2023 年 4 月更新 – Microsoft 威胁情报已转向围绕天气主题对齐的新威胁参与者命名分类。DEV-0196现在被追踪为胭脂红海啸。
要了解有关此演变的更多信息,新分类法如何表示威胁参与者的起源、独特特征和影响,以及威胁参与者名称的完整映射,请阅读此博客:Microsoft 转向新的威胁参与者命名分类法。
Microsoft 威胁情报分析师非常有信心地评估,Microsoft 跟踪的 DEV-0196 威胁组织与以色列的私营部门进攻行为者 (PSOA) 称为 QuaDream。据报道,QuaDream向政府出售了一个他们称之为REIGN的平台,用于执法目的。REIGN 是一套旨在从移动设备窃取数据的漏洞利用、恶意软件和基础设施。
在这篇博客中,Microsoft分析了DEV-0196,讨论了行为者的iOS恶意软件(我们称之为KingsPawn)的技术细节,并分享了可用于帮助检测的主机和网络入侵指标。
在我们对 DEV-0196 的调查过程中,Microsoft 与多个合作伙伴进行了合作。多伦多大学蒙克学院(University of Toronto's Munk School)的公民实验室(Citizen Lab)是其中之一,在北美、中亚、东南亚、欧洲和中东地区,至少发现了五名DEV-0196恶意软件的民间社会受害者,其中包括记者、政治反对派人士和非政府组织(NGO)工作人员。此外,Citizen Lab还能够确定QuaDream系统在以下国家/地区的运营商位置:保加利亚、捷克、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿拉伯联合酋长国和乌兹别克斯坦。在此处阅读 Citizen Lab 报告。
Microsoft 正在与我们的客户、行业合作伙伴和公众共享有关 DEV-0196 的信息,以提高对 PSOA 如何运作的集体了解,并提高对 PSOA 如何促进针对和利用公民社会的认识。欲了解更多信息,请阅读捍卫民主价值观,保护网络空间稳定。
DEV-0196:以色列的私营部门进攻行为者
PSOA,Microsoft也称为网络雇佣军,通过各种商业模式(包括访问即服务)销售黑客工具或服务。在访问即服务中,行为者销售完整的端到端黑客工具,购买者可以在网络操作中使用这些工具。PSOA本身不参与任何针对性或行动的运行。
Microsoft威胁情报分析师非常有信心地评估DEV-0196使用这种模式,向政府出售利用服务和恶意软件。它不直接参与定位。Microsoft还非常有信心地评估DEV-0196与一家名为QuaDream的以色列私营公司有关。根据以色列公司管理局的说法,QuaDream于2016年8月以以色列名称קוודריםבע“מ注册成立。该公司没有网站,也很少有关于该公司的公开报道,只有少数值得注意的例外。
QuaDream 在 2022 年路透社的一份报告中引起了国际关注,该报告引用了一份描述 REIGN 平台和功能列表的公司手册,该报告还特别表明 QuaDream 使用了零点击 iOS 漏洞,该漏洞利用了 NSO Group 的 ForcedEntry 漏洞中的相同漏洞。以色列新闻媒体《国土报》早些时候的一篇报道也引用了QuaDream的一本小册子,透露QuaDream并没有直接向客户销售REIGN,而是通过一家塞浦路斯公司进行销售。《国土报》还报道说,沙特阿拉伯政府是QuaDream的客户之一,加纳政府也是如此。然而,《国土报》无法证实加纳媒体的指控,并在以色列媒体上重申,QuaDream 员工是来自不同公司的 14 名以色列科技工作者之一,他们于 2020 年在总统大选前三个月前往加纳阿克拉与现任政府会面,目的是开展一个与之相关的特别项目。
Meta 在 2022 年 12 月的一份报告中提到了 QuaDream,据报道,该报告删除了与该公司相关的 250 个帐户。根据该报告,Meta 观察到 QuaDream 测试其利用 iOS 和 Android 移动设备的能力,目的是“泄露各种类型的数据,包括消息、图像、视频和音频文件以及地理位置”。
技术调查:DEV-0196 恶意软件
Microsoft威胁情报分析师非常有信心地评估,我们称之为KingsPawn的恶意软件是由DEV-0196开发的,因此与QuaDream密切相关。我们以中等置信度评估,我们与 DEV-0196 关联的移动恶意软件是公开讨论的 REIGN 系统的一部分。
捕获的样本针对 iOS 设备,特别是 iOS 14,但有迹象表明某些代码也可以在 Android 设备上使用。由于恶意软件示例以 iOS 14 为目标,因此此示例中使用的某些技术可能不再适用于较新的 iOS 版本或与之相关。但是,我们评估 DEV-0196 极有可能已经更新了他们的恶意软件,针对较新的版本来解决这个问题。对恶意软件的分析显示,它被拆分为多个组件。以下各节重点介绍其中两个组件:监视器代理和主要恶意软件代理。
监视代理
监视代理是用 Objective-C 编写的本机 Mach-O 文件。它负责减少恶意软件的取证足迹,以防止检测和阻碍调查。它有多种技术可以做到这一点,其中之一是监控各种目录,例如 /private/var/db/analyticsd/ 和 /private/var/mobile/Library/Logs/CrashReporter,以查找任何恶意软件执行项目或与崩溃相关的文件。一旦识别出这些项目或文件,监视代理程序就会将其删除。
监视代理还负责管理代表恶意软件生成的各种进程和线程,以避免因意外进程崩溃而创建的项目。代理使用 waitpid 函数监视生成的所有子进程,并将子进程 ID 添加到跟踪列表中。监视代理尝试通过使用 SIGTSTP 参数调用 sigaction 来安全地关闭跟踪的子进程,如果 sigaction 成功返回,则表示可以访问子进程,并发送 SIGKILL 命令来终止它。这样可以避免向不存在的 PID 发送 kill 命令,这可能会留下错误消息和工件。
主要代理
主代理也是一个原生的 Mach-O 文件。然而,它是用 Go 编写的,这是一种高度可移植的语言,之所以选择它,可能是因为它允许跨多个平台进行编译,从而减少了开发工作量。
此代理包括以下功能:
它通过利用两个关键的二进制文件tccd和mediaserverd(ZecOps描述的技术)来实现其中一些功能,例如秘密使用相机。名称 tccd 代表透明度、同意和控制 (TCC) 守护程序,该过程管理各种外围设备(如摄像头和麦克风)的访问权限。通常,用户会收到来自 tccd 进程的弹出提示,提醒他们某些内容已请求访问摄像头、麦克风或其他外围设备,并且用户需要允许或拒绝它。在此入侵方案中,代理将自身注入到 tccd 二进制文件中,这允许代理在利用过程中生成新进程和线程,并允许它绕过设备上的任何 tccd 提示,这意味着用户不会意识到相机入侵。与 tccd 一起,代理还通过 mediaserverd 为自己预置了在后台运行的权限。此二进制文件处理其他应用程序在使用相机时与之交互的界面。有关 iOS 进程注入、tccd 和其他系统组件的更多详细信息,请参阅 Jonathan Levin 的 macOS 和 iOS 内部书籍和博客。
主代理中使用的技术包括 PMAP 绕过、Apple 移动文件完整性 (AMFI) 绕过和沙盒转义。PMAP 是与页面保护层 (PPL) 配合使用的机制之一,可防止未签名代码在 iOS 设备上运行。AMFI 是一种保护机制,由多个组件组成,包括内核扩展 AppleFileMobileIntegrity.kext 以及用户空间守护程序 amfid。沙盒限制通过授权系统访问系统资源和用户数据。尽管 PMAP、PPL、AMFI 和沙盒多年来一直在强化,但高级攻击者试图绕过这些保护机制以运行未签名的代码。
代理还通过创建名为 fud.appex 的嵌套应用扩展,为 XPC 消息传递创建安全通道。XPC 消息传递允许代理查询各种系统二进制文件以获取敏感设备信息,例如位置详细信息。尽管 iOS 设备上有一个名为 fud 的合法二进制文件,它是 Mobile Accessory 更新程序服务的一部分,但 fud.appex 不是合法 Apple 服务的一部分。代理在文件夹 /private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/ 中创建恶意应用扩展。从此应用程序扩展中执行 XPC 消息传递的主要原因是建立一个隐蔽通道,使代理能够避免被监视。这种嵌套目录技术意味着 XPC 服务的注册方式使其仅对应用程序扩展本身可见,因此其他应用程序和系统进程的任何外部监控都要困难得多。在解开 tccd 并将其恢复到其原始状态后,将删除整个 PlugIns 文件夹以进一步隐藏其存在的任何工件。
在他们的博客中,Citizen Lab 讨论了受 DEV-0196 恶意软件入侵的设备上可能存在恶意日历事件,因此主代理的另一个值得注意的功能是它包含从设备日历中删除事件的特定代码。代理搜索当前时间前两年的所有日历事件,直至允许的未来时间,删除与给定电子邮件地址绑定的任何事件作为“组织者”。代理还会从 idstatuscache.plist 中删除电子邮件地址,该列表是一个数据库,其中包含设备与其他 iCloud 帐户的首次联系记录。此列表将包含发送恶意日历邀请的电子邮件地址,以及原始交互的时间戳,例如收到邀请的时间。
代理中还有其他功能,可以通过从定位进程的记录中删除位置监控的工件来覆盖其轨迹。要首先从 locationd 查询位置,代理必须注册一个客户端,该客户端通过 XPC 消息传递与 locationd 通信。然后,定位进程将这些连接的记录存储在 /private/var/root/Library/Caches/locationd/clients.plist 中。恶意代理在客户端 plist 中搜索后缀为 subRidged 的项目,然后删除它们,这表明其位置监控客户端的名称可能以该单词结尾。这是恶意活动试图伪装成良性系统进程的另一个例子,因为 subridged 是合法的 Apple 二进制文件的名称,是 SoftwareUpdateBridge 框架的一部分。
技术调查:DEV-0196 基础设施
Microsoft开发了独特的网络检测,可用于在互联网上对DEV-0196的基础设施进行指纹识别。该组织大量使用域名注册商和廉价的云托管服务提供商,这些提供商接受加密货币作为支付方式。他们倾向于每个 IP 地址只使用一个域,并且域很少在多个 IP 地址中重复使用。许多观察到的域是使用免费的 Let's Encrypt SSL 证书部署的,而其他域则使用旨在与正常 Kubernetes 部署融合的自签名证书。
我们在本文末尾包含了基于网络的指标,用于检测目的。通常,威胁行为者使用的域名带有与预期目标位置一致的国家/地区特定 TLD 或主题。值得注意的是,我们的 DEV-0196 域名列表包括与 Citizen Lab 确定为受害者所在地的一些国家/地区、QuaDream 平台运营的国家/地区或两者密切相关的域名。需要明确的是,在一个国家/地区识别恶意软件的受害者并不一定意味着该国的实体是 DEV-0196 客户,因为国际定位很常见。
预防和检测
防止可能具有零点击漏洞的高级参与者对移动设备的利用是很困难的。在入侵期间和之后检测对移动设备的攻击也存在重大挑战。本节讨论一些将恶意行为者入侵移动设备的风险降至最低的方法,然后提供一些与 DEV-0196 活动相关的入侵指标。
基本的网络卫生对于帮助防止移动设备泄露非常重要。具体的最佳做法包括将设备的软件更新到最新版本、启用自动软件更新(如果可用)、使用反恶意软件,以及警惕不要单击任何意外或可疑消息中的链接。
如果您认为自己可能成为高级攻击者的目标并使用 iOS 设备,我们建议您启用锁定模式。锁定模式通过减少威胁参与者可用的攻击面,为 iOS 设备提供增强的安全性。
哨兵检测
Microsoft Sentinel 客户可以使用 TI 映射分析自动将本博客文章中提到的恶意域指示器与其工作区中的数据进行匹配。如果当前未部署 TI 地图分析,客户可以从 Microsoft Sentinel 内容中心安装威胁情报解决方案,以便在其 Sentinel 工作区中部署分析规则。有关内容中心的更多详细信息,请访问:https://learn.microsoft.com/azure/sentinel/sentinel-solutions-deploy。
此外,客户可以通过 GitHub 以结构化格式访问共享指标,以便将它们集成到自定义分析和其他查询中: https://github.com/microsoft/mstic/blob/master/RapidReleaseTI/Indicators.csv。
妥协指标 (IOC)
基于主机的指标
这些基于宿主的指标表明 DEV-0196 活性;但是,它们不应仅用作归因,因为其他参与者也可能使用相同或相似的 TTP。
/private/var/db/com.apple.xpc.roleaccountd.staging/subridged 中的现有文件或进程活动
com.apple.avcapture 中存在的文件或进程活动
文件夹 /private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/fud.appex/ 存在,或者从该文件夹中检测到活动。
网络指标
根据我们的 C2 调查结果,Microsoft 威胁情报将以下域与 DEV-0196 活动相关联。给出了首次检测到可能正在使用的域的日期,以及最后看到的活动日期。
Domain | First active | Last active |
fosterunch[.]com | 2022-05-30 | CURRENT |
womnbling[.]com | 2022-05-30 | CURRENT |
zebra-arts[.]com | 2022-05-31 | CURRENT |
pennywines[.]com | 2022-08-19 | CURRENT |
choccoline[.]com | 2022-08-19 | CURRENT |
lateparties[.]com | 2022-09-15 | CURRENT |
foundurycolletive[.]com | 2022-11-07 | CURRENT |
jungelfruitime[.]com | 2022-11-09 | CURRENT |
gameboysess[.]com | 2022-11-09 | CURRENT |
healthcovid19[.]com | 2022-11-10 | CURRENT |
codingstudies[.]com | 2022-11-16 | CURRENT |
hoteluxurysm[.]com | 2022-11-18 | CURRENT |
newz-globe[.]com | 2022-11-23 | CURRENT |
hotalsextra[.]com | 2022-11-23 | CURRENT |
nordmanetime[.]com | 2022-11-23 | CURRENT |
fullaniimal[.]com | 2022-11-23 | CURRENT |
wikipedoptions[.]com | 2022-11-23 | CURRENT |
redanddred[.]com | 2022-11-23 | CURRENT |
whiteandpiink[.]com | 2022-12-02 | CURRENT |
agronomsdoc[.]com | 2022-12-02 | CURRENT |
nutureheus[.]com | 2022-12-02 | CURRENT |
timeeforsports[.]com | 2022-12-15 | CURRENT |
treerroots[.]com | 2022-12-15 | CURRENT |
unitedyears[.]com | 2022-12-15 | CURRENT |
eccocredit[.]com | 2022-12-16 | CURRENT |
ecologitics[.]com | 2022-12-19 | CURRENT |
climatestews[.]com | 2022-12-19 | CURRENT |
aqualizas[.]com | 2022-12-19 | CURRENT |
bgnews-bg[.]com | 2022-12-20 | CURRENT |
mikontravels[.]com | 2022-12-23 | CURRENT |
e-gaming[.]online | 2022-12-23 | CURRENT |
transformaition[.]com | 2022-12-23 | CURRENT |
betterstime[.]com | 2022-12-23 | CURRENT |
goshopeerz[.]com | 2022-12-23 | CURRENT |
countshops[.]com | 2022-12-23 | CURRENT |
inneture[.]com | 2022-12-23 | CURRENT |
shoppingeos[.]com | 2022-12-23 | CURRENT |
mwww[.]ro | 2023-01-05 | CURRENT |
rentalproct[.]com | 2023-01-05 | CURRENT |
bcarental[.]com | 2023-01-05 | CURRENT |
kikocruize[.]com | 2023-01-05 | CURRENT |
elvacream[.]com | 2023-01-10 | CURRENT |
pachadesert[.]com | 2023-01-12 | CURRENT |
razzodev[.]com | 2023-02-06 | CURRENT |
wombatcash[.]com | 2023-02-06 | CURRENT |
globepayinfo[.]com | 2023-02-06 | CURRENT |
job4uhunt[.]com | 2023-02-08 | CURRENT |
ctbgameson[.]com | 2023-02-08 | CURRENT |
adeptary[.]com | 2023-02-08 | CURRENT |
hinterfy[.]com | 2023-02-08 | CURRENT |
biznomex[.]com | 2023-02-08 | CURRENT |
careerhub4u[.]com | 2023-02-08 | CURRENT |
furiamoc[.]com | 2023-02-08 | CURRENT |
motorgamings[.]com | 2023-02-08 | CURRENT |
aniarchit[.]com | 2023-02-08 | CURRENT |
skyphotogreen[.]com | 2023-02-26 | CURRENT |
datacentertime[.]com | 2023-02-26 | CURRENT |
stylelifees[.]com | 2023-02-26 | CURRENT |
kidzlande[.]com | 2023-03-01 | CURRENT |
homelosite[.]com | 2023-03-01 | CURRENT |
zooloow[.]com | 2023-03-01 | CURRENT |
studiesutshifts[.]com | 2023-03-01 | CURRENT |
codingstudies[.]com | 2023-03-08 | CURRENT |
londonistory[.]com | 2023-03-16 | CURRENT |
bestteamlife[.]com | 2023-03-16 | CURRENT |
newsandlocalupdates[.]com | 2023-03-16 | CURRENT |
youristores[.]com | 2023-03-16 | CURRENT |
zooloow[.]com | 2023-02-26 | 2023-03-04 |
kidzlande[.]com | 2023-02-26 | 2023-03-04 |
homelosite[.]com | 2023-02-26 | 2023-03-04 |
studiesutshifts[.]com | 2023-02-26 | 2023-03-04 |
datacentertime[.]com | 2022-11-07 | 2023-02-25 |
homelosite[.]com | 2022-11-09 | 2023-02-25 |
zooloow[.]com | 2022-11-10 | 2023-02-25 |
kidzlande[.]com | 2022-11-10 | 2023-02-25 |
studiesutshifts[.]com | 2022-11-10 | 2023-02-25 |
stylelifees[.]com | 2022-11-11 | 2023-02-25 |
skyphotogreen[.]com | 2022-11-11 | 2023-02-25 |
gardenearthis[.]com | 2023-01-11 | 2023-02-25 |
fullstorelife[.]com | 2023-01-11 | 2023-02-25 |
incollegely[.]org | 2022-05-24 | 2023-01-20 |
shoplifys[.]com | 2022-05-26 | 2023-01-20 |
thetimespress[.]com | 2022-06-24 | 2023-01-20 |
studyshifts[.]com | 2022-06-24 | 2023-01-20 |
codinerom[.]com | 2022-07-10 | 2023-01-20 |
gamingcolonys[.]com | 2022-07-17 | 2023-01-20 |
kidzalnd[.]org | 2022-07-17 | 2023-01-20 |
wildhour[.]store | 2022-07-26 | 2023-01-20 |
wilddog[.]site | 2022-07-26 | 2023-01-20 |
garilc[.]com | 2022-07-26 | 2023-01-20 |
runningandbeyond[.]org | 2022-08-04 | 2023-01-20 |
fullmoongreyparty[.]org | 2022-08-04 | 2023-01-20 |
greenrunners[.]org | 2022-08-04 | 2023-01-20 |
sunsandlights[.]com | 2022-08-09 | 2023-01-20 |
techpowerlight[.]com | 2022-08-16 | 2023-01-20 |
gamezess[.]com | 2022-08-29 | 2023-01-20 |
planningly[.]org | 2022-08-29 | 2023-01-20 |
luxario[.]org | 2022-09-03 | 2023-01-20 |
vinoneros[.]com | 2022-09-03 | 2023-01-20 |
i-reality[.]online | 2022-09-07 | 2023-01-20 |
styleanature[.]com | 2022-09-07 | 2023-01-20 |
planetosgame[.]com | 2022-12-12 | 2023-01-20 |
kidsfunland[.]org | 2022-07-29 | 2023-01-19 |
fullstorelife[.]com | 2022-11-11 | 2023-01-09 |
localtallk[.]store | 2022-01-26 | 2022-12-20 |
allplaces[.]online | 2022-01-26 | 2022-12-20 |
sunclub[.]site | 2022-01-26 | 2022-12-20 |
thenewsfill[.]com | 2022-05-26 | 2022-12-20 |
wellnessjane[.]org | 2022-05-26 | 2022-12-20 |
meehealth[.]org | 2022-05-27 | 2022-12-20 |
gameizes[.]com | 2022-07-20 | 2022-12-20 |
playozas[.]com | 2022-07-20 | 2022-12-20 |
foodyplates[.]com | 2022-07-20 | 2022-12-20 |
designaroo[.]org | 2022-08-29 | 2022-12-20 |
designspacing[.]org | 2022-08-29 | 2022-12-20 |
stockstiming[.]org | 2022-09-01 | 2022-12-20 |
hoteliqo[.]com | 2022-09-01 | 2022-12-20 |
projectoid[.]org | 2022-09-01 | 2022-12-20 |
study-search[.]com | 2022-09-01 | 2022-12-20 |
tokenberries[.]com | 2022-09-03 | 2022-12-20 |
recovery-plan[.]org | 2022-09-07 | 2022-12-20 |
deliverystorz[.]com | 2022-09-07 | 2022-12-20 |
forestaaa[.]com | 2022-10-04 | 2022-12-20 |
addictmetui[.]com | 2022-10-20 | 2022-12-20 |
earthyouwantiis[.]com | 2022-10-20 | 2022-12-20 |
zedforme[.]com | 2022-10-20 | 2022-12-20 |
forestaaa[.]com | 2022-10-28 | 2022-12-20 |
navadatime[.]com | 2022-11-10 | 2022-12-15 |
careers4ad[.]com | 2022-11-13 | 2022-12-15 |
gardenearthis[.]com | 2022-11-07 | 2022-12-14 |
studyreaserch[.]com | 2022-11-09 | 2022-12-14 |
novinite[.]biz | 2022-08-31 | 2022-12-10 |
agronomsdoc[.]com | 2022-11-16 | 2022-11-28 |
whiteandpiink[.]com | 2022-11-16 | 2022-11-28 |
nutureheus[.]com | 2022-11-18 | 2022-11-28 |
dressuse[.]com | 2022-09-18 | 2022-11-20 |
iwoodstor[.]xyz | 2022-09-18 | 2022-11-20 |
teachlearning[.]org | 2022-09-18 | 2022-11-20 |
subcloud[.]online | 2022-09-21 | 2022-11-20 |
monvesting[.]com | 2022-09-21 | 2022-11-20 |
elektrozi[.]com | 2022-09-21 | 2022-11-20 |
hoteluxurysm[.]com | 2022-11-09 | 2022-11-14 |
hopsite[.]online | 2022-11-13 | 2022-11-14 |
bikersrental[.]com | 2022-05-24 | 2022-11-13 |
takestox[.]com | 2022-05-24 | 2022-11-13 |
sidelot[.]org | 2022-05-24 | 2022-11-13 |
powercodings[.]com | 2022-08-21 | 2022-11-13 |
naturemeter[.]org | 2022-08-21 | 2022-11-13 |
takebreak[.]io | 2022-10-12 | 2022-11-13 |
fullstorelife[.]com | 2022-11-07 | 2022-11-10 |
noraplant[.]com | 2022-11-09 | 2022-11-09 |
forestaaa[.]com | 2022-10-04 | 2022-11-07 |
goodsforuw[.]com | 2022-10-26 | 2022-11-07 |
stayle[.]co | 2022-10-26 | 2022-11-07 |
eedloversra[.]online | 2022-10-28 | 2022-11-07 |
sevensdfe[.]com | 2022-11-03 | 2022-11-07 |
dsudro[.]com | 2022-11-03 | 2022-11-07 |
gameboysess[.]com | 2022-11-07 | 2022-11-07 |
sseamb[.]com | 2022-10-26 | 2022-11-06 |
healthcovid19[.]com | 2022-11-04 | 2022-11-06 |
noraplant[.]com | 2022-11-04 | 2022-11-06 |
fullstorelife[.]com | 2022-11-04 | 2022-11-06 |
datacentertime[.]com | 2022-11-04 | 2022-11-05 |
recover-your-body[.]xyz | 2022-01-06 | 2022-11-02 |
reloadyourbrowser[.]info | 2022-07-05 | 2022-11-02 |
comeandpet[.]me | 2022-07-05 | 2022-11-02 |
brushyourteeth[.]online | 2022-07-05 | 2022-11-02 |
digital-mar[.]com | 2022-08-10 | 2022-11-02 |
retailmark[.]net | 2022-08-16 | 2022-11-02 |
dsudro[.]com | 2022-10-04 | 2022-11-02 |
studysliii[.]com | 2022-10-26 | 2022-11-02 |
homeigardens[.]com | 2022-09-07 | 2022-10-29 |
stayle[.]co | 2022-10-20 | 2022-10-24 |
studysliii[.]com | 2022-10-20 | 2022-10-24 |
goodsforuw[.]com | 2022-10-20 | 2022-10-24 |
dsudro[.]com | 2022-10-20 | 2022-10-24 |
sseamb[.]com | 2022-10-20 | 2022-10-24 |
sevensdfe[.]com | 2022-10-20 | 2022-10-24 |
koraliowe[.]com | 2022-04-05 | 2022-10-13 |
topuprr[.]com | 2022-04-05 | 2022-10-13 |
zeebefg[.]com | 2022-04-05 | 2022-10-12 |
takebreak[.]io | 2022-06-21 | 2022-10-11 |
forestaaa[.]com | 2022-10-03 | 2022-10-03 |
teachlearning[.]org | 2022-09-18 | 2022-09-18 |
newsbuiltin[.]online | 2022-09-15 | 2022-09-17 |
jyfa[.]xyz | 2022-09-15 | 2022-09-17 |
monvesting[.]com | 2022-07-19 | 2022-09-15 |
teachlearning[.]org | 2022-07-19 | 2022-09-15 |
elektrozi[.]com | 2022-07-20 | 2022-09-15 |
thepila[.]com | 2022-09-15 | 2022-09-15 |
thegreenlight[.]xyz | 2022-01-11 | 2022-09-14 |
gosport24[.]com | 2022-01-11 | 2022-09-14 |
classiccolor[.]live | 2022-01-11 | 2022-09-11 |
shoeszise[.]xyz | 2022-02-24 | 2022-09-11 |
cleanitgo[.]info | 2022-02-24 | 2022-09-11 |
setclass[.]live | 2022-02-24 | 2022-09-11 |
white-rhino[.]online | 2022-04-14 | 2022-09-11 |
space-moon[.]com | 2022-04-14 | 2022-09-11 |
enrollering[.]com | 2022-05-24 | 2022-09-11 |
newslocalupdates[.]com | 2022-08-19 | 2022-09-11 |
newsbuiltin[.]online | 2022-09-11 | 2022-09-11 |
beendos[.]com | 2022-04-14 | 2022-09-10 |
linestrip[.]online | 2022-07-01 | 2022-09-07 |
sunnyweek[.]site | 2022-07-01 | 2022-09-07 |
