國電信巨頭 AT&T Carrier（att.jobs） 的內部資料，更公開販售愛爾蘭 都柏林機場（Dublin Airport） 及阿拉伯聯合大公國 阿拉伯航空（Air Arabia） 的乘客與員工資料，開價分別為 100 萬美元與 200 萬美元。

這不只是單純的資料外洩事件，而是一場有組織、有策略的網路勒索行動，揭示了企業在全球化數據互聯環境下的脆弱現實。

攻擊事件概況：從 AT&T 到航空業的數據勒索

根據資安媒體 Hackread.com 的報導，Everest 勒索集團在 10 月 21 日首次聲稱入侵 AT&T 的招聘平台 AT&T Carrier，取得約 57 萬筆應徵者與員工個資，內容包含姓名、電話、電子郵件與內部帳號資料。

駭客向 AT&T 發出最後通牒，要求在 6 天內聯繫，否則將公開資料。期限屆滿後，兩份名為「user_list」與「customer_list」的 CSV 檔案確實被釋出至暗網。

緊接著，Everest 又在 10 月 25 日將矛頭轉向航空業：

• 都柏林機場 1,533,900 名旅客資料被勒索 100 萬美元；
• 阿拉伯航空 18,000 名員工資料則標價 200 萬美元。

這些資料不僅包含姓名、航班編號、座位號、行李標籤編號與登機證號碼，甚至包括乘客使用的設備型號與登入來源。對駭客而言，這些資訊不只是可販售的數據，更可能成為下一波社交工程攻擊的養分。

深度分析：Everest 的戰略思維與技術軌跡

Everest 勒索集團並非新面孔。自 2020 年起，它便以「雙重勒索（Double Extortion）」策略聞名——先加密受害者系統，再威脅若不付贖金，便公開資料。

近年來，他們逐漸轉型為「資料掮客型勒索組織」，不再單純依賴加密，而是利用 資料外洩與暗網拍賣 為主要盈利手段。其行動具備以下特徵：

1. 鎖定高資料密度產業：如電信、航空、金融與醫療。
2. 多層社交工程與滲透手法：包括利用釣魚郵件或滲透第三方供應商。
3. 以恐懼操控輿論：將資料貼上暗網「公告板」，限時倒數公開，逼迫企業談判。
4. 多語言操作團隊：其論壇與通訊紀錄顯示，Everest 擁有俄語、英語及阿拉伯語使用者，顯示組織跨區域運作的成熟度。

這次針對航空與電信業的攻擊，顯然不是偶然。航空業擁有大量個資、行程與身分驗證資訊，一旦外洩，對企業信譽與乘客安全都構成長期風險。

資安觀點：從 Everest 看資料勒索的產業化

Everest 的手法凸顯出勒索產業的「轉型趨勢」——從「系統加密」轉向「資料勒索」，從「單點攻擊」進化為「供應鏈滲透」。

在這種模式下，即使企業部署了防毒軟體與 EDR（端點偵測與回應）方案，也難以完全抵擋資料被外洩的風險。因為駭客的入侵早已滲入應用層與雲端 API 的交互點上。

以本次事件為例，若企業內部的 雲端應用（如招聘平台或旅客資料庫） 未實施嚴格的權限控管與加密傳輸，駭客只需取得一組帳號或 API 金鑰，便能長期竊取資料而不被察覺。

 專家建議：如何防範下一波資料勒索

作為企業防禦者，以下幾點是從此事件應該吸取的教訓：

1. 強化帳號與 API 管控：導入零信任驗證（Zero Trust）與多因素認證（MFA）。
2. 落實資料分級保護：旅客或應徵者個資應採用分層加密與存取審計。
3. 導入 DLP（資料防漏）與 UEBA 行為分析：偵測內部帳號異常存取。
4. 建立外洩模擬演練（Data Leak Simulation）：提早評估事件發生後的應變能力。
5. 透明通報機制：面對資料外洩，企業應主動公告、減少輿論傷害。

結語：Everest 的訊息

Everest 並非僅僅是一個勒索組織，而是反映了當前資安威脅生態的縮影：
在這個資料即資產的時代，企業若仍以傳統防毒思維應對新型勒索攻擊，只會被迫在暗網的談判桌上「買回自己的資料」。

真正的防禦，不只是技術，更是策略與決心。
而 Everest，只是提醒我們——資安的戰場，從未離開過資料本身。

自 2025 年 5 月起，新興勒索軟體集團 Dire Wolf（冰原狼） 持續在全球發動針對性攻擊，專挑製造與科技產業下手，並採取「加密 + 外洩」的雙重勒索手法。根據我們的統計，DireWolf 至今已對全球 11 個國家的企業發動攻擊，共計 16 家受害公司。其中，台灣與印度各有 2 家企業遭殃，泰國更有 3 家企業受害，成為目前攻擊數量最多的國家。其餘 9 個國家則各有 1 家企業中招，顯示該勒索組織的攻擊行動已具備跨國擴散趨勢，威脅態勢不容小覷。

真實事件：台灣企業遭鎖定

2025 年 6 月 25 日，竣盟科技發現，Dire Wolf 勒索軟體已將台灣南部某大型企業集團旗下的上市鋼鐵公司列為其受害者。攻擊者已將該公司多達 30GB 的機密資料公開於暗網，顯示該企業目前正面臨嚴重的資料外洩風險，需強化資安防護機制。

事實上，早在同年 5 月下旬，本土保險業者 Kiwi86 即傳出遭 Dire Wolf 鎖定，兩起事件顯示該集團正有系統地針對台灣的產業發動一連串進階攻擊，攻擊行為已具明確區域性與策略性。

程式語言與加密技術：Golang + Curve25519 + ChaCha20

Dire Wolf 的勒索程式是以 Golang 語言撰寫，這對分析人員來說是一大挑戰，因為許多傳統 AV 和靜態分析工具對 Golang 支援仍不完善。

根據Trustwave的報告，Dire Wolf加密邏輯採用：

• Curve25519 公私鑰交換機制
• ChaCha20 流加密演算法
  這種組合提供高速度與強加密強度，是近年勒索軟體常用架構之一。

被加密的檔案副檔名會統一為「.direwolf」，並排除常見系統檔案副檔名（例如 .exe、.dll、.sys 等）以避免影響作業系統運作。

自檢與反取證設計

程式執行時會先檢查是否已加密過受害主機，具體機制為：

• 檢查 C:\runfinish.exe 標記檔
• 是否存在 Global\direwolfAppMutex 的 Mutex（互斥鎖）

若已加密或正在執行中，勒索程式會立即執行自刪命令：

cmd /C timeout /T 3 & del /f /q <self_path> & exit

停用防禦與干擾應用程式

Dire Wolf 的惡意行為模組可分為三大部分：

1. 關閉事件記錄

使用 PowerShell + taskkill 終止 Windows Event Log：

powershell

Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'” | select -exp ProcessId

taskkill /F /PID <PID>

2. 關閉關鍵服務

利用 ControlService() 或 sc stop 停止防毒、備份與資料庫等 75 項服務，範例如：

• MSSQLSERVER
• BackupExecJobEngine
• Sophos, Symantec, Qihoo 360 相關服務

接著使用：

sc config <service-name> start= disabled

徹底停用開機啟動。

3. 終止應用程式

對多達 59 種執行中的應用程式持續執行 taskkill /F /IM 進行強制關閉，包括：

• 辦公室套件（Word、Excel、Outlook）
• 資料庫系統（SQL Server、Oracle）
• 備份軟體（Veeam、BackupExec）
• 一般應用程式（Notepad++、Thunderbird、Steam）

這讓使用者無法備份、回復或即時應對攻擊。

消除痕跡與加強破壞力

勒索程式會執行一系列命令來消除系統回復能力，包括：

vssadmin delete shadows /all /quiet

wbadmin delete backup -keepVersions:0 -quiet

bcdedit /set {default} recoveryenabled No

wevtutil cl system

這些命令會刪除所有陰影複製（快照）、停用備份排程、關閉系統恢復模式，並清除四大 Windows Event Logs（應用程式、系統、安全、安裝）。

客製化勒索通知與談判機制

每個受害者會收到一份客製化勒索信，包含：

• 專屬聊天室登入資訊（Room ID / Username / 密碼）
• Gofile.io 檔案連結（證明已外洩資料）
• 談判期限與付款指示（部分受害者勒索金額高達 $500,000）

這顯示 Dire Wolf 並非「撒網式」RaaS，而是具備高規劃性的 APT 式商業攻擊。

【專家建議】防範 Dire Wolf 的關鍵行動建議

儘管目前尚無法完全釐清 Dire Wolf 勒索攻擊的初始入侵途徑，但其高度針對性的行動模式顯示，該攻擊集團具備強大的前期偵察能力與自製惡意工具的技術實力。建議企業即刻啟動下列多層次防禦策略，以有效降低潛在風險：

1. 偵測關鍵勒索行為與指令模式

強化對勒索常見命令的行為監控，例如：

• vssadmin delete shadows
• wbadmin delete backup
• wevtutil cl

這些命令常用於破壞系統還原與備份紀錄，須列入高風險指標加強偵測。

2. 強化備份防護與隔離機制

避免備份遭同步加密或惡意刪除，建議採取：

• 不可變備份（Immutable Backup）：確保資料無法被修改或刪除。
• 離線備援（Air-Gapped Backup）：將備份資料隔離於網路外，防止駭客存取。

3. 監控 Golang 執行檔與異常行為

由於 Dire Wolf 採用 Golang 語言開發，加強針對 .go 或 Golang 編譯型執行檔的異常啟動行為監控，有助於提前辨識可疑程式活動。

4. 導入行為分析與威脅獵捕機制

透過建置零信任架構並導入 UEBA（使用者與實體行為分析）技術，可有效強化身份驗證與行為監控能力。此類機制有助於偵測包括橫向移動、異常帳號活動及系統資源濫用等潛在威脅，彌補傳統資安防護在內部行為辨識上的不足，提升整體威脅可視性與防禦反應速度。

5. 建置誘捕機制（Deception Technology）進行主動偵測

部署誘捕帳號、假資料夾、誘餌伺服器等資安陷阱，有效達成：

• 引誘攻擊者暴露行為
• 強化事前偵測與行為取證
• 延緩攻擊進程爭取應變時間

對於如 Dire Wolf 這類具備橫向滲透與計畫性攻擊能力的團隊，誘捕技術是強化能見度與提升防禦主動性的關鍵手段。

Dire Wolf勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad

27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3

“轉貼、分享或引用文章內容，請註明出處為竣盟科技 https://www.billows.tech , 以免觸法”

2025 年，勒索軟體攻擊正加速向跨平台與模組化方向演進。而新興威脅團體 BERT，正以驚人的部署效率與攻擊技術，成為全球資安社群高度關注的新焦點。

該團體於 2025 年 4 月首次被揭露，實際活動可追溯至 3 月中旬。最初以攻擊 Windows 為主的 BERT，如今已將戰線延伸至 Linux 環境。自 5 月起，其開始大量部署 武裝化的 ELF 執行檔（Executable and Linkable Format），發動對企業伺服器的精密攻擊，進一步展現其橫跨作業系統的攻擊能力。

掃描攻擊模式：從 Windows 到 Linux 的全面滲透

BERT 的 Linux 版本展現高度成熟的惡意設計。根據THE RAVEN FILE的分析，其程式碼與 REvil（Sodinokibi）勒索軟體重疊率高達 80%，顯示該團體有意重用成熟的攻擊架構，加快惡意工具的武器化週期。

其 Linux 樣本混合使用 AES、RC4 PRGA、Salsa20、ChaCha 等加密演算法，加上 Base64 編碼進行資料混淆。為強化隱匿性，攻擊程序還結合 AWK 指令查詢系統環境資訊，顯示 BERT 對 Linux 系統結構具備高度掌握。

Windows 工具：品牌化與強化滲透手法

BERT 的 Windows 工具同樣展現高度客製化。該團體利用 .NET 架構開發勒索程式，透過 WinAPI 執行 RSA 加密，並將加密檔案加註特製副檔名，如 encryptedbybert、encrypted_bert，反映其品牌化經營手法。

部署上，BERT 透過一支 PowerShell 指令碼（185.100.157.74/start.ps1）進行初始滲透，首先關閉 Windows Defender、RTP 即時防護與使用者帳戶控制（UAC），再下載惡意程式 payload.exe。該伺服器所屬 IP 映射至瑞典，最終基礎設施則與俄羅斯公司 Edinaya Set Limited 有關，突顯 BERT 選擇在執法鬆散區域運營其攻擊基礎設施。

暗網操作與資料外洩流程

BERT 在暗網上設有專屬 Onion 網站，用於洩漏資料與與受害者進行談判。贖金多以特幣（BTC）收取，曾有樣本金額高達 1.5 BTC（約480台幣）。其洩漏資料以壓縮分段檔案形式呈現，如 part1.zip、part2.zip 等，儲存在使用 Apache/2.4.52（Ubuntu）的伺服器上。

從攻擊範圍來看，美國是最主要受害國，其次為英國、馬來西亞、台灣、哥倫比亞與土耳其，目標產業集中於 製造業與服務業。值得注意的是，BERT 常透過偽造時間戳記（如設定為 2047 或 2076 年）來迴避檔案行為分析偵測。

資安建議：如何應對 BERT 的跨平台進化？

BERT 的策略顯示出未來勒索攻擊不再侷限於單一平台，而是透過模組化、品牌化與基礎架構多國化來提升隱蔽性與擴散速度。建議企業即刻強化下列資安措施：

多層次防禦體系建構
部署端點偵測與回應（EDR）、威脅獵捕、勒索備份還原系統（immutable backup）等防線，避免單點失守導致橫向擴散。

定期修補與環境硬化
落實 Windows 與 Linux 系統漏洞管理，特別針對 PowerShell、.NET 執行環境與 ELF 檔執行權限進行嚴格控管。

強化員工資安意識
導入定期訓練課程，教育使用者辨識釣魚信件、社交工程與常見攻擊行為，以降低初始滲透成功率。

即時網路行為監控與封鎖
導入 DNS Filtering 與行為型 IPS/IDS，主動偵測並封鎖來自高風險地區（如瑞典 IP、俄羅斯註冊網域）的可疑流量。

導入欺敵技術（Deception Technology）
建立誘餌帳號、假目錄與仿真服務器等陷阱資產，可有效誘使攻擊者暴露行動，提前觸發預警。這類技術特別適合偵測像 BERT 這類擅長橫向移動與潛伏的高隱匿型攻擊行為。

結語

BERT 正代表著勒索軟體的新世代：跨平台、即服務化、品牌經營化。其武器庫涵蓋自建與重用組合，靈活滲透多樣環境，快速部署攻擊。對企業而言，資安防線必須從傳統防毒升級為整合「技術、流程與人員意識」的 立體防禦策略，方能在此混合型威脅浪潮中穩住防線。

BERT勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

71dc9540eb03f2ed4d1b6496b13fe839

00fdc504be1788231aa7b7d2d1335893

d1013bbaa2f151195d563b2b65126fa3

3e581aad42a2a9e080a4a676de42f015

edec051ce461d62fbbd3abf09534b731

5cab4fabffeb5903f684c936a90e0b46

003291d904b89142bada57a9db732ae7

29a2cc59a9ebd334103ce146bca38522

38ce06bf89b28ccebf5a78404eb3818e