サイバー救急センターレポート 特別編集号
Contents
特別編集号
サイバー救 急 センターレポート
特別編集号
サイバー救急センターレポート
- 脅威管理とインシデント対応をする人へ -
仮想通貨を狙うサイバー攻撃の背後にある影
01
2019 年 6 月 19 日
サイバー救急センター
サイバー救 急 センターレポート
特別編集号
サイバー救急センターレポート
特別編集号
目
次
03
はじめに
04
仮想通貨を狙う攻撃のタイムライン
-
05
攻撃の概要
-
30
2 つのマルウェア「NetWire」と「Ekoms(Mokes)」の特徴
C2 インフラ
-
39
3 つの攻撃手口「VBA マクロ」「ソフトウェアの脆弱性」「偽のインストーラ」
攻撃マルウェア
-
38
HYDSEVEN の活動概要
攻撃に使用される海外サーバ
攻撃者グループの背景
-
2 つの足跡「デコイ文書ファイル」「コードサイニング証明書」
44
検出または緩和策
47
おわりに
48
Indicator-of-Compromise(IOC)
サイバー救急センターレポート(以下、本文書)は、情報提供を目的としており、記述を利用した結果生じるいかなる損失についても、株式会社ラックは
責任を負いかねます。
本文書に記載された情報は初回掲載時のものであり、閲覧・提供される時点では変更されている可能性があることをご了承ください。
LAC、ラック、サイバー救急センター、サイバー119 は、株式会社ラックの商標または登録商標です。
この他、本文書に記載した会社名・製品名は各社の商標または登録商標です。
表紙、裏表紙の写真は、永安佑希允の著作物です。
本文書を引用する際は出典元を必ず明記してください。
本文書の一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。
Ⓒ 2019 LAC Co., Ltd. All Rights Reserved.
02
サイバー救 急 センターレポート
特別編集号
はじめに
昨今、仮想通貨(暗号通貨)への関心がますます高まるなか、仮想通貨を狙うサイバー攻撃も活
発に行われています。仮想通貨を狙う攻撃手法は、仮想通貨取引所から直接窃取する、仮想通貨所
有者のウォレットから窃取する、ならびに PC やサーバのリソースを不正に利用したマイニング(発掘)など
があります。このように様々な攻撃がある中で、仮想通貨取引所からの仮想通貨流出は、仮想通貨自
体の信頼性や安全性にも関わる問題となり注目を集めています。サイバーセキュリティ企業の Group-IB
社の調査1によれば、2017 年以降のサイバー攻撃による取引所の被害は合計 8 億 8 千 2 百万ドルに
まで拡大しているとしており、巨額の仮想通貨が不正に流出していることがわかります。2019 年になって
も仮想通貨を狙う攻撃は続いており、今後も増加していくことが予想されます。
本レポートは、仮想通貨の窃取を目的とした攻撃者グループ「HYDSEVEN」の活動に関して、
2016 年から 2019 年の期間に彼らが利用した TTPs(Tactics, Techniques and Procedures)
を明らかにしたものです。当社で確認する限り、2019 年 6 月現在でこの HYDSEVEN の活動について
言及された情報は少ないですが、日本やポーランドを含む様々な国で活動を行っていることがわかっていま
す。仮想通貨を狙う HYDSEVEN への対策を考える上で、組織内や業界内での注意喚起やセキュリ
ティ対策、攻撃の検知等に本レポートを役立てて頂けますと幸甚です。
サイバー救急センター 脅威分析チーム
石川 芳浩
1
https://www.group-ib.com/media/gib-crypto-summary/
03
サイバー救 急 センターレポート
特別編集号
仮想通貨を狙う攻撃のタイムライン
図 1 は、2016 年8月から 2019 年3月までに確認できた、仮想通貨を標的とする攻撃者グループ
「HYDSEVEN」の活動概要です。私どもサイバー救急センター 脅威分析チームの調査では 2016 年、
2017 年に多くの攻撃を確認し、2019 年に入っても攻撃は継続しています。これらの攻撃の始まりの多く
はスピアフィッシングメールであり、HYDSEVEN は、大学関係者または研究者を装い、特定の組織や人
に対して攻撃を行っています。Office 文書ファイルの VBA マクロの悪用、ソフトウェアの脆弱性悪用(エ
クスプロイト)、リンク型スピアフィッシングによる正規ソフトウェアのインストールを偽装する手口など様々な
手段で攻撃を行います。また、HYDSEVEN は、攻撃マルウェアとして、主に NetWire と Ekoms
(Mokes)を使用します。これらのマルウェアについては、第 4 章で紹介し、次の第 3 章では、
HYDSEVEN の攻撃手口に焦点を当て、その特徴を紹介します。
図 1 HYDSEVEN の活動タイムライン
04
サイバー救 急 センターレポート
特別編集号
攻撃の概要
HYDSEVEN は、Office 文書ファイルに埋め込んだ VBA マクロ、ソフトウェアの脆弱性の悪用、
そして、正規ソフトウェアのインストーラの偽装といった 3 つの攻撃手口で仮想通貨を窃取します。こ
の章では、これらについて紹介します。
Office 文書ファイルの VBA マクロを悪用する手口
VBA マクロを悪用した攻撃は、2016 年 8 月および同 12 月に確認しており、図 2 は、これらの時期
に行われた攻撃の流れを図示したものです。2016 年 8 月の攻撃で使用された Office 文書ファイルは、
図 3 に示すような London School of Economics and Political Science(LSE)との協業案内
またはアラブ首長国連邦(UAE)銀行の口座開設を装うものです。Office 文書ファイルを見てみると、
上部に”セキュリティの警告”のメッセージバー2が表示されており、VBA やアドイン等の 2 種類以上のアク
ティブコンテンツが含まれていることが確認できます。
図 2 VBA マクロを悪用する攻撃手口の概要図
2
https://support.office.com/en-us/article/active-content-types-in-your-files-b7ff2e8a-4055-47d4-8c7d-541e19f62bea
05
サイバー救 急 センターレポート
特別編集号
図 3 VBA マクロを悪用する Office 文書ファイルの例
図 4 は、Office 文書ファイルに含まれた VBA マクロを一部抜粋したものであり、赤線枠で示すように
Shell 関数3を利用して、図 5 に示すような PowerShell コマンドを実行します。これにより、C2 サーバか
ら NetWire または Ekoms(Mokes)がダウンロードされ、実行されます。
3
https://docs.microsoft.com/ja-jp/office/vba/language/reference/user-interface-help/shell-function
06
サイバー救 …
サイバー救 急 センターレポート
特別編集号
サイバー救急センターレポート
- 脅威管理とインシデント対応をする人へ -
仮想通貨を狙うサイバー攻撃の背後にある影
01
2019 年 6 月 19 日
サイバー救急センター
サイバー救 急 センターレポート
特別編集号
サイバー救急センターレポート
特別編集号
目
次
03
はじめに
04
仮想通貨を狙う攻撃のタイムライン
-
05
攻撃の概要
-
30
2 つのマルウェア「NetWire」と「Ekoms(Mokes)」の特徴
C2 インフラ
-
39
3 つの攻撃手口「VBA マクロ」「ソフトウェアの脆弱性」「偽のインストーラ」
攻撃マルウェア
-
38
HYDSEVEN の活動概要
攻撃に使用される海外サーバ
攻撃者グループの背景
-
2 つの足跡「デコイ文書ファイル」「コードサイニング証明書」
44
検出または緩和策
47
おわりに
48
Indicator-of-Compromise(IOC)
サイバー救急センターレポート(以下、本文書)は、情報提供を目的としており、記述を利用した結果生じるいかなる損失についても、株式会社ラックは
責任を負いかねます。
本文書に記載された情報は初回掲載時のものであり、閲覧・提供される時点では変更されている可能性があることをご了承ください。
LAC、ラック、サイバー救急センター、サイバー119 は、株式会社ラックの商標または登録商標です。
この他、本文書に記載した会社名・製品名は各社の商標または登録商標です。
表紙、裏表紙の写真は、永安佑希允の著作物です。
本文書を引用する際は出典元を必ず明記してください。
本文書の一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。
Ⓒ 2019 LAC Co., Ltd. All Rights Reserved.
02
サイバー救 急 センターレポート
特別編集号
はじめに
昨今、仮想通貨(暗号通貨)への関心がますます高まるなか、仮想通貨を狙うサイバー攻撃も活
発に行われています。仮想通貨を狙う攻撃手法は、仮想通貨取引所から直接窃取する、仮想通貨所
有者のウォレットから窃取する、ならびに PC やサーバのリソースを不正に利用したマイニング(発掘)など
があります。このように様々な攻撃がある中で、仮想通貨取引所からの仮想通貨流出は、仮想通貨自
体の信頼性や安全性にも関わる問題となり注目を集めています。サイバーセキュリティ企業の Group-IB
社の調査1によれば、2017 年以降のサイバー攻撃による取引所の被害は合計 8 億 8 千 2 百万ドルに
まで拡大しているとしており、巨額の仮想通貨が不正に流出していることがわかります。2019 年になって
も仮想通貨を狙う攻撃は続いており、今後も増加していくことが予想されます。
本レポートは、仮想通貨の窃取を目的とした攻撃者グループ「HYDSEVEN」の活動に関して、
2016 年から 2019 年の期間に彼らが利用した TTPs(Tactics, Techniques and Procedures)
を明らかにしたものです。当社で確認する限り、2019 年 6 月現在でこの HYDSEVEN の活動について
言及された情報は少ないですが、日本やポーランドを含む様々な国で活動を行っていることがわかっていま
す。仮想通貨を狙う HYDSEVEN への対策を考える上で、組織内や業界内での注意喚起やセキュリ
ティ対策、攻撃の検知等に本レポートを役立てて頂けますと幸甚です。
サイバー救急センター 脅威分析チーム
石川 芳浩
1
https://www.group-ib.com/media/gib-crypto-summary/
03
サイバー救 急 センターレポート
特別編集号
仮想通貨を狙う攻撃のタイムライン
図 1 は、2016 年8月から 2019 年3月までに確認できた、仮想通貨を標的とする攻撃者グループ
「HYDSEVEN」の活動概要です。私どもサイバー救急センター 脅威分析チームの調査では 2016 年、
2017 年に多くの攻撃を確認し、2019 年に入っても攻撃は継続しています。これらの攻撃の始まりの多く
はスピアフィッシングメールであり、HYDSEVEN は、大学関係者または研究者を装い、特定の組織や人
に対して攻撃を行っています。Office 文書ファイルの VBA マクロの悪用、ソフトウェアの脆弱性悪用(エ
クスプロイト)、リンク型スピアフィッシングによる正規ソフトウェアのインストールを偽装する手口など様々な
手段で攻撃を行います。また、HYDSEVEN は、攻撃マルウェアとして、主に NetWire と Ekoms
(Mokes)を使用します。これらのマルウェアについては、第 4 章で紹介し、次の第 3 章では、
HYDSEVEN の攻撃手口に焦点を当て、その特徴を紹介します。
図 1 HYDSEVEN の活動タイムライン
04
サイバー救 急 センターレポート
特別編集号
攻撃の概要
HYDSEVEN は、Office 文書ファイルに埋め込んだ VBA マクロ、ソフトウェアの脆弱性の悪用、
そして、正規ソフトウェアのインストーラの偽装といった 3 つの攻撃手口で仮想通貨を窃取します。こ
の章では、これらについて紹介します。
Office 文書ファイルの VBA マクロを悪用する手口
VBA マクロを悪用した攻撃は、2016 年 8 月および同 12 月に確認しており、図 2 は、これらの時期
に行われた攻撃の流れを図示したものです。2016 年 8 月の攻撃で使用された Office 文書ファイルは、
図 3 に示すような London School of Economics and Political Science(LSE)との協業案内
またはアラブ首長国連邦(UAE)銀行の口座開設を装うものです。Office 文書ファイルを見てみると、
上部に”セキュリティの警告”のメッセージバー2が表示されており、VBA やアドイン等の 2 種類以上のアク
ティブコンテンツが含まれていることが確認できます。
図 2 VBA マクロを悪用する攻撃手口の概要図
2
https://support.office.com/en-us/article/active-content-types-in-your-files-b7ff2e8a-4055-47d4-8c7d-541e19f62bea
05
サイバー救 急 センターレポート
特別編集号
図 3 VBA マクロを悪用する Office 文書ファイルの例
図 4 は、Office 文書ファイルに含まれた VBA マクロを一部抜粋したものであり、赤線枠で示すように
Shell 関数3を利用して、図 5 に示すような PowerShell コマンドを実行します。これにより、C2 サーバか
ら NetWire または Ekoms(Mokes)がダウンロードされ、実行されます。
3
https://docs.microsoft.com/ja-jp/office/vba/language/reference/user-interface-help/shell-function
06
サイバー救 …
IoC
006bdb19b6936329bffd4054e270dc6a
0469be73633d45aea1665ddd31a1c694
0943806cea1913227d2595dbcc2b94c0
0f83e147217c156b7ab66a26cf865827
103.234.220.230
119.81.131.251
12def981952667740eb06ee91168e643
130.255.185.77
137.59.22.42
146.185.170.48
149.202.69.6
158.69.24.141
162.248.227.9
16e55ba5c7870400cfa244ee211414d9
185.106.122.113
185.49.68.145
185.49.68.192
185.49.68.193
185.49.68.195
185.82.21.65
188.165.218.177
2abe3cc4bff46455a945d56c27e9fb45
2e4d861bdb438c9b3a3d6658d40d07b2
32f30ef97554b4e5993152252e57e86c
37.235.48.233
3d9a8ad7ae2bf9d4e4bd6381438d2b0c
45.63.22.17
46.165.194.94
46.165.249.77
4df998fe61fc43803aed470fe52dc14e
51.255.86.55
58cf773d2eb957d48b931079b9c087dd
5f5847160dbfe0d6604dc5b6dd64ffb9
786925ad4a4f91a98dd09508471ebddf
796dff8007f3163adfcb9fa7f5fded1c
796e62cc921af203c2dae93159f93f70
80aa2d0c8c05a78487b85013c43c2143
81.4.122.139
838e0e1bfdb8b26fa8bfca3d14b09b9f
84.200.2.12
89.34.111.113
8c0ba5e0351975e8fc0c49fdb6dba4ff
8c1d6403f550a9ddb6640ade3f38a171
8ffa073c1d4860ec5ac05b53998b421d
91.121.120.198
91099aa413722d22aa50f85794ee386e
94.23.48.115
9a9c3d7a44834f1d08ebdf3c9e5c3e62
a19829fed00d46c91d81f203fe9cb6c5
a20bb703d44d5717feb76fb36f571aea
a2480c9d205e90432daf4586809f3755
a24aef033e061d358579250c6fed8e32
a26ef7c2b718f2b13240f6f9cf91c693
a2d60db7db42adc8c3ab87b3dd244777
a3ce918d207e725f89683cc2c768b454
a3e4801aa871f4e165bbd760333237b8
a4d1098a0c18c147e0b1bfa53cf6dd88
a4f27cd95be3ae069b285648c568f5ea
a502134c8f4b1d9a055375d79acfa9a9
a5462407c447351788ef9ac5bae52c9d
a549d7ca2deb4aa7f7ce46efa1295e76
a5838df9164d968b40fc5e2140c5ac99
a59252c2d3143dca47fb7e14d1b13d33
a5cbda7bb3864626d6251f3a8cd09cb7
a63de560893500588a313e502be3efd2
a650ccb18450dff911365aa830d1ecb9
a6f3379cdf41f1cdf11ee071e3e40854
a6f8ae86cf8725e16193e0fab0483c2c
a86cf58cb8c3ed3ca3c89a2c0443d6d7
a8d7582d9f7e9c2c8631351837817f2d
a8ebaefd17089cce9efb8749926dca6d
a99a4d2a2cbc10f07d2bbcf0c1c91d0c
a9a32cd4275138e6ff9e3b1912b1163b
aa6cc819f92f26782194369096c02837
aad72111d8d41e2edc0ab4e96613aa70
aadb3437d9c0ede00b9a0672b7bfd0e1
ab235de113ee97926fb15eeaac555490
ab28a1d4fbe377f4b08c40bbd96e7a51
ab29919492a0cddabfe2d75c4d42d00d
ab373d32f290e6928446f7f94e616c38
abd9e42eb48a10ac1990fdfb03bd09a8
acd18d845812ac288016c9610d1c9c39
acf159e78dce7c5095640030a5a0d6d2
ad836caa03a5f1df34d9131922ffa495
ad9fa32f08638897fe126db894aa8260
afab14af38d50262b13a95e10cd7bba8
afdc898cf874b74e68280185867250f9
b04e7cba062e23c9bbcc3b8ba38ab4da
b157c08db89d194eaa73c0723cf42b36
b1ebf98704fe7549be440692e48b0a72
b4376a7ef36f1357109e6b6362a71152
b5c67058209e85fbc1f048e42ded9a48
b76ae18bb4d86add42b3a9af7b880a39
b78c6850cc40b385e839498abc17fc98
b7a12cc9e44a55814fe9b0cc6aa7fb1e
b7c546c7f72b78568ea99706d0343229
b8b776ebe5cf30c6dc1547ed35a79f42
b92c2bdb21b7eb6578bd4cb1ceb9eb64
ba3a1e3d00e04073e90bfcc744264067
ba83abf043344d425cf39c612d0fb5c4
bae5d7736ff20f96528cde32c8c5e6cb
bb5f033b8717f42d5804b9c905fe9f50
bbae132bf631a093af5567e3fb540eee
bf38f2371d30bc6ab6382626a4eba298
c1aaf1f7652d483ae2d4712d05b5f0ad
c1e658bcda1b5ddaf7284fe5d219420d
ca584961b8292d3d075b57994883572a
cb75044f5941530d963df9a626c813ae
d1f8ba71e08c27e753272eb61d7dd3eb
de3a8b1e149312dac5b8584a33c3f3c6
f08d3083c19320e2202128802b7ff306
f84d985b94e31c04b6823af150f0b96f
fcb719e28da41dd7443017eb1f456ff3
fe84cb5d1832333e5e77cb6efdf5bfb6
http://103.234.220.230
http://119.81.131.251
http://130.255.185.77
http://137.59.22.42
http://146.185.170.48
http://149.202.69.6
http://158.69.24.141
http://162.248.227.9
http://185.106.122.113
http://185.49.68.145
http://185.49.68.192
http://185.49.68.193
http://185.49.68.195
http://185.82.21.65
http://188.165.218.177
http://37.235.48.233
http://45.63.22.17
http://46.165.194.94
http://46.165.249.77
http://51.255.86.55
http://81.4.122.139
http://84.200.2.12
http://89.34.111.113
http://91.121.120.198
http://94.23.48.115
http://anongfs671234d.com
http://cameforcameand33212.com
http://g890ios20.com
http://gloria18611.com
http://homegwjskjl111.info
http://jessiman901.com
http://jikenick12and67.com
http://kaplaromenmmxs.com
http://kleboneonn12.com
http://kurgen3211a.com
http://stata14lic.org
http://statalicensesrv.com
0469be73633d45aea1665ddd31a1c694
0943806cea1913227d2595dbcc2b94c0
0f83e147217c156b7ab66a26cf865827
103.234.220.230
119.81.131.251
12def981952667740eb06ee91168e643
130.255.185.77
137.59.22.42
146.185.170.48
149.202.69.6
158.69.24.141
162.248.227.9
16e55ba5c7870400cfa244ee211414d9
185.106.122.113
185.49.68.145
185.49.68.192
185.49.68.193
185.49.68.195
185.82.21.65
188.165.218.177
2abe3cc4bff46455a945d56c27e9fb45
2e4d861bdb438c9b3a3d6658d40d07b2
32f30ef97554b4e5993152252e57e86c
37.235.48.233
3d9a8ad7ae2bf9d4e4bd6381438d2b0c
45.63.22.17
46.165.194.94
46.165.249.77
4df998fe61fc43803aed470fe52dc14e
51.255.86.55
58cf773d2eb957d48b931079b9c087dd
5f5847160dbfe0d6604dc5b6dd64ffb9
786925ad4a4f91a98dd09508471ebddf
796dff8007f3163adfcb9fa7f5fded1c
796e62cc921af203c2dae93159f93f70
80aa2d0c8c05a78487b85013c43c2143
81.4.122.139
838e0e1bfdb8b26fa8bfca3d14b09b9f
84.200.2.12
89.34.111.113
8c0ba5e0351975e8fc0c49fdb6dba4ff
8c1d6403f550a9ddb6640ade3f38a171
8ffa073c1d4860ec5ac05b53998b421d
91.121.120.198
91099aa413722d22aa50f85794ee386e
94.23.48.115
9a9c3d7a44834f1d08ebdf3c9e5c3e62
a19829fed00d46c91d81f203fe9cb6c5
a20bb703d44d5717feb76fb36f571aea
a2480c9d205e90432daf4586809f3755
a24aef033e061d358579250c6fed8e32
a26ef7c2b718f2b13240f6f9cf91c693
a2d60db7db42adc8c3ab87b3dd244777
a3ce918d207e725f89683cc2c768b454
a3e4801aa871f4e165bbd760333237b8
a4d1098a0c18c147e0b1bfa53cf6dd88
a4f27cd95be3ae069b285648c568f5ea
a502134c8f4b1d9a055375d79acfa9a9
a5462407c447351788ef9ac5bae52c9d
a549d7ca2deb4aa7f7ce46efa1295e76
a5838df9164d968b40fc5e2140c5ac99
a59252c2d3143dca47fb7e14d1b13d33
a5cbda7bb3864626d6251f3a8cd09cb7
a63de560893500588a313e502be3efd2
a650ccb18450dff911365aa830d1ecb9
a6f3379cdf41f1cdf11ee071e3e40854
a6f8ae86cf8725e16193e0fab0483c2c
a86cf58cb8c3ed3ca3c89a2c0443d6d7
a8d7582d9f7e9c2c8631351837817f2d
a8ebaefd17089cce9efb8749926dca6d
a99a4d2a2cbc10f07d2bbcf0c1c91d0c
a9a32cd4275138e6ff9e3b1912b1163b
aa6cc819f92f26782194369096c02837
aad72111d8d41e2edc0ab4e96613aa70
aadb3437d9c0ede00b9a0672b7bfd0e1
ab235de113ee97926fb15eeaac555490
ab28a1d4fbe377f4b08c40bbd96e7a51
ab29919492a0cddabfe2d75c4d42d00d
ab373d32f290e6928446f7f94e616c38
abd9e42eb48a10ac1990fdfb03bd09a8
acd18d845812ac288016c9610d1c9c39
acf159e78dce7c5095640030a5a0d6d2
ad836caa03a5f1df34d9131922ffa495
ad9fa32f08638897fe126db894aa8260
afab14af38d50262b13a95e10cd7bba8
afdc898cf874b74e68280185867250f9
b04e7cba062e23c9bbcc3b8ba38ab4da
b157c08db89d194eaa73c0723cf42b36
b1ebf98704fe7549be440692e48b0a72
b4376a7ef36f1357109e6b6362a71152
b5c67058209e85fbc1f048e42ded9a48
b76ae18bb4d86add42b3a9af7b880a39
b78c6850cc40b385e839498abc17fc98
b7a12cc9e44a55814fe9b0cc6aa7fb1e
b7c546c7f72b78568ea99706d0343229
b8b776ebe5cf30c6dc1547ed35a79f42
b92c2bdb21b7eb6578bd4cb1ceb9eb64
ba3a1e3d00e04073e90bfcc744264067
ba83abf043344d425cf39c612d0fb5c4
bae5d7736ff20f96528cde32c8c5e6cb
bb5f033b8717f42d5804b9c905fe9f50
bbae132bf631a093af5567e3fb540eee
bf38f2371d30bc6ab6382626a4eba298
c1aaf1f7652d483ae2d4712d05b5f0ad
c1e658bcda1b5ddaf7284fe5d219420d
ca584961b8292d3d075b57994883572a
cb75044f5941530d963df9a626c813ae
d1f8ba71e08c27e753272eb61d7dd3eb
de3a8b1e149312dac5b8584a33c3f3c6
f08d3083c19320e2202128802b7ff306
f84d985b94e31c04b6823af150f0b96f
fcb719e28da41dd7443017eb1f456ff3
fe84cb5d1832333e5e77cb6efdf5bfb6
http://103.234.220.230
http://119.81.131.251
http://130.255.185.77
http://137.59.22.42
http://146.185.170.48
http://149.202.69.6
http://158.69.24.141
http://162.248.227.9
http://185.106.122.113
http://185.49.68.145
http://185.49.68.192
http://185.49.68.193
http://185.49.68.195
http://185.82.21.65
http://188.165.218.177
http://37.235.48.233
http://45.63.22.17
http://46.165.194.94
http://46.165.249.77
http://51.255.86.55
http://81.4.122.139
http://84.200.2.12
http://89.34.111.113
http://91.121.120.198
http://94.23.48.115
http://anongfs671234d.com
http://cameforcameand33212.com
http://g890ios20.com
http://gloria18611.com
http://homegwjskjl111.info
http://jessiman901.com
http://jikenick12and67.com
http://kaplaromenmmxs.com
http://kleboneonn12.com
http://kurgen3211a.com
http://stata14lic.org
http://statalicensesrv.com