Skip to content

Instantly share code, notes, and snippets.

@johnwunder

johnwunder/longer_report_1.1.1.xml Secret

Created August 29, 2014 15:00
Show Gist options
  • Save johnwunder/f8b6695b0b7f41364505 to your computer and use it in GitHub Desktop.
Save johnwunder/f8b6695b0b7f41364505 to your computer and use it in GitHub Desktop.
Download ZIP
STIX 1.1.1, Longer Report
Raw
longer_report_1.1.1.xml
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<stix:STIX_Package
xmlns:stix="http://stix.mitre.org/stix-1"
xmlns:campaign="http://stix.mitre.org/Campaign-1"
xmlns:coa="http://stix.mitre.org/CourseOfAction-1"
xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
xmlns:AddressObj="http://cybox.mitre.org/objects#AddressObject-2"
xmlns:CodeObj="http://cybox.mitre.org/objects#CodeObject-2"
xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
xmlns:MutexObj="http://cybox.mitre.org/objects#MutexObject-2"
xmlns:DomainNameObj="http://cybox.mitre.org/objects#DomainNameObject-1"
xmlns:cybox="http://cybox.mitre.org/cybox-2"
xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
xmlns:fireeye="http://www.fireeye.com"
xmlns:marking="http://data-marking.mitre.org/Marking-1"
xmlns:indicator="http://stix.mitre.org/Indicator-2"
xmlns:terms="http://data-marking.mitre.org/extensions/MarkingStructure#Terms_Of_Use-1"
xmlns:stixCiqIdentity="http://stix.mitre.org/extensions/Identity#CIQIdentity3.0-1"
xmlns:stixCommon="http://stix.mitre.org/common-1"
xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
xmlns:ta="http://stix.mitre.org/ThreatActor-1"
xmlns:ttp="http://stix.mitre.org/TTP-1"
xmlns:xpil="urn:oasis:names:tc:ciq:xpil:3"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="
http://stix.mitre.org/stix-1 http://stix.mitre.org/XMLSchema/core/1.1.1/stix_core.xsd
http://stix.mitre.org/default_vocabularies-1 http://stix.mitre.org/XMLSchema/default_vocabularies/1.1.1/stix_default_vocabularies.xsd
http://stix.mitre.org/Campaign-1 http://stix.mitre.org/XMLSchema/campaign/1.1.1/campaign.xsd
http://stix.mitre.org/ThreatActor-1 http://stix.mitre.org/XMLSchema/threat_actor/1.1.1/threat_actor.xsd
http://stix.mitre.org/TTP-1 http://stix.mitre.org/XMLSchema/ttp/1.1.1/ttp.xsd
http://stix.mitre.org/COA-1 http://stix.mitre.org/XMLSchema/course_of_action/1.1.1/course_of_action.xsd
http://data-marking.mitre.org/Marking-1 http://stix.mitre.org/XMLSchema/data_marking/1.1.1/data_marking.xsd
http://data-marking.mitre.org/extensions/MarkingStructure#Terms_Of_Use-1 http://stix.mitre.org/XMLSchema/extensions/marking/terms_of_use/1.0.1/terms_of_use_marking.xsd
http://stix.mitre.org/extensions/Identity#CIQIdentity3.0-1 http://stix.mitre.org/XMLSchema/extensions/identity/ciq_3.0/1.1.1/ciq_3.0_identity.xsd
"
id="fireeye:stix-b7b16e67-4292-46a3-ba64-60c1a491723d"
timestamp="2014-05-08T09:00:00.000000Z"
version="1.1.1">
<stix:STIX_Header>
<stix:Title>Poison Ivy: Assessing Damage and Extracting Intelligence</stix:Title>
<stix:Package_Intent xsi:type="stixVocabs:PackageIntentVocab-1.0">Threat Report</stix:Package_Intent>
<stix:Description>This report spotlights Poison Ivy (PIVY), a RAT that remains popular and effective a full eight years after its release, despite its age and familiarity in IT security circles.
Poison Ivy is a remote access tool that is freely available for download from its official web site at www.poisonivy-rat.com. First released in 2005, the tool has gone unchanged since 2008 with version 2.3.2. Poison Ivy includes features common to most Windows-based RATs, including key logging, screen capturing, video capturing, file transfers, system administration, password theft, and traffic relaying.
Poison Ivy's wide availability and easy-to-use features make it a popular choice for all kinds of criminals. But it is probably most notable for its role in many high profile, targeted APT attacks.
These APTs pursue specific targets, using RATs to maintain a persistent presence within the target's network. They move laterally and escalate system privileges to extract sensitive information-whenever the attacker wants to do so. Because some RATs used in targeted attacks are widely available, determining whether an attack is part of a broader APT campaign can be difficult. Equally challenging is identifying malicious traffic to determine the attacker's post-compromise activities and assess overall damage - these RATs often encrypt their network communications after the initial exploit.
In 2011, three years after the most recent release of PIVY, attackers used the RAT to compromise security firm RSA and steal data about its SecureID authentication system. That data was subsequently used in other attacks. The RSA attack was linked to Chinese threat actors and described at the time as extremely sophisticated. Exploiting a zero-day vulnerability, the attack delivered PIVY as the payload. It was not an isolated incident. The campaign appears to have started in 2010, with many other companies compromised.
PIVY also played a key role in the 2011 campaign known as Nitro that targeted chemical makers, government agencies, defense contractors, and human rights groups. Still active a year later, the Nitro attackers used a zero-day vulnerability in Java to deploy PIVY in 2012. Just recently, PIVY was the payload of a zero-day exploit in Internet Explorer used in what is known as a "strategic web compromise" attack against visitors to a U.S. government website and a variety of others.
RATs require live, direct, real-time human interaction by the APT attacker. This characteristic is distinctly different from crimeware (malware focused on cybercrime), where the criminal can issue commands to their botnet of compromised endpoints whenever they please and set them to work on a common goal such as a spam relay. In contrast, RATs are much more personal and may indicate that you are dealing with a dedicated threat actor that is interested in your organization specifically.
</stix:Description>
<stix:Handling>
<marking:Marking id="fireeye:markingspecification-6d04e7fe-2561-4b2d-a7bb-04f8cfd01271">
<marking:Controlled_Structure>//node()</marking:Controlled_Structure>
<marking:Marking_Structure xsi:type="terms:TermsOfUseMarkingStructureType">
<terms:Terms_Of_Use>Copyright 2013 FireEye, Inc.</terms:Terms_Of_Use>
</marking:Marking_Structure>
</marking:Marking>
</stix:Handling>
<stix:Information_Source>
<stixCommon:Identity>
<stixCommon:Name>MITRE</stixCommon:Name>
</stixCommon:Identity>
<stixCommon:Role xsi:type="stixVocabs:InformationSourceRoleVocab-1.0">Transformer/Translator</stixCommon:Role>
<stixCommon:Contributing_Sources>
<stixCommon:Source>
<stixCommon:Identity id="fireeye:identity-81cade27-7df8-4730-836b-62d880e6d9d3">
<stixCommon:Name>FireEye, Inc.</stixCommon:Name>
</stixCommon:Identity>
<stixCommon:Role xsi:type="stixVocabs:InformationSourceRoleVocab-1.0">Initial Author</stixCommon:Role>
<stixCommon:Time>
<cyboxCommon:Produced_Time precision="day">2013-08-21T00:00:00Z</cyboxCommon:Produced_Time>
</stixCommon:Time>
</stixCommon:Source>
</stixCommon:Contributing_Sources>
<stixCommon:Time>
<cyboxCommon:Produced_Time precision="day">2014-02-20T00:00:00Z</cyboxCommon:Produced_Time>
</stixCommon:Time>
<stixCommon:References>
<stixCommon:Reference>http://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdf</stixCommon:Reference>
</stixCommon:References>
</stix:Information_Source>
</stix:STIX_Header>
<stix:TTPs>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920" xsi:type="ttp:TTPType">
<ttp:Title>Poison Ivy (PIVY)</ttp:Title>
<ttp:Description>Poison Ivy is a remote access tool that is freely available for download from its official web site at www.poisonivy-rat.com. First released in 2005, the tool has gone unchanged since 2008 with version 2.3.2. Poison Ivy includes features common to most Windows-based RATs, including key logging, screen capturing, video capturing, file transfers, system administration, password theft, and traffic relaying.
Poison Ivy's wide availability and easy-to-use features make it a popular choice for all kinds of criminals. But it is probably most notable for its role in many high profile, targeted APT attacks.
These APTs pursue specific targets, using RATs to maintain a persistent presence within the target's network. They move laterally and escalate system privileges to extract sensitive information-whenever the attacker wants to do so.4,5 Because some RATs used in targeted attacks are widely available, determining whether an attack is part of a broader APT campaign can be difficult. Equally challenging is identifying malicious traffic to determine the attacker's post-compromise activities and assess overall damage-these RATs often encrypt their network communications after the initial exploit.
In 2011, three years after the most recent release of PIVY, attackers used the RAT to compromise security firm RSA and steal data about its SecureID authentication system. That data was subsequently used in other attacks. The RSA attack was linked to Chinese threat actors and described at the time as extremely sophisticated. Exploiting a zero-day vulnerability, the attack delivered PIVY as the payload. It was not an isolated incident. The campaign appears to have started in 2010, with many other companies compromised.
PIVY also played a key role in the 2011 campaign known as Nitro that targeted chemical makers, government agencies, defense contractors, and human rights groups. Still active a year later, the Nitro attackers used a zero-day vulnerability in Java to deploy PIVY in 2012. Just recently, PIVY was the payload of a zero-day exploit in Internet Explorer used in what is known as a "strategic web compromise" attack against visitors to a U.S. government website and a variety of others.
RATs require live, direct, real-time human interaction by the APT attacker. This characteristic is distinctly different from crimeware (malware focused on cybercrime), where the criminal can issue commands to their botnet of compromised endpoints whenever they please and set them to work on a common goal such as a spam relay. In contrast, RATs are much more personal and may indicate that you are dealing with a dedicated threat actor that is interested in your organization specifically.
</ttp:Description>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>Poison Ivy (PIVY)</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7e7c8376-3bcb-4529-9bc3-08522d08106b" xsi:type="ttp:TTPType">
<ttp:Title>Spear Phishing</ttp:Title>
<ttp:Description>An attacker targets a specific user or group with a Phishing (CAPEC-98) attack tailored to a category of users in order to have maximum relevance and deceptive capability. Spear Phishing is an enhanced version of the Phishing attack targeted to a specific user or group. The quality of the targeted email is usually enhanced by appearing to come from a known or trusted entity. If the email account of some trusted entity has been compromised the message may be digitally signed. The message will contain information specific to the targeted users that will enhance the probability that they will follow the URL to the compromised site. For example, the message may indicate knowledge of the targets employment, residence, interests, or other information that suggests familiarity. As soon as the user follows the instructions in the message, the attack proceeds as a standard Phishing attack.</ttp:Description>
<ttp:Behavior>
<ttp:Attack_Patterns>
<ttp:Attack_Pattern capec_id="CAPEC-163">
<ttp:Description>Spear Phishing</ttp:Description>
</ttp:Attack_Pattern>
</ttp:Attack_Patterns>
</ttp:Behavior>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-36bdf9a7-ec1e-4963-be3b-6eeaa49a63a4" xsi:type="ttp:TTPType">
<ttp:Title>Strategic Web Compromise</ttp:Title>
<ttp:Description>A Strategic Web Compromise is a targeted attack utilizing third party web sites/resources. The goal is not large-scale malware distribution through mass compromises. Instead the attackers place their exploit code on websites that cater towards a particular set of visitors that they might be interested in. In the past few years we have witnessed several strategic web compromises of organizations in a variety of fields with a recurring focus on those involved with freedom of speech, human rights, defense, foreign policy and foreign relations. In these cases, normally trusted websites have been compromised to serve up malicious code designed to give backdoor access into the systems of unsuspecting visitors. In general a well patched system will be immune from many of the attacks, but in several cases previously unknown 0-day exploits (no available patch) have found their way onto these sites - in short the average visitor may not have much of a chance to defend themselves.</ttp:Description>
<ttp:Behavior>
<ttp:Attack_Patterns>
<ttp:Attack_Pattern>
<ttp:Description>Strategic Web Compromise</ttp:Description>
</ttp:Attack_Pattern>
</ttp:Attack_Patterns>
</ttp:Behavior>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2ee01cb3-e9fa-46f9-8ec5-ffc9cb0b59f1" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (140e728871eff241e0148363b2931b1d)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>140e728871eff241e0148363b2931b1d</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-33cc429f-7974-49a9-ab2e-6ebc3c37d62b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (767d04f72f5941326f11f8927cf3697b)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>767d04f72f5941326f11f8927cf3697b</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fa0ffc72-0f73-4b08-84a5-6ea62b46828b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (03e0271d12a24050da632675b14091c1)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>03e0271d12a24050da632675b14091c1</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f0bfc691-7945-47d9-95c7-a0219b8a5c67" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (87133a339492ecb5142a93c7bbfd3805)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>87133a339492ecb5142a93c7bbfd3805</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-dfb4e482-2b04-4365-973e-1feb5a567263" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (707a4493775fd9c959861dcf04f18283)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>707a4493775fd9c959861dcf04f18283</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-030d3edf-da7c-4d1f-a0b9-6c38a8af73db" xsi:type="ttp:TTPType">
<ttp:Title>Victim Targeting: admin338</ttp:Title>
<ttp:Victim_Targeting>
<ttp:Identity id="fireeye:ciqidentity30instance-f8cd0af8-6534-496e-bf53-f6a9aa11e5ce" xsi:type="stixCiqIdentity:CIQIdentity3.0InstanceType">
<stixCiqIdentity:Specification>
<xpil:OrganisationInfo xpil:IndustryType="Finance Sector,Economic Sector,Trade Policy Sector,ISP/Telco Sector,Government Sector,Defense Contractor Sector"/>
</stixCiqIdentity:Specification>
</ttp:Identity>
</ttp:Victim_Targeting>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-19da6e1c-69a8-4c2f-886d-d620d09d3b5a" xsi:type="ttp:TTPType">
<ttp:Title>Spear Phishing Attack Pattern as practiced by admin338</ttp:Title>
<ttp:Behavior>
<ttp:Attack_Patterns>
<ttp:Attack_Pattern capec_id="CAPEC-163">
<ttp:Description>The preferred attack vector used by admin338 is spear-phishing emails. Using content that is relevant to the target, these emails are designed to entice the target to open an attachment that contains the malicious PIVY server code.
The content of the spear-phishing emails and the decoy documents opened after exploitation tend to be in English.</ttp:Description>
</ttp:Attack_Pattern>
</ttp:Attack_Patterns>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7e7c8376-3bcb-4529-9bc3-08522d08106b"/>
</ttp:Related_TTP>
<ttp:Related_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-030d3edf-da7c-4d1f-a0b9-6c38a8af73db"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-dff22c1b-26f9-4fbd-8b42-8b8507c684fd" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e765c69b11860c4f1b84276278991253)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e765c69b11860c4f1b84276278991253</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e55c6eaa-bf0f-4b6b-9572-5cd0d3f62134" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e74d62dfdc308df3038e61dfc4e4256)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e74d62dfdc308df3038e61dfc4e4256</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-23a87226-706a-430e-96cd-d7f2c99b7b29" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8087d49e7bb391e0ba6e482f931b0ad5)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8087d49e7bb391e0ba6e482f931b0ad5</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-aaba08c5-e50d-49a1-a54a-cfdf1a68ff51" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0a43013eef1c2ffba36e3c29512c89a2)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0a43013eef1c2ffba36e3c29512c89a2</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-61a62a6a-9a18-4758-8e52-622431c4b8ae" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (808e21d6efa2884811fbd0adf67fda78)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>808e21d6efa2884811fbd0adf67fda78</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-5b2a2542-47fe-40f9-8915-4bf7c7397810" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (bc90b4593b7b631a78a8305a873d6d5c)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>bc90b4593b7b631a78a8305a873d6d5c</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-35322f13-94bd-4b97-abb6-2a9adc24b8d8" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (be6e72ad1b1ed2685a23dfe1b36f03cc)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>be6e72ad1b1ed2685a23dfe1b36f03cc</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-80cd5722-40ff-4938-aba5-991bd8da2b39" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5032ff32a41748bdb40df0fd581cd669)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5032ff32a41748bdb40df0fd581cd669</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-c221ae40-f998-4fa9-ba46-9be04e163371" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0323de551aa10ca6221368c4a73732e6)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0323de551aa10ca6221368c4a73732e6</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-9717d5a3-773c-490d-b90f-718602fb3c43" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4713557e3ed2ced62ceccbe4d07314b4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4713557e3ed2ced62ceccbe4d07314b4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2c346548-2150-47f1-91c4-a78fa404be12" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0678645e45fcd3da84ab27122d6775a9)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0678645e45fcd3da84ab27122d6775a9</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-8c1057bd-4a8a-4632-b0d4-b72ebd7936d3" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (3c9a177a39e09e9a4ec4f09c029f5cb2)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>3c9a177a39e09e9a4ec4f09c029f5cb2</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2e160c21-83d0-4d09-a833-c85327e49b46" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (51d9e2993d203bd43a502a2b1e1193da)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>51d9e2993d203bd43a502a2b1e1193da</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7bac9c8b-c19a-4ce6-9337-4750d68f05cc" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (c977d6e9c7844a1c8d6db1b6a9aba497)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>c977d6e9c7844a1c8d6db1b6a9aba497</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-30fb07e5-fe94-480e-9c15-8d494500cf17" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (02ac495eb31a2405fce287565b590a1f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>02ac495eb31a2405fce287565b590a1f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b8d4945a-5fc1-4ceb-a2c4-af17def8b396" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (1f43738b1f67266fdafd73235acbf338)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>1f43738b1f67266fdafd73235acbf338</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-30ea087f-7d2b-496b-9ed1-5f000c8b7695" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8010cae3e8431bb11ed6dc9acabb93b7)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8010cae3e8431bb11ed6dc9acabb93b7</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7b284c94-9598-4e6f-944e-188bbb36716d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (ce8112de474c22c1407ce94245c2d1de)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>ce8112de474c22c1407ce94245c2d1de</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f1a0e293-d490-4e89-9fbb-384188076f60" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (026871ea3d6cbbeb90fea6bf2906cc12)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>026871ea3d6cbbeb90fea6bf2906cc12</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-707ad4a8-e037-466c-9f59-ac935f53e606" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (db815161022fcecf282b40745f72d9fc)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>db815161022fcecf282b40745f72d9fc</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b1da97a0-e8e7-44d7-8faf-8907589d8465" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6cf2f645395fbb64bbc14fb8993e2eea)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6cf2f645395fbb64bbc14fb8993e2eea</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-a3f90728-8a0c-453b-9101-27515bd01d51" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4ffcd711fcfe28d3a6dcac244c552efb)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4ffcd711fcfe28d3a6dcac244c552efb</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f4478b80-3dd3-473d-878a-80a6a82a00a9" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a5232ea8745e2d7f7740d1d222e2364f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a5232ea8745e2d7f7740d1d222e2364f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-cc3533bd-a1e5-411c-9cfe-3660dd07e8e3" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (ef90df225101836952ad7e91b55b30cd)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>ef90df225101836952ad7e91b55b30cd</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-c31b9c7e-3eda-4a93-aabc-e5a01d1e8577" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (070d1e5c9299afa47df25e63572a3ae8)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>070d1e5c9299afa47df25e63572a3ae8</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e5b7be4b-c7ca-40b8-b9f3-e686bb9c3c0d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6e99585c3fbd4f3a55bd8f604cb35f38)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6e99585c3fbd4f3a55bd8f604cb35f38</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-cc00cffe-36b3-40ad-a69c-26427af29935" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8d36fd85d9c7d1f4bb170a28cc23498a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8d36fd85d9c7d1f4bb170a28cc23498a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ca7cd0ef-48cf-4cf1-9ad8-aed3f83ffdc7" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (330ddac1f605ff8abf60880c584ed797)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>330ddac1f605ff8abf60880c584ed797</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4703ede5-2184-4f06-a6d0-0144faca4662" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (37f70717f549f1938e5785527e56978d)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>37f70717f549f1938e5785527e56978d</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-aedd016d-12c0-4d6e-902e-9a1cefd3e7e6" xsi:type="ttp:TTPType">
<ttp:Title>Victim Targeting: th3bug</ttp:Title>
<ttp:Victim_Targeting>
<ttp:Identity id="fireeye:ciqidentity30instance-917ed96c-05c2-4754-aed9-9123341f7cb8" xsi:type="stixCiqIdentity:CIQIdentity3.0InstanceType">
<stixCiqIdentity:Specification>
<xpil:OrganisationInfo xpil:IndustryType="Healthcare Sector,Higher Education Sector"/>
</stixCiqIdentity:Specification>
</ttp:Identity>
</ttp:Victim_Targeting>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ea2c747d-4aa3-4573-8853-37b7159bc180" xsi:type="ttp:TTPType">
<ttp:Title>Strategic Web Compromise Attack Pattern as practiced by th3bug</ttp:Title>
<ttp:Behavior>
<ttp:Attack_Patterns>
<ttp:Attack_Pattern>
<ttp:Description>Unlike other users of PIVY (admin@338 and menuPass), th3bug does not appear to rely on spear phishing to distribute PIVY. Instead, attacks attributed to th3bug use a strategic Web compromise to infect targets. This approach is more indiscriminate, which probably accounts for the more disparate range of targets.
In the FireEye blog, we documented a recent th3bug strategic Web compromise.</ttp:Description>
</ttp:Attack_Pattern>
</ttp:Attack_Patterns>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-36bdf9a7-ec1e-4963-be3b-6eeaa49a63a4"/>
</ttp:Related_TTP>
<ttp:Related_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-aedd016d-12c0-4d6e-902e-9a1cefd3e7e6"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-34a3d511-e213-40d5-a932-fc4d836d455e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (da931466e4ef41fe7855e33ae4d79daf)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>da931466e4ef41fe7855e33ae4d79daf</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-dcce72e4-fdb6-43af-8eb6-bd474a11ad4c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (70d227a8c4bf293ab85b79d15b9139ce)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>70d227a8c4bf293ab85b79d15b9139ce</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2821af3c-0f2b-45b4-92f5-465ca7a51920" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (418747bc75e1b4db9fbe13981b38db63)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>418747bc75e1b4db9fbe13981b38db63</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-862fd6e1-1711-4b70-8bec-1591f4baabc1" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (98256615dada111549761a4c00e9fbd4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>98256615dada111549761a4c00e9fbd4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2e20839b-3ced-4bd7-868d-9cfae43eb84f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (766837eae6eaaf24b965634256ca8f72)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>766837eae6eaaf24b965634256ca8f72</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-15f9dece-0c7c-4579-a1f9-61dca12b2e34" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b174490ddedb3e21e5c1d6fc2e00d2b4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b174490ddedb3e21e5c1d6fc2e00d2b4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-dc5135f2-8d89-4993-a083-4fee4debdfb6" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a3d593e958c1f3ec1adb027168a83ae2)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a3d593e958c1f3ec1adb027168a83ae2</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7b8662e4-286e-4862-8b00-79bd3750e3a5" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0e86c994f2af7e6689a2964f493c6752)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0e86c994f2af7e6689a2964f493c6752</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f86febd3-609b-4d2e-9fec-aa805cb498bf" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (55a3b2656ceac2ba6257b6e39f4a5b5a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>55a3b2656ceac2ba6257b6e39f4a5b5a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ddc66992-4a1a-470d-bfae-694e740ce181" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8002debc47e04d534b45f7bb7dfcab4d)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8002debc47e04d534b45f7bb7dfcab4d</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2787ecb2-9abe-4141-a61a-e4a04c02126f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5ba90fa19a14981f9c13a0046807e757)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5ba90fa19a14981f9c13a0046807e757</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ea91fe28-a94a-4511-a31e-a78eb7fcf9bd" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0eeaf7bf1d3663cc43b5a545f8863a7a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0eeaf7bf1d3663cc43b5a545f8863a7a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-027acc14-5136-478c-a9ff-24d7a8288014" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f6ae04677428c54c80caf84f25488403)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f6ae04677428c54c80caf84f25488403</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-08596787-5427-4220-8971-f56ca5aabf2b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (9535f777553b8f20db9b99f90bdf5a9a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>9535f777553b8f20db9b99f90bdf5a9a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ceb035a7-096c-4d8a-bb4c-8fdf2fb93cad" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a5a672d5573f01ae3457bb22107be93f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a5a672d5573f01ae3457bb22107be93f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-03fcd8c2-a5ee-46f3-b32e-0f0d655f1d92" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (27cd0af60f08b0270e1ec1a50a7ba90a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>27cd0af60f08b0270e1ec1a50a7ba90a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b30eab7f-e848-4170-acce-a21b7ae45902" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5d7060f4d72b52f73d49a554a59df27a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5d7060f4d72b52f73d49a554a59df27a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f34df5fa-b871-4102-9f33-431f7863d1c8" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0526c1bcdbedf7c354b059ff33f8c9ca)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0526c1bcdbedf7c354b059ff33f8c9ca</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-c91715d4-e81f-4621-8d09-fec8c15d596f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (95bcaebe0fb21cfc3b4218e1e1c4033e)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>95bcaebe0fb21cfc3b4218e1e1c4033e</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3db69389-6359-4b1d-9f36-956a4e4e65e3" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f7bb9fe955bf88e02992b86b7ee898e7)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f7bb9fe955bf88e02992b86b7ee898e7</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-767d4bfe-da1d-4567-a9e5-982c69d6be45" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0eb56631aca651cf163b8c02d5d791de)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0eb56631aca651cf163b8c02d5d791de</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b89b39d3-5079-43ba-8984-5992a607ebde" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (41af5776bb2717a452510b7f63c54a00)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>41af5776bb2717a452510b7f63c54a00</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-30f89283-873f-4407-b114-a2863cef5684" xsi:type="ttp:TTPType">
<ttp:Title>Victim Targeting: menupass</ttp:Title>
<ttp:Victim_Targeting>
<ttp:Identity id="fireeye:ciqidentity30instance-b4b9537f-66ec-4595-87bf-7c9595f9babe" xsi:type="stixCiqIdentity:CIQIdentity3.0InstanceType">
<stixCiqIdentity:Specification>
<xpil:OrganisationInfo xpil:IndustryType="Defense Contractor Sector"/>
</stixCiqIdentity:Specification>
</ttp:Identity>
</ttp:Victim_Targeting>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fb6aa549-c94a-4e45-b4fd-7e32602dad85" xsi:type="ttp:TTPType">
<ttp:Title>Spear Phishing Attack Pattern as practiced by menupass</ttp:Title>
<ttp:Behavior>
<ttp:Attack_Patterns>
<ttp:Attack_Pattern capec_id="CAPEC-163">
<ttp:Description>menuPass appears to favor spear phishing to deliver payloads to the intended targets.
While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.</ttp:Description>
</ttp:Attack_Pattern>
</ttp:Attack_Patterns>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7e7c8376-3bcb-4529-9bc3-08522d08106b"/>
</ttp:Related_TTP>
<ttp:Related_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30f89283-873f-4407-b114-a2863cef5684"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0fd8d950-207a-42cd-b153-041be31e48d5" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (421b1220970488738b5f578999ecac0e)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>421b1220970488738b5f578999ecac0e</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-a19437ea-b8e3-4598-8423-5a73d88f17de" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (410eeaa18dbec01a27c5b41753b3c7ed)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>410eeaa18dbec01a27c5b41753b3c7ed</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2f5b0d2f-3a05-4b11-8d60-2244db7ba7d6" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (3c341919b04d9b57f1be69cd6f21d2d4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>3c341919b04d9b57f1be69cd6f21d2d4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-78837766-44ae-4dc7-9fc1-a897d29f0d88" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (45894da9ebcfd132c29acb6411af8af6)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>45894da9ebcfd132c29acb6411af8af6</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2fd26025-1453-4df7-a594-4ba6f7cf54d9" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d5889a7223b9d13b60ab08aafe3344ad)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d5889a7223b9d13b60ab08aafe3344ad</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-5a74a069-0759-4c93-8ea3-70c53a223230" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (c1bcc9513f27c33d24f7ed0fc5700b47)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>c1bcc9513f27c33d24f7ed0fc5700b47</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-d9bd9ffd-3e6f-453d-80f1-c2205c46dc78" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (1d4e74574bd8fde793d85cbe59f8a288)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>1d4e74574bd8fde793d85cbe59f8a288</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-54b02531-48bb-4ff5-ba37-f511908aa858" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (3ae7ea7511c0df60997d2c32252758c1)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>3ae7ea7511c0df60997d2c32252758c1</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-c6bc27e1-5ea8-4047-9a56-4be846f4b97d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (72f9d92c2ee99ad79d956c9d3a1a0989)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>72f9d92c2ee99ad79d956c9d3a1a0989</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0be8fa38-6ca3-4f87-bf47-44e5bbf6550b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4e78ae59302bbfe440ec25cc104a7a53)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4e78ae59302bbfe440ec25cc104a7a53</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ec1d7f53-2b04-4371-a04d-65f866f39244" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6bead751a0f6056008d5d200dea0d88b)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6bead751a0f6056008d5d200dea0d88b</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-cf1d3250-57c1-4f91-90d6-b08b9073ca5f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (494e65cf21ad559fccf3dacdd69acc94)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>494e65cf21ad559fccf3dacdd69acc94</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-9c892e1c-77e4-4ed2-a71b-9e6116a44435" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (459ee0adaad4d493830e655eb4d686f7)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>459ee0adaad4d493830e655eb4d686f7</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-63c1deff-2e5f-4493-86e9-a4bdcca01878" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (46f5de8e9e165d34e622bbf2cf61942b)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>46f5de8e9e165d34e622bbf2cf61942b</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-773eea2a-193c-4c85-9521-65f8f9042140" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6d989302166ba1709d66f90066c2fd59)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6d989302166ba1709d66f90066c2fd59</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-903a54fe-e116-4d73-9320-23609d13d8b0" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4ac3e877e1f30d2a1aa9639ac0707307)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4ac3e877e1f30d2a1aa9639ac0707307</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4d95e1e8-bdf5-4c10-81dd-9b86ab7da45d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6ff16afc92ce09acd2e3890b780efd86)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6ff16afc92ce09acd2e3890b780efd86</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-cb1f97b1-2919-4535-bfae-ceb396c52f44" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4ad286a97c82f91df3e07b101a224f5)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4ad286a97c82f91df3e07b101a224f5</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4ffee86a-b160-4a21-8b73-39c27fe6bf28" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4bc6cab128f623f34bb97194da21d7b6)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4bc6cab128f623f34bb97194da21d7b6</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-46a77043-53d1-4259-8121-9dbad4a8828f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (54dcae2d9d420d6d21d4d605ed798332)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>54dcae2d9d420d6d21d4d605ed798332</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-d129c652-a93c-4f2c-9d7a-feb621c0f499" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (19361c808d262d89437bd56072c9a297)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>19361c808d262d89437bd56072c9a297</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-07fed79f-6a17-4bf9-a2ed-e6f9877d646a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (52a58fc5e8aeb2e87215649f66210ed8)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>52a58fc5e8aeb2e87215649f66210ed8</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-5b971b83-f177-46d4-98ff-d2ffaac3f29e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (7aa047cd6dac1d0a4fbc6d968c1b6407)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>7aa047cd6dac1d0a4fbc6d968c1b6407</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-895af3d5-5700-475e-bb0b-54d29ec2be8e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d9af0e6501c7a375e6276709da4572d8)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d9af0e6501c7a375e6276709da4572d8</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e3cec144-e901-4acf-9f10-1008a51b1cb9" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a5965b750997dbecec61358d41ac93c7)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a5965b750997dbecec61358d41ac93c7</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-25f6285e-0bd7-404b-8dd4-2b903369d38c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a4754be7b34ed55faff832edadac61f6)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a4754be7b34ed55faff832edadac61f6</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0ac3576b-6347-483d-a04b-2c4fc2c9084d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (65887898252f7e192709a33be268ea41)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>65887898252f7e192709a33be268ea41</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-1bbfa9a4-3be6-4597-83cb-1d70b26cd020" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (7b6b8c695270845aae457dd26cd647a0)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>7b6b8c695270845aae457dd26cd647a0</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b7ad5451-75ab-4e97-b92c-f72192b9cc87" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (7e3c3eec58cbb6c4bcc4d59a549f7678)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>7e3c3eec58cbb6c4bcc4d59a549f7678</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-641e9792-74f7-4b5a-823e-0b85e48d0f3b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (85af7819c3cd96895d543570b75b202f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>85af7819c3cd96895d543570b75b202f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b8ad4295-4554-42ad-a3f9-09d06856c666" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (54fcf43e6f7641eeacdf1fd12a740c7c)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>54fcf43e6f7641eeacdf1fd12a740c7c</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4406c7c7-6c58-478d-aacc-0334929ebdde" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4e84b1448cf96fabe88c623b222057c4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4e84b1448cf96fabe88c623b222057c4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4ea4a3cb-7e52-496c-935a-a57e41e0674e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (76b744382cdc455f8b20542de34493d2)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>76b744382cdc455f8b20542de34493d2</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-a5ae084e-1ea1-4be3-9ffe-dee4f0993dcf" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5415be1e85fd3b56fe7a6f57ec3cef43)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5415be1e85fd3b56fe7a6f57ec3cef43</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7b12666f-f332-438d-acff-73493ba82399" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5281dcb76c34b8ae45c3f03f883a08db)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5281dcb76c34b8ae45c3f03f883a08db</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3ae1dd84-5bd4-44c4-9200-7aab41d9973f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (82f926009c06dfa452714608da21cb77)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>82f926009c06dfa452714608da21cb77</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-48311f55-2f8d-4d00-87f9-b39cb338f72f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (090a6a5da51aa84413e42b2c00e4521f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>090a6a5da51aa84413e42b2c00e4521f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-05f3d767-ff79-41aa-a591-e88d0cb65f66" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f39c796e229a65a3ef23c3885471d1df)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f39c796e229a65a3ef23c3885471d1df</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-de8f548e-d2cf-4442-886a-814ef174e56b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e84853c0484b02b7518dd683787d04fc)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e84853c0484b02b7518dd683787d04fc</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-6bb608dc-9a2e-4e19-9975-01734a625b12" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (9aab46ed60be9f0356f4b6e39191ae5d)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>9aab46ed60be9f0356f4b6e39191ae5d</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-8baac074-74b8-4a03-ac83-90618f338ce8" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (ea5580bc00700eab50b99203e64ec0c5)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>ea5580bc00700eab50b99203e64ec0c5</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0eb3ffa1-654d-414d-ada0-ef210cc55d90" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0a265f04b44c1177eaa96817b0b70c0f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0a265f04b44c1177eaa96817b0b70c0f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ed7733f2-eaf6-4880-b6b8-b96061717d5a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (55c0b07de69a0cee01101d0d6f66ca3e)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>55c0b07de69a0cee01101d0d6f66ca3e</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-14fba9df-d3c2-4c80-a391-99d87a0707da" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5ac4f52d56009c18e9156ae5ea0d2016)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5ac4f52d56009c18e9156ae5ea0d2016</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4a38cbbf-51f7-42a0-98f5-a9bbc597dad0" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (0fe91d41d2b361f6a88b51a6ed880d23)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>0fe91d41d2b361f6a88b51a6ed880d23</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7ace7258-bfff-4c5b-bae4-6583a164abf4" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (86328b05ffaf47ae90de61689a3536c4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>86328b05ffaf47ae90de61689a3536c4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3f1515b4-a171-48b2-8074-6599c784ed85" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (39a59411e7b12236c0b4351168fb47ce)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>39a59411e7b12236c0b4351168fb47ce</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-91b36537-bd12-457c-9a12-bd94956e0dec" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (56cff0d0e0ce486aa0b9e4bc0bf2a141)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>56cff0d0e0ce486aa0b9e4bc0bf2a141</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e3058c9e-4adb-41ae-8352-5317c1be98ee" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (105c80e404324938eae633934ee44ed1)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>105c80e404324938eae633934ee44ed1</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7e310f39-a851-4fcd-b687-d3565ffe6a57" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8a2205deb22c6ad61f007d52dc220351)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8a2205deb22c6ad61f007d52dc220351</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4aa71750-c8f3-4998-b4ed-f67d903dcff9" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (ed179f1f90765963a0b363bedbe674f6)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>ed179f1f90765963a0b363bedbe674f6</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-5e8dfa9c-8940-46d5-90d9-d2f50bbf9902" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (018509c1165817d4b0a3e728eab41ea0)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>018509c1165817d4b0a3e728eab41ea0</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-8214e79e-891a-4d4a-b6d7-26cbd145f63c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (fc384c3d0bf74258c1b8d05c29afb927)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>fc384c3d0bf74258c1b8d05c29afb927</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-daeb0891-b153-41d4-b18b-367a5492133a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5c00b5d04c31b1b85382ff1eecff6084)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5c00b5d04c31b1b85382ff1eecff6084</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-260d101a-dddc-4a84-9379-4b48418a3365" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (9a014c33f9a9958ffbcf99d2a71d52fe)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>9a014c33f9a9958ffbcf99d2a71d52fe</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-8e4f6736-10de-4a15-934e-1367072428f4" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e06cb5f8ed24903ab9f42816cb0c2922)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e06cb5f8ed24903ab9f42816cb0c2922</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2e6b7c86-9afd-4412-ac24-e43f08ec7d2e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e3ff26beb4334899014cd941816c3180)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e3ff26beb4334899014cd941816c3180</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3f39dad8-de02-468d-bd4b-de7ad4a4e357" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a5ec5a677346634a42c9f9101ce9d861)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a5ec5a677346634a42c9f9101ce9d861</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-27a595d0-b2b4-414a-899d-9e87893ac858" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5b668982bcf868629f1e31bdcda21b05)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5b668982bcf868629f1e31bdcda21b05</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-8c857eb3-0576-494d-844f-7d911e50d49a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f5315fb4a654087d30c69c768d80f826)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f5315fb4a654087d30c69c768d80f826</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-5032acb9-c978-476a-953a-5d8ebd034d10" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (fde24cf3e9dc626b3a6f4481f74de699)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>fde24cf3e9dc626b3a6f4481f74de699</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-1f02f735-3aa2-41aa-a2f1-c82f4cfe1f58" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (046f51fb62d01957497a349be2bb555f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>046f51fb62d01957497a349be2bb555f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e49c5caa-16d1-473b-9e47-c43537c90ced" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (9e161fad98a678fa957d8cda2a608cb0)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>9e161fad98a678fa957d8cda2a608cb0</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fa89f3e2-7988-43d6-974a-ca8ff1084358" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8ca16b82d57cf6898a55e9fcdb400769)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8ca16b82d57cf6898a55e9fcdb400769</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-16db0c0e-8af6-4a5a-98c4-ae022d88295b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5f0bb4d702ed341cf4c3185d4c141110)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5f0bb4d702ed341cf4c3185d4c141110</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-a0f63787-a087-4261-a795-61fb2dae58da" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (08709f35581e0958d1ca4e50b7d86dba)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>08709f35581e0958d1ca4e50b7d86dba</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fb17d950-6fb0-4483-adc8-fe084cbc9586" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (8e94701b572fb446c2794cdd3c18ecd9)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>8e94701b572fb446c2794cdd3c18ecd9</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e2830a97-b3ef-4c07-8088-75fc624e296d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (5c5401fd7d32f481570511c73083e9a1)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>5c5401fd7d32f481570511c73083e9a1</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-534b451e-a5ee-4264-89a0-b57cd2d9a21d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a144440d16fb69cf4522f789aacb3ef2)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a144440d16fb69cf4522f789aacb3ef2</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-a14c6a5e-9fc0-455a-b4bb-f5e9c4fe4ff6" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (00beeeef9dfe8ddf5f8d539504777e7e)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>00beeeef9dfe8ddf5f8d539504777e7e</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3ed0364f-62c8-4ebc-b136-deaf6966880b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d8c00fed6625e5f8d0b8188a5caac115)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d8c00fed6625e5f8d0b8188a5caac115</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-8e939441-036c-4a34-a80d-751a0395ae8e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (60963553335fa5877bd5f9be9d8b23a6)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>60963553335fa5877bd5f9be9d8b23a6</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-6e229c21-7b2f-405c-9cf0-1a9aa218ddaf" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b18505ee9e2cecc69035acc912114768)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b18505ee9e2cecc69035acc912114768</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-27cf110c-281e-4f93-94aa-cbd34c7efae4" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (625a4f618d14991cd9bd595bdd590570)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>625a4f618d14991cd9bd595bdd590570</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f8a934bd-1570-4b45-927f-1e3af4cc8f45" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (18ccf0e2709406c4a0b3635064ca32dc)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>18ccf0e2709406c4a0b3635064ca32dc</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4d47bd96-8726-492b-ac8e-50cd4b50c8e8" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (abf8e40d7c99e9b3f515ec0872fe099e)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>abf8e40d7c99e9b3f515ec0872fe099e</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-56736642-633e-4e2e-a823-484e4c037788" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (15d42116acb393ac4d323fb7606c8108)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>15d42116acb393ac4d323fb7606c8108</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-17099f03-5ec8-456d-a2de-968aebaafc78" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b1deff736b6d12b8d98b485e20d318ea)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b1deff736b6d12b8d98b485e20d318ea</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-74efd1f5-2718-41e7-981d-7e3b9cb50d71" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e7a5a551f847c735487acede71f8a9d8)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e7a5a551f847c735487acede71f8a9d8</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3321d61c-6bb1-426a-b853-52d8c3466532" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (dad0c02b91f656ffe1d4de3dbf344624)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>dad0c02b91f656ffe1d4de3dbf344624</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f2984dfd-131a-471a-a41f-cdd0fb432b92" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (1b851bb23578033c79b8b15313b9c382)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>1b851bb23578033c79b8b15313b9c382</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2c4ea690-56bb-41f5-bd79-b6ea19aad2e4" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (1ccb5a6dfec4261b32eee8d439f821df)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>1ccb5a6dfec4261b32eee8d439f821df</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ab8a2af8-9411-4415-8c16-4a19e5dfea7e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6005cbea84d281e03b53be49d1378885)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6005cbea84d281e03b53be49d1378885</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2be46f2d-4e92-4201-ad83-85c47a69b98a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (377d8d30172f083b7a0cdff846681f81)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>377d8d30172f083b7a0cdff846681f81</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7781ffbf-2a5c-4a54-a489-2fddd85b7363" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (36cc4c909462db0f067b11a5e719a4ee)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>36cc4c909462db0f067b11a5e719a4ee</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-29acc82d-630c-461b-bb4e-ec99ab06b809" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (bf553932f6f418250a4dd81c63b3ccee)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>bf553932f6f418250a4dd81c63b3ccee</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-2b6638b2-9cc6-41bc-b883-aaf45f7a2947" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (cf8094c07c15aa394dddd4eca4aa8c8b)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>cf8094c07c15aa394dddd4eca4aa8c8b</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-c67fe311-d813-4bda-9b32-e19fbb0d1b0e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (629049d376058a1f31ab2a36f3c0f234)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>629049d376058a1f31ab2a36f3c0f234</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fe844499-4819-463c-84dc-362638ea727e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e4242bbcc0aa91c40a50a8305d7a3433)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e4242bbcc0aa91c40a50a8305d7a3433</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b0804b4d-4b1f-4e4a-a871-b1473e73a7c1" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (68fec995a13762184a2616bda86757f8)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>68fec995a13762184a2616bda86757f8</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-33125ae7-0d34-4e97-ab8b-04c42ab60c3d" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (3243a6caaeb7f175330f0fc7f789aced)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>3243a6caaeb7f175330f0fc7f789aced</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-d1d15120-ea83-4634-9ed2-cd1f34d711f1" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (36c6672abdfa7f8c1cf20d27277d7e1a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>36c6672abdfa7f8c1cf20d27277d7e1a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-65ab529f-7c86-423c-9d32-25e8152c0964" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (cd6a0b076678165e04f8583d19a9a46f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>cd6a0b076678165e04f8583d19a9a46f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0db3ebb2-b880-4961-a4e5-98f8f4c60e57" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (1372fae7e279b29eb648d158ae022172)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>1372fae7e279b29eb648d158ae022172</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-74e0b32c-7f4b-4fa9-a82d-46ecfb1a059a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (bb7ae118a83f3bed742dbbc50136dc50)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>bb7ae118a83f3bed742dbbc50136dc50</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-cd721637-f104-4a6d-a79e-f74530287be0" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6848da04f6c10d2cceae4831351cb291)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6848da04f6c10d2cceae4831351cb291</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-58404eca-36d7-4239-a890-630ba1d158f0" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (aa76e01067c064a8091391759a35ef0a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>aa76e01067c064a8091391759a35ef0a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-bb93ada5-b5f3-4174-bead-0faecdbe28ce" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (11ea8d8dd0ffde8285f3c0049861a442)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>11ea8d8dd0ffde8285f3c0049861a442</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3d7d1585-9cf4-401b-b480-2aae6131d15f" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e6ca06e9b000933567a8604300094a85)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e6ca06e9b000933567a8604300094a85</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-1e89baef-ead0-47d0-8a71-52fbc46bc8db" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (aa7368b928eaaff80e42c0d0637c4a61)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>aa7368b928eaaff80e42c0d0637c4a61</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-9849ea2a-fc17-4068-9c01-dab903ada13c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e62584c9cd15c3fa2b6ed0f3a34688ab)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e62584c9cd15c3fa2b6ed0f3a34688ab</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0d5fe336-cb01-47df-93a6-7c5de9b01a5a" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (c2f000577585ce59661b21a500eb253e)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>c2f000577585ce59661b21a500eb253e</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-d8e98488-2c1f-41a9-86c9-602d5a96cac1" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d84851ad131424f04fbffc3bbac03bff)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d84851ad131424f04fbffc3bbac03bff</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0b2e2718-a421-4f9a-ad54-2ab2136698fe" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (223d1396f2b5b7719702c980cbd1d6c0)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>223d1396f2b5b7719702c980cbd1d6c0</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-420ef2ec-4603-4107-a9a4-5b14fb27ec95" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (c2c7ceb8a428a36b80b9ce1037d209dd)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>c2c7ceb8a428a36b80b9ce1037d209dd</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-621f3091-a6b6-410b-b715-fb61d91d1511" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d6dba8166b7b1da0173a0165d3a3e0bf)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d6dba8166b7b1da0173a0165d3a3e0bf</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-387526e2-fa1a-4d12-aa15-535ed244cdc5" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (20098465e8fd00f8a0845fff134ed844)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>20098465e8fd00f8a0845fff134ed844</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-0768d1fb-70e6-4e31-a083-8a1abdf1d8ff" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d81dac704850c0ee051b8455510cc0a4)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d81dac704850c0ee051b8455510cc0a4</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-70d965e8-f28f-4223-abd2-a7efb403e038" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (c84a04eabb91e3dd2388d435527b6906)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>c84a04eabb91e3dd2388d435527b6906</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4d6850f0-483b-4f5f-b1da-f87a8510e9a6" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (31f7e35e7a73a1d89b6269412a935996)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>31f7e35e7a73a1d89b6269412a935996</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-defb1821-8428-4ead-8c08-da365d237ab2" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (cab408c59c3450fcc9ddb401eede170f)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>cab408c59c3450fcc9ddb401eede170f</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-39c32255-bb13-468e-9cda-c5644b931cb4" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b5695df9da14b8c9db7e607942d01fac)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b5695df9da14b8c9db7e607942d01fac</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-dcc8004b-ab26-4582-b7dc-568acbb48a57" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (c3171961e78d3acdb4cd299c643ba482)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>c3171961e78d3acdb4cd299c643ba482</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fa468c98-b8b9-4145-8308-4b91a2c34c72" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (2a113b26b0133f67ed900a06a330683d)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>2a113b26b0133f67ed900a06a330683d</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e61000b5-a2df-466d-9525-974b427fb7e9" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b2dc98caa647e64a2a8105c298218462)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b2dc98caa647e64a2a8105c298218462</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-ae0ee06f-a939-422e-bf3c-718872457362" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f815281ed4b16169e0b474dbac612bbc)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f815281ed4b16169e0b474dbac612bbc</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-6379656a-19e5-483b-ae0d-747726690807" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e9622f4b9d2a82c296a773a2c6e63fcb)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e9622f4b9d2a82c296a773a2c6e63fcb</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3cb94b8d-da73-4624-ba1d-a2a9769cebd6" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b08694e14a9b966d8033b42b58ab727d)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b08694e14a9b966d8033b42b58ab727d</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7e39361b-cd37-450a-ab88-f934a103ff72" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (1000371d10154fcfd94028ad66285519)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>1000371d10154fcfd94028ad66285519</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-585b2299-7a01-48ee-89f9-7f966b2f641c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (2173b43a66070aadf052ab66dd6933ce)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>2173b43a66070aadf052ab66dd6933ce</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-fb6cb6fa-d4c4-4f4a-87e3-c3b7ae4d4a3c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (2ffe59a6a047b2333a1f3eb58753f3bc)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>2ffe59a6a047b2333a1f3eb58753f3bc</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-76b27221-959b-4471-8c9a-2af95655816c" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (441d239744d05b861202e3e25a2af0cd)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>441d239744d05b861202e3e25a2af0cd</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-b7610226-c87a-465e-bff9-c3656f423416" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4ab9bcbec67cafda3a1e4bf6d2d60de9)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4ab9bcbec67cafda3a1e4bf6d2d60de9</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-1ca1bdde-4f34-4a35-a215-71007c060ba4" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (6fbd221f328ced713025ffcf589dba9a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>6fbd221f328ced713025ffcf589dba9a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-85bf512d-c12b-40f4-b0b6-793f71cb1e07" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (7d551d1cba1aa7696ab5a787e93b4c83)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>7d551d1cba1aa7696ab5a787e93b4c83</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7e16ec98-a87f-403d-a546-a0deb9fa4b81" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (841ec2dec944964fc54786a1167713ff)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>841ec2dec944964fc54786a1167713ff</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-45c33198-370c-4cf6-99e0-9cea66f237fa" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (85321dee31100bd3ece5b586ac3e6557)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>85321dee31100bd3ece5b586ac3e6557</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-3b83b772-fcba-46e4-9a52-cd4678c68b83" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (9de349e581b66bd410cf7a737d0db1e1)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>9de349e581b66bd410cf7a737d0db1e1</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-632ea185-c226-44e7-858a-05aac2d0c3bf" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (9e2af3377f508c22a3e96e1110ad5f12)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>9e2af3377f508c22a3e96e1110ad5f12</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-70d7f498-93a8-4a33-b6a0-028f5ef6ab36" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (a4d13be7f6b8f66c80731b75d7d5aff8)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>a4d13be7f6b8f66c80731b75d7d5aff8</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4d0aeaec-d073-4615-90b3-a9e717025db9" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (b9ddbb07c4bde0d4f8e6b2065a7d8848)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>b9ddbb07c4bde0d4f8e6b2065a7d8848</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-435adcbb-7a46-4255-a581-f9f8cf39644b" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (cab66da82594ff5266ac8dd89e3d1539)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>cab66da82594ff5266ac8dd89e3d1539</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-4fe1269e-7360-471e-9788-d13af3dc77ef" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (e5e3fd8a9ee0a5b8e66c11ce1e081067)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>e5e3fd8a9ee0a5b8e66c11ce1e081067</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-7323cc18-c4b2-4e25-8a5e-3caa4afa3081" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f0ee1f777d1c6a009c37cbcbf81f3a5a)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f0ee1f777d1c6a009c37cbcbf81f3a5a</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-bf2bdcaf-61a0-4e90-bcce-ad0b0551a02e" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (f18c7639dbb8644c4bca179243ee2a99)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>f18c7639dbb8644c4bca179243ee2a99</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-e51f43fe-37eb-4469-a666-a4c74708c9ed" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (4ad286a97c82f91df3e07b101a224f56)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>4ad286a97c82f91df3e07b101a224f56</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-f9e0c47b-a923-4ea6-805e-bd7dcdefeb26" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (88fd19e48625e623a4d6abb5d5b78445)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>88fd19e48625e623a4d6abb5d5b78445</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
<stix:TTP timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:ttp-59fae6a2-4a3b-418e-8ca7-06a845820666" xsi:type="ttp:TTPType">
<ttp:Title>PIVY Variant (d05f81cd8d079b862b2ce7d241ad2209)</ttp:Title>
<ttp:Behavior>
<ttp:Malware>
<ttp:Malware_Instance>
<ttp:Name>d05f81cd8d079b862b2ce7d241ad2209</ttp:Name>
</ttp:Malware_Instance>
</ttp:Malware>
</ttp:Behavior>
<ttp:Related_TTPs>
<ttp:Related_TTP>
<stixCommon:Relationship>Variant Of</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-591f0cb7-d66f-4e14-a8e6-5927b597f920"/>
</ttp:Related_TTP>
</ttp:Related_TTPs>
</stix:TTP>
</stix:TTPs>
<stix:Courses_Of_Action>
<stix:Course_Of_Action timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:courseofaction-70b3d5f6-374b-4488-8688-729b6eedac5b" xsi:type="coa:CourseOfActionType">
<coa:Title>Analyze with FireEye Calamine Toolset</coa:Title>
<coa:Description>Calamine is a set of free tools to help organizations detect and examine Poison Ivy infections on their systems. The package includes these components:
* PIVY callback-decoding tool (ChopShop module, available here: https://github.com/fireeye/chopshop)
* PIVY memory-decoding tool (PIVY PyCommand script, available here: https://github.com/fireeye/pycommands)
</coa:Description>
</stix:Course_Of_Action>
</stix:Courses_Of_Action>
<stix:Campaigns>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-700c8b90-fd16-40e9-8b80-00b0c8bc84ee" xsi:type="campaign:CampaignType">
<campaign:Title>F</campaign:Title>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2ee01cb3-e9fa-46f9-8ec5-ffc9cb0b59f1"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-33cc429f-7974-49a9-ab2e-6ebc3c37d62b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fa0ffc72-0f73-4b08-84a5-6ea62b46828b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f0bfc691-7945-47d9-95c7-a0219b8a5c67"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dfb4e482-2b04-4365-973e-1feb5a567263"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-7b14e202-bd27-4885-b8d7-b908a9651a03"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-752c225d-d6f6-4456-9130-d9580fd4007b" xsi:type="campaign:CampaignType">
<campaign:Title>admin338</campaign:Title>
<campaign:Status>Ongoing</campaign:Status>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dff22c1b-26f9-4fbd-8b42-8b8507c684fd"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e55c6eaa-bf0f-4b6b-9572-5cd0d3f62134"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-23a87226-706a-430e-96cd-d7f2c99b7b29"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-aaba08c5-e50d-49a1-a54a-cfdf1a68ff51"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-61a62a6a-9a18-4758-8e52-622431c4b8ae"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5b2a2542-47fe-40f9-8915-4bf7c7397810"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-35322f13-94bd-4b97-abb6-2a9adc24b8d8"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-80cd5722-40ff-4938-aba5-991bd8da2b39"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c221ae40-f998-4fa9-ba46-9be04e163371"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-9717d5a3-773c-490d-b90f-718602fb3c43"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2c346548-2150-47f1-91c4-a78fa404be12"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8c1057bd-4a8a-4632-b0d4-b72ebd7936d3"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2e160c21-83d0-4d09-a833-c85327e49b46"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7bac9c8b-c19a-4ce6-9337-4750d68f05cc"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30fb07e5-fe94-480e-9c15-8d494500cf17"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b8d4945a-5fc1-4ceb-a2c4-af17def8b396"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30ea087f-7d2b-496b-9ed1-5f000c8b7695"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7b284c94-9598-4e6f-944e-188bbb36716d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f1a0e293-d490-4e89-9fbb-384188076f60"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-707ad4a8-e037-466c-9f59-ac935f53e606"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b1da97a0-e8e7-44d7-8faf-8907589d8465"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-030d3edf-da7c-4d1f-a0b9-6c38a8af73db"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Attack Pattern</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-19da6e1c-69a8-4c2f-886d-d620d09d3b5a"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-9b371afe-ddfd-4954-abaf-8abb357ac78e"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-36082810-2226-4c00-88dc-d69f92efa60e" xsi:type="campaign:CampaignType">
<campaign:Title>japanorus</campaign:Title>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a3f90728-8a0c-453b-9101-27515bd01d51"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f4478b80-3dd3-473d-878a-80a6a82a00a9"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-12b54231-a99d-431e-9587-34b4cb447e98"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-4ce0b014-1313-4089-a2e6-ba0a37d934f8" xsi:type="campaign:CampaignType">
<campaign:Title>nitro</campaign:Title>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cc3533bd-a1e5-411c-9cfe-3660dd07e8e3"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c31b9c7e-3eda-4a93-aabc-e5a01d1e8577"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e5b7be4b-c7ca-40b8-b9f3-e686bb9c3c0d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cc00cffe-36b3-40ad-a69c-26427af29935"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ca7cd0ef-48cf-4cf1-9ad8-aed3f83ffdc7"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4703ede5-2184-4f06-a6d0-0144faca4662"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-3cc07211-163e-4d26-8c5c-2d0998b60d4f"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-d02a1560-ff69-49f4-ac34-919b8aa4b91e" xsi:type="campaign:CampaignType">
<campaign:Title>th3bug</campaign:Title>
<campaign:Status>Ongoing</campaign:Status>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-34a3d511-e213-40d5-a932-fc4d836d455e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dcce72e4-fdb6-43af-8eb6-bd474a11ad4c"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2821af3c-0f2b-45b4-92f5-465ca7a51920"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-862fd6e1-1711-4b70-8bec-1591f4baabc1"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2e20839b-3ced-4bd7-868d-9cfae43eb84f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-15f9dece-0c7c-4579-a1f9-61dca12b2e34"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dc5135f2-8d89-4993-a083-4fee4debdfb6"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7b8662e4-286e-4862-8b00-79bd3750e3a5"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f86febd3-609b-4d2e-9fec-aa805cb498bf"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ddc66992-4a1a-470d-bfae-694e740ce181"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2787ecb2-9abe-4141-a61a-e4a04c02126f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ea91fe28-a94a-4511-a31e-a78eb7fcf9bd"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-027acc14-5136-478c-a9ff-24d7a8288014"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-08596787-5427-4220-8971-f56ca5aabf2b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-aedd016d-12c0-4d6e-902e-9a1cefd3e7e6"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Attack Pattern</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ea2c747d-4aa3-4573-8853-37b7159bc180"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-fb580b4d-b36d-415c-b711-d9997955f5c1"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-157fd308-1677-46f5-a4b2-66cc24d801d7" xsi:type="campaign:CampaignType">
<campaign:Title>wl</campaign:Title>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ceb035a7-096c-4d8a-bb4c-8fdf2fb93cad"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-03fcd8c2-a5ee-46f3-b32e-0f0d655f1d92"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b30eab7f-e848-4170-acce-a21b7ae45902"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f34df5fa-b871-4102-9f33-431f7863d1c8"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c91715d4-e81f-4621-8d09-fec8c15d596f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3db69389-6359-4b1d-9f36-956a4e4e65e3"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-767d4bfe-da1d-4567-a9e5-982c69d6be45"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b89b39d3-5079-43ba-8984-5992a607ebde"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-c5f80025-d518-470e-977d-e99d50ea21e8"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
<stix:Campaign timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:campaign-721976f9-56d7-4749-8c69-b3ac7c315f05" xsi:type="campaign:CampaignType">
<campaign:Title>menupass</campaign:Title>
<campaign:Status>Ongoing</campaign:Status>
<campaign:Related_TTPs>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0fd8d950-207a-42cd-b153-041be31e48d5"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a19437ea-b8e3-4598-8423-5a73d88f17de"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2f5b0d2f-3a05-4b11-8d60-2244db7ba7d6"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-78837766-44ae-4dc7-9fc1-a897d29f0d88"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2fd26025-1453-4df7-a594-4ba6f7cf54d9"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5a74a069-0759-4c93-8ea3-70c53a223230"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d9bd9ffd-3e6f-453d-80f1-c2205c46dc78"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-54b02531-48bb-4ff5-ba37-f511908aa858"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c6bc27e1-5ea8-4047-9a56-4be846f4b97d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0be8fa38-6ca3-4f87-bf47-44e5bbf6550b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ec1d7f53-2b04-4371-a04d-65f866f39244"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cf1d3250-57c1-4f91-90d6-b08b9073ca5f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-9c892e1c-77e4-4ed2-a71b-9e6116a44435"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-63c1deff-2e5f-4493-86e9-a4bdcca01878"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-773eea2a-193c-4c85-9521-65f8f9042140"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-903a54fe-e116-4d73-9320-23609d13d8b0"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4d95e1e8-bdf5-4c10-81dd-9b86ab7da45d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cb1f97b1-2919-4535-bfae-ceb396c52f44"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4ffee86a-b160-4a21-8b73-39c27fe6bf28"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-46a77043-53d1-4259-8121-9dbad4a8828f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d129c652-a93c-4f2c-9d7a-feb621c0f499"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-07fed79f-6a17-4bf9-a2ed-e6f9877d646a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5b971b83-f177-46d4-98ff-d2ffaac3f29e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-895af3d5-5700-475e-bb0b-54d29ec2be8e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e3cec144-e901-4acf-9f10-1008a51b1cb9"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-25f6285e-0bd7-404b-8dd4-2b903369d38c"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0ac3576b-6347-483d-a04b-2c4fc2c9084d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-1bbfa9a4-3be6-4597-83cb-1d70b26cd020"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b7ad5451-75ab-4e97-b92c-f72192b9cc87"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-641e9792-74f7-4b5a-823e-0b85e48d0f3b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b8ad4295-4554-42ad-a3f9-09d06856c666"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4406c7c7-6c58-478d-aacc-0334929ebdde"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4ea4a3cb-7e52-496c-935a-a57e41e0674e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a5ae084e-1ea1-4be3-9ffe-dee4f0993dcf"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7b12666f-f332-438d-acff-73493ba82399"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3ae1dd84-5bd4-44c4-9200-7aab41d9973f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-48311f55-2f8d-4d00-87f9-b39cb338f72f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-05f3d767-ff79-41aa-a591-e88d0cb65f66"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-de8f548e-d2cf-4442-886a-814ef174e56b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-6bb608dc-9a2e-4e19-9975-01734a625b12"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8baac074-74b8-4a03-ac83-90618f338ce8"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0eb3ffa1-654d-414d-ada0-ef210cc55d90"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ed7733f2-eaf6-4880-b6b8-b96061717d5a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-14fba9df-d3c2-4c80-a391-99d87a0707da"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4a38cbbf-51f7-42a0-98f5-a9bbc597dad0"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7ace7258-bfff-4c5b-bae4-6583a164abf4"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3f1515b4-a171-48b2-8074-6599c784ed85"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-91b36537-bd12-457c-9a12-bd94956e0dec"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e3058c9e-4adb-41ae-8352-5317c1be98ee"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7e310f39-a851-4fcd-b687-d3565ffe6a57"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4aa71750-c8f3-4998-b4ed-f67d903dcff9"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5e8dfa9c-8940-46d5-90d9-d2f50bbf9902"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8214e79e-891a-4d4a-b6d7-26cbd145f63c"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-daeb0891-b153-41d4-b18b-367a5492133a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-260d101a-dddc-4a84-9379-4b48418a3365"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8e4f6736-10de-4a15-934e-1367072428f4"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2e6b7c86-9afd-4412-ac24-e43f08ec7d2e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3f39dad8-de02-468d-bd4b-de7ad4a4e357"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-27a595d0-b2b4-414a-899d-9e87893ac858"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8c857eb3-0576-494d-844f-7d911e50d49a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5032acb9-c978-476a-953a-5d8ebd034d10"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-1f02f735-3aa2-41aa-a2f1-c82f4cfe1f58"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e49c5caa-16d1-473b-9e47-c43537c90ced"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fa89f3e2-7988-43d6-974a-ca8ff1084358"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-16db0c0e-8af6-4a5a-98c4-ae022d88295b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a0f63787-a087-4261-a795-61fb2dae58da"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fb17d950-6fb0-4483-adc8-fe084cbc9586"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e2830a97-b3ef-4c07-8088-75fc624e296d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-534b451e-a5ee-4264-89a0-b57cd2d9a21d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a14c6a5e-9fc0-455a-b4bb-f5e9c4fe4ff6"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3ed0364f-62c8-4ebc-b136-deaf6966880b"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8e939441-036c-4a34-a80d-751a0395ae8e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-6e229c21-7b2f-405c-9cf0-1a9aa218ddaf"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-27cf110c-281e-4f93-94aa-cbd34c7efae4"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f8a934bd-1570-4b45-927f-1e3af4cc8f45"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4d47bd96-8726-492b-ac8e-50cd4b50c8e8"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-56736642-633e-4e2e-a823-484e4c037788"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-17099f03-5ec8-456d-a2de-968aebaafc78"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-74efd1f5-2718-41e7-981d-7e3b9cb50d71"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3321d61c-6bb1-426a-b853-52d8c3466532"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f2984dfd-131a-471a-a41f-cdd0fb432b92"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2c4ea690-56bb-41f5-bd79-b6ea19aad2e4"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ab8a2af8-9411-4415-8c16-4a19e5dfea7e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2be46f2d-4e92-4201-ad83-85c47a69b98a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7781ffbf-2a5c-4a54-a489-2fddd85b7363"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-29acc82d-630c-461b-bb4e-ec99ab06b809"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2b6638b2-9cc6-41bc-b883-aaf45f7a2947"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c67fe311-d813-4bda-9b32-e19fbb0d1b0e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fe844499-4819-463c-84dc-362638ea727e"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b0804b4d-4b1f-4e4a-a871-b1473e73a7c1"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-33125ae7-0d34-4e97-ab8b-04c42ab60c3d"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d1d15120-ea83-4634-9ed2-cd1f34d711f1"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-65ab529f-7c86-423c-9d32-25e8152c0964"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0db3ebb2-b880-4961-a4e5-98f8f4c60e57"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-74e0b32c-7f4b-4fa9-a82d-46ecfb1a059a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cd721637-f104-4a6d-a79e-f74530287be0"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-58404eca-36d7-4239-a890-630ba1d158f0"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-bb93ada5-b5f3-4174-bead-0faecdbe28ce"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3d7d1585-9cf4-401b-b480-2aae6131d15f"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-1e89baef-ead0-47d0-8a71-52fbc46bc8db"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-9849ea2a-fc17-4068-9c01-dab903ada13c"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0d5fe336-cb01-47df-93a6-7c5de9b01a5a"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d8e98488-2c1f-41a9-86c9-602d5a96cac1"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0b2e2718-a421-4f9a-ad54-2ab2136698fe"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-420ef2ec-4603-4107-a9a4-5b14fb27ec95"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-621f3091-a6b6-410b-b715-fb61d91d1511"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-387526e2-fa1a-4d12-aa15-535ed244cdc5"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0768d1fb-70e6-4e31-a083-8a1abdf1d8ff"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-70d965e8-f28f-4223-abd2-a7efb403e038"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4d6850f0-483b-4f5f-b1da-f87a8510e9a6"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-defb1821-8428-4ead-8c08-da365d237ab2"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-39c32255-bb13-468e-9cda-c5644b931cb4"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dcc8004b-ab26-4582-b7dc-568acbb48a57"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fa468c98-b8b9-4145-8308-4b91a2c34c72"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e61000b5-a2df-466d-9525-974b427fb7e9"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ae0ee06f-a939-422e-bf3c-718872457362"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-6379656a-19e5-483b-ae0d-747726690807"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3cb94b8d-da73-4624-ba1d-a2a9769cebd6"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30f89283-873f-4407-b114-a2863cef5684"/>
</campaign:Related_TTP>
<campaign:Related_TTP>
<stixCommon:Relationship>Uses Attack Pattern</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fb6aa549-c94a-4e45-b4fd-7e32602dad85"/>
</campaign:Related_TTP>
</campaign:Related_TTPs>
<campaign:Attribution>
<campaign:Attributed_Threat_Actor>
<stixCommon:Threat_Actor idref="fireeye:threatactor-0d059e61-df46-46e4-9fe3-fb10dfd1751c"/>
</campaign:Attributed_Threat_Actor>
</campaign:Attribution>
</stix:Campaign>
</stix:Campaigns>
<stix:Threat_Actors>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-7b14e202-bd27-4885-b8d7-b908a9651a03" xsi:type="ta:ThreatActorType">
<ta:Title>F</ta:Title>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2ee01cb3-e9fa-46f9-8ec5-ffc9cb0b59f1"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-33cc429f-7974-49a9-ab2e-6ebc3c37d62b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fa0ffc72-0f73-4b08-84a5-6ea62b46828b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f0bfc691-7945-47d9-95c7-a0219b8a5c67"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dfb4e482-2b04-4365-973e-1feb5a567263"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-700c8b90-fd16-40e9-8b80-00b0c8bc84ee"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-9b371afe-ddfd-4954-abaf-8abb357ac78e" xsi:type="ta:ThreatActorType">
<ta:Title>admin338</ta:Title>
<ta:Type>
<stixCommon:Value>APT</stixCommon:Value>
</ta:Type>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dff22c1b-26f9-4fbd-8b42-8b8507c684fd"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e55c6eaa-bf0f-4b6b-9572-5cd0d3f62134"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-23a87226-706a-430e-96cd-d7f2c99b7b29"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-aaba08c5-e50d-49a1-a54a-cfdf1a68ff51"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-61a62a6a-9a18-4758-8e52-622431c4b8ae"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5b2a2542-47fe-40f9-8915-4bf7c7397810"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-35322f13-94bd-4b97-abb6-2a9adc24b8d8"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-80cd5722-40ff-4938-aba5-991bd8da2b39"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c221ae40-f998-4fa9-ba46-9be04e163371"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-9717d5a3-773c-490d-b90f-718602fb3c43"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2c346548-2150-47f1-91c4-a78fa404be12"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8c1057bd-4a8a-4632-b0d4-b72ebd7936d3"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2e160c21-83d0-4d09-a833-c85327e49b46"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7bac9c8b-c19a-4ce6-9337-4750d68f05cc"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30fb07e5-fe94-480e-9c15-8d494500cf17"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b8d4945a-5fc1-4ceb-a2c4-af17def8b396"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30ea087f-7d2b-496b-9ed1-5f000c8b7695"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7b284c94-9598-4e6f-944e-188bbb36716d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f1a0e293-d490-4e89-9fbb-384188076f60"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-707ad4a8-e037-466c-9f59-ac935f53e606"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b1da97a0-e8e7-44d7-8faf-8907589d8465"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-030d3edf-da7c-4d1f-a0b9-6c38a8af73db"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Attack Pattern</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-19da6e1c-69a8-4c2f-886d-d620d09d3b5a"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-752c225d-d6f6-4456-9130-d9580fd4007b"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-12b54231-a99d-431e-9587-34b4cb447e98" xsi:type="ta:ThreatActorType">
<ta:Title>japanorus</ta:Title>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a3f90728-8a0c-453b-9101-27515bd01d51"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f4478b80-3dd3-473d-878a-80a6a82a00a9"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-36082810-2226-4c00-88dc-d69f92efa60e"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-3cc07211-163e-4d26-8c5c-2d0998b60d4f" xsi:type="ta:ThreatActorType">
<ta:Title>nitro</ta:Title>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cc3533bd-a1e5-411c-9cfe-3660dd07e8e3"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c31b9c7e-3eda-4a93-aabc-e5a01d1e8577"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e5b7be4b-c7ca-40b8-b9f3-e686bb9c3c0d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cc00cffe-36b3-40ad-a69c-26427af29935"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ca7cd0ef-48cf-4cf1-9ad8-aed3f83ffdc7"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4703ede5-2184-4f06-a6d0-0144faca4662"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-4ce0b014-1313-4089-a2e6-ba0a37d934f8"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-fb580b4d-b36d-415c-b711-d9997955f5c1" xsi:type="ta:ThreatActorType">
<ta:Title>th3bug</ta:Title>
<ta:Type>
<stixCommon:Value>APT</stixCommon:Value>
</ta:Type>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-34a3d511-e213-40d5-a932-fc4d836d455e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dcce72e4-fdb6-43af-8eb6-bd474a11ad4c"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2821af3c-0f2b-45b4-92f5-465ca7a51920"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-862fd6e1-1711-4b70-8bec-1591f4baabc1"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2e20839b-3ced-4bd7-868d-9cfae43eb84f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-15f9dece-0c7c-4579-a1f9-61dca12b2e34"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dc5135f2-8d89-4993-a083-4fee4debdfb6"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7b8662e4-286e-4862-8b00-79bd3750e3a5"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f86febd3-609b-4d2e-9fec-aa805cb498bf"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ddc66992-4a1a-470d-bfae-694e740ce181"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2787ecb2-9abe-4141-a61a-e4a04c02126f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ea91fe28-a94a-4511-a31e-a78eb7fcf9bd"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-027acc14-5136-478c-a9ff-24d7a8288014"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-08596787-5427-4220-8971-f56ca5aabf2b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-aedd016d-12c0-4d6e-902e-9a1cefd3e7e6"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Attack Pattern</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ea2c747d-4aa3-4573-8853-37b7159bc180"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-d02a1560-ff69-49f4-ac34-919b8aa4b91e"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-c5f80025-d518-470e-977d-e99d50ea21e8" xsi:type="ta:ThreatActorType">
<ta:Title>wl</ta:Title>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ceb035a7-096c-4d8a-bb4c-8fdf2fb93cad"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-03fcd8c2-a5ee-46f3-b32e-0f0d655f1d92"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b30eab7f-e848-4170-acce-a21b7ae45902"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f34df5fa-b871-4102-9f33-431f7863d1c8"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c91715d4-e81f-4621-8d09-fec8c15d596f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3db69389-6359-4b1d-9f36-956a4e4e65e3"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-767d4bfe-da1d-4567-a9e5-982c69d6be45"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b89b39d3-5079-43ba-8984-5992a607ebde"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-157fd308-1677-46f5-a4b2-66cc24d801d7"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
<stix:Threat_Actor timestamp="2014-05-08T09:00:00.000000Z" id="fireeye:threatactor-0d059e61-df46-46e4-9fe3-fb10dfd1751c" xsi:type="ta:ThreatActorType">
<ta:Title>menupass</ta:Title>
<ta:Type>
<stixCommon:Value>APT</stixCommon:Value>
</ta:Type>
<ta:Observed_TTPs>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0fd8d950-207a-42cd-b153-041be31e48d5"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a19437ea-b8e3-4598-8423-5a73d88f17de"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2f5b0d2f-3a05-4b11-8d60-2244db7ba7d6"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-78837766-44ae-4dc7-9fc1-a897d29f0d88"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2fd26025-1453-4df7-a594-4ba6f7cf54d9"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5a74a069-0759-4c93-8ea3-70c53a223230"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d9bd9ffd-3e6f-453d-80f1-c2205c46dc78"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-54b02531-48bb-4ff5-ba37-f511908aa858"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c6bc27e1-5ea8-4047-9a56-4be846f4b97d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0be8fa38-6ca3-4f87-bf47-44e5bbf6550b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ec1d7f53-2b04-4371-a04d-65f866f39244"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cf1d3250-57c1-4f91-90d6-b08b9073ca5f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-9c892e1c-77e4-4ed2-a71b-9e6116a44435"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-63c1deff-2e5f-4493-86e9-a4bdcca01878"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-773eea2a-193c-4c85-9521-65f8f9042140"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-903a54fe-e116-4d73-9320-23609d13d8b0"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4d95e1e8-bdf5-4c10-81dd-9b86ab7da45d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cb1f97b1-2919-4535-bfae-ceb396c52f44"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4ffee86a-b160-4a21-8b73-39c27fe6bf28"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-46a77043-53d1-4259-8121-9dbad4a8828f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d129c652-a93c-4f2c-9d7a-feb621c0f499"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-07fed79f-6a17-4bf9-a2ed-e6f9877d646a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5b971b83-f177-46d4-98ff-d2ffaac3f29e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-895af3d5-5700-475e-bb0b-54d29ec2be8e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e3cec144-e901-4acf-9f10-1008a51b1cb9"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-25f6285e-0bd7-404b-8dd4-2b903369d38c"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0ac3576b-6347-483d-a04b-2c4fc2c9084d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-1bbfa9a4-3be6-4597-83cb-1d70b26cd020"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b7ad5451-75ab-4e97-b92c-f72192b9cc87"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-641e9792-74f7-4b5a-823e-0b85e48d0f3b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b8ad4295-4554-42ad-a3f9-09d06856c666"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4406c7c7-6c58-478d-aacc-0334929ebdde"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4ea4a3cb-7e52-496c-935a-a57e41e0674e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a5ae084e-1ea1-4be3-9ffe-dee4f0993dcf"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7b12666f-f332-438d-acff-73493ba82399"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3ae1dd84-5bd4-44c4-9200-7aab41d9973f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-48311f55-2f8d-4d00-87f9-b39cb338f72f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-05f3d767-ff79-41aa-a591-e88d0cb65f66"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-de8f548e-d2cf-4442-886a-814ef174e56b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-6bb608dc-9a2e-4e19-9975-01734a625b12"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8baac074-74b8-4a03-ac83-90618f338ce8"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0eb3ffa1-654d-414d-ada0-ef210cc55d90"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ed7733f2-eaf6-4880-b6b8-b96061717d5a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-14fba9df-d3c2-4c80-a391-99d87a0707da"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4a38cbbf-51f7-42a0-98f5-a9bbc597dad0"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7ace7258-bfff-4c5b-bae4-6583a164abf4"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3f1515b4-a171-48b2-8074-6599c784ed85"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-91b36537-bd12-457c-9a12-bd94956e0dec"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e3058c9e-4adb-41ae-8352-5317c1be98ee"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7e310f39-a851-4fcd-b687-d3565ffe6a57"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4aa71750-c8f3-4998-b4ed-f67d903dcff9"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5e8dfa9c-8940-46d5-90d9-d2f50bbf9902"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8214e79e-891a-4d4a-b6d7-26cbd145f63c"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-daeb0891-b153-41d4-b18b-367a5492133a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-260d101a-dddc-4a84-9379-4b48418a3365"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8e4f6736-10de-4a15-934e-1367072428f4"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2e6b7c86-9afd-4412-ac24-e43f08ec7d2e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3f39dad8-de02-468d-bd4b-de7ad4a4e357"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-27a595d0-b2b4-414a-899d-9e87893ac858"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8c857eb3-0576-494d-844f-7d911e50d49a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-5032acb9-c978-476a-953a-5d8ebd034d10"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-1f02f735-3aa2-41aa-a2f1-c82f4cfe1f58"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e49c5caa-16d1-473b-9e47-c43537c90ced"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fa89f3e2-7988-43d6-974a-ca8ff1084358"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-16db0c0e-8af6-4a5a-98c4-ae022d88295b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a0f63787-a087-4261-a795-61fb2dae58da"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fb17d950-6fb0-4483-adc8-fe084cbc9586"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e2830a97-b3ef-4c07-8088-75fc624e296d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-534b451e-a5ee-4264-89a0-b57cd2d9a21d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-a14c6a5e-9fc0-455a-b4bb-f5e9c4fe4ff6"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3ed0364f-62c8-4ebc-b136-deaf6966880b"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-8e939441-036c-4a34-a80d-751a0395ae8e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-6e229c21-7b2f-405c-9cf0-1a9aa218ddaf"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-27cf110c-281e-4f93-94aa-cbd34c7efae4"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f8a934bd-1570-4b45-927f-1e3af4cc8f45"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4d47bd96-8726-492b-ac8e-50cd4b50c8e8"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-56736642-633e-4e2e-a823-484e4c037788"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-17099f03-5ec8-456d-a2de-968aebaafc78"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-74efd1f5-2718-41e7-981d-7e3b9cb50d71"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3321d61c-6bb1-426a-b853-52d8c3466532"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-f2984dfd-131a-471a-a41f-cdd0fb432b92"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2c4ea690-56bb-41f5-bd79-b6ea19aad2e4"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ab8a2af8-9411-4415-8c16-4a19e5dfea7e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2be46f2d-4e92-4201-ad83-85c47a69b98a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-7781ffbf-2a5c-4a54-a489-2fddd85b7363"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-29acc82d-630c-461b-bb4e-ec99ab06b809"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-2b6638b2-9cc6-41bc-b883-aaf45f7a2947"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-c67fe311-d813-4bda-9b32-e19fbb0d1b0e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fe844499-4819-463c-84dc-362638ea727e"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-b0804b4d-4b1f-4e4a-a871-b1473e73a7c1"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-33125ae7-0d34-4e97-ab8b-04c42ab60c3d"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d1d15120-ea83-4634-9ed2-cd1f34d711f1"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-65ab529f-7c86-423c-9d32-25e8152c0964"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0db3ebb2-b880-4961-a4e5-98f8f4c60e57"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-74e0b32c-7f4b-4fa9-a82d-46ecfb1a059a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-cd721637-f104-4a6d-a79e-f74530287be0"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-58404eca-36d7-4239-a890-630ba1d158f0"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-bb93ada5-b5f3-4174-bead-0faecdbe28ce"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3d7d1585-9cf4-401b-b480-2aae6131d15f"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-1e89baef-ead0-47d0-8a71-52fbc46bc8db"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-9849ea2a-fc17-4068-9c01-dab903ada13c"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0d5fe336-cb01-47df-93a6-7c5de9b01a5a"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-d8e98488-2c1f-41a9-86c9-602d5a96cac1"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0b2e2718-a421-4f9a-ad54-2ab2136698fe"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-420ef2ec-4603-4107-a9a4-5b14fb27ec95"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-621f3091-a6b6-410b-b715-fb61d91d1511"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-387526e2-fa1a-4d12-aa15-535ed244cdc5"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-0768d1fb-70e6-4e31-a083-8a1abdf1d8ff"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-70d965e8-f28f-4223-abd2-a7efb403e038"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-4d6850f0-483b-4f5f-b1da-f87a8510e9a6"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-defb1821-8428-4ead-8c08-da365d237ab2"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-39c32255-bb13-468e-9cda-c5644b931cb4"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-dcc8004b-ab26-4582-b7dc-568acbb48a57"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fa468c98-b8b9-4145-8308-4b91a2c34c72"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-e61000b5-a2df-466d-9525-974b427fb7e9"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-ae0ee06f-a939-422e-bf3c-718872457362"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-6379656a-19e5-483b-ae0d-747726690807"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Malware</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-3cb94b8d-da73-4624-ba1d-a2a9769cebd6"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Targets</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-30f89283-873f-4407-b114-a2863cef5684"/>
</ta:Observed_TTP>
<ta:Observed_TTP>
<stixCommon:Relationship>Uses Attack Pattern</stixCommon:Relationship>
<stixCommon:TTP idref="fireeye:ttp-fb6aa549-c94a-4e45-b4fd-7e32602dad85"/>
</ta:Observed_TTP>
</ta:Observed_TTPs>
<ta:Associated_Campaigns>
<ta:Associated_Campaign>
<stixCommon:Campaign idref="fireeye:campaign-721976f9-56d7-4749-8c69-b3ac7c315f05"/>
</ta:Associated_Campaign>
</ta:Associated_Campaigns>
</stix:Threat_Actor>
</stix:Threat_Actors>
</stix:STIX_Package>
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment