情报速递20240509｜"银狐"钓鱼团伙2024年1-5月攻击趋势

1.背景

2024年1月至5月，腾讯安全科恩实验室（以下简称“科恩”）对"银狐"（又被称作"谷堕大盗"、"树狼"、"游蛇"）钓鱼攻击黑产团伙的传播途径和攻击手法进行了持续跟踪。该团伙持续通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接URL，伪装成知名软件安装包等方式，进行有针对性的传播。攻击对象主要为企业单位中的财务、税务工作人员，其次为教育、电商、货运、设计等行业人员。

经过分析整理，该团伙攻击时的典型特征有以下7点：

1.  以chm、msi、pyinstaller等多种形式的载体打包母体文件，母体进一步释放或下载裹挟恶意代码的xml、jpg、dat、png等后缀的非PE文件；

2.  母体文件会通过加壳、代码混淆、检测杀毒软件进程和虚拟机等方式对抗分析；

3.  宿主进程读取母体释放的非PE文件并定位目标数据段，然后通过异或等算法解密出远控木马程序，使用的远控木马绝大部分为Gh0st；

4.  在执行木马程序阶段，利用白加黑执行、进程代码注入、内存加载shellcode、与合法程序源码一起打包编译、利用商业远控软件等手法进行免杀；

5.  通过个人网站、FTP服务器、云存储桶、云盘、云笔记等平台下载托管的恶意文件；

6.  通过添加系统启动项和计划任务进行持久化攻击；

7.  利用golang、C#、vbe、vbs、bat、js、lua、powershell等多种语言开发，以实现其多样化的对抗需求。

科恩针对此类钓鱼攻击用户数量趋势、钓鱼文件命名特点、钓鱼木马的技术特征、以及木马连接C2地址的端口类型和IP地址分布等特点进行了统计和分析，并在文末附上了近期该团伙攻击相关的IOC。根据科恩威胁情报样本云查引擎检测数据显示，预计在相当一段时间内该钓鱼团伙还会持续活跃，相关企业和单位应当及时部署有效的防御和检测方案。

2.攻击趋势

2.1 拦截钓鱼数量

科恩威胁情报样本云查引擎提供API接口形式，为腾讯多个产品提供恶意文件识别能力，同时还会将从多源运营生产的威胁情报IOC应用到企业级产品的安全模块或安全产品中，以提高企业客户对恶意攻击的综合拦截率。

据科恩情报云查侧统计，2024年1月至5月每日查杀到"银狐"钓鱼样本用户数量如下所示：

由上图可以看出，在2月以后，"银狐"钓鱼攻击的量级虽然有所下降，但仍然维持在每日受攻击用户约1000的高位水平（注：这些钓鱼样本均已被拦截）。

2.2 C2及端口

科恩累计针对2万多个钓鱼样本及其C2地址进行了分析，发现样本连接C2时有一些高频使用的端口，例如“7000”端口有270多个样本使用，而**“12345”，“6666”，“8888”，“5555”，“7777”这样通过数字简单排列或者重复的端口使用占比也较大，另外部分还使用了“2022”“2024”**这样的代表年份的数字来作为通信端口。

2.3 文件类型

经分析，钓鱼时投递的PE可执行文件中(如果的投递压缩包，则取解压出的文件类型)，占比最高的为EXE，其次为MSI类型。EXE类型文件在Windows系统界面中被双击后会直接运行，而MSI文件是Windows Installer的数据包，通常攻击过程中MSI运行后会安装和启动其他EXE木马程序。

2.4 典型钓鱼案例

在某用户具体反馈的案例中，攻击者先通过钓鱼控制了某单位人员"人事处-xxx"的电脑，然后利用该人员账号在其所在的“xxxx财务处报账群”中发送了附带远程控制木马的文件“2024最新涉税企业名单.rar”，造成该群聊中的所有人员存在被攻击的风险。

在另一用户反馈案例中，在“xxx地区xxx机构联络”群中，有相关人员的电脑被控制并向群里发送附带钓鱼木马文件的下载链接的消息，消息开头为**“2024年度1月起税务稽查局企业抽查名单”**，并且标明该文件需要用电脑打开，导致该群聊中的所有机构相关人员均存在被攻击的风险，并且不止一位的成员电脑已经被黑客控制。

在第三位用户反馈案例中，某人员的电脑被黑客控制后，拉了另外两位同事建立一个新的群聊，并在群聊中发布了一个名位“工作内容.docx”的文档，该文档中的内容明显是随意生成的与财务工作安排相关的话术。

随后，该人员向相关同事发送了附带远程控制木马的压缩包文件“今日工作排程.zip"，并导致他的同事的电脑也被植入木马。

2.5 文件命名特点

经分析，在社交聊天软件和邮件附件钓鱼过程中，攻击团伙主要利用财税类、发票订单类、视频资源类、政策通知类等主题命名钓鱼文件，并且从社会工程学角度出发，充分利用人们的逐利、好奇、恐惧等心理，构造了以“**补贴”、“**视频”、“**通知”、“**名单”等为标题关键词的钓鱼文件。

变化趋势上，前期主要的方向为以财务、税务等主题，后来逐渐发展为根据实时的热点事件进行命名，例如在2月出现某证券公司员工桃色新闻事件后、3月国家退税流程开始后、4月清明节假期开始后，在对应的时间节点分别出现了对应主题的钓鱼文件传播。相关类别钓鱼文件示例如下：

A.财税类

针对财税人员的钓鱼话术，利用人们追求利益的心理，钓鱼文件的命名方式包含“补贴”，“退税减税”，“薪资奖金”等，另外一类利用好奇和恐惧心理，以“抽查”，“稽查”，“名单”，“违规”等，第三类为操作提示类的，例如“税务系统操作指南”，“计税工具”，“查询”等进行投放。钓鱼文件实例：

文件名

md5

最终通知一国家税财会人员薪资补贴调整（更新日期：2024.1.1）.exe

0dadf900cfb946cf2abec3a65d288acd

2024最新发布-财会人员薪资补贴所需材料.exe

a3b107395ee1ecee13674554cb410791

2024年月新发布-财会人员薪资补贴调整新政策所需材料.exe

b09a5b62152b21e1cdd4517d0c49f516

密码123_关于企业和个人所得税政策.exe

260521432d424ac3aa826de748e987cb

关于政府给中小企业补贴公告.exe

833a7c8344df149859f00277ac5b2751

学院关于2024年科研补贴的说明.exe

503d2e8bcbe83c475273c965a64efe02

关于企 业 单 位-调整增值税税率有关政策（密码123）.exe 中型企业“六税两费”减免政策（电脑版）.zip

1654ac65b2d728575078b413fe5d41df

2024公司年终奖奖金名额人员.exe

750cac46994e82ba83ff142dd6ee2e3d

0131 年终奖报税，半税报减免税额存问题.rar

c5109d20dc5ca3b1bf5ab5175389d0d1

年终奖福利表 (4).exe

3cbd704a35789431be7a19ebfcff7dc2

2024年度1月企业抽查名单@h.exe

91128221df26497fc8b7534c6fa90dcc

国家税务局2024年1月度税务稽查随机抽查结果名单公示(1).exe

4254b4b481bd250300a746eb4f4ddc32

关于2024最新税务稽查通知.exe

a68f7de26252cf4d7f6d6c6259c58741

2024年1月份企业税务稽查通告【电脑版】.exe

ea9ed03ef700c5518c0654e5199d47bb

（4月）重点稽核企业税务名单公示.exe

dc964ea4e2725332ee70d394d7237946

3月份涉税财会人员征信拉黑名单如下.exe

4479178d28e07bd1eef068ef15a83d47

四月企业罚款名单.exe

5361f396d10252751b39c06af8168c34

2024年清明节公司财税违规名单.rar

254943ea6620a11127ee127ba8d3d447

3月份涉税财会人员征信拉黑名单如下.exe

4479178d28e07bd1eef068ef15a83d47

总局关于〔2024〕第一季度重点抽查企业名单公示（电脑版）.exe

e8fa3aadc9317fa456ad64ad7c587071

点击查询.msi

5e876b99583dfc4b2a27df919613bfe0

2024年新社保后台系统操作指南.msi

654fbfa984c04547a99223faded28167

财务人员常犯的21个财税知识误区 .exe

09391196a2b823c45588d5e20002200d

B.发票订单类

这类攻击针对贸易中的商家或者客户，使用“发票”，“订单”，“公司资料”，“发货单”，“价格表”等命名的钓鱼文件进行投递。钓鱼文件实例：

文件名

md5

电子发票.exe

64215587dc6863b9b0a71bb95dba1164

电子发票-终端.exe

0be9fc43bb6581574a1e46884f8e7688

公司成立资料.Word.exe

b81e57f53615405fe30c58af27c22b52

律师函-终端.exe

026a5407ac53ac6ef68f5de78ffb3ae3

最新装备的价格表.exe

84dcef26e3284b0bb5c9cb3fd405b140

资料.exe

1215cb125ea2d2d00c3e839fb56af787

电子云票PPTX.exe

48ab5ef59884e263651d874dcff59ab0

资料全套.msi

09ffdc1f4d2a3d9115d79f82b9024e9a

C.视频资源类

这类攻击针对吃瓜群众的好奇心，例如在出现某某出轨，或者某某泄露事件之后，利用以“*视频”命名的钓鱼文件在聊天群中进行投递，可能在短时间内造成大量用户中招。钓鱼文件实例：

文件名

md5

原版MP4.exe

308504f9d0195b122b9d35b9b6b385e7

原版视频.exe 

0ceeedc53c31c5af2dba607fab7f3a1f

2024mp4.exe

43ccc4cf86af53c0f431871747120ed8

(密码123)原版视频.exe

a26d4964ab8b7401307515afc0d9e881

原版视频.zip

616a202383a221937c6431ca27ac248c

**集团一女员工被丈夫举报与领导通J聚众Y乱.exe

cfc26301c8f293054ea9849f9acbd0ac

高中女老师出轨16岁学生.exe

b248cd243bd89f5d3aa93c115edae50e

**微博之夜无下限视频合集.exe

67d386805c43c9eaafea2d11dcf7d8cb

现场视频.msi

eed12d3972d286eea065114ff33fae8a

某公司财务挪用公款跳楼事件原视频.exe

fbfe1d055b5234292b3398e2fd201786

抖音6万粉网红女神大尺度x爱视频流出.exe

47740761957c4fc47e61bb292aadc07b

**视 频 被 曝 光。.zip.exe

0610efa65b46be9bbcd435d5d19645f0

D.政策通知类

这类攻击利用人们对“放假安排”，“医保社保”，“考试”等新政策的关注，利用包含“放假通知”，“政策调整通知”，“证书考试通知”，“社保医保通知”命名的文件进行钓鱼，可以对用户进行无差别广泛攻击。钓鱼文件实例：

文件名

md5

公司通知财会人员清明节调休时间如下.exe

2f202856508ad743315739b0b8164e45

关于印发《2024年管委会春节最新放假安排》的通知.exe

4b9aa6c899cd0dd91e49df50f730b7ad

2024春节放假通知.exe

b979d1dc310e69c04b2247817be00ee4

全国大学生放假通知.exe

6cb46d01a61a26fe21f80ebead47eeb9

春节放假通知.docx.exe

4690cfe93f7d57da740d5d80772e752b

2024年度全国会计证资格书过期更变通知系统官方查询.zip

90e99dec6d872c8e662142aec41ea3ac

**市社会保险事务中心关于公布2024年社会保险费缴费具体标准的通知.exe

a8a7ba0b8b38926aad6dda76aae901fa

《二四年度税务事项通知书》.rar

0a0ab76db354c782f4c1b1e2befda139

2024年***局对于企业经济普查表电子版更改和要求.exe

7eefb1e1fa8d0787bba801d91b932cca

***部发〔2024〕关于社保、最低工资最新变化（电脑版).exe

563bfc8edaf2294bb9e06c2c1d11ff10

【明确规定2024员工社保新政策文件通告】.exe

7b7274c56aade7473f0bdad1cc9feb50

医保核定企业名单.exe

d6804bb59e92b76857ed8f04386c8931

【新】公司法规定6037.exe

d3e6440de20bf5036c1cbb4ba7c90944

3.技术分析

为了躲避杀毒软件的检测，攻击者钓鱼时不会直接投递远程控制木马文件，而是会将木马加密后隐藏在文件数据中，或者从远程服务器下载，最终通过加载器解密执行。执行过程中还会使用反沙箱、反虚拟机、白+黑启动、进程代码注入、内存加载等技术，最终在用户主机植入Gh0st等类型的远程控制木马。

远程控制木马为了达到完全控制主机的目的，还会将进程提升至具备特殊权限等级，例如远程关机、加载设备驱动、创建计算机账户等，还会通过创建启动项、计划任务对木马进行启动，以便后续可以持续对主机进行控制。

3.1 诱导下载

为了防止投递的诱饵文件被检测和拦截，部分攻击者向目标用户投递文件下载地址和域名，并通过话术诱导用户主动下载运行。

发送下载链接：

诱导访问域名，域名下会不定期更新钓鱼样本：

钓鱼域名

钓鱼文件名

md5

https[:]//
emailqy[.]com/

ssetup凭证_6037.exe

3eb270f628533a2a9e8afadcdfb418f2

http[:]//
www.shuiwutg\[.\]com

电子发票-终端.exe

0be9fc43bb6581574a1e46884f8e7688

http[:]//
www.shuiwutg1\[.\]cn

查处名册.exe

bf198e28de8258f0e245e39eb3f21ab7

http[:]//
www.shuiwutg2\[.\]cn

稽查企业名单册-终端.exe

59b52b546ec7c5eb47b774dde279b904

http[:]//
www.shuiwutg3\[.\]cn

乔迁之喜邀请函-终端.exe

f669cd352cb4b4d1162524a17f5dc768

http[:]//
www.shuiwutg4\[.\]cn

重点稽查名单册-终端.exe

adfbd1410f57f6bdc91aa4c9b4cd7c51

http[:]//
www.shuiwujc0\[.\]cn

税务查处名单册-终端.exe

59b52b546ec7c5eb47b774dde279b904

http[:]//
www.shuiwujc1\[.\]cn

44终端.exe

a63228536a7c5265c9bace82cd40420c

页面打开状态：

页面代码通过重定向，3秒后会自动下载钓鱼文件：

3.2 检测运行环境

28b0f8889030473bf43741b5f6d08eef检测是否存在XueTr、OllyDbg等分析和监控软件进程

b045c4a93a926a638dc10d0130ee067f检测当前进程是否处于被调试状态

b045c4a93a926a638dc10d0130ee067f根据电源状态判断是否处于虚拟机环境

b3d68b2a5b370a46845e0d466612c1f7查看显卡等硬件信息判断是否处于虚拟机环境

3.3 加壳和混淆

46997abfc24ecb1b186b0ceffe60bfc0添加VMP壳保护，VMP属于高强度壳，使用了指令虚拟化技术，对代码和数据都进行了高强度混淆。

006298721ac79417f93e8c1252add3e5添加themida壳保护。Themida会将程序中的函数和代码进行加密和混淆，同时还会使用虚拟机技术，将部分程序代码转换为虚拟指令，使得程序在运行时动态解密和执行，属于类似于VMP的高强度壳。

dcb901adb00237486002282e7b653961通过Replace对模块名称字符串进行混淆

67d386805c43c9eaafea2d11dcf7d8cb使用for-switch模式逻辑混淆和函数名随机化混淆

d279c0d8860bb0b8608e493e816dbf09通过字符串拼接和base64对文件名和URL地址进行混淆

3.4 获取载荷数据

为了躲避杀毒软件的检测，攻击者投递的第一个程序往往不是后门或者远程控制木马本身，而是木马的一个启动器，这个启动器进一步从自身附带的数据中解密或者从远程地址下载数据而得到木马，进一步启动木马。由于这个启动器不具备恶意功能的特征，并且可以不断变化形式，造成杀毒软件难以在第一时间识别。

3.4.1 释放载荷文件

12532d6f8434b4f1e6b1ec7b98ef8e91从网络下载加密的数据并写入注册表中，后续运行时，启动器从注册表中读取数据并解密出恶意代码，并加载到内存执行。

d06916f1ca25a36ceb30b559006a3e7b从资源文件中释放木马启动器

“索伦”木马等攻击案例中，启动器运行后，从以".dat"，".jpg"，".xml"，“.ini”等类型的非PE文件文件中读取数据，并在内存中解密还原出恶意的PE文件，最终执行恶意代码，由于部分杀毒软件对非PE文件(可执行)的检测力度不够，并且这些文件中的数据被加密，可以一定程度上躲避查杀。

78b0c87c04ee3a9a9bf29f3574eace61从ffff.lop和ffff.pol中读取数据并在内存中还原为PE

13a36ea56290c6f93edfcf3a4c41a18f从xxxx.dat和edge.xml文件中读取数据并在内存中还原为PE

9365dadd184585de8e7e28384803ed93从xxxx.dat和xxxx.xml文件中读取数据并在内存中还原为PE

d9352655d7e9164607f3d01ac5d2ff0c从config.ini文件中读取数据并在内存中还原为PE

c13e4e7787ebd5605c9ad1a3de148a15从sqm.dat文件中读取数据并解密出远控木马

3.4.2 下载载荷文件

攻击者还会在自建的服务器或者云服务平台上创建恶意文件，启动器运行后从对应的地址上下载文件，并执行后续阶段的恶意功能。

从自有服务器地址下载文件：

965f0223e27c1af313e39d7ea016616c从FTP服务器中下载木马模块

d06916f1ca25a36ceb30b559006a3e7b从木马服务器oqlap5.2xsi[.]cn下载恶意文件act.rar

b362d702048aa693a7591335cc767764从木马服务器20.205.25[.]117下载木马载荷ser.txt

从云平台下载文件：

b402f1eeba8e6d7a26bf0d24c5254eed从云平台下载多个PE文件，包括木马文件KwMusicCore.dll

8ea13069afecb0cafa4e064ab7826bdb从云平台下载恶意模块d204.dll

3.5 解密攻击载荷

从文件中读取或者网络上下载的数据，加载到内存后，需要进一步解密还原出原本的恶意代码

ec373011704e5baf4821273cb373e419通过异或和取余运算进行解密

887a04cda34f7af3f350fd5f4d7a10c2通过异或和取运算进行解密

FA4C32B79F9B2BFED5217F86040338F7通过异或和取余运算进行解密

9365dadd184585de8e7e28384803ed93通过异或运算进行解密

a68933fddef808075b204e3a01d6125b通过异或和取余运算进行解密

afde3c42bec08fd5a5a6f4047c02fc06通过异或和取余运算进行解密

3.6 执行攻击载荷

3.6.1 白+黑启动

启动器在加载恶意模块的过程中，还大量使用的白+黑和代码注入技术，即通过一个具有合法数字签名的白文件来加载恶意的DLL文件，或者将恶意代码注入到系统进程，因为具有签名的软件文件和系统进程文件都在白名单内，黑客尝试将恶意代码藏匿在其中运行来躲避杀毒软件的检测。

d0cae00cf58fc13b5592ef038ff3ac39使用Windows资源管理器的插件ClassicExplorerSettings来加载同目录下的恶意DLL模块ClassicExplorer32.dll

811276868346227b4c1124d2f842d0bc利用某游戏公司升级程序，加载同目录下的恶意DLL模块dmcef.dll

cfb2c95221f07a75531d1b30b6c2d507利用网银控件白文件NXYBankAssist.exe启动同目录下木马模块WDAlg.dll

d9352655d7e9164607f3d01ac5d2ff0c利用某公司签名白文件加载同目录下的黑DLL文件lol.launcher_tencentBase.dll

3.6.2 进程代码注入

将恶意代码注入到系统进程中，也是"银狐"钓鱼木马常使用的躲避查杀手法，选择注入的系统进程包括svchost、rundll32等。在代码注入完成后，木马往往会将自身文件删除，来抹掉攻击痕迹。

8492c439a3de4a68d38edc10e3c89106通过QueueUserAPC向svchost.exe进程注入并执行shellcode

8ea13069afecb0cafa4e064ab7826bdb将下载的shellcode注入到rundll32.exe进程中执行

3.6.3 内存加载运行

启动器在从文件中或者从网络下载得到木马载体后，需要一段代码将木马部署到进程内存中，并且跳转到木马入口处执行，这段代码包含申请可执行内存，向内存写入数据，执行目标代码几个步骤。

b3d68b2a5b370a46845e0d466612c1f7通过VirtualAlloc申请内存，FillMemory写入恶意代码，CreateThread创建线程执行

28b0f8889030473bf43741b5f6d08eef将恶意代码写入内存后，通过CreateRemoteThread创建远程线程执行

2f202856508ad743315739b0b8164e45将从远程下载的恶意代码写入到内存，然后跳转到shellcode入口处执行

9365dadd184585de8e7e28384803ed93通过ImmEnumInputContext执行回调的方式运行shellcode

8492c439a3de4a68d38edc10e3c89106申请内存，解密shellcode并跳转到目标代码处执行

b362d702048aa693a7591335cc767764通过HeapAlloc申请内存，写入恶意代码并创建线程执行

ec373011704e5baf4821273cb373e419通过WriteProcessMemory在当前进程写入恶意代码，并通过CreateThread创建线程执行

3.7 权限提升

403bb0eb3c9d3b415f861410995bf87d利用Windows工具AdvancedRun以SYSTEM用户、无窗口显示的方式运行木马程序。

357fd7910fb0e3a252cd00f5415ec055通过netsh命令添加防火墙规则，允许相关模块的网络请求。

0d477e31eab28fbd9bc5f06d99d738b5检查当前进程是否以Admin权限启动，如果不是则以Admin权限重新启动

c17aa0a7bc88d9f753fdd5cb13be697a提升当前进程权限，获取包括远程关机、加载设备驱动程序、创建计算机账户等在内的37个特殊权限

3.8 利用商业软件

样本357fd7910fb0e3a252cd00f5415ec055通过安装企业电脑监控软件WorkWin，并利用该软件对用户进行远程控制

47974856e589cef269a5cadbb6a5dd46安装"灰鸽子"监控软件作为黑客的远程控制工具

3.9 持久化攻击

攻击者在用户机器上成功执行木马后，为了防止因木马程序退出后失去机器的控制权，还会通过写注册表，创建计划任务等方式留下后门，定期重新启动木马，以达到长期控制机器的目的。

d4bef91bb38780c1ce0ecc21c864750e将释放在C:\Users\Public\Pictures\xxxx下的exe文件添加计划任务启动，进行持久化

74833e390e037f107159c794b2321c9f将释放在C:\Users\Public\Videos\xxxxx下的exe文件添加计划任务启动，进行持久化

16c62a485e9f1bd855701a6d046c02cd通过执行脚本命令添加计划任务，启动文件为C:\\Program Files (x86)\\KuGou\\QQPr0tect.exe

5579f07bd5769ee1f4fdfb093fa4a253创建计划任务，执行C:\Program Files (x86)\Fonsd\update.exe

887a04cda34f7af3f350fd5f4d7a10c2将木马启动器文件拷贝到

C:\ProgramData\StartMenuExperienceHos.exe，并且将文件设置为隐藏和系统文件属性，然后安装名为"系统垃圾清理"的计划任务进行持久化，当任何用户登陆时启动该木马程序

d0cae00cf58fc13b5592ef038ff3ac39写注册表Run启动项进行持久化

4.科恩检测方案

科恩提供的自研杀毒引擎TAV，基于不断更新的病毒特征，第一时间覆盖"银狐"团伙钓鱼样本精准检测能力。对于在文件层面存在强混淆、高对抗的样本，可进一步投递到沙箱分析系统中，通过sigma、yara、ids规则对样本运行产生的主机行为日志、内存数据、网络通信数据进行匹配，命中相关规则后立即将样本文件对应hash判黑并录入云查杀引擎黑库，并将样本网络连接的C&C IP录入到威胁情报库中，以便于各合作产品提供实时更新的钓鱼威胁检测能力。

通过样本文件、进程行为、进程内存、网络数据四个维度的特征对"银狐"钓鱼木马进行综合鉴定，极大地提高了检测覆盖度和效率，可以迅速有效地对该团伙进行打击。在打击钓鱼样本过程中生产的IOC可以实时更新到威胁情报线上环境，对于请求已知钓鱼黑IP或者DOMAIN的网络连接进行阻断。

相关IOC

md5：

3eb270f628533a2a9e8afadcdfb418f2

ec373011704e5baf4821273cb373e419

747959625308d11e1530d87aeab54af3

4e0f706c773796ec4daa2e487cd66f9f

205f9668ce6a52dc1e8a95201097d766

af811acb947b4299d68dd792e9fe0625

7f98842b6d79cdd00930e949d5ad95a5

995010298fb1d25d492112e12d9a06a0

d863cc94fe006cce2eb130dbc14a3e74

12532d6f8434b4f1e6b1ec7b98ef8e91

887a04cda34f7af3f350fd5f4d7a10c2

21a41eea0c4a12ac80a0a41dd06b86c6

c17aa0a7bc88d9f753fdd5cb13be697a

ed7d98ec86252ba3f73d92f7d08513ea

e90bafa40809c64f1535bf1684b14ee4

9c6b3ebb6719f90e638aa097825e5bd3

2f202856508ad743315739b0b8164e45

edc41e28dc9c16705b6658f8536c8101

bb5c8121a1748a170d4cc5e16f40093e

93a8cc0f7a074b83e34f6e89c538005c

4479178d28e07bd1eef068ef15a83d47

5361f396d10252751b39c06af8168c34

277034be6ced435eee05828efc667a7c

f0cdb673d986220b1acb66b965430be7

254943ea6620a11127ee127ba8d3d447

a1ed0088746b3c32069f9c03b29941c3

122113733ebd64e52e574cbfe2488f04

4dbf6b59106684ac56d63448d7af432c

530781bfc00af3cb514224c395fb8cc9

e1c98c669b0f4f9d36363159b44c10bb

9b630d01963e15bf5b95b9cef6d99195

73dd67e9a28ad65aee8cc7124e72c29d

db75168085d86684dda95e27fa4edf8d

0bff46b362062157ec4c30f8dd0844f5

29a25c10c424c783092286fa2aab9f42

c03f269ee0be50799a55ef60715090b4

13b74c9f5bebb00fac30f564f7471192

48916e81c1e9aa7ab49781db0eece78b

e39be7543a5c207dd644bbda61d56a5c

d37921e7d9e37f278046835fdb35ac96

910791ee946623a2e48c23db6694a583

dd389d68658326c52658649d798c315a

59b9287a187e8b611d9b027544574e7a

a54f4cef4f1f72c361dafa288cb657fc

1878d82888fb77c426a21e1f1d996120

ae582838083b5651df0883e29caa66c6

e32cbb79663bcb2cefe39fc452eb7867

ba4b67b1548b4f1b52811095d14fb25b

40df53e429cec1c6512789810bab8cb9

78b0c87c04ee3a9a9bf29f3574eace61

d0cae00cf58fc13b5592ef038ff3ac39

28b0f8889030473bf43741b5f6d08eef

74833e390e037f107159c794b2321c9f

3c2a0c93f7719542b2829a51b4ce492e

43ccc4cf86af53c0f431871747120ed8

9bfb493171cfeeb407efb26d31781a48

8f539512029203568a3570a9430babce

51dbc37b357bc3a0501125b45e6312b7

7b6bcd30f3ff76b839ee7b0063b1bb4c

308504f9d0195b122b9d35b9b6b385e7

0ceeedc53c31c5af2dba607fab7f3a1f

9f040ee5c27d3643d0b5e591916c436c

616a202383a221937c6431ca27ac248c

032b698c6d1f2220eae6ca614d6dfda6

4f2ca6ee02d42836ab03906fe0dfbe2c

c1a45bc362896a6c05972600addef0dc

2b6970131921341620c85ff9c73f1e4a

8752b4045fe8ee9184ac8ff9e13421b7

b43ef2d941c622571ffa715fff11455c

0a305c091e5c3b58e189b9c4ab55dc7c

d0ba5c2315afdebf90987bb6ecbe9724

0de663476ced12a3b6d633fef35588f5

d9a510849cb0fe2c2148ca7f122d38ec

a2d25b8582cf7614574409ffcc1a4bd5

56312bdb825c33ad1b7be4f524466bd1

9121ee3aa724655dc8481f5ea1918baf

b29e378b1e7af347dbaf692ff5689b9f

26ac5a23786236788d194cd546170095

24f5dfb8a9bd05a3f074941981e71b42

dfc25e2bb6ea37f3486d908f6bfb0578

03f874a196626ddb2b753864b2095b55

dc6b2053b59350c569cb4a9bdbbce917

3fe683410a666e9243107390ab8edc06

a01445ceee78aef2f21732802042eff3

abf9745f3f5f700b5935da9f582dc4da

6c2c48099e97f5587a72f504d1a191d1

f9bbfef5303536535fa8100021199143

fb3d87627c1e8a0b5161ac955299c294

9276462e9a9f4904a95235281245e7d1

a008d4bae68f58470744b95cc30e12dc

4341acb0681072dec411338cb7c825df

366c29d89842138e5ff6704157ac5deb

c44e46a5899e92f95989612e16e30d31

c13e4e7787ebd5605c9ad1a3de148a15

d06916f1ca25a36ceb30b559006a3e7b

d4bef91bb38780c1ce0ecc21c864750e

b045c4a93a926a638dc10d0130ee067f

a45532641f7ef4ea528553215793d3ae

d89af29467d134e007d41a724abffa9b

903daba4f7e8cc1967e7438eb152fd45

b5c29deed916d718e1732cbca6ab3aac

9b17a6231070cabe811216aea1e8f1e8

3aeb1faf2fdd7f56801940708f62f22b

f2a5621b59f7d56dd7227cccd7f19ebc

9680489fa9e0c73c7829823b943de68e

792723a95489cb52a952c1e488a85b13

04052847183ff4d64a721c667ee2026d

2f4ed623e83d3eb1d7697baffdd74f2d

b83372a9f8ae9d8c4e55735b574d141e

b469df2ed7597009d2325685d5a7ab7e

a82e61c35abff75a5d50f885394814d7

c5ec61c5fffddd9e393f2f94d70bce6e

2d5304ea5f5276e828feefc93e03546b

89fb1d3af2bc5277931f0217f58797cd

b324bfe941591d7ae93bb807454a030f

ec98998c1d75860c5b0f372bd665bd23

8f8b78015d84df89188fb4e56a56dd1c

298c3f5d5daf44619c878d29bd79504b

d6531e506b31e4b4da8bd87d1e605dd1

10add5eb4a1a6ee7b9bc487a36eb241b

e61097ca937c6f975d010d40ce468764

912593587b375046900635917b2e1f7d

8dd19c304f93740928a4c9b463895c3f

97c98bbf6eabe7a40a71d08395f61018

53d02cf0f94ef4d12d3b348ba73b776f

f86883180a137f7b7c2936946c04b445

b89545f52013f7cbb7c496fe7b09d27d

99785e8df90b573933dce2237a998819

6d9e9ee8586411dfb22c5aea47f34517

cf544af954335f267df679ae59da9a92

5bfbd402a64671f80a40e25cc29867fa

5afb8c553e4fff66c6c48ed820999832

cf5c10aadcbda3c7d32ad2b38633c853

80d0fcc33dbefcfc65db23048a88e8eb

034d026e66189c0207f133f0cbde5018

78686042d9816bf3d44b2e282cbb513f

a52ddfa002189144ccc54f863811bc7c

62788719e63bd951e83c22d17043e5d6

10084b6f01d18d9f1ccb4ffa62a7d946

dd20e9b98fee0de242eff692ba3cbd40

165eac063aebda0dced04ac903bcbd5a

65a2a340f1954f743ab1f4360f831bb4

8984f90e7abafb9316f1088192042554

5ccb5ea33a3598c12499fddad81f9f8b

38d8ebc06c810287f39195bcae22c11b

244dc331df110c4dc3702c98c69c4f0c

IP：

143.92.43.149

143.92.43.168

143.92.43.190

143.92.60.110

143.92.43.221

122.10.18.3

23.234.39.202

122.10.10.135

122.10.105.54

122.10.14.187

198.44.248.162

122.10.17.130

143.92.43.227

122.10.26.236

103.214.140.108

23.234.37.182

143.92.43.234

45.195.57.98

143.92.43.202

23.234.37.182

122.10.18.42

206.238.114.116

45.195.57.10

23.234.37.182

122.10.26.236

43.139.21.74

120.27.10.22

1.14.196.156

47.104.141.225

47.104.145.97

43.139.97.102

163.197.241.154

122.10.11.251

116.213.43.89

43.139.80.24

8.217.207.163

47.76.50.128

8.218.251.156

8.217.254.61

38.165.12.242

106.53.1.218

206.238.115.152

154.212.147.155

8.218.233.212

43.138.242.90

47.242.238.212

47.104.145.79

139.186.147.227

206.238.221.173

43.135.48.16

103.192.208.103

116.198.45.21

154.91.64.126

154.12.84.37

47.76.108.252

154.91.226.38

143.92.42.131

206.233.130.196

118.107.43.42

111.67.192.181

103.158.37.176

45.195.57.98

114.67.178.45

8.136.112.23

143.92.43.234

143.92.43.202

111.180.206.26

156.25.33.10

143.92.43.163

8.218.231.88

129.28.171.53

103.164.62.230

49.234.184.147

45.195.204.76

143.92.42.212

206.238.114.12

45.125.48.89

134.122.197.189

206.238.114.12

Domain：

squxdw[.]net

vlstjq[.]net

uywtex[.]netm[.]qkjyaym[.]cn

3wtmkh[.]yikeseiw[.]com

6041[.]anonymousrat8[.]com

6005[.]anonymousrat8[.]com

6043[.]anonymousrat8[.]com

www[.]youwdapp[.]com

jiqiprotrade[.]site

m[.]qkjyaym[.]cn

jiqiprotrade[.]site

www[.]youwdapp[.]com

hbawd7174[.]cn

news1[.]cookielive[.]top

webwhatsapp[.]cc

emailqy[.]com

www[.]shuiwutg[.]com

www[.]shuiwutg1[.]cn

www[.]shuiwutg2[.]cn

www[.]shuiwutg3[.]cn

www[.]shuiwutg4[.]cn

www[.]shuiwujc0[.]cn

www[.]shuiwujc1[.]cn

产品体验