Head Mare — это хактивистская группировка, впервые заявившая о себе в 2023 году в социальной сети X (бывший Twitter)*. В своих публичных постах злоумышленники раскрывают информацию о некоторых своих жертвах, включая названия организаций, внутренние документы, украденные во время атак, а также скриншоты рабочих столов и административных консолей.
В ходе анализа инцидентов в российских компаниях мы определили, каким образом Head Mare проводит свои атаки и какие утилиты использует, а также установили связь группы с вредоносной активностью, известной как PhantomDL.
Оглавление
Основные выводы
Head Mare атакует исключительно компании из России и Беларуси.
Для первоначального доступа группа проводит различные фишинговые кампании, в которых распространяет RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 в WinRAR.
Часть обнаруженного инструментария совпадает с уже исследованными группами, атакующими российские организации.
Группировка шифрует устройства жертв, используя два семейства шифровальщиков — LockBit для Windows и Babuk для Linux (ESXi).
Технические детали
Исторический контекст
С начала российско-украинского конфликта появилось множество хактивистских группировок, основная цель которых зачастую заключается не в получении финансовой выгоды, а в нанесении как можно большего ущерба компаниям с противоположной стороны конфликта. Head Mare — одна из таких групп, нацеленная исключительно на организации, расположенные в России и Беларуси. Это подтверждается информацией из открытых источников и телеметрией из Kaspersky Security Network — системы сбора анонимизированных данных об угрозах, добровольно предоставленных пользователями наших решений.
Хактивистские группировки, атакующие российские организации на фоне российско-украинского конфликта, характеризуются схожими техниками и инструментами и при анализе по методике Unified Kill Chain дают примерно одинаковую картину. При этом, в отличие от других подобных группировок, Head Mare использует более актуальные методы получения первоначального доступа. Так, злоумышленники взяли на вооружение относительно свежую уязвимость CVE-2023-38831 в WinRAR, позволяющую атакующему с помощью специально подготовленного архива выполнить в системе произвольный код. Этот подход позволяет группе эффективнее доставлять и лучше маскировать вредоносную нагрузку.
Как и большинство хактивистских групп, Head Mare поддерживает публичный аккаунт в социальной сети X, где размещает информацию о некоторых из своих жертв. Ниже приводится пример такой публикации:
Публикация хактивистов Head Mare в социальной сети X
На момент проведения исследования группировка заявила о девяти жертвах из различных отраслей:
госучреждения;
транспорт;
энергетика;
производство;
развлечения.
Конечная цель злоумышленников, вероятнее всего, — нанесение максимального ущерба компаниям из России и Беларуси. Однако, в отличие от некоторых других хактивистских групп, Head Mare также требует выкуп за расшифровку данных.
Инструментарий Head Mare
В своих атаках Head Mare в основном использует общедоступное программное обеспечение, что является характерной чертой большинства хактивистских групп, возникших на фоне российско-украинского конфликта и нацеленных на российские компании. При этом если некоторые хактивисты не имеют в своем инструментарии вообще никаких собственных разработок, то Head Mare использует для первоначального доступа и эксплуатации фишинговые письма, содержащие архивы с кастомным вредоносным ПО PhantomDL и PhantomCore.
Ниже приведен список обнаруженного программного обеспечения, которое Head Mare использует в своих атаках:
шифровальщик LockBit;
шифровальщик Babuk;
PhantomDL;
PhantomCore;
Sliver;
ngrok;
rsockstun;
XenAllPasswordPro;
Mimikatz.
Из списка видно, что большинство использованных инструментов доступны в интернете, будь то образцы LockBit, сгенерированные с помощью общедоступного билдера, утечка которого произошла в 2022 году, или утилита Mimikatz, код которой есть на GitHub.
Первоначальный доступ
Исследуя деятельность Head Mare, мы обнаружили, что эта группировка связана с целевыми атаками на российские организации с использованием вредоносных образцов PhantomDL и PhantomCore. Обнаруженные образцы рассылались в рамках различных фишинговых кампаний в архивах с одноименными документами-приманками. Вредоносные архивы эксплуатируют уязвимость CVE-2023-38831 в WinRAR. Если жертва пытается открыть документ, который похож на легитимный, она запускает выполнение вредоносного файла. Один и тот же образец мог рассылаться в разных архивах с документами-приманками на разные темы.
Вердикты, с которыми наши продукты детектируют образцы PhantomDL: вредоносное ПО в числе прочего распознается как эксплойт к CVE-2023-38831
После выполнения PhantomDL и PhantomCore устанавливают связь с одним из командных серверов злоумышленников и пытаются распознать домен, к которому относится зараженный хост. Ниже приведены результаты динамического анализа нескольких образцов в Kaspersky Sandbox (графы детонации), которые отражают поведение вредоносной программы непосредственно после запуска.
Граф детонации образца PhantomDL, отражающий его поведение в Kaspersky Sandbox
На изображении выше образец PhantomDL подключается к серверу C2 91.219.151[.]47 по порту 80 и выполняет распознавание домена с помощью команды cmd.exe /c «echo %USERDOMAIN%».
Обращение PhantomDL к C2
Образец PhantomCore устанавливает соединение с другим C2 (45.11.27[.]232) и проверяет членство хоста в домене с помощью функции WinAPI NetGetJoinInformation.
Детонация образца PhantomCore в Kaspersky Sandbox
Подозрительная активность образца PhantomCore
Еще один образец PhantomCore после выполнения устанавливает соединение с C2 5.252.178[.]92:
Соединение PhantomCore с сервером C2
В ходе исследований мы также обнаружили несколько образцов PhantomDL и PhantomCore, о которых мы не можем с абсолютной уверенностью утверждать, что они принадлежат к тому же кластеру активности, что и сэмплы, обнаруженные в атаках Head Mare. Информацию об этих образцах можно найти в разделе «Образцы, похожие на инструментарий Head Mare».
Закрепление в системе
Злоумышленники использовали несколько методов закрепления в системе. Например, в одном из инцидентов они добавили образец PhantomCore в ключ реестра Run. После выполнения образец автоматически установил соединение с C2 атакующих 5.252.176[.]47:
Соединение PhantomCore с C2
Мы видели следующие команды на добавление значения в ключ реестра Run:
Команда
Описание
cmd /c «cd /d $selfpath && reg add HKCUSoftwareMicrosoftWindowsCurrentVersionRun /v »MicrosoftUpdateCoree» /t REG_SZ /d »$selfpath$selfname.exe /f»
Добавление значения в ключ реестра Run с именем MicrosoftUpdateCoree и содержимым $appdataMicrosoftWindowssrvhostt.exe (PhantomCore) с параметром /f (без запроса подтверждения)
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionRun /v »MicrosoftUpdateCoree» /t REG_SZ /d »$appdataMicrosoftWindowssrvhostt.exe» /f
reg add HKCUSoftwareMicrosoftWindowsCurrentVersionRun /v »MicrosoftUpdateCore» /t REG_SZ /d »$appdataMicrosoftWindowssrvhost.exe» /f
Аналогичный метод добавления в ключ реестра, но значение называется MicrosoftUpdateCore
В некоторых других случаях злоумышленники создавали задачи планировщика для закрепления в системе жертвы. Следующие задачи использовались для запуска образца PhantomCore:
Команда
Описание
schtasks /create /tn »MicrosoftUpdateCore» /tr »$appdataMicrosoftWindowssrvhost.exe» /sc ONLOGON
Создание задачи планировщика с именем MicrosoftUpdateCore, которая запускает $appdataMicrosoftWindowssrvhost.exe (PhantomCore) каждый раз, когда пользователь входит в систему
schtasks /create /tn »MicrosoftUpdateCore» /tr »$appdataMicrosoftWindowssrvhost.exe» /sc ONLOGON /ru »SYSTEM
Аналогичный метод создания задачи планировщика, но в этом случае задача запускается с привилегиями SYSTEM
Защита от обнаружения
Как упоминалось в предыдущем разделе, злоумышленники создают задачи планировщика и значения реестра с именами MicrosoftUpdateCore и MicrosoftUpdateCoree, чтобы маскировать свою деятельность под задачи, связанные с ПО Microsoft.
Мы также обнаружили, что некоторые образцы LockBit, которые использовала группа, имели следующие названия:
OneDrive.exe
VLC.exe
Эти образцы находились в каталоге C:ProgramData, маскируясь под легитимные приложения OneDrive и VLC.
В целом, многие инструменты, использованные Head Mare, имели характерные для легитимных программ названия и находились по стандартным или похожим на стандартные путям:
Software
Path
Sliver
C:Windowssystem32SrvLog.exe
rsockstun
c:Users<user>AppDataLocalmicrosoftwindowssrvhosts.exe
c:Users<user>AppDataRoamingmicrosoftwindowssrvhostt.exe
Phantom
c:windowssrvhost.exe
c:Users<user>appdataroamingmicrosoftwindowssrvhost.exe
LockBit
c:ProgramDataOneDrive.exe
Как видно из таблицы, злоумышленники в основном пытались замаскировать свои образцы под легитимный файл svchost.exe, расположенный в каталоге C:WindowsSystem32.
В своих фишинговых кампаниях злоумышленники также использовали маскировку — файлы образцов PhantomDL и PhantomCore имели названия, соответствующие деловым документам, и двойные расширения. Вот несколько примеров, с которыми мы столкнулись:
Счет-Фактура.pdf .exe
договор_ №367кх_от_29.04.2024_и_доп_соглашение_ртсс 022_контракт.pdf .exe
решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf .exe
тз на разработку.pdf .exe
исходящее письмо от 29.04.2024 n 10677-020-2024.pdf .exe
возврат средств реквизиты.pdf .exe
Помимо этого, все обнаруженные нами образцы PhantomDL и PhantomCore были обфусцированы — возможно, с помощью популярного обфускатора Go под названием Garble.
Управление и инфраструктура
В ходе исследований мы обнаружили, что основным C2-фреймворком для атакующих является Sliver — C2-фреймворк с открытым исходным кодом для имитации кибератак и тестирования на проникновение. Такие фреймворки используются для управления скомпрометированными системами после первоначального доступа, позволяя злоумышленникам (или специалистам по тестированию на проникновение) выполнять команды, собирать данные и управлять соединениями.
Архитектура Sliver включает в себя агент (имплант), который устанавливается на скомпрометированные устройства для выполнения команд с сервера, сервер для управления агентами и координации их действий и клиент в виде консоли командной строки (CLI) для взаимодействия оператора с сервером. Основная функциональность Sliver включает в себя управление агентами, выполнение команд через командную оболочку, создание туннелей для обхода сетевых ограничений и автоматизацию рутинных задач с помощью встроенных скриптов.
Найденные образцы имплантов Sliver имеют конфигурацию по умолчанию и были созданы с помощью следующей команды:
generate —http [IP] —os windows —arch amd64 —format exe
Чтобы замаскировать импланты, злоумышленники использовали популярный инструмент Garble, который доступен на GitHub.
Также часто в качестве C2 злоумышленники используют серверы VPS/VDS. Ниже представлен список серверов, которые мы заметили в атаках.
IP
Первое обнаружение
ASN
188.127.237[.]46
31 марта 2022
56694
45.87.246[.]169
26 июня 2024
212165
45.87.245[.]30
—
57494
185.80.91[.]107
10 июля 2024
212165
91.219.151[.]47
02 мая 2024
56694
5.252.176[.]47
—
39798
5.252.176[.]77
29 октября 2023
39798
На C2-серверах атакующих были найдены различные утилиты, применяемые на разных стадиях атак. Часто одни и те же утилиты присутствовали на разных серверах с одними и теми же именами файлов.
Анализ C2-инфраструктуры Head Mare
Ниже представлен список инструментов, найденных на одном из командных серверов злоумышленников.
Содержимое одной из директорий С2-сервера
Имя утилиты
Описание
2000×2000.php
PHP-шелл для выполнения команд на сервере. Этот шелл называется p0wny@shell:~# и доступнен на GitHub — hxxps://github[.]com/flozz/p0wny-shell.
LEGISLATIVE_COUSIN.exe
Имплант Sliver.
Соединяется с 5.252.176[.]77:8888.
SOFT_KNITTING.exe
sherlock.ps1
Скрипт PowerShell для быстрого поиска уязвимостей для локальной эскалации привилегий, доступный на GitHub — hxxps://github[.]com/rasta-mouse/Sherlock/tree/master.
ngrok.exe
Утилита ngrok.
reverse.exe
Meterpreter.
Соединяется с 5.252.176[.]77:45098
servicedll.exe
Утилита nssm для управления службами.
sysm.elf
Unix reverse shell, использующий функцию sys_connect для подключения к C2 атакующего. Если попытка подключения не удается, программа переходит в спящий режим на 5 секунд при помощи функции sys_nanosleep, прежде чем попытаться снова. Подключается к 5.252.176[.]77:45098.
Xmrig*
Майнер XMRig. В известных нам атаках не использовался.
Получение доступа к закрытым сегментам сети (pivoting)
Pivoting представляет собой набор методов, которые позволяют злоумышленнику получить доступ к частным сегментам сети, используя скомпрометированные машины в качестве промежуточных узлов. Для этой цели атакующие используют утилиты ngrok и rsockstun.
Rsockstun — это утилита для создания обратного туннеля SOCKS5 с поддержкой SSL и прокси-серверов. Он позволяет клиенту за NAT или брандмауэром подключаться к серверу через безопасное соединение и использовать SOCKS5 для перенаправления трафика.
Мы проанализировали код утилиты и определили ее основные функции:
Клиент
Сервер
Функция ConnectViaProxy:
● Устанавливает соединение с конечным сервером через прокси.
● Поддерживает проверки подлинности NTLM для прокси-серверов.
● Создает и отправляет запросы на прокси-сервер и обрабатывает ответы.
Функция ConnectForSocks:
● Устанавливает соединение с сервером через SOCKS5.
● Устанавливает SSL-подключение к серверу.
● Авторизуется с использованием пароля.
● Создает сеанс Yamux для мультиплексирования соединений.
Функция listenForSocks:
● Ожидает подключения клиентов через SSL.
● Проверяет наличие и правильность пароля для подключения.
● Создает сеанс клиента Yamux.
Функция listenForClients:
● Ожидает подключения локальных клиентов.
● Открывает поток Yamux и перенаправляет трафик между локальным клиентом и удаленным сервером.
Фрагмент кода rsockstun, содержащий один из адресов C2 Head Mare
Ngrok — это кросс-платформенная утилита, предназначенная для создания безопасных туннелей к локальным веб-серверам через интернет. Она позволяет быстро и легко открыть доступ к локальным службам и приложениям, предоставляя публичные URL-адреса, которые могут быть использованы для доступа к серверу извне.
Исследование сети
Успешно закрепившись на первоначальном узле, злоумышленники выполняют серию команд для дальнейшего изучения узла, домена и сетевой среды:
Команда
Описание
cmd /c «echo %USERDOMAIN%»
Получение доменного имени жертвы
arp -a
Получение кэша ARP для всех сетевых интерфейсов в скомпрометированной системе
«cmd /c «cd /d $selfpath && whoami
Сбор информации об имени и домене текущего пользователя
cmd /c «cd /d $appdata && powershell Get-ScheduledTask -TaskName «WindowsCore»
Поиск запланированного задания с именем WindowsCore
Сбор учетных данных
Для сбора учетных данных злоумышленники используют утилиту mimikatz.
Помимо этого, для получения дополнительных учетных данных из системы злоумышленники используют консольную версию утилиты XenArmor All-In-One Password Recovery Pro3 (XenAllPasswordPro), которая может извлекать учетные данные пользователей из ульев реестра.
«c:ProgramDataupdateXenAllPasswordPro.exe» -a
«c:ProgramDataupdatereport.html»
Конечная цель: шифрование файлов
Изучая атаки Head Mare, мы обнаружили использование двух семейств шифровальщиков:
LockBit для Windows
Babuk для ESXi
Babuk
Обнаруженный нами вариант Babuk представляет собой 64-битную сборку для ESXi, созданную с помощью общедоступного конфигуратора. Троянец использует стандартные алгоритмы шифрования для сборок Babuk для ESXi — X25519 + SHA256 + Sosemanuk, а также стандартное расширение для зашифрованных файлов *.babyk.
Результаты Kaspersky Threat Attribution Engine для найденных образцов Babuk
Характерными особенностями обнаруженного троянца являются:
Возможность вести журнал своей деятельности в /tmp/locker.log.
Возможность уничтожения запущенных виртуальных машин, список которых взят из файла vm-list.txt. Этот файл заполняется при вызове команды esxcli vm process listd.
Найденный образец Babuk шифрует файлы со следующими расширениями:
.vmdk
.vmem
.vswp
.vmsn
.bak
.vhdx
После завершения шифрования он оставляет записку о выкупе. Ниже приведен пример записки, которая содержит уникальный идентификатор для мессенджера Session и сообщение Message us for decryption ^_^.
Записка о выкупе образца Babuk
LockBit
Сборки LockBit, которые мы обнаружили в атаках Head Mare, идентичны образцам, сгенерированным общедоступным конструктором LockBit, который был слит в интернет в 2022 году. Злоумышленники распространяли LockBit под следующими именами:
lb3.exe
lock.exe
OneDrive.exe
lockbithard.exe
lockbitlite.exe
phdays.exe
l.exe
VLC.exe
Шифровальщик располагался по следующим путям:
c:UsersUserDesktop
c:ProgramData
Две из упомянутых версий шифровальщика — lockbitlite.exe, а затем lockbithard.exe — злоумышленники использовали последовательно: сначала шифровали файлы при помощи LockbitLite, а затем то, что получилось на выходе, дополнительно шифровали вариантом LockbitHard.
Конфигурация этих вариантов незначительно различалась.
LockbitLite
LockbitHard
«encrypt_filename»: false,
«encrypt_filename»: true,
«wipe_freespace»: false,
«wipe_freespace»: true,
«white_folders»: «$recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;boot»,
«white_folders»: «»,
Примеры записок обоих образцов, которые генерируются при создании троянца в конфигураторе, представлены ниже.
Записка о выкупе образца LockBit
Записка о выкупе еще одного образца LockBit
Заключение
По данным Kaspersky Threat Intelligence все связанные с Head Mare образцы детектировались только на территории России и Беларуси. На скриншоте ниже представлен анализ образца PhantomDL на Threat Intelligence Portal.
Информация об образце PhantomDL с TIP
Чтобы получить более полную картину, мы проанализировали образцы, которые видели в атаках Head Mare, с помощью технологии Similarity, которая позволяет находить схожие образцы вредоносного ПО. Хотя нельзя однозначно утверждать, что обнаруженные файлы также использовались Head Mare, их сходство может помочь в атрибуции кибератак и дальнейшем анализе активности группировки.
PhantomDL
MD5 исходного образца
MD5 схожих образцов
15333D5315202EA428DE43655B598EDA
A2BD0B9B64FBDB13537A4A4A1F3051C0
PhantomCore
MD5 исходного образца
MD5 схожих образцов
16F97EC7E116FE3272709927AB07844E
855B1CBA23FB51DA5A8F34F11C149538
55239CC43BA60%47BB1E1178FB0E9748
0E14852853F54023807C999B4FF55F64
99B0F80E9AE2F1FB15BFE5F068440AB8
LockBit
MD5 исходного образца
MD5 схожих образцов
76B23DD72A883D8B1302BB4A514B7967
6DDC56E77F57A069539DCC7F97064983
7ACC6093D1BC18866CDD3FECCB6DA26A
59242B7291A77CE3E59D715906046148
6568AB1C62E61237BAF4A4B09C16BB86
F7ABDAAE63BF59CA468124C48257F752
79D871FF25D9D8A1F50B998B28FF752D
78CC508882ABA99425E4D5A470371CB1
1D2D6E2D50%33743B941F63E767957FB
Тактики, методы, процедуры и инструменты группы Head Mare во многом похожи на активность других групп, относящихся к кластерам, связанным с атаками на организации в России и Беларуси в рамках российско-украинского конфликта. При этом группа отличается от них использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний для проникновения в инфраструктуру своих жертв. Это важный аспект, на который стоит обратить внимание российским и белорусским организациям: злоумышленники эволюционируют и совершенствуют свои TTP.
Индикаторы компрометации
Обратите внимание: сетевые адреса, приведенные в настоящем разделе, являются действительными на момент публикации, однако могут оказаться неактуальными в перспективе.
Хэши:
201F8DD57BCE6FD70A0E1242B07A17F489C5F873278475AF2EAF82A751C24FA8
9F5B780C3BD739920716397547A8C0E152F51976229836E7442CF7F83ACFDC69
08DC76D561BA2F707DA534C455495A13B52F65427636C771D445DE9B30%93470
6A889F52AF3D94E3F340AFE63615AF4176AB9B0B248490274B10F96BA4EDB263
33786D781D9C492E17C56DC5FAE550%B94E9722830D697C3CBD74098EA891E5A
5D924A9AB2774120C4D45A386272287997FD7E6708BE47FB93A4CAD271F32A03
9B005340E716C6812A12396BCD4624B8CFB06835F88479FA6CFDE6861015C9E0
5A3C5C165D0070304FE2D2A5371F5F6FDD1B5C964EA4F9D41A67238299160%C9
DC3E4A549E3B95614DEE580F73A63D75272D0FBA8CA1AD6E93D99E44B9F95CAA
053BA35452EE2EA5DCA9DF9E337A3F307374462077A731E53E6CC62EB82517BD
2F9B3C29ABD674ED8C3411268C35E96B4F5A30FABE1AE2E8765A82291DB8F921
015A6855E016E07EE1525BFB6510050443AD5482039143F4986C0E2AB8638343
9D05634%CFB8FF80B0AA53F187D5A576705BD7954D36066EBBBF34A44326C546
22898920DF011F48F81E27546FECE06A4D84BCE9CDE9F8099AA6A067513191F3
2F1EE997A75F17303ACC1D5A796C26F939EB63871271F0AD9761CDBD592E7569
AF5A650BF2B3A211C39DCDCAB5F6A5E0F3AF72E25252E6C0A66595F4B4377F0F
9E9FABBA5790D4843D2E5B027BA7AF148B9F6E7FCDE3FB6BDDC661DBA9CCB836
B8447EF3F429DAE0AC69C38C18E8BDBFD82170E396200579B6B0EFF4C8B9A984
92804FAAAB2175DC501D73E814663058C78C0A042675A893726650%BCFB96C50
664B68F2D9F553CC1ACFB370BCFA2CCF5DE78A11697365CF8646704646E89A38
311EDF744C2E90D7BFC550C893478F43D1D7977694D5DCECF219795F3EB99B86
4C218953296131D0A8E67D70AEEA8FA5AE04FD52F43F8F917145F2EE19F30271
2D3DB0FF10EDD28EE75B7CF39FCF42E9DD51A6867EB5962E8DC1A51D6A5BAC50
DC47D49D63737D12D92FBC74907CD3277739C6C4F00AAA7C7EB561E7342ED65E
EDA18761F3F6822C13CD7BEAE5AF2ED77A9B4F1DC7A71DF6AB715E7949B8C78B
Пути к файлам:
$appdataMicrosoftWindowssrvhostt.exe
$appdataMicrosoftWindowssrvhost.exe
C:Windowssystem32SrvLog.exe
c:UsersUserAppDataLocalmicrosoftwindowssrvhosts.exe
c:windowssrvhost.exe
c:ProgramDataOneDrive.exe
c:ProgramDataupdateXenAllPasswordPro.exe
c:ProgramDataupdatereport.html
$userdesktoprsockstun.exe
C:ProgramDataresolver.exe
$userdesktoplockbitlite.exe
$userdesktoplb3.exe
C:ProgramDatalock.exe
$userdesktopx64mimikatz.exe
c:UsersUserDocumentssrvhost.exe
c:microsoftwindowssrchost.exe
IP-адреса:
188.127.237[.]46
45.87.246[.]169
45.87.245[.]30
185.80.91[.]107
188.127.227[.]201
5.252.176[.]47
45.11.27[.]232
URL-адреса:
188.127.237[.]46/winlog.exe
188.127.237[.]46/servicedll.exe
188.127.237[.]46/winlog.exe
194.87.210[.]33%/gringo/splhost.exe
194.87.210[.]33%/gringo/srvhost.exe
94.131.113[.]79/splhost.exe
94.131.113[.]79/resolver.exe
45.156.21[.]178/dlldriver.exe
5.252.176[.]77/ngrok.exe
5.252.176[.]77/sherlock.ps1
5.252.176[.]77/sysm.elf
5.252.176[.]77/servicedll.rar
5.252.176[.]77/reverse.exe
5.252.176[.]77/soft_knitting.exe
5.252.176[.]77/legislative_cousin.exe
5.252.176[.]77/2000×2000.php
*https://x.com/head_mare — аккаунт предположительно связан с хактивисткой группировкой. Используйте данный источник с осторожностью.
Securelist