В начале 2024 года в процессе изучения массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули предположение, что все они связаны с одним и тем же атакующим. Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса.
По данным F.A.C.C.T., Narketing163 атакует пользователей из разных стран, в числе которых Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Есть в списке целей Narketing163 и Россия. Злоумышленник атаковал сотрудников российских компаний под видом деловой переписки. По состоянию на сентябрь 2024 года, было обнаружено более 500 вредоносных писем атакующего, нацеленных на российские компании, которые были исследованы в рамках данного блога.
В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.
В этом блоге мы разберем атаки Narketing163, расскажем о его тактиках и техниках, поделимся рекомендациями и индикаторами компрометации.
Анализ активности злоумышленника
По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и на момент написания блога в сентябре 2024 года, все еще не прекратил свою активность. Вредоносные рассылки Narketing163 нацелены на компании из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.
Как мы отмечали выше, в своих атаках Narketing163 использует различное вредоносное ПО, написанное под ОС Windows: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger. Ниже представлено краткое описание вредоносных программ, используемых злоумышленником в рассматриваемых атаках.
RedLine Stealer — вредоносное ПО, которое появилось в продаже на андеграундных ресурсах в 2020 году. Основные возможности:
- сбор из браузеров:
- логинов и паролей;
- файлов cookie;
- данных автозаполнения;
- данных кредитных карт;
- сбор данных из FTP-клиентов, IM-клиентов;
- файл-граббер;
- сбор информации о системе жертвы;
- выполнение задач в зараженной системе.
Agent Tesla — это популярный троян, появившийся в продаже в 2014 году. Сначала создавался как кейлогер, но с течением времени получил расширенные функциональные возможности: захват камеры жертвы, сбор информации о зараженном устройстве, кража паролей из приложений и браузеров, загрузка и запуск приложений на компьютере жертвы и др.
FormBook (FormBookFormgrabber) — инфостилер, крадущий данные из браузеров, FTP-клиентов и мессенджеров. Начал продаваться на хакерских форумах с начала 2016 года. Вредоносная программа внедряется в процессы и устанавливает хуки для регистрации нажатий клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP.
Snake Keylogger — это вредоносная программа, обнаруженная в ноябре 2020 года, основная функция которой — запись нажатий клавиш пользователей и передача собранных данных злоумышленникам. Заражение данным кейлоггером представляет большую угрозу конфиденциальности и онлайн-безопасности затронутых пользователей, поскольку вредоносное ПО может извлекать практически все виды информации — имена пользователей, пароли, данные банковских карт и другую информацию.
Атрибуция
Соотнести обнаруженные атаки с одним злоумышленником удалось на основе следующих признаков:
- обратные электронные адреса, указанные в письмах;
- атакуемые компании;
- дата и время атак;
- язык и стилистика писем;
- похожие имена вредоносных архивов из вложений и исполняемых файлов внутри них;
- использование злоумышленником одних и тех же серверов для эксфильтрации.
Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. У нас нет точной информации, были ли данные почтовые аккаунты скомпрометированы и с них осуществлялась рассылка, или была задействована подмена электронного адреса отправителя.
В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:
- narketing163@gmail[.]com
- tender12@mail[.]com
- verconas@mail[.]com
- kubrayesti@gmail[.]com
В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем. Вероятно, он использовал средства анонимизации по типу VPN и прокси-серверов.
В ходе атак злоумышленник рассылал письма на следующих языках:
- русском;
- азербайджанском;
- турецком;
- английском.
Тематика текстов писем связана с ценовыми предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой.
Narketing163 использовал различные имена для вредоносных архивов и исполняемых файлов внутри них, но в ряде атак были выявлены схожие наименования. Подобные имена архивов из вложений, используемых в атаках Narketing163:
- Fashy qiymatlari xlsx.cab
- 30012024xxls.zip
- 55579653_XXLS.zip
- 20038038XXLS.cab.rar
- 2037746883 XXLS.zip
- 000299188350 XXLS.zip
- IMG_0293082828XXLS.cab
- 00039XXLS.zip
- kara xlsx.zip
- 1037_Xlsx.xz
- FA32039XLXS.xz
- 008780XXLS.xz
Похожие имена исполняемых файлов внутри архивов:
- rrr00oil998643.exe
- rrrockk8897765wq.exe
- rock99ookkhgg54.exe
- rrocc99355wwqaas.exe
- rrrock998076.exe
- ros990036624gswr.exe
- rock99588577yetdr.exe
- roc88994777653tehjd.exe
- rock884959958iiiifw.exe
- rc0047ggdte3.exe
- rrck990057hhjyy6.exe
- rrkk9947hhyft54.exe
- rock9980jjfur.exe
- rrrrrr0olkt.exe
- rockFguoiv.exe
- rorkYhnrf.exe
- rkRrioghjfb.exe
- roFunsrvqmaaq.exe
- rrkPrsmedlda.exe
- rrkkDvbowhld.exe
- rorr99086.exe
- roo48895004hhye2.exe
- ro9088cgg5542.exe
- rocBifzmwb.exe
- rrDmetnnff.exe
- rrkTpswhogt.exe
- rocXsazk.exe
- Rocdmxtwgsbtt.exe
- rocMscmrp.exe
- roDdeqsha.exe
- ryNbjqznxgwb.exe
- ryEahargnynk.exe
- rkXcslev.exe
- ryMblnsuw.exe
- rrTqdiabb.exe
- ryc9984766ert3.exe
Сетевая инфраструктура
По связям семплов из фишинговых писем Narketing163 на VirusTotal удалось установить серверы, которые, вероятно, использовались злоумышленником для эксфильтрации скомпрометированных данных жертв. В ходе изучения семплов ВПО были обнаружены домены и IP-адреса, с которыми контактировали образцы, а также конфигурации вредоносного ПО.
С 6 ноября 2023 года Narketing163 начал использовать поддомен mail[.]sturmsgroup[.]com под IP-адресом 185[.]28[.]39[.]41. Домен sturmsgroup[.]com был зарегистрирован 2 ноября 2023 года. Связи представлены на графе ниже.
Как минимум с 23 января 2024 года злоумышленник начал использовать еще один сервер (поддомен: mail[.]gencoldfire[.]com, IP-адрес: 185[.]196[.]11[.]12). Домен gencoldfire[.]com был зарегистрирован 16 января 2024 года. Связи поддомена представлены на графе ниже.
Ниже представлены обнаруженные на публичных песочницах конфигурации вредоносных семплов злоумышленника с использованием поддомена mail[.]gencoldfire[.]com.
Позднее, а именно 14 марта 2024 года, был зарегистрирован аналогичный домен apexrnun[.]com, используемый злоумышленником (поддомен: mail[.]apexrnun[.]com, IP-адрес: 185[.]196[.]9[.]150). Именно он активно продолжает фигурировать в выявленных за последнее время атаках на момент сентября 2024 года.Связи представлены на графе ниже.
Ниже представлена обнаруженная конфигурация вредоносных семплов злоумышленника с использованием поддомена mail[.]apexrnun[.]com.
17 июня 2024 года был зарегистрирован домен mastersharks[.]com. Подобный предыдущим поддомен mail[.]mastersharks[.]com (IP-адрес: 185[.]196[.]9[.]228) использовался злоумышленником в выявленных атаках. Связи представлены на графе ниже.
Ниже представлена обнаруженная конфигурация вредоносных семплов злоумышленника с использованием поддомена mail[.]mastersharks[.]com.
В более ранних атаках Narketing163 в 2023 году использовались семплы FormBook с конфигурациями, представленными ниже.
Также в нескольких обнаруженных атаках 2023 года злоумышленником, предположительно, использовались поддомены mail[.]tribosgroup[.]com и mail[.]azueresources[.]co.
Из обнаруженных в ходе исследования конфигураций вредоносных семплов атакующего были извлечены следующие электронные адреса:
- rocc@gencoldfire[.]com
- roycoo@gencoldfire[.]com
- bokce@gencoldfire[.]com
- rorock@gencoldfire[.]com
- testlab@apexrnun[.]com
- rock@mastersharks[.]com
По ссылкам, перечисленным ниже, открывались или открываются страницы авторизации в Roundcube — клиенте для работы с электронной почтой:
- hxxps://mail[.]gencoldfire[.]com/
- hxxps://mail[.]apexrnun[.]com/
- hxxps://mail[.]sturmsgroup[.]com/
- hxxps://mail[.]mastersharks[.]com/
- hxxps://webmail[.]gencoldfire[.]com/
- hxxps://webmail[.]apexrnun[.]com/
- hxxps://webmail[.]sturmsgroup[.]com/
- hxxps://webmail[.]mastersharks[.]com/
Подобный вид страницы имеют как минимум со следующих дат:
- hxxps://mail[.]gencoldfire[.]com/ (21 февраля 2024 года)
- hxxps://webmail[.]apexrnun[.]com/ (25 марта 2024 года)
- hxxps://mail[.]apexrnun[.]com/ (25 апреля 2024 года)
Cкриншот страницы авторизации представлен ниже.
Примеры фишинговых писем
Ниже представлены примеры писем с обратным электронным адресом narketing163@gmail[.]com на русском, турецком и азербайджанском языках.
На следующем ниже скриншоте можно увидеть основную информацию из технических заголовков одного из писем.
Письма с обратным электронным адресом verconas@mail[.]com написаны на тех же трех языках, также было замечено одно письмо на английском языке. Скриншоты представлены ниже.
В обнаруженных письмах с обратным электронным адресом tender12@mail[.]com тексты были написаны на турецком и азербайджанском языках, что представлено в примерах ниже.
Тексты писем с последним известным на момент сентября 2024 года обратным электронным адресом злоумышленника kubrayesti@gmail[.]com были написаны на турецком языке, далее представлен пример письма.
Рекомендации по защите от фишинговых атак
Чтобы защититься от подобного рода фишинговых атак, специалисты F.A.C.C.T. рекомендуют:
- Использовать программные решения для защиты электронной почты, обнаружения и реагирования на киберугрозы и проактивного анализа киберугроз. Рекомендуем ознакомиться с возможностями продуктов F.A.C.C.T., реализующих данные меры: Business Email Protection, Managed XDR и Threat Intelligence.
- Регулярно обновлять установленное программное обеспечение.
- Проводить обучение сотрудников и тестовые фишинговые атаки.
При отсутствии специализированных программных решений для борьбы с фишинговыми угрозами корпоративным пользователям следует обращать внимание на следующие важные детали электронных писем, которые в совокупности помогут выявить фишинг:
- Ожидаемость письма (было ли известно заранее о полученении подобного письма, соответствует ли оно специфике деятельности компании).
- Язык письма (если компания редко работает с иностранными клиентами/партнерами или не работает вовсе, то факт получения письма на иностранном языке должен сразу насторожить).
- Срочность просьбы (в первом примере письма, приведенном ранее, в теме указано «СРОЧНЫЙ ЗАПРОС», такой метод часто используется в фишинговых атаках для манипулирования пользователями).
- Конкретика текста писем (очень часто фишинговые атаки проводят с типовыми текстами, которые универсально подходят под разные компании, поэтому отсутствие индивидуальности и упоминания названия, сотрудников, продукции адресуемой компании тоже можно расценивать как один из признаков фишинга).
- Орфографические ошибки (часто используются злоумышленниками для обхода спам-фильтров).
- Подозрительный адрес электронной почты отправителя (зачастую злоумышленник использует скомпрометированные почтовые аккаунты, подменяет адрес электронной почты отправителя или создает почтовые домены, похожие на существующие для имитации активности от лица какой-либо компании, но если он не постарался мимикрировать, то это будет заметно по нетипичному домену в адресе электронной почты; при сомнениях всегда можно посмотреть примеры электронных адресов компаний на их официальных сайтах).
- Ссылки в письмах на сайты без SSL-сертификата (с аббревиатурой http вместо https) или с подозрительными доменами (по таким ссылкам нельзя переходить, а если есть сомнения, то проверять легитимность доменов в поисковых системах).
- Вложения (не скачивать файлы от недоверенных источников).
MITRE ATT&CK
Tactic | Technique |
Initial Access (TA0001) | Phishing (T1566) |
Phishing: Spearphishing Attachment (T1566.001) | |
Execution (TA0002) | Command and Scripting Interpreter (T1059) |
Native API (T1106) | |
Shared Modules (T1129) | |
System Services (T1569) | |
System Services: Service Execution (T1569.002) | |
Windows Management Instrumentation (T1047) | |
Persistence (TA0003) | Boot or Logon Autostart Execution (T1547) |
Boot or Logon Autostart Execution: Shortcut Modification (T1547.009) | |
Hijack Execution Flow (T1574) | |
Hijack Execution Flow: DLL Side-Loading (T1574.002) | |
Privilege Escalation (TA0004) | Access Token Manipulation (T1134) |
Access Token Manipulation: Token Impersonation/Theft (T1134.001) | |
Boot or Logon Autostart Execution (T1547) | |
Boot or Logon Autostart Execution: Shortcut Modification (T1547.009) | |
Hijack Execution Flow (T1574) | |
Hijack Execution Flow: DLL Side-Loading (T1574.002) | |
Process Injection (T1055) | |
Process Injection: Portable Executable Injection (T1055.002) | |
Process Injection: Process Hollowing (T1055.012) | |
Defense Evasion (TA0005) | Access Token Manipulation (T1134) |
Access Token Manipulation: Token Impersonation/Theft (T1134.001) | |
Deobfuscate/Decode Files or Information (T1140) | |
Execution Guardrails (T1480) | |
File and Directory Permissions Modification (T1222) | |
Hide Artifacts (T1564) | |
Hide Artifacts: Hidden Window (T1564.003) | |
Hijack Execution Flow (T1574) | |
Hijack Execution Flow: DLL Side-Loading (T1574.002) | |
Impair Defenses (T1562) | |
Impair Defenses: Disable or Modify Tools (T1562.001) | |
Indicator Removal (T1070) | |
Indicator Removal: File Deletion (T1070.004) | |
Indicator Removal: Timestomp (T1070.006) | |
Masquerading (T1036) | |
Modify Registry (T1112) | |
Obfuscated Files or Information (T1027) | |
Obfuscated Files or Information: Software Packing (T1027.002) | |
Process Injection (T1055) | |
Process Injection: Portable Executable Injection (T1055.002) | |
Process Injection: Process Hollowing (T1055.012) | |
Reflective Code Loading (T1620) | |
Rootkit (T1014) | |
System Binary Proxy Execution (T1218) | |
Virtualization/Sandbox Evasion (T1497) | |
Virtualization/Sandbox Evasion: System Checks (T1497.001) | |
Virtualization/Sandbox Evasion: Time Based Evasion (T1497.003) | |
Virtualization/Sandbox Evasion: User Activity Based Checks (T1497.002) | |
Credential Access (TA0006) | Credentials from Password Stores (T1555) |
Credentials from Password Stores: Credentials from Web Browsers (T1555.003) | |
Credentials from Password Stores: Windows Credential Manager (T1555.004) | |
Input Capture (T1056) | |
Input Capture: Credential API Hooking (T1056.004) | |
Input Capture: Keylogging (T1056.001) | |
OS Credential Dumping (T1003) | |
OS Credential Dumping: LSASS Memory (T1003.001) | |
Unsecured Credentials (T1552) | |
Unsecured Credentials: Credentials In Files (T1552.001) | |
Unsecured Credentials: Credentials in Registry (T1552.002) | |
Discovery (TA0007) | Account Discovery (T1087) |
Application Window Discovery (T1010) | |
File and Directory Discovery (T1083) | |
Network Share Discovery (T1135) | |
Process Discovery (T1057) | |
Query Registry (T1012) | |
Remote System Discovery (T1018) | |
Software Discovery (T1518) | |
Software Discovery: Security Software Discovery (T1518.001) | |
System Information Discovery (T1082) | |
System Location Discovery (T1614) | |
System Location Discovery: System Language Discovery (T1614.001) | |
System Network Configuration Discovery (T1016) | |
System Owner/User Discovery (T1033) | |
Virtualization/Sandbox Evasion (T1497) | |
Virtualization/Sandbox Evasion: System Checks (T1497.001) | |
Virtualization/Sandbox Evasion: Time Based Evasion (T1497.003) | |
Virtualization/Sandbox Evasion: User Activity Based Checks (T1497.002) | |
Collection (TA0009) | Automated Collection (T1119) |
Browser Session Hijacking (T1185) | |
Clipboard Data (T1115) | |
Data from Local System (T1005) | |
Email Collection (T1114) | |
Input Capture (T1056) | |
Input Capture: Credential API Hooking (T1056.004) | |
Input Capture: Keylogging (T1056.001) | |
Screen Capture (T1113) | |
Video Capture (T1125) | |
Command and Control (TA0011) | Application Layer Protocol (T1071) |
Application Layer Protocol: Mail Protocols (T1071.003) | |
Application Layer Protocol: Web Protocols (T1071.001) | |
Dynamic Resolution (T1568) | |
Dynamic Resolution: Domain Generation Algorithms (T1568.002) | |
Encrypted Channel (T1573) | |
Ingress Tool Transfer (T1105) | |
Non-Application Layer Protocol (T1095) | |
Exfiltration (TA0010) | Automated Exfiltration (T1020) |
Exfiltration Over C2 Channel (T1041) | |
Impact (TA0040) | System Shutdown/Reboot (T1529) |
Индикаторы компрометации
Сетевые индикаторы
URLs:
- hxxps://mail[.]gencoldfire[.]com/
- hxxps://mail[.]apexrnun[.]com/
- hxxps://mail[.]mastersharks[.]com/
- hxxps://mail[.]sturmsgroup[.]com/
- hxxps://webmail[.]gencoldfire[.]com/
- hxxps://webmail[.]apexrnun[.]com/
- hxxps://webmail[.]mastersharks[.]com/
- hxxps://webmail[.]sturmsgroup[.]com/
- hxxp://www[.]dutchhoward[.]com/r08c/
- hxxp://www[.]polybreadphx[.]com/b0y4/
Домены:
- mail[.]gencoldfire[.]com
- webmail[.]gencoldfire[.]com
- cp[.]gencoldfire[.]com
- gencoldfire[.]com
- mail[.]apexrnun[.]com
- webmail[.]apexrnun[.]com
- cp[.]apexrnun[.]com
- apexrnun[.]com
- mail[.]mastersharks[.]com
- webmail[.]mastersharks[.]com
- cp[.]mastersharks[.]com
- mastersharks[.]com
- mail[.]sturmsgroup[.]com
- webmail[.]sturmsgroup[.]com
- cp[.]sturmsgroup[.]com
- sturmsgroup[.]com
IP-адреса:
- 185[.]196[.]11[.]12
- 185[.]196[.]9[.]150
- 185[.]196[.]9[.]228
- 185[.]28[.]39[.]41
Файловые индикаторы
Имя файла | SHA-256 |
E-dekont.cab | eec38bc3749d7134551121120e9b40050534012fc72a221ac5207460edd02b36 |
Fashy qiymatlari xlsx.cab | 652ce2e9ea00df83ec3b113363230141caa7caa272353de08d42e3f58ba2bca8 |
SİPARİŞ FORMU_26.01.2024..zip | 3f9a150c3465c7a6a7c0e0e182e11c238189afae9d6bb2eae5d1b576037f5c93 |
30012024xxls.zip | ace9a282f75f5e9341542f63f267d390254d163fcc254a731c99f6a74e97ed7d |
55579653_XXLS.zip | 4662efce8332b580b59b59609a316652efa7748abe0728af5e63729b1d23063c |
Ziraat Bankasi Swift Mesaji pdf.cab | 0691fbf6ff5538977804e8f45b1ddc1fa95a5cc1e90475c761ab329da45595d6 |
20038038XXLS.cab.rar | b49b76fb3e3810e803c75e1c889010801eb7753f7fb30fdb120610343af99f60 |
2037746883 XXLS.zip | 20512fc2441838c1a97f92449f0aa38a57b1549b26507ac132194f392aa0f6a6 |
000299188350 XXLS.zip | cef9a947fd1e6851061e46e08e375ebc1f9c5bdd98dbeef5218d285f2260f514 |
DOC_9388.zip | 850c8139da5c9951a186779d2bb1bf8fac9667a3de64c5bf3b670577156229bc |
IMG_0293082828XXLS.cab | 28d8637c5bbb030077067ebf10f74b8faca3297bf2e4c1bb4e96683defec22ee |
00039XXLS.zip | a7c22a9175c9130937c8290a64c4a0f8fed72bc6f312d00f131ab38a3f6c800f |
kara xlsx.zip | 5c6c560160c056622f6d37177ce61d7ca331141c63116b291859f7b4f9aaeeaf |
100775.zip | a0c718b3b86198a77d8fef39a2d0bfd243358118a9d83cefd5507c352e620d4a |
378490.cab | 5bf44d7ff74c70866be628572b45b3cc8beeaddf04800cc303353a77f5e4c491 |
2626.zip | 976e39bb25b8cfd07f15725b4bd4e46eab7de2c121fd7a9fe897718fe90241a7 |
Dekont.bz | 2f2c66aa86cc0710dfce6d9a04ac0554c68819be63b2ce4ebe91235ad2ee331c |
momo99047yfr.rar | fe2b3c0e5744ae499ca7bd429694f7648478f86c1ec7cb5a5ae87870f14cab37 |
11074.zip | a7758e1c35257137611c139ecac5989d159dad0672f74f76fdbadc04e5057f65 |
PO_ 3051105.bz | 7ce8ba069215d3b79cd03470fe7f1a10d1ea24fc25937f1f59353b39fb0dd6e0 |
db503a353d91862cc6691524e496d1f0.virobj | 54be762a8d532a8d7341a43034ba4043f2ae8227908ca37d4371c4ea0f972d13 |
e-dekont.gz | 185d6b9d1a934dbb1fbfb5e80ddc30c3ed38896b5ef3743643eaf11749a80c30 |
TEKLIF FORMU 0311.bz | b54e42094eff61589c62439d4cf191540bdeb29de8ac551221a806b24e2210a9 |
Doc 2003024.bz | 39180399d38438110a8be62fd116e30467022df46c4484ed0675ad77b5aa5408 |
BANK9303037_pdf.zip | a79c6e21034d9f9dac3018a4bb8d96fe9dec401c636609167b975ad0657ed79b |
20240415.lzh | a07e154c89c0a07341d3bb6eefde4fbfe14cd13d495fe4e45f4e306a43d96cb0 |
02883700378.gz | bd4ba591c3d8c1d50f6af5b358029e837790b587868845ec9f0a1ff5c0d1856f |
FN0292892-pdf.xz | a48cd0a21d0c0d229c530c8601b2d5c0d946988dc6b38496e5601da017404b70 |
1037_Xlsx.xz | c3a115aa4e712f5967e0c0a6f9c6549e9dac2fbb0a112ac5b0074b7c55775926 |
AR90820.z | ebc28f871cebdb86b4375c794ad7cbedfafd09e766bc6b6b2171d2ebecd56b31 |
1007.zip | a93898f7ae3fb94f32729a4e16a1b41ec45ab2e4f00c1ed4ea859a97f464de13 |
Dekont.zip | 45628c278589bfeeebe9a0309424e774896872a36fee7589ed406e80cb454ce0 |
Yeni Rapor.zip | 359539fee3e6360937555cf86b81489917ea25413a240390aded4517d654dc3f |
6542 PNG.zip | 103db8d31410b6582ce92996cf6b8249965c2467cf1363b3bff2c2d69a5e5e91 |
15168.zip | ac64b8cb4b3234544c394e35a8f5c671835d594204e954bae1b8c85982711d2b |
20398800038.zip | a9eacdb009fced727eb8c8d4884a80fd84da4abb4a449f1626b68f2fc7afa00e |
PO_3290038_CXR2.zip | b396e47fd164147805c7ea1dac31f6a204a3057d997c81c3eab1f00ccad2748c |
ekstre.zip | dbb88d352917288fa01aa88cf1e947c70fd7ac2ad79ff499f9c742d4741b65bb |
Doc_15112023.zip | 6c15ee655187185a3e87eea66f754426a2e34a6b18ccabb80e7227bf26728502 |
pnr122.zip | 320dd7bf00463ce9e865cf8f99a2146709062070adb9f9d88ec8cfe2b2c7fe14 |
9002837100.zip | dc7e8aae58ea3d5618b266740c8a9fb070d2ddd334c9d0f9806408eb848a68e2 |
1152799230.zip | 4af227e5b7cfc0a16a04fe44bf127bbb645e0d90237175443ee89de69c244118 |
e_hesap.zip | c0d0bc43c743c9ae396e8d47e15c08dd083795d2594ea3e7589dbd25c43bb370 |
2039000.zip | 0f8773b6ccffd8b5f6008c4902f01978eb1d11cab3823030dbbbbf9f03e4af5c |
Doc 1258.zip | e6627a80a79019ab29f49f16a4cc30fc0c95fd3b7ae86c5add5b90c5ec43d184 |
YPRES 2993792.zip | b6b191d5a8c02c76e83b6b84c025fb991b10b00749b06f64303495ed3bab0b50 |
IRS00020742.zip | 277ea44f85f0b2cedefcd9712abc6db0856e877e0d8d63f121ca254e48789bed |
1000389.tgz | b372e6c948d9f6503f17d02a02d6cdcb12743a141892ee9de3ae4494be47ffd3 |
1937003987.xz | a11a40ee211021d421a6f735715f0bae168aadada0a051c76c5b7e9f83fc0abb |
120038.tgz | 930da9d734456776af972c322bafcf2198e8b80b77b6c41d1720fe14af8f1633 |
57800098762768.zip | 516685ccdc9a387321231d74358b7ad259b446a4d733e8a6a827e74b2fb3f1c4 |
3649047438.gz | 1db1ae8f81123ecb649effd923df76d1a31df8af88e2c01e5cc17bc8f0a57f8b |
30047849.lzh | 4c14d256bd4103a342952e0a9279e835331c7c7732ccab836dd96f7bbf3ebc6e |
XDFC.gz | 27866058aef6d843e79dc8b301272ae2c9f76cbbd5eb32f993cef74da418bd60 |
Doc290839.zip | 9b79b7942aa63130de2fd5a2ebb1698c944f60c86cc3141e1d28b87a8c2a5e0c |
Doc2038.zip | a02ab64df4f2605e663b1ca9ce53238a05ebc792120dca63055efed721bfdb2e |
FR930049_pdf.gz | bd6cf4990c6c560a2a5f44721fb7e0e9779fbb8207b6ffb18374bbd44343f1d9 |
7109293038.xz | f8a465c9526eae2942b17a24188fe5dd66ce98077e8822cdc8b3906475e84e0e |
flm2039399.zip | 12e9c03a5e683f32479be9a2b03e8c3c02d13de0c951f8832ef4814f3e21b508 |
20230604.tgz | 32a1fe79e25d1cd79c4df75407212f48860c0f7f58f588e1030bd61f3062e133 |
fl800847.zip | 760895f21a0f1da044c7c4c9b28e4238c73b3f8e5d338e964826864c4afad1f6 |
doc_2039300849.xz | 3556d099889bba8f297080ce8ee95e5630c396c170896ad8ffc4f824dfdbbcb6 |
F2085.zip | 9f36a4af6440131b4cda737986ddbc2189646039675ddb344b2dff0b87804b68 |
Sipariş formu 07.14.gz | 9243e236e72d203e5a2d401121c3599c7bbd0f36c2ab57c9b793f23beda05c6f |
file30028.rar | 1249324912245d704305f4f9d6624d8fa0cc58ce2781f2ccf8afe2a48bd4d5df |
3748498002.zip | 9caf416aabe3de3877f3d322ad24fa8ae55a9fc84aecd2e19e4850b4b31452ec |
1030839.zip | 3e2a44a7719fa79790edf371f15d2fe12b3ca261b322db875916a8f55a0b2eba |
102839.xz | 220737d9a5d99566c53c52ac7474088887914b675de473ecc73533bb26087bc1 |
20038.zip | 2d0b309226a7b864cf7507c25a485ce2a0c19db9223815e2bac316f0116998bb |
Doc103938_XML.gz | bade2c1d5a77cafda9e071204baa2523108e3d14679a96d2e2064ee8bc1a00fe |
100388487PDF.gz | df253f0d48b156ce687bbdb98ce1cbda75aedf13b0bb1ecb941bd8f9cac0a4dc |
Scan_07042024XXML.xz | 921b60d589912690c76834762f405c6b5f86cdd6306d775ef5825e0fa5e3f931 |
Doc28330027.zip | b76a6cd1dcdf6fbcdcfce97f69749b39bd05ab2acb3e4c3cf2306ba4e2097c61 |
sifaris.pdf.z | dc2bab9e2b1027825cd696d1528a2ce601394625e20978bd8674075cc46dd655 |
FA32039XLXS.xz | |
MMF_8300.zip | 9dffb8e340ae59568a9654f2e3471e8460ad93000b1a3ce023a487364b70e4f4 |
008780XXLS.xz | 8f76dde4230ffe4f04d0fa3c0d9dcf3c0d98adac5abe912afa1c0fee123cac7c |
WF2811.rar | 9226a16d9227ea95723b8a3328c721b2591ab46c94f5a4db9df1f25b9cf01ea0 |
3003138.zip | dd4711a352c51153f7fd80de2629479d483029f5525fe8e5897b2bae8da71a0a |
23983900372636.xz | 8dc40765d42e2d603197854577567fbdfc8b2099f59da9c99bef4e906f01649e |
odənis tapşırıg 3.zip | 7f7e54ff740aeb336946577bbf19103fee14b2240887f79d6517af6ed9e8c4d5 |
17299938800.zip | 86c466f3fc81349e9baf38cb5d913ba1080f15d3348b01461a5ccb5aaba66038 |
Doc2093830.zip | bac65af835fcfd70eccb17189c8d7ac89bcd3c06b945025ddf29f030b3b28478 |
20938.z | c07630b4968fc3e5ac8fd3cd13b54fefcb28624e30e4af01e7df952337644aa5 |
120039.gz | 4c89ac2baa3344e94571d812c46d04021aaf8997fbc28e36d4c92c0007517395 |
Doc02378290298.zip | 108e3980e1e072d2e51de247eb92d761eaab00ef1225b6667d81ae6f6aece039 |
rrr00oil998643.exe | a606044e1ee6a81ca78f9be4fbbc2bb7f19402f151c6532d0233db0c62ea5f10 |
rrrockk8897765wq.exe | ca16375b968ebc6dbfbfa44b73ac7c6a9de329699356353248f364e0b21a4e84 |
rock99ookkhgg54.exe | 7e530694734f4ea957aade596ad1f111289d3df94f1588e94d5f3c553f1c7298 |
rrocc99355wwqaas.exe | 67298e2681779093f4e291fa281db921fb8aa1e0eb472fcaf8e7b5d53d8a2077 |
rrrk890ooecd2.exe | b7664fb08da2efb39adc099cb3afe9c0a3a8259ab36988faaff6eba517a40c10 |
rrrock998076.exe | ce2d71d80391da807d54f4a09a79210ad9e858f7035024c3b6940fe97e426e79 |
ros990036624gswr.exe | c75764bee0cc9793abada79ed4c4a47ae15f7c8bee525e1d617415da27b016d4 |
rock99588577yetdr.exe | 35a8fccac293ccfb9339f1e30da1a04f91da48e5e2a98fff0c566a888a6db79e |
roc88994777653tehjd.exe | 340664810f8169a8c8e96332f32d7cbd7a8d0fde60d3a038b1b0c73f73cf216f |
rock884959958iiiifw.exe | 97f278a07c22bfdc877569eef682cecb75ab1b13bcccb109a315da4425580dec |
rc0047ggdte3.exe | 1acb351449c75a1c5e5d7750230fc93cfe0316a63581e1adb4a46ba5dec5c0c1 |
rrck990057hhjyy6.exe | 436292c22b388c0e586f6e9a0bef2490de09e502194513032275365cf0dd55eb |
rrkk9947hhyft54.exe | f1ad91290261a53086074108d6dfa55299f52e45225ae87161811046011d045a |
rock9980jjfur.exe | 041a39cb5700e4016b93e3e42efd80d3042adf5ecd96e4aa8b25635dd87df221 |
OV_ 090224.exe | 3845606d09beeb95bd7f08f2faf33de2aca03f96686e8861bdee531401887b21 |
momo99047yfr.exe | e3b77b6036aafc0893f9e57e4e5bbb33a61fc456d6619445362945867e861309 |
rrrrrr0olkt.exe | 1a6ba87b6caaf5622647fd113666a8d3da1c526d6a419f2879c015ff615245d9 |
PO_ 3051105.exe | 22fdf32c7ba308346701d24b5c6c3f60a66cca454cd03be05105f2fd9a37b985 |
e-dekont.exe | acc4c24fe33c318c83df0ccd6f65480cbfaf216e582198e9fb0bd0cc65f96757 |
TEKLIF FORMU 0311.exe | 50799c72d77f07f0e4438079d8f52b122a960cbfa3e30b42ebe8b6be6425d7e0 |
bosCxjfbctk.exe | a2fefd08d4ca46faba3df7e2756ab895adf3c6f9da375f957663e82061991519 |
rockFguoiv.exe | 70215ab67ca4a43f60039e014f4af65b458057c9777076da49cacad9a8b1bdc2 |
rorkYhnrf.exe | ae33568aa97000f6b16905a9af208e111e4d0fc59271c52916b1e0ba988e552b |
rkRrioghjfb.exe | ead967a39a189a10f8aabdb1369b5f200719ca4bb51f98650aef41e436d203b4 |
roFunsrvqmaaq.exe | 3e4e02eb8c269e00f2917e9474b8362bb5ed8987b17b093f3a8a646278681b9c |
rrkPrsmedlda.exe | ce910678f856588a0e953c1c1f5e8cee5cd8689f6b2fc130c37c4406dbec483d |
rrkkDvbowhld.exe | 2d5940f7d21675f6585ffdff654ef596a8dfde12a099be3fa8fa1dc3beb2c300 |
Qlecywmac.exe | c91ea133cb9e3fa0357977af14844a1f7ed1a9a519b0746bd8e33d41b0e911b7 |
Dbgfk.exe | 664b38aa22e45dd30c85174976134a49085ec216857e93c398e5da7085774c27 |
Xiezi.exe | 985d9758515be1605768f09fb31d9b351ddfb9fcf402f8786f4f1e6ac1735d09 |
Uctkltgeidj.exe | bca6479368f5950b769432b771a1a78a21f0be0142ed2b09e744730fee47aff5 |
Wwcby.exe | bc3b35a9300c626f60edbe2edad64d92d726198a437c4cc97965b594aa7c2223 |
Hmyteqkp.exe | 07e1a7c7db48634dab70556d466ed0b8b4da85b28529b2b263a0a46b3f04dd10 |
Pnnizicnkl.exe | 0b880a70a9d4444c7ed37019fb708e9e4ddcc8edd3465157a38f1c84bb4337b4 |
Dcblejffmoa.exe | b90922b5e35d6368d5ae449c45a111323f5d3b883416b0c13df5c1ecaa25d9bf |
Dlkmrqby.exe | 9e9a365fef6a02638459dd571892c9702b530bed8284403d9772a566e2b87eb0 |
Qrguhetr.exe | b4ac3ee481fb4c75763858cedd0196f8e551acae75e16f7ce93907fb0d2e243f |
Egswjute.exe | e0b4e3217f28aa3ea0ad2edf009caee13f799a15bfb5d511bdf42fc1d9143663 |
rorr99086.exe | 0bc70feb553bde362d94c650261f67ba9c56502ad04c838ff2d7c4fc49a45fb1 |
roo48895004hhye2.exe | 1c45ced41fc7ae22e24b5605239e5c47a213d854545b1f91285455666aab1834 |
ro9088cgg5542.exe | d3fefa3e2caa419c12cf2a1600e4c41c465bf932b0ae7c337bfa2fcf5007ae5b |
rocBifzmwb.exe | 20b77d84fcc348a05f0d119293ee46ec7262c148e4d3828af4fa4601330385e7 |
rrDmetnnff.exe | 5bbb229e84cffeb0749d26059f70b5e532d06f5096dda64676574e11ff482f3e |
rrkTpswhogt.exe | 1cd925a8d0b8b42cdd7412dfe21767055272cf4f66a50ce6b5d6800bfa8e617f |
rocXsazk.exe | 20ad8bfddb2e87cfbe0655014a5719c7917fc3ca8f1fe3015d28cc5f2e3527f9 |
Rocdmxtwgsbtt.exe | 9f3631e7bf2414311fe1a034a2967271aa00898c6984558801a593a4e6e5cd42 |
rocMscmrp.exe | 99df5d747d4933bb0f315face50c800752ad3a4e854e88442d7dfd042385a72a |
roDdeqsha.exe | 280477dbc907ffba1a294ccd7a2b8b72a4ddc660956be96c893bd2353d2b7aba |
ryNbjqznxgwb.exe | 98d34263254e4b691f6263c8d58981cbca971497c1d2504ffb2d8e55c857d28c |
ryEahargnynk.exe | b58ca2a14836ed283ed5b5d653f20c2a42077d4d7b6b4cbe2ad6bc2ab532db07 |
rkXcslev.exe | 7c9e34703f6d49230561af89589c77b3e42667d787890afdae310d4c017b7733 |
ryMblnsuw.exe | f17124a24df7513eec26b3ee2c727e3befe328c6baba11ee546e0d230c6f49af |
rrTqdiabb.exe | f521ae15156f6005fdc698b0b23ff6e3bfd8a1c1aba7555b542c54b6170fe3ac |
tDcfpbqp.exe | b55704fe010b9e7490f0418b419300fd8ec6e348e5b1c4ae9029fa0c0d164103 |
rrrk897.exe | 2cc5de99c8a26a638f45451e9ba2cef65b98bed8e51ca495866db36413ebfa23 |
Sipari_ formu 07.14.exe | 7bf47a92fadd875caa70db94a8ef153f7e63296357619e23a27b2d4e0a6a2bde |
tets577yhfr45.exe | 46d266f011d197dce146172e17a56114e342085f6f19f12116695c223b575ba8 |
ryc9984766ert3.exe | 1ac00f76cc24c8ff6c7a3772fe0ef09b812da037c4b3e4e6450a2ac47caa0ace |
tstuurjfhe534.exe | fedc7f3f325cb297223bcb71a3ed165bfaed3c34fe9ca67afeb1bc480717d0ba |
test7586hhfy3e.exe | c7599a7682265746602c609992eaed10d4f31c708a9905967de829f1081badf7 |
txyur775yr3.exe | 9a9b3cf1980533ad02913deca0cb3c9a16a26f6a73e320bb707150a3db4c2b68 |
ttest567fhet4.exe | 858609440c3b513a87dd82f4ee90b3fd8f69d0a554afa3894173b1b16a554b08 |
tegyt7756643.exe | 22b46e5cfbc009778007beb16dc621f4dd1593c7e94755f2cd5f58913346a8ff |
ttedsw22358.exe | 798b53596945ecefe6bd910064a465d4131b33c6f654f457333a9c47feb01e16 |
wGbxEfO1yaW3Zgn.exe | 1decfe904f4723e30bef8028e5b7bc5ad45b349bf252ad576dbe502ad56e3181 |
ttesu766453gd.exe | bcb7c5d61a2de6ab053a4aa28b104006e7643f0046ee72de765f0503f1f84c96 |