【インディケータ情報】

■URL - XXMM -

http://<ドメイン名やパス>.php?t0=<8 桁の 16 進文字列>&t1=<数字>&t2=<8 桁の 16 進文字列&t3=<数字>&t6=<数字>
http://<ドメイン名やパス>.php?id0=<8 桁の 16 進文字列>&id1=<数字>&id2=<8 桁の 16 進文字列&id3=<数字>&id6=<数字>
http://<ドメイン名やパス>.php?idcard0=<8 桁の 16 進文字列>&idcard1=<数字>&idcard2=<8 桁の 16 進文字列&idcard3=<数字>&idcard6=<数字>
http://<ドメイン名やパス>.php?item0=<8 桁の 16 進文字列>&item1=<数字>&item2=<8 桁の 16 進文字列&item3=<数字>&item6=<数字>
http://<ドメイン名やパス>.php?ps0=<8 桁の 16 進文字列>&ps1=<数字>&ps2=<8 桁の 16 進文字列&ps3=<数字>&ps6=<数字>
http://<ドメイン名やパス>.php?h=<8 桁の 16 進文字列>&o=<数字>&w=<8 桁の 16 進文字列&a=<数字>&y=<数字>
http://<ドメイン名やパス>/id0/<8 桁の 16 進文字列>/id1/<数字>/id2/<8 桁の 16 進文字列/id3/<数字>/id6/<数字>/<ランダムなファイル名>

(以上はDell Secureworks の情報: 引用元は https://pcdnscwx001.azureedge.net/~/media/Files/JP/Reports/Secureworks-Bronze-Butler-Report.ashx?modified=20180419151034 )

■USER_AGENT - XXMM -

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)

【資料】

◆日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER (SecureWorks, 2017/06/23)
https://www.secureworks.jp/resources/rp-bronze-butler
https://pcdnscwx001.azureedge.net/~/media/Files/JP/Reports/Secureworks-Bronze-Butler-Report.ashx?modified=20180419151034
⇒ https://malware-log.hatenablog.com/entry/2017/06/23/000000_3