IOCs - 竣盟科技

新型殭屍網路Abcbot鎖定中國雲端供應商，會是日後DDoS攻擊的信號嗎?!

Posted on 2021 年 12 月 22 日2021 年 12 月 23 日 by blogadmin

惡意指令列腳本(shell script)以騰訊、百度和阿里雲、華為雲等的雲端伺服器為目標，旨在消除其他競爭惡意軟體並連接到Abcbot殭屍網路。

資安研究人員發現了一個新的惡意軟體殭屍網路，在過去幾個月中，它專門針對中國雲端託管服務提供商的基礎設施。資安公司Cado Security 在今天的一份報告中表示，名為 Abcbot的殭屍網路的目標是阿里雲、百度、騰訊和華為雲等公司託管的伺服器，而這報告正與TrendMicro和奇360 Netlab之前的調查結果相呼應。

CADO資安研究員Matt Muir表示，不論是華為雲，騰訊雲和百度雲等新一代雲端供應商都沒有像AWS的發展成熟。Muri進一步解釋，AWS的發展其中包括一個示警機制，即如果以不安全的方式部署雲端instance時，即會自動產生警報。

研究員表示，Abcbot殭屍網路的攻擊通常針對這些公司託管的 Linux 伺服器，這些伺服器使用弱密碼保護或運行未修補的應用程式。根據 Cado Security的說法，在找到初始入口點後，Abcbot會部署一個 Linux bash 腳本，該腳本禁用 SELinux 安全保護，為攻擊者建立一個後門，然後掃描受感染的主機以查找其他惡意軟體殭屍網路的跡象。有趣的是，如發現競爭的惡意軟體，Abcbot 會终止已知與其他殭屍網路相關的進程以及與加密挖礦操作相關的進程。Abcbot還採取了其他殭屍網路未曾見過的步驟，即刪除SSH密鑰，僅保留自己的密鑰。

研究員說從對這個指令列腳本的分析中可以明顯看出，Abcbot 背後的威脅參與者投入了大量資金，以保持他們對雲端安全威脅形勢的了解。該惡意軟體包含從主機中刪除加密挖礦和以雲為中心的惡意軟體的特定命令，例如 WatchDog 和 Kinsing。研究還指出，攻擊者針對和騰訊使用的監控解決方案，指向駭客針對特定雲端供應商。Cado研究人員分析的Abcbot樣本包含將受感染系統進行圍堵的功能， TrendMicro分析的Abcbot樣本有包括用於加密貨幣挖礦的模組，Netlab 分析的樣本有包括用於 DDoS 攻擊的功能。

研究人員綜合Abcbot採取的步驟和功能，認為其最終目的是為攻擊者創造加密貨幣的利潤。目前Abcbot殭屍網路的規模仍然未知，但相信鑒於惡意軟體針對特定的雲端供應商，這表明傳播有限。但認為Abcbot的不斷發展，可用於在未來發動DDoS攻擊。

殭屍網路(Botnet)也稱機器人網路(RobotNetwork)，病毒通常會隨著 e-mail、即時通訊軟體或電腦系統漏洞，入侵電腦，再藏身於任何一個程式裡。

殭屍網路與木馬程式的使用方式相仿，但木馬只會攻擊特定目標，較不會藉由被植入木馬的電腦主機，再去攻擊其他電腦。反觀殭屍網路不但會攻擊其他電腦，且具有蠕蟲的特性，會慢慢在網路空間中爬行，一遇到有漏洞的電腦主機，就自行展開攻擊。

Abcbot 殭屍網路的入侵指標(Indicator of compromise -IOCs):

SHA256:
56d677ed192b5010aa780d09c23b8ee8fdff94d39b20a07c7de76705e5f8c51f
22b521f8d605635e1082f3f33a993979c37470fe2980956064aa4917ea1b28d5
IPs:
http://103[.]209[.]103[.]16:26800/ff.sh
http://103[.]209[.]103[.]16:26800/xlinux

Volvo富豪汽車疑遭加密，Snatch勒索軟體再度回歸

Posted on 2021 年 12 月 6 日2021 年 12 月 6 日 by blogadmin

11月30日，在勒索軟體Snatch的揭秘網站上，發布了富豪汽車Volvo Car頁面，表示Snatch已經攻擊了上市汽車公司Volvo，但Snatch沒有公開透露有關盜來數據容量的大小，目前也不清楚勒索的金額。

據了解，Sophos研究團隊於2018年夏天第一次發現Snatch勒索軟體，Snatch於2019年4 月開始活躍，大量發動攻擊，隨後於2020 年突然消失，但現在又再度回歸。Snatch是一種能讓Windows電腦重新開機進入安全模式再對檔案加密，以躲避防毒軟體的偵測的勒索軟體，Snatch以鎖定特定目標(大型企業或政府組織)進行攻擊，透過暴力破解，利用微軟遠端桌面連線功能(RDP)、VNC遠端連線軟體、Teamviewer、Webshell 和 SQL Injection 等工具的漏洞或公開的服務入侵到企業內部網路，之後會收集該企業相關的重要敏感資訊，上傳到攻擊者控制的C2伺服器。

從Snatch揭秘網站上刊登受害公司的記錄，可見自11月25日以來已有12名受害者，除了Volvo Cars外，還有加拿大渦輪鼓風機製造商APG-Neuros、奧地利鹽業公司 Salinen Austria、美國醫療保險CareFirst CHPDC等公司也都被Snatch入侵。

根據瑞士網站inside-it的報導，在流出的螢幕截圖中，可看到富豪汽車虛擬的3D 建模檔案，然而富豪汽車沒有證實，或否認這次攻擊。Volvo Car在一份簡短的聲明中寫道：“富豪汽車不對有關可能的網路安全攻擊的猜測發表評論，但會認真對待對網路安全和財產盜竊的所有潛在威脅。”

過去曾遭勒索攻擊的汽車業者有:

2021年2月，起亞汽車(Kia)美國公司遭DoppelPaymer加密,被勒索2千萬美元

2020年6月，本田汽車網路疑遭勒索軟體Snake攻擊，部份產線停工

2019年2月，豐田汽車澳洲公司確認網路攻擊未遂事件

2017年2月，汽車製造商日產Nissan稱其英國工廠遭勒索軟體攻擊

Snatch勒索軟體的入侵指標(Indicator of compromise -IOCs):

SHA 1:

c24aee8fa0a81a82fe73bf60e0282b1038d6ea80

d5a0c796032eda2fe20d1f39bae3fbc4e6407e8c

18f963dbee830e64828991d26a06d058326c1ddb

5b86cf095fe515b590d18b2e976d9e544c43f6ca

b93d633d379052f0a15b0f9c7094829461a86dbb

0882f2e72f1ca4410fe8ae0fa1138800c3d1561d

be4449f1f947c6bd16f668da523f20172ebfc80a

MD5:

6ed4f5f04d62b18d96b26d6db7c18840

1f7b17cacb0263b84cf3e9d4a5429ef9

1422dae0330c713935d50773680fcb39

6d9d31414ee2c175255b092440377a88

2bbff2111232d73a93cd435300d0a07e

68036895fd169db954b0c048413c6721

研究人員在華為的AppGallery中發現了190 多款包含Android.Cynos.7.origin木馬的遊戲，約930萬部Android手機受感染

Posted on 2021 年 11 月 25 日2021 年 11 月 25 日 by blogadmin

大約930個 Android木馬偽裝成190多個不同的應用程式，上架在華為 AppGallery，並已被大量下載作，成為大規模惡意軟體活動。俄羅斯防毒公司Dr. Web的報告，已將該木馬識別為Android.Cynos.7.origin，用途在收集的用戶敏感數據，該木馬程式為 Cynos惡意軟體的變種。

目前Dr.Web已經將此發現和報告通報給華為，並協助華為從他們的AppGallery中刪除了檢測到的應用程式，但在Android手機上已安裝應用程式的用戶還是需要手動進行刪除。

據了解在Android應用程式中，攻擊者將他們的惡意軟體偽裝成模擬器、街機遊戲、平台遊戲、RTS 策略遊戲以及分別為俄語、中文與國際用戶推出的射擊遊戲，受惡意軟體感染的熱門遊戲包括 Drive school 或 Cat Adventures等。在安裝這些應用程式後木馬的攻擊性就顯現出來，例如它會請求允許執行與遊戲無關的活動，撥打電話、偵測使用者位置等。該惡意軟體還允許攻擊者竊取以下數據：

電話號碼

地理位置數據

WiFi 網路的詳細資訊

行動網路參數和標識符

電話硬體和軟體規格

Dr.Web研究人員說，乍一看，手機號碼外洩似乎是一個微不足道的問題。然而，實際上，它會嚴重傷害用戶，特別是考慮到兒童是遊戲的主要目標受眾。即使手機號碼是成人註冊的，但從下載的遊戲也很可能表明孩子是實際使用手機的人。值得思考的是，父母是否希望上述手機數據不僅傳到未知的外國伺服器，或發送到任何外人上。

此處提供了Dr.Web 歸類為感染了Cynos惡意軟體版本的所有遊戲

入侵指標(Indicator of compromise -IOCs):

URL | App name | Package name | SHA-1

http://appgallery.huawei.com/#/app/C102937601 | 3D City Hunting | com.sns.csls3d.huawei | 8b1de0c1fdea45ff8f4ae250307c0a8f69c3d426

http://appgallery.huawei.com/#/app/C103277985 | 3D Cartoon man Parkour | com.szlh.zhebushikualan.huawei | f70f195fd9deffbde2ee812c93b327d07e18443f

http://appgallery.huawei.com/#/app/C103662071 | 3D City Wild Racing | com.zjld.tejimotuoche.huawei | fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d

http://appgallery.huawei.com/#/app/C104481373 | 3d Man action run | com.zjld.zbsklmar.huawei | e6024ce99966f4ecaff0efdae7781d9d448b2c79

http://appgallery.huawei.com/#/app/C104633441 | Ace of sky hero | com.hsrj.zhandoujiash.huawei | e5ed0eda9513f41b5c9ebd7b14529180a4e5d822

http://appgallery.huawei.com/#/app/C104684815 | Acrobatics diving training | com.zjld.xytsadt.huawei | d4c1b4b2a65279b768338f2c0d12b695572b101b

http://appgallery.huawei.com/#/app/C103622351 | Adventures of Magical Girl | com.yly.mengdongjielong.huawei | 532b2d05f528ee68a1f89d02fa2477a8fac7c88b

http://appgallery.huawei.com/#/app/C104374449 | Airplane master | com.hxy.fzfjam.huawei | fec03ced8741a8241fcb5f272ede566a634ba539

http://appgallery.huawei.com/#/app/C103616693 | All-Star Basketball Championship com.cchl.guanlandazuozhan.huawei | f4b9517b19f8c4cee7295f653dca4af8f9e62a13

http://appgallery.huawei.com/#/app/C103768237 | almighty carry company | com.ccsk.quannenglaosiji.huawei | d4a1e722adda57f72f9daafdfd338630b48ae55f

http://appgallery.huawei.com/#/app/C104284813 | Ancient escape | com.yly.ywscae.huawei | 5599dfea0b274e4edbfdabad72d68e271b99e72d

http://appgallery.huawei.com/#/app/C103895857 | Anti-terrorism actions | com.xstk.csata.huawei | aeb5f642538bfdf6b2a8eb5cf3214035a634506f

http://appgallery.huawei.com/#/app/C103562987 | Anti-terrorist police battle | com.sns.qingsongduobi.huawei | b1112a4847c4006f126f0a5ab08b191df039adb7

http://appgallery.huawei.com/#/app/C103623983 | Ants survive in the wilderness | com.cchl.mayishengcunmoniqi.huawei | fb1b5402a51ebc00b17670d6e6b49dba28d36704

http://appgallery.huawei.com/#/app/C103171043 | Armed air attack at sea | com.zjld.jisulingyun.huawei | f05119b12fc28aca89f48b5a939d6e1928c04bc6

http://appgallery.huawei.com/#/app/C103562027 | Armed escort prisoners | com.hs.wuzhuangyajieqiufan.huawei | 7bf6516b2176363de9d7a7993445ede9f697260d

http://appgallery.huawei.com/#/app/C104457167 | Armed shooting raid | com.hxy.csasr.huawei | c4f1405bba22826a69e94ef20763cb664bc3b44c

http://appgallery.huawei.com/#/app/C103233993 | Armed zombie Tower Defense | com.cchl.baoweixiangrikui.huawei | c30291b34ec74128196612b0a80034424de2ea67

http://appgallery.huawei.com/#/app/C104338383 | Army car transport prisoners | com.sns.wzyjqfactp.huawei | f56151b7fd4096f73574717075f6c08e32ff4765

http://appgallery.huawei.com/#/app/C104661821 | Assassination Sniper | com.xstk.yjbzas.huawei | fca6cb15168ac7b256da4bbb442cf93050981b61

http://appgallery.huawei.com/#/app/C104338933 | Assassination time 3D | com.hsrj.yjbzat.huawei | 78e48efac48d7ed9ea53a7a7df294da0a97de066

http://appgallery.huawei.com/#/app/C104143713 | Battle of tanks | com.zjld.xintankebot.huawei | c80fee5ffccf9ce85ff15b7d085d700ae70aef98

http://appgallery.huawei.com/#/app/C104694107 | Battlefield assault team | com.yly.csbat.huawei | 4a4abab1e69ef629c1c622fd3be280c013e4e9fd

http://appgallery.huawei.com/#/app/C104173375 | Beach ambulance | com.hsrj.htjydba.huawei | b860d5303d8921fed08c5e374483ac127ee2385e

http://appgallery.huawei.com/#/app/C104735997 | Beach Emergency team | com.cchl.htyjxz.huawei | b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1

http://appgallery.huawei.com/#/app/C104516919 | Beach rescue driving | com.sns.htjydbrd.huawei | 38ab82696f45fdf52c04d3ba760e8b752b07df6d

http://appgallery.huawei.com/#/app/C104151447 | Beat the buddy | com.szlh.mtcrbtb.huawei | a4dbe44e0cbef5db32651050189848e9207e28ed

http://appgallery.huawei.com/#/app/C103162445 | Brave Ninja saves Princess | com.zjld.jiantoudaren.huawei | 1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb

http://appgallery.huawei.com/#/app/C104859673 | Bumper Car Arena | com.hsrj.debibca.huawei | 81ae7a0fac2f385b2984669356d92cf7e807fbb7

http://appgallery.huawei.com/#/app/C104621857 | Busy road driving | com.cchl.jyztcbrd.huawei | 7795827b9feb3e6d8a86f30a48686d3fe816ab30

http://appgallery.huawei.com/#/app/C104276919 | Car battle ground | com.xstk.kbphwcng.huawei | 6c748786e3d18321b7e2f6c64b578ecb310d5b82

http://appgallery.huawei.com/#/app/C103920731 | Car destruction war | com.yly.kbphwcdw.huawei | 195bad41d7c0cee3a388ec072353e9b62c923c67

http://appgallery.huawei.com/#/app/C103920329 | Car drive master | com.zjld.jcddcdm.huawei | 664e47cebb0464339d5e75efb4279c1fa86e131a

http://appgallery.huawei.com/#/app/C103955065 | Car merge shooting | com.szlh.xxlpdcms.huawei | f57efc2ee390c43d42dde0e6dde81a2c5dd1958b

http://appgallery.huawei.com/#/app/C104402277 | Car shooting defend war | com.yly.xxlpdcsdw.huawei | 6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72

http://appgallery.huawei.com/#/app/C104114723 | Cat adventures | com.hxy.xmlxjca.huawei | 18558dca2734d6b098d91d570e0ca13623e0a851

http://appgallery.huawei.com/#/app/C104415377 | Cat cute diary | com.szlh.xmlxjccd.huawei | aa2f1784fe24b564fdeb577a340d439661db1571

http://appgallery.huawei.com/#/app/C103823729 | Cat game room | com.hs.xiaomaolixianji.huawei | 79ddb48ac25eb392c9e92dc44d32bbc522e19fae

http://appgallery.huawei.com/#/app/C104429049 | City car parking test | com.sns.jyztcccpt.huawei | 30abca107e63b3858bc661f27e2ab56ee3fbb471

擁槍團體美國全國步槍協會，遭Grief勒索軟體入侵

Posted on 2021 年 10 月 29 日2021 年 10 月 29 日 by blogadmin

10 月 28 日，據美國NBC新聞報導，操作Grief勒索軟體的俄羅斯駭客組織聲稱已經成功入侵了美國全國步槍協會 (NRA)，週三在其揭秘網站上發布了來自全國步槍協會數據庫的13 個檔案，威脅說如果不支付贖金，就會發布敏感資訊。美國全國步槍協會( National Rifle Association ; NRA ; 簡稱美國槍會 )是美國最大規模的槍械組織，有超過五百萬名會員，美國槍會積極參加美國當地的政治活動，具有重大政治影響力。目前尚不清楚 Grief是否攻擊了美國槍會的一個較小的分支機構，或是攻擊了的中央網路。

根據消息人士，美國槍會沒有回應 NBC 就此次駭客事件發表評論的請求，但據報導，美國槍會只稱是它們的電子郵件系統遇到了技術問題。隨後，美國槍會在Twitter一條推文中表示，它們不討論是其實體或電子安全相關的問題，並補充說它們採取非常措施來保護會員和捐助者的資料。

“NRA does not discuss matters relating to its physical or electronic security. However, the NRA takes extraordinary measures to protect information regarding its members, donors, and operations – and is vigilant in doing so.”–Andrew Arulanandam, managing dir., NRA Public Affairs
— NRA (@NRA) October 27, 2021

近年來，針對各種公司和組織的勒索軟體攻擊激增，但很少有像美國槍會那樣具有政治敏感性的目標。該組織長期以來一直與美國共和黨高層立法者保持密切聯繫，並且一直是共和黨候選人的主要支持者。全國步槍協會在過去兩次總統選舉中花費了數千萬美元幫Donald Trump助選。

據BleepingComputer，Grief 勒索軟體與名為 Evil Corp. 的俄羅斯駭客組織有關，Evil Corp 自 2009 年以來一直活躍，並參與了許多惡意網路活動，包括分發Dridex木馬以竊取網上銀行憑證和竊取資金。

駭客組織在 2017 年轉向勒索軟體，當時他們發布了名為 BitPaymer 的勒索軟體。BitPaymer 後來在 2019 年演變為 DoppelPaymer 勒索軟體操作。

在多年攻擊美國利益後，美國司法部指控 Evil Corp 成員竊取超過 1 億美元，並將該駭客組織列入外國資產控制辦公室 (OFAC) 制裁名單。

不久之後，美國財政部隨後警告說，勒索軟體談判人員可能會因協助向制裁名單上的駭客組織支付贖金而面臨民事處罰。

從那時起，Evil Corp 就經常以不同的名稱發布新的勒索軟體，以逃避美國的制裁。這些勒索軟體系列包括 WastedLocker、 Hades、 Phoenix CryptoLocker、 PayLoadBin，以及最近的 Macaw Locker。然而，他們最初的勒索軟體 DoppelPaymer 以相同的名稱運作了多年，直到 2021 年 5 月，他們停止在揭秘網站點上列出新的受害者。

一個月後，Grief 勒索軟體出現了，基於程式碼的相似性資安研究人員認為這是DoppelPaymer 的品牌重塑。

有關Grief勒索軟體的入侵指標Indicators of compromise (IOCs):

SHA256 :

b5c188e82a1dad02f71fcb40783cd8b910ba886acee12f7f74c73ed310709cd2

91e310cf795dabd8c51d1061ac78662c5bf4cfd277c732385a82f181e8c29556

dda4598f29a033d2ec4f89f4ae687e12b927272462d25ca1b8dec4dc0acb1bec

0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0

b21ad8622623ce4bcdbf8c5794ef93e2fb6c46cd202d70dbeb088ea6ca4ff9c8

研究人員發現，俄羅斯APT駭客組織Turla 在攻擊目標系統上部署新型的second-chance後門程式

Posted on 2021 年 9 月 29 日2021 年 9 月 29 日 by blogadmin

研究人員發現俄羅斯國家級駭客 Turla是一系列新的入侵活動的幕後黑手，該攻擊活動使用以前未被記錄過的新型後門程式來入侵美國、德國和阿富汗的系統。根據Cisco Talos的研究，俄羅斯的APT 駭客組織Turla (又名Snake、Venomous Bear、Uroburos和WhiteBear) Turla至少自2004年以來就一直活躍。多年來，該組織以美國、烏克蘭或阿拉伯國家為目標，開發並維護了一套龐大的攻擊工具，如Crutch或Kazuar。

這一系列新的入侵活動利用一個隱蔽的second-chance後門” TinyTurla”來維持被感染的設備的存取權限。在這裡”second-chance “意指可作為第二次入侵的使用，據了解Tiny Turla後門很難被清除，即使被感染的機器清除了主要的惡意軟體，攻擊者也能繼續保持對系統的存取，同時還可以用作第二階段的dropper，用其他惡意軟體感染系統。此外，TinyTurla 可以上傳和執行檔案或將敏感數據從受感染的機器傳輸到遠端伺服器，同時每五秒請求一次C2伺服器以獲取最新的命令。

TinyTurla的入侵活動涉及使用.BAT 檔案來部署惡意軟體，但確切的入侵途徑尚不清楚，另外研究人員發現，這個新穎的後門——偽裝成一個無害但虛假的微軟 Windows 時間服務（“ w32time.dll ”），能夠上傳、執行或竊取檔案，被編排以註冊自身與攻擊者控制的伺服器建立通信，以接收進一步的指令，範圍從下載和執行任意進程到將命令的結果上傳回伺服器。

由於TinyTurla的功能有限且編碼高效，反惡意軟體工具很難檢測到它是惡意軟體。這也就解釋了為什麼儘管攻擊者從2020年就開始部署它，但是一直沒有被發現。

有關TinyTurla的入侵指標Indicators of compromise (IOCs):

SHA256:

030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01

SHA1: 02c37ccdfccfe03560a4bf069f46e8ae3a5d2348

MD5:

028878c4b6ab475ed0be97eca6f92af9

FBI 針對勒索軟體會員(Ransomware affiliate )首次發出警報，直接點名”OnePercent Group”

Posted on 2021 年 8 月 24 日2021 年 8 月 24 日 by blogadmin

美國聯邦調查局(Federal Bureau of Investigation；FBI) 在8月23日，針對勒索軟體會員的作案手法發布了其首個公開警報(警報編號為CU-000149-MW的FBI Flash )。勒索軟體會員(Ransomware affiliate) 一個相對較新的術語，是指租用勒索軟體即服務（Ransomware as a Service；RaaS）平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案，然後成功從勒索賺取佣金的個人或團體。

美國聯邦調查局點名的勒索軟體會員為”OnePercent Group”，FBI表示該團體至少自 2020 年 11 月以來一直活躍，積極針對組織進行勒索軟體攻擊。根據 FBI 警報，該團體主要依靠以下策略進行攻擊：

*利用網路釣魚電子郵件活動用 IcedID 木馬感染受害者。

*利用 IcedID 木馬在受感染的網路上部署額外的payloads。

*利用 Cobalt Strike 滲透工具在受害者的網路中橫向移動。

*利用 Rclone 從受害者的伺服器中竊取敏感數據。

*加密數據並要求贖金。

*給受害者打電話或發電子郵件威脅說，如果他們不付款，就會在暗網上出售他們被盜的數據。

OnePercent Group是知名勒索軟體REvil、Maze 和 Egregor 的會員

雖然 FBI 沒有指出OnePercent Group哪一個勒索軟體的會員，但根據業內人士的消息，OnePercent Group與運作 REvil (Sodinokibi) 勒索軟體的駭客有長期合作，並且還與 Maze和 Egregor合作。雖然 FBI 沒有提供有關 OnePercent Group 過去攻擊的任何資訊，但 FBI 的 IOC 列表中提到的兩個C2伺服器（golddisco[.]top 和 june85[.]cyou）也出現在 FireEye 關於 UNC2198 駭客組織的報告中，該駭客組織利用IcedID 部署了 Maze 和 Egregor 勒索軟體。

有關 OnePercent Group的入侵指標(Indicator of compromise -IOCs):

Onion Domain:

5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad.onion

IPs and Domains

157.245.239.187

31.187.64.199

206.189.227.145

167.71.224.39

80.82.67.221

138.197.179.153

134.209.203.30

nix1.xyz

golddisco.top

delokijio.pw

june85.cyou

intensemisha.cyou

biggarderoub.cyou

d30qpb9e10re4o.cloudfront.net

SHA256

Rclone.exe (64 bit)

ECA9FAC6848545FF9386176773810F96323FEFF0D575C4B6E1C55F

8DB842E7FE

SHA1

Rclone.exe (64 bit)

C00CFB456FC6AF0376FBEA877B742594C443DF97

SHA256

Rclone.exe (32 bit)

E70ED531C8A12E7ECCE83223D7B9AA1895110DC140EDF85AFC31C

8C5CD580116

SHA1

Rclone.exe (32 bit)

A1D985E13C07EDDFA2721B14F7C9F869B0D733C9

TOR URL: http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty

3zad. Onion