Искусство неделового письма: F.A.C.C.T. предупреждает об атаках Narketing163 на российские компании | Блог F.A.C.C.T.

В начале 2024 года в процессе изучения массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули  предположение, что все они связаны с одним и тем же атакующим. Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса.

По данным F.A.C.C.T., Narketing163 атакует пользователей из разных стран, в числе которых Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Есть в списке целей Narketing163 и Россия. Злоумышленник атаковал сотрудников российских компаний под видом деловой переписки. По состоянию на сентябрь 2024 года, было обнаружено более 500 вредоносных писем атакующего, нацеленных на российские компании, которые были исследованы в рамках данного блога.

В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением  F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.

В этом блоге мы разберем атаки Narketing163, расскажем о его тактиках и техниках, поделимся рекомендациями и индикаторами компрометации.

Анализ активности злоумышленника

По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и на момент написания блога в сентябре 2024 года, все еще не прекратил свою активность. Вредоносные рассылки Narketing163 нацелены на компании из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.

Как мы отмечали выше, в своих атаках Narketing163 использует различное вредоносное ПО, написанное под ОС Windows: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger. Ниже представлено краткое описание вредоносных программ, используемых злоумышленником в рассматриваемых атаках.

RedLine Stealer — вредоносное ПО, которое появилось в продаже на андеграундных ресурсах в 2020 году. Основные возможности:

  • сбор из браузеров:
  • логинов и паролей;
  • файлов cookie;
  • данных автозаполнения;
  • данных кредитных карт;
  • сбор данных из FTP-клиентов, IM-клиентов;
  • файл-граббер;
  • сбор информации о системе жертвы;
  • выполнение задач в зараженной системе.

Agent Tesla — это популярный троян, появившийся в продаже в 2014 году. Сначала создавался как кейлогер, но с течением времени получил расширенные функциональные возможности: захват камеры жертвы, сбор информации о зараженном устройстве, кража паролей из приложений и браузеров, загрузка и запуск приложений на компьютере жертвы и др.

FormBook (FormBookFormgrabber) — инфостилер, крадущий данные из браузеров, FTP-клиентов и мессенджеров. Начал продаваться на хакерских форумах с начала 2016 года. Вредоносная программа внедряется в процессы и устанавливает хуки для регистрации нажатий клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP.

Snake Keylogger  — это вредоносная программа, обнаруженная в ноябре 2020 года, основная функция которой — запись нажатий клавиш пользователей и передача собранных данных злоумышленникам. Заражение данным кейлоггером представляет большую угрозу конфиденциальности и онлайн-безопасности затронутых пользователей, поскольку вредоносное ПО может извлекать практически все виды информации — имена пользователей, пароли, данные банковских карт и другую информацию.

Атрибуция

Соотнести обнаруженные атаки с одним злоумышленником удалось на основе следующих признаков:

  • обратные электронные адреса, указанные в письмах;
  • атакуемые компании;
  • дата и время атак;
  • язык и стилистика писем;
  • похожие имена вредоносных архивов из вложений и исполняемых файлов внутри них;
  • использование злоумышленником одних и тех же серверов для эксфильтрации.

Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. У нас нет точной информации, были ли данные почтовые аккаунты скомпрометированы и с них осуществлялась рассылка, или была задействована подмена электронного адреса отправителя.

В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:

  • narketing163@gmail[.]com
  • tender12@mail[.]com
  • verconas@mail[.]com
  • kubrayesti@gmail[.]com

В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем. Вероятно, он использовал средства анонимизации по типу VPN и прокси-серверов.

В ходе атак злоумышленник рассылал письма на следующих языках:

  • русском;
  • азербайджанском;
  • турецком;
  • английском.

Тематика текстов писем связана с ценовыми предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой.

Narketing163 использовал различные имена для вредоносных архивов и исполняемых файлов внутри них, но в ряде атак были выявлены схожие наименования. Подобные имена архивов из вложений, используемых в атаках Narketing163:

  • Fashy qiymatlari xlsx.cab
  • 30012024xxls.zip
  • 55579653_XXLS.zip
  • 20038038XXLS.cab.rar
  • 2037746883 XXLS.zip
  • 000299188350 XXLS.zip
  • IMG_0293082828XXLS.cab
  • 00039XXLS.zip
  • kara xlsx.zip
  • 1037_Xlsx.xz
  • FA32039XLXS.xz
  • 008780XXLS.xz

Похожие имена исполняемых файлов внутри архивов:

  • rrr00oil998643.exe
  • rrrockk8897765wq.exe
  • rock99ookkhgg54.exe
  • rrocc99355wwqaas.exe
  • rrrock998076.exe
  • ros990036624gswr.exe
  • rock99588577yetdr.exe
  • roc88994777653tehjd.exe
  • rock884959958iiiifw.exe
  • rc0047ggdte3.exe
  • rrck990057hhjyy6.exe
  • rrkk9947hhyft54.exe
  • rock9980jjfur.exe
  • rrrrrr0olkt.exe
  • rockFguoiv.exe
  • rorkYhnrf.exe
  • rkRrioghjfb.exe
  • roFunsrvqmaaq.exe
  • rrkPrsmedlda.exe
  • rrkkDvbowhld.exe
  • rorr99086.exe
  • roo48895004hhye2.exe
  • ro9088cgg5542.exe
  • rocBifzmwb.exe
  • rrDmetnnff.exe
  • rrkTpswhogt.exe
  • rocXsazk.exe
  • Rocdmxtwgsbtt.exe
  • rocMscmrp.exe
  • roDdeqsha.exe
  • ryNbjqznxgwb.exe
  • ryEahargnynk.exe
  • rkXcslev.exe
  • ryMblnsuw.exe
  • rrTqdiabb.exe
  • ryc9984766ert3.exe

Сетевая инфраструктура

По связям семплов из фишинговых писем Narketing163 на VirusTotal удалось установить серверы, которые, вероятно, использовались злоумышленником для эксфильтрации скомпрометированных данных жертв. В ходе изучения семплов ВПО были обнаружены домены и IP-адреса, с которыми контактировали образцы, а также конфигурации вредоносного ПО.

С 6 ноября 2023 года Narketing163 начал использовать поддомен mail[.]sturmsgroup[.]com под IP-адресом 185[.]28[.]39[.]41. Домен sturmsgroup[.]com был зарегистрирован 2 ноября 2023 года. Связи представлены на графе ниже.

Рис. 1. Граф связей поддомена mail[.]sturmsgroup[.]com

Как минимум с 23 января 2024 года злоумышленник начал использовать еще один сервер (поддомен: mail[.]gencoldfire[.]com, IP-адрес: 185[.]196[.]11[.]12). Домен gencoldfire[.]com был зарегистрирован 16 января 2024 года. Связи поддомена представлены на графе ниже.

Рис. 2. Граф связей поддомена mail[]gencoldfire[.]com

Ниже представлены обнаруженные на публичных песочницах конфигурации вредоносных семплов злоумышленника с использованием поддомена mail[.]gencoldfire[.]com.

Рис. 3. Конфигурация 1 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 4. Конфигурация 2 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 5. Конфигурация 3 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 6. Конфигурация 4 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 7. Конфигурация 5 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Позднее, а именно 14 марта 2024 года, был зарегистрирован аналогичный домен apexrnun[.]com, используемый злоумышленником (поддомен: mail[.]apexrnun[.]com, IP-адрес: 185[.]196[.]9[.]150). Именно он активно продолжает фигурировать в выявленных за последнее время атаках на момент сентября 2024 года.Связи представлены на графе ниже.

Рис. 8. Граф связей поддомена mail[.]apexrnun[.]com

Ниже представлена обнаруженная конфигурация вредоносных семплов злоумышленника с использованием поддомена mail[.]apexrnun[.]com.

Рис. 9. Конфигурация ВПО с использованием поддомена mail[.]apexrnun[.]com

17 июня 2024 года был зарегистрирован домен mastersharks[.]com. Подобный предыдущим поддомен mail[.]mastersharks[.]com (IP-адрес: 185[.]196[.]9[.]228) использовался злоумышленником в выявленных атаках. Связи представлены на графе ниже.

Рис. 10. Граф связей поддомена mail[.]mastersharks[.]com

Ниже представлена обнаруженная конфигурация вредоносных семплов злоумышленника с использованием поддомена mail[.]mastersharks[.]com.

Рис. 11. Конфигурация ВПО с использованием поддомена mail[.]mastersharks[.]com

В более ранних атаках Narketing163 в 2023 году использовались семплы FormBook с конфигурациями, представленными ниже.

Рис. 12. Конфигурация 1 вредоносного семпла FormBook

Рис. 13. Конфигурация 2 вредоносного семпла Formbook

Также в нескольких обнаруженных атаках 2023 года злоумышленником, предположительно, использовались поддомены mail[.]tribosgroup[.]com и mail[.]azueresources[.]co.

Из обнаруженных в ходе исследования конфигураций вредоносных семплов атакующего были извлечены следующие электронные адреса:

  • rocc@gencoldfire[.]com
  • roycoo@gencoldfire[.]com
  • bokce@gencoldfire[.]com
  • rorock@gencoldfire[.]com
  • testlab@apexrnun[.]com
  • rock@mastersharks[.]com

По ссылкам, перечисленным ниже, открывались или открываются страницы авторизации в Roundcube — клиенте для работы с электронной почтой:

  • hxxps://mail[.]gencoldfire[.]com/
  • hxxps://mail[.]apexrnun[.]com/
  • hxxps://mail[.]sturmsgroup[.]com/
  • hxxps://mail[.]mastersharks[.]com/
  • hxxps://webmail[.]gencoldfire[.]com/
  • hxxps://webmail[.]apexrnun[.]com/
  • hxxps://webmail[.]sturmsgroup[.]com/
  • hxxps://webmail[.]mastersharks[.]com/

Подобный вид страницы имеют как минимум со следующих дат:

  • hxxps://mail[.]gencoldfire[.]com/ (21 февраля 2024 года)
  • hxxps://webmail[.]apexrnun[.]com/ (25 марта 2024 года)
  • hxxps://mail[.]apexrnun[.]com/ (25 апреля 2024 года)

Cкриншот страницы авторизации представлен ниже.

Рис. 14. Страница авторизации в клиенте для работы с электронной почтой Roundcube

Примеры фишинговых писем

Ниже представлены примеры писем с обратным электронным адресом narketing163@gmail[.]com на русском, турецком и азербайджанском языках.

Рис. 15. Письмо с обратным электронным адресом narketing163@gmail[.]com на русском языке

Рис. 16. Письмо с обратным электронным адресом narketing163@gmail[.]com на турецком языке

Рис. 17. Письмо с обратным электронным адресом narketing163@gmail[.]com на азербайджанском языке

На следующем ниже скриншоте можно увидеть основную информацию из технических заголовков одного из писем.

Рис. 18. Информация из технических заголовков письма с обратным электронным адресом narketing163@gmail[.]com, полученная с помощью решения F.A.C.C.T. Business Email Proteсtion

Письма с обратным электронным адресом verconas@mail[.]com написаны на тех же трех языках, также было замечено одно письмо на английском языке. Скриншоты представлены ниже.

Рис. 19. Письмо с обратным электронным адресом verconas@mail[.]com на русском языке

Рис. 20. Письмо с обратным электронным адресом verconas@mail[.]com на турецком языке

Рис. 21. Письмо с обратным электронным адресом verconas@mail[.]com на азербайджанском языке

Рис. 22. Письмо с обратным электронным адресом verconas@mail[.]com на английском языке

В обнаруженных письмах с обратным электронным адресом tender12@mail[.]com тексты были написаны на турецком и азербайджанском языках, что представлено в примерах ниже.

Рис. 23. Письмо с обратным электронным адресом tender12@mail[.]com на турецком языке

Рис. 24. Письмо с обратным электронным адресом tender12@mail[.]com на азербайджанском языке

Тексты писем с последним известным на момент сентября 2024 года обратным электронным адресом злоумышленника kubrayesti@gmail[.]com были написаны на турецком языке, далее представлен пример письма.

Рис. 25. Письмо с обратным электронным адресом kubrayesti@gmail[.]com на турецком языке

Рекомендации по защите от фишинговых атак

Чтобы защититься от подобного рода фишинговых атак, специалисты F.A.C.C.T. рекомендуют:

  1. Использовать программные решения для защиты электронной почты, обнаружения и реагирования на киберугрозы и проактивного анализа киберугроз. Рекомендуем ознакомиться с возможностями продуктов F.A.C.C.T., реализующих данные меры: Business Email Protection, Managed XDR и Threat Intelligence.
  2. Регулярно обновлять установленное программное обеспечение.
  3. Проводить обучение сотрудников и тестовые фишинговые атаки.

При отсутствии специализированных программных решений для борьбы с фишинговыми угрозами корпоративным пользователям следует обращать внимание на следующие важные детали электронных писем, которые в совокупности помогут выявить фишинг:

  1. Ожидаемость письма (было ли известно заранее о полученении подобного письма, соответствует ли оно специфике деятельности компании).
  2. Язык письма (если компания редко работает с иностранными клиентами/партнерами или не работает вовсе, то факт получения письма на иностранном языке должен сразу насторожить).
  3. Срочность просьбы (в первом примере письма, приведенном ранее, в теме указано «СРОЧНЫЙ ЗАПРОС», такой метод часто используется в фишинговых атаках для манипулирования пользователями).
  4. Конкретика текста писем (очень часто фишинговые атаки проводят с типовыми текстами, которые универсально подходят под разные компании, поэтому отсутствие индивидуальности и упоминания названия, сотрудников, продукции адресуемой компании тоже можно расценивать как один из признаков фишинга).
  5. Орфографические ошибки (часто используются злоумышленниками для обхода спам-фильтров).
  6. Подозрительный адрес электронной почты отправителя (зачастую злоумышленник использует скомпрометированные почтовые аккаунты, подменяет адрес электронной почты отправителя или создает почтовые домены, похожие на существующие для имитации активности от лица какой-либо компании, но если он не постарался мимикрировать, то это будет заметно по нетипичному домену в адресе электронной почты; при сомнениях всегда можно посмотреть примеры электронных адресов компаний на их официальных сайтах).
  7. Ссылки в письмах на сайты без SSL-сертификата (с аббревиатурой http вместо https) или с подозрительными доменами (по таким ссылкам нельзя переходить, а если есть сомнения, то проверять легитимность доменов в поисковых системах).
  8. Вложения (не скачивать файлы от недоверенных источников).

MITRE ATT&CK

Tactic Technique
Initial Access (TA0001) Phishing (T1566)
Phishing: Spearphishing Attachment (T1566.001)
Execution (TA0002) Command and Scripting Interpreter (T1059)
Native API (T1106)
Shared Modules (T1129)
System Services (T1569)
System Services: Service Execution (T1569.002)
Windows Management Instrumentation (T1047)
Persistence (TA0003) Boot or Logon Autostart Execution (T1547)
Boot or Logon Autostart Execution: Shortcut Modification (T1547.009)
Hijack Execution Flow (T1574)
Hijack Execution Flow: DLL Side-Loading (T1574.002)
Privilege Escalation (TA0004) Access Token Manipulation (T1134)
Access Token Manipulation: Token Impersonation/Theft (T1134.001)
Boot or Logon Autostart Execution (T1547)
Boot or Logon Autostart Execution: Shortcut Modification (T1547.009)
Hijack Execution Flow (T1574)
Hijack Execution Flow: DLL Side-Loading (T1574.002)
Process Injection (T1055)
Process Injection: Portable Executable Injection (T1055.002)
Process Injection: Process Hollowing (T1055.012)
Defense Evasion (TA0005) Access Token Manipulation (T1134)
Access Token Manipulation: Token Impersonation/Theft (T1134.001)
Deobfuscate/Decode Files or Information (T1140)
Execution Guardrails (T1480)
File and Directory Permissions Modification (T1222)
Hide Artifacts (T1564)
Hide Artifacts: Hidden Window (T1564.003)
Hijack Execution Flow (T1574)
Hijack Execution Flow: DLL Side-Loading (T1574.002)
Impair Defenses (T1562)
Impair Defenses: Disable or Modify Tools (T1562.001)
Indicator Removal (T1070)
Indicator Removal: File Deletion (T1070.004)
Indicator Removal: Timestomp (T1070.006)
Masquerading (T1036)
Modify Registry (T1112)
Obfuscated Files or Information (T1027)
Obfuscated Files or Information: Software Packing (T1027.002)
Process Injection (T1055)
Process Injection: Portable Executable Injection (T1055.002)
Process Injection: Process Hollowing (T1055.012)
Reflective Code Loading (T1620)
Rootkit (T1014)
System Binary Proxy Execution (T1218)
Virtualization/Sandbox Evasion (T1497)
Virtualization/Sandbox Evasion: System Checks (T1497.001)
Virtualization/Sandbox Evasion: Time Based Evasion (T1497.003)
Virtualization/Sandbox Evasion: User Activity Based Checks (T1497.002)
Credential Access (TA0006) Credentials from Password Stores (T1555)
Credentials from Password Stores: Credentials from Web Browsers (T1555.003)
Credentials from Password Stores: Windows Credential Manager (T1555.004)
Input Capture (T1056)
Input Capture: Credential API Hooking (T1056.004)
Input Capture: Keylogging (T1056.001)
OS Credential Dumping (T1003)
OS Credential Dumping: LSASS Memory (T1003.001)
Unsecured Credentials (T1552)
Unsecured Credentials: Credentials In Files (T1552.001)
Unsecured Credentials: Credentials in Registry (T1552.002)
Discovery (TA0007) Account Discovery (T1087)
Application Window Discovery (T1010)
File and Directory Discovery (T1083)
Network Share Discovery (T1135)
Process Discovery (T1057)
Query Registry (T1012)
Remote System Discovery (T1018)
Software Discovery (T1518)
Software Discovery: Security Software Discovery (T1518.001)
System Information Discovery (T1082)
System Location Discovery (T1614)
System Location Discovery: System Language Discovery (T1614.001)
System Network Configuration Discovery (T1016)
System Owner/User Discovery (T1033)
Virtualization/Sandbox Evasion (T1497)
Virtualization/Sandbox Evasion: System Checks (T1497.001)
Virtualization/Sandbox Evasion: Time Based Evasion (T1497.003)
Virtualization/Sandbox Evasion: User Activity Based Checks (T1497.002)
Collection (TA0009) Automated Collection (T1119)
Browser Session Hijacking (T1185)
Clipboard Data (T1115)
Data from Local System (T1005)
Email Collection (T1114)
Input Capture (T1056)
Input Capture: Credential API Hooking (T1056.004)
Input Capture: Keylogging (T1056.001)
Screen Capture (T1113)
Video Capture (T1125)
Command and Control (TA0011) Application Layer Protocol (T1071)
Application Layer Protocol: Mail Protocols (T1071.003)
Application Layer Protocol: Web Protocols (T1071.001)
Dynamic Resolution (T1568)
Dynamic Resolution: Domain Generation Algorithms (T1568.002)
Encrypted Channel (T1573)
Ingress Tool Transfer (T1105)
Non-Application Layer Protocol (T1095)
Exfiltration (TA0010) Automated Exfiltration (T1020)
Exfiltration Over C2 Channel (T1041)
Impact (TA0040) System Shutdown/Reboot (T1529)

Индикаторы компрометации

Сетевые индикаторы

URLs:

  • hxxps://mail[.]gencoldfire[.]com/
  • hxxps://mail[.]apexrnun[.]com/
  • hxxps://mail[.]mastersharks[.]com/
  • hxxps://mail[.]sturmsgroup[.]com/
  • hxxps://webmail[.]gencoldfire[.]com/
  • hxxps://webmail[.]apexrnun[.]com/
  • hxxps://webmail[.]mastersharks[.]com/
  • hxxps://webmail[.]sturmsgroup[.]com/
  • hxxp://www[.]dutchhoward[.]com/r08c/
  • hxxp://www[.]polybreadphx[.]com/b0y4/

Домены:

  • mail[.]gencoldfire[.]com
  • webmail[.]gencoldfire[.]com
  • cp[.]gencoldfire[.]com
  • gencoldfire[.]com
  • mail[.]apexrnun[.]com
  • webmail[.]apexrnun[.]com
  • cp[.]apexrnun[.]com
  • apexrnun[.]com
  • mail[.]mastersharks[.]com
  • webmail[.]mastersharks[.]com
  • cp[.]mastersharks[.]com
  • mastersharks[.]com
  • mail[.]sturmsgroup[.]com
  • webmail[.]sturmsgroup[.]com
  • cp[.]sturmsgroup[.]com
  • sturmsgroup[.]com

IP-адреса:

  • 185[.]196[.]11[.]12
  • 185[.]196[.]9[.]150
  • 185[.]196[.]9[.]228
  • 185[.]28[.]39[.]41

Файловые индикаторы

Имя файла SHA-256
E-dekont.cab eec38bc3749d7134551121120e9b40050534012fc72a221ac5207460edd02b36
Fashy qiymatlari xlsx.cab 652ce2e9ea00df83ec3b113363230141caa7caa272353de08d42e3f58ba2bca8
SİPARİŞ FORMU_26.01.2024..zip 3f9a150c3465c7a6a7c0e0e182e11c238189afae9d6bb2eae5d1b576037f5c93
30012024xxls.zip ace9a282f75f5e9341542f63f267d390254d163fcc254a731c99f6a74e97ed7d
55579653_XXLS.zip 4662efce8332b580b59b59609a316652efa7748abe0728af5e63729b1d23063c
Ziraat Bankasi Swift Mesaji pdf.cab 0691fbf6ff5538977804e8f45b1ddc1fa95a5cc1e90475c761ab329da45595d6
20038038XXLS.cab.rar b49b76fb3e3810e803c75e1c889010801eb7753f7fb30fdb120610343af99f60
2037746883 XXLS.zip 20512fc2441838c1a97f92449f0aa38a57b1549b26507ac132194f392aa0f6a6
000299188350 XXLS.zip cef9a947fd1e6851061e46e08e375ebc1f9c5bdd98dbeef5218d285f2260f514
DOC_9388.zip 850c8139da5c9951a186779d2bb1bf8fac9667a3de64c5bf3b670577156229bc
IMG_0293082828XXLS.cab 28d8637c5bbb030077067ebf10f74b8faca3297bf2e4c1bb4e96683defec22ee
00039XXLS.zip a7c22a9175c9130937c8290a64c4a0f8fed72bc6f312d00f131ab38a3f6c800f
kara xlsx.zip 5c6c560160c056622f6d37177ce61d7ca331141c63116b291859f7b4f9aaeeaf
100775.zip a0c718b3b86198a77d8fef39a2d0bfd243358118a9d83cefd5507c352e620d4a
378490.cab 5bf44d7ff74c70866be628572b45b3cc8beeaddf04800cc303353a77f5e4c491
2626.zip 976e39bb25b8cfd07f15725b4bd4e46eab7de2c121fd7a9fe897718fe90241a7
Dekont.bz 2f2c66aa86cc0710dfce6d9a04ac0554c68819be63b2ce4ebe91235ad2ee331c
momo99047yfr.rar fe2b3c0e5744ae499ca7bd429694f7648478f86c1ec7cb5a5ae87870f14cab37
11074.zip a7758e1c35257137611c139ecac5989d159dad0672f74f76fdbadc04e5057f65
PO_ 3051105.bz 7ce8ba069215d3b79cd03470fe7f1a10d1ea24fc25937f1f59353b39fb0dd6e0
db503a353d91862cc6691524e496d1f0.virobj 54be762a8d532a8d7341a43034ba4043f2ae8227908ca37d4371c4ea0f972d13
e-dekont.gz 185d6b9d1a934dbb1fbfb5e80ddc30c3ed38896b5ef3743643eaf11749a80c30
TEKLIF FORMU 0311.bz b54e42094eff61589c62439d4cf191540bdeb29de8ac551221a806b24e2210a9
Doc 2003024.bz 39180399d38438110a8be62fd116e30467022df46c4484ed0675ad77b5aa5408
BANK9303037_pdf.zip a79c6e21034d9f9dac3018a4bb8d96fe9dec401c636609167b975ad0657ed79b
20240415.lzh a07e154c89c0a07341d3bb6eefde4fbfe14cd13d495fe4e45f4e306a43d96cb0
02883700378.gz bd4ba591c3d8c1d50f6af5b358029e837790b587868845ec9f0a1ff5c0d1856f
FN0292892-pdf.xz a48cd0a21d0c0d229c530c8601b2d5c0d946988dc6b38496e5601da017404b70
1037_Xlsx.xz c3a115aa4e712f5967e0c0a6f9c6549e9dac2fbb0a112ac5b0074b7c55775926
AR90820.z ebc28f871cebdb86b4375c794ad7cbedfafd09e766bc6b6b2171d2ebecd56b31
1007.zip a93898f7ae3fb94f32729a4e16a1b41ec45ab2e4f00c1ed4ea859a97f464de13
Dekont.zip 45628c278589bfeeebe9a0309424e774896872a36fee7589ed406e80cb454ce0
Yeni Rapor.zip 359539fee3e6360937555cf86b81489917ea25413a240390aded4517d654dc3f
6542 PNG.zip 103db8d31410b6582ce92996cf6b8249965c2467cf1363b3bff2c2d69a5e5e91
15168.zip ac64b8cb4b3234544c394e35a8f5c671835d594204e954bae1b8c85982711d2b
20398800038.zip a9eacdb009fced727eb8c8d4884a80fd84da4abb4a449f1626b68f2fc7afa00e
PO_3290038_CXR2.zip b396e47fd164147805c7ea1dac31f6a204a3057d997c81c3eab1f00ccad2748c
ekstre.zip dbb88d352917288fa01aa88cf1e947c70fd7ac2ad79ff499f9c742d4741b65bb
Doc_15112023.zip 6c15ee655187185a3e87eea66f754426a2e34a6b18ccabb80e7227bf26728502
pnr122.zip 320dd7bf00463ce9e865cf8f99a2146709062070adb9f9d88ec8cfe2b2c7fe14
9002837100.zip dc7e8aae58ea3d5618b266740c8a9fb070d2ddd334c9d0f9806408eb848a68e2
1152799230.zip 4af227e5b7cfc0a16a04fe44bf127bbb645e0d90237175443ee89de69c244118
e_hesap.zip c0d0bc43c743c9ae396e8d47e15c08dd083795d2594ea3e7589dbd25c43bb370
2039000.zip 0f8773b6ccffd8b5f6008c4902f01978eb1d11cab3823030dbbbbf9f03e4af5c
Doc 1258.zip e6627a80a79019ab29f49f16a4cc30fc0c95fd3b7ae86c5add5b90c5ec43d184
YPRES 2993792.zip b6b191d5a8c02c76e83b6b84c025fb991b10b00749b06f64303495ed3bab0b50
IRS00020742.zip 277ea44f85f0b2cedefcd9712abc6db0856e877e0d8d63f121ca254e48789bed
1000389.tgz b372e6c948d9f6503f17d02a02d6cdcb12743a141892ee9de3ae4494be47ffd3
1937003987.xz a11a40ee211021d421a6f735715f0bae168aadada0a051c76c5b7e9f83fc0abb
120038.tgz 930da9d734456776af972c322bafcf2198e8b80b77b6c41d1720fe14af8f1633
57800098762768.zip 516685ccdc9a387321231d74358b7ad259b446a4d733e8a6a827e74b2fb3f1c4
3649047438.gz 1db1ae8f81123ecb649effd923df76d1a31df8af88e2c01e5cc17bc8f0a57f8b
30047849.lzh 4c14d256bd4103a342952e0a9279e835331c7c7732ccab836dd96f7bbf3ebc6e
XDFC.gz 27866058aef6d843e79dc8b301272ae2c9f76cbbd5eb32f993cef74da418bd60
Doc290839.zip 9b79b7942aa63130de2fd5a2ebb1698c944f60c86cc3141e1d28b87a8c2a5e0c
Doc2038.zip a02ab64df4f2605e663b1ca9ce53238a05ebc792120dca63055efed721bfdb2e
FR930049_pdf.gz bd6cf4990c6c560a2a5f44721fb7e0e9779fbb8207b6ffb18374bbd44343f1d9
7109293038.xz f8a465c9526eae2942b17a24188fe5dd66ce98077e8822cdc8b3906475e84e0e
flm2039399.zip 12e9c03a5e683f32479be9a2b03e8c3c02d13de0c951f8832ef4814f3e21b508
20230604.tgz 32a1fe79e25d1cd79c4df75407212f48860c0f7f58f588e1030bd61f3062e133
fl800847.zip 760895f21a0f1da044c7c4c9b28e4238c73b3f8e5d338e964826864c4afad1f6
doc_2039300849.xz 3556d099889bba8f297080ce8ee95e5630c396c170896ad8ffc4f824dfdbbcb6
F2085.zip 9f36a4af6440131b4cda737986ddbc2189646039675ddb344b2dff0b87804b68
Sipariş formu 07.14.gz 9243e236e72d203e5a2d401121c3599c7bbd0f36c2ab57c9b793f23beda05c6f
file30028.rar 1249324912245d704305f4f9d6624d8fa0cc58ce2781f2ccf8afe2a48bd4d5df
3748498002.zip 9caf416aabe3de3877f3d322ad24fa8ae55a9fc84aecd2e19e4850b4b31452ec
1030839.zip 3e2a44a7719fa79790edf371f15d2fe12b3ca261b322db875916a8f55a0b2eba
102839.xz 220737d9a5d99566c53c52ac7474088887914b675de473ecc73533bb26087bc1
20038.zip 2d0b309226a7b864cf7507c25a485ce2a0c19db9223815e2bac316f0116998bb
Doc103938_XML.gz bade2c1d5a77cafda9e071204baa2523108e3d14679a96d2e2064ee8bc1a00fe
100388487PDF.gz df253f0d48b156ce687bbdb98ce1cbda75aedf13b0bb1ecb941bd8f9cac0a4dc
Scan_07042024XXML.xz 921b60d589912690c76834762f405c6b5f86cdd6306d775ef5825e0fa5e3f931
Doc28330027.zip b76a6cd1dcdf6fbcdcfce97f69749b39bd05ab2acb3e4c3cf2306ba4e2097c61
sifaris.pdf.z dc2bab9e2b1027825cd696d1528a2ce601394625e20978bd8674075cc46dd655
FA32039XLXS.xz
MMF_8300.zip 9dffb8e340ae59568a9654f2e3471e8460ad93000b1a3ce023a487364b70e4f4
008780XXLS.xz 8f76dde4230ffe4f04d0fa3c0d9dcf3c0d98adac5abe912afa1c0fee123cac7c
WF2811.rar 9226a16d9227ea95723b8a3328c721b2591ab46c94f5a4db9df1f25b9cf01ea0
3003138.zip dd4711a352c51153f7fd80de2629479d483029f5525fe8e5897b2bae8da71a0a
23983900372636.xz 8dc40765d42e2d603197854577567fbdfc8b2099f59da9c99bef4e906f01649e
odənis tapşırıg 3.zip 7f7e54ff740aeb336946577bbf19103fee14b2240887f79d6517af6ed9e8c4d5
17299938800.zip 86c466f3fc81349e9baf38cb5d913ba1080f15d3348b01461a5ccb5aaba66038
Doc2093830.zip bac65af835fcfd70eccb17189c8d7ac89bcd3c06b945025ddf29f030b3b28478
20938.z c07630b4968fc3e5ac8fd3cd13b54fefcb28624e30e4af01e7df952337644aa5
120039.gz 4c89ac2baa3344e94571d812c46d04021aaf8997fbc28e36d4c92c0007517395
Doc02378290298.zip 108e3980e1e072d2e51de247eb92d761eaab00ef1225b6667d81ae6f6aece039
rrr00oil998643.exe a606044e1ee6a81ca78f9be4fbbc2bb7f19402f151c6532d0233db0c62ea5f10
rrrockk8897765wq.exe ca16375b968ebc6dbfbfa44b73ac7c6a9de329699356353248f364e0b21a4e84
rock99ookkhgg54.exe 7e530694734f4ea957aade596ad1f111289d3df94f1588e94d5f3c553f1c7298
rrocc99355wwqaas.exe 67298e2681779093f4e291fa281db921fb8aa1e0eb472fcaf8e7b5d53d8a2077
rrrk890ooecd2.exe b7664fb08da2efb39adc099cb3afe9c0a3a8259ab36988faaff6eba517a40c10
rrrock998076.exe ce2d71d80391da807d54f4a09a79210ad9e858f7035024c3b6940fe97e426e79
ros990036624gswr.exe c75764bee0cc9793abada79ed4c4a47ae15f7c8bee525e1d617415da27b016d4
rock99588577yetdr.exe 35a8fccac293ccfb9339f1e30da1a04f91da48e5e2a98fff0c566a888a6db79e
roc88994777653tehjd.exe 340664810f8169a8c8e96332f32d7cbd7a8d0fde60d3a038b1b0c73f73cf216f
rock884959958iiiifw.exe 97f278a07c22bfdc877569eef682cecb75ab1b13bcccb109a315da4425580dec
rc0047ggdte3.exe 1acb351449c75a1c5e5d7750230fc93cfe0316a63581e1adb4a46ba5dec5c0c1
rrck990057hhjyy6.exe 436292c22b388c0e586f6e9a0bef2490de09e502194513032275365cf0dd55eb
rrkk9947hhyft54.exe f1ad91290261a53086074108d6dfa55299f52e45225ae87161811046011d045a
rock9980jjfur.exe 041a39cb5700e4016b93e3e42efd80d3042adf5ecd96e4aa8b25635dd87df221
OV_ 090224.exe 3845606d09beeb95bd7f08f2faf33de2aca03f96686e8861bdee531401887b21
momo99047yfr.exe e3b77b6036aafc0893f9e57e4e5bbb33a61fc456d6619445362945867e861309
rrrrrr0olkt.exe 1a6ba87b6caaf5622647fd113666a8d3da1c526d6a419f2879c015ff615245d9
PO_ 3051105.exe 22fdf32c7ba308346701d24b5c6c3f60a66cca454cd03be05105f2fd9a37b985
e-dekont.exe acc4c24fe33c318c83df0ccd6f65480cbfaf216e582198e9fb0bd0cc65f96757
TEKLIF FORMU 0311.exe 50799c72d77f07f0e4438079d8f52b122a960cbfa3e30b42ebe8b6be6425d7e0
bosCxjfbctk.exe a2fefd08d4ca46faba3df7e2756ab895adf3c6f9da375f957663e82061991519
rockFguoiv.exe 70215ab67ca4a43f60039e014f4af65b458057c9777076da49cacad9a8b1bdc2
rorkYhnrf.exe ae33568aa97000f6b16905a9af208e111e4d0fc59271c52916b1e0ba988e552b
rkRrioghjfb.exe ead967a39a189a10f8aabdb1369b5f200719ca4bb51f98650aef41e436d203b4
roFunsrvqmaaq.exe 3e4e02eb8c269e00f2917e9474b8362bb5ed8987b17b093f3a8a646278681b9c
rrkPrsmedlda.exe ce910678f856588a0e953c1c1f5e8cee5cd8689f6b2fc130c37c4406dbec483d
rrkkDvbowhld.exe 2d5940f7d21675f6585ffdff654ef596a8dfde12a099be3fa8fa1dc3beb2c300
Qlecywmac.exe c91ea133cb9e3fa0357977af14844a1f7ed1a9a519b0746bd8e33d41b0e911b7
Dbgfk.exe 664b38aa22e45dd30c85174976134a49085ec216857e93c398e5da7085774c27
Xiezi.exe 985d9758515be1605768f09fb31d9b351ddfb9fcf402f8786f4f1e6ac1735d09
Uctkltgeidj.exe bca6479368f5950b769432b771a1a78a21f0be0142ed2b09e744730fee47aff5
Wwcby.exe bc3b35a9300c626f60edbe2edad64d92d726198a437c4cc97965b594aa7c2223
Hmyteqkp.exe 07e1a7c7db48634dab70556d466ed0b8b4da85b28529b2b263a0a46b3f04dd10
Pnnizicnkl.exe 0b880a70a9d4444c7ed37019fb708e9e4ddcc8edd3465157a38f1c84bb4337b4
Dcblejffmoa.exe b90922b5e35d6368d5ae449c45a111323f5d3b883416b0c13df5c1ecaa25d9bf
Dlkmrqby.exe 9e9a365fef6a02638459dd571892c9702b530bed8284403d9772a566e2b87eb0
Qrguhetr.exe b4ac3ee481fb4c75763858cedd0196f8e551acae75e16f7ce93907fb0d2e243f
Egswjute.exe e0b4e3217f28aa3ea0ad2edf009caee13f799a15bfb5d511bdf42fc1d9143663
rorr99086.exe 0bc70feb553bde362d94c650261f67ba9c56502ad04c838ff2d7c4fc49a45fb1
roo48895004hhye2.exe 1c45ced41fc7ae22e24b5605239e5c47a213d854545b1f91285455666aab1834
ro9088cgg5542.exe d3fefa3e2caa419c12cf2a1600e4c41c465bf932b0ae7c337bfa2fcf5007ae5b
rocBifzmwb.exe 20b77d84fcc348a05f0d119293ee46ec7262c148e4d3828af4fa4601330385e7
rrDmetnnff.exe 5bbb229e84cffeb0749d26059f70b5e532d06f5096dda64676574e11ff482f3e
rrkTpswhogt.exe 1cd925a8d0b8b42cdd7412dfe21767055272cf4f66a50ce6b5d6800bfa8e617f
rocXsazk.exe 20ad8bfddb2e87cfbe0655014a5719c7917fc3ca8f1fe3015d28cc5f2e3527f9
Rocdmxtwgsbtt.exe 9f3631e7bf2414311fe1a034a2967271aa00898c6984558801a593a4e6e5cd42
rocMscmrp.exe 99df5d747d4933bb0f315face50c800752ad3a4e854e88442d7dfd042385a72a
roDdeqsha.exe 280477dbc907ffba1a294ccd7a2b8b72a4ddc660956be96c893bd2353d2b7aba
ryNbjqznxgwb.exe 98d34263254e4b691f6263c8d58981cbca971497c1d2504ffb2d8e55c857d28c
ryEahargnynk.exe b58ca2a14836ed283ed5b5d653f20c2a42077d4d7b6b4cbe2ad6bc2ab532db07
rkXcslev.exe 7c9e34703f6d49230561af89589c77b3e42667d787890afdae310d4c017b7733
ryMblnsuw.exe f17124a24df7513eec26b3ee2c727e3befe328c6baba11ee546e0d230c6f49af
rrTqdiabb.exe f521ae15156f6005fdc698b0b23ff6e3bfd8a1c1aba7555b542c54b6170fe3ac
tDcfpbqp.exe b55704fe010b9e7490f0418b419300fd8ec6e348e5b1c4ae9029fa0c0d164103
rrrk897.exe 2cc5de99c8a26a638f45451e9ba2cef65b98bed8e51ca495866db36413ebfa23
Sipari_ formu 07.14.exe 7bf47a92fadd875caa70db94a8ef153f7e63296357619e23a27b2d4e0a6a2bde
tets577yhfr45.exe 46d266f011d197dce146172e17a56114e342085f6f19f12116695c223b575ba8
ryc9984766ert3.exe 1ac00f76cc24c8ff6c7a3772fe0ef09b812da037c4b3e4e6450a2ac47caa0ace
tstuurjfhe534.exe fedc7f3f325cb297223bcb71a3ed165bfaed3c34fe9ca67afeb1bc480717d0ba
test7586hhfy3e.exe c7599a7682265746602c609992eaed10d4f31c708a9905967de829f1081badf7
txyur775yr3.exe 9a9b3cf1980533ad02913deca0cb3c9a16a26f6a73e320bb707150a3db4c2b68
ttest567fhet4.exe 858609440c3b513a87dd82f4ee90b3fd8f69d0a554afa3894173b1b16a554b08
tegyt7756643.exe 22b46e5cfbc009778007beb16dc621f4dd1593c7e94755f2cd5f58913346a8ff
ttedsw22358.exe 798b53596945ecefe6bd910064a465d4131b33c6f654f457333a9c47feb01e16
wGbxEfO1yaW3Zgn.exe 1decfe904f4723e30bef8028e5b7bc5ad45b349bf252ad576dbe502ad56e3181
ttesu766453gd.exe bcb7c5d61a2de6ab053a4aa28b104006e7643f0046ee72de765f0503f1f84c96