依然として活動中のPredator、新たなクライアントと企業とのつながりが判明
Executive Summary
過去2年間にわたり、Insikt Groupや他の団体による一連の大規模な公開に加え、Predatorモバイルスパイウェアの背後にある組織構造「Intellexaコンソーシアム」を標的とした米国政府の制裁措置により、Insikt GroupはPredator関連の活動が大幅に減少していることを確認していました。この顕著な減少は、米国の制裁や公開による影響、さらに英国とフランスが主導する「Pall Mallプロセス」など、スパイウェアの拡散を抑制する国際的な取り組みの組み合わせが、Intellexaの活動に持続的な打撃を与えたのではないかという疑問を呼び起こしました。しかし、Predatorの活動は完全には止まっておらず、ここ数か月でその活動が再び活発化していることが、Insikt Groupによって確認されています。これは、運用者が依然として執拗に活動を続けていることを示しています。確認されたインフラの多くは、以前Insikt Groupによって特定された国々の既知のPredator関連運用者に結び付けられていますが、モザンビークという、これまで公にPredatorとの関係が指摘されていなかった国の新たな顧客も特定されました。これは、Predatorがアフリカで非常に活発であり、特定された顧客の半数以上が同大陸に所在するという、より広範な観測結果とも一致しています。さらに、Insikt Groupは、Intellexaコンソーシアムと以前関連付けられていたチェコの企業と、ハイレベルなPredatorインフラとの関連も発見しました。
Predatorのようなスパイウェアが、正当な犯罪捜査や対テロ目的を超えて使用されることは、プライバシーや法的権利、さらには直接的な標的となる人物および関係者の身体的安全に対して深刻な脅威をもたらします。既知の濫用事例の多くは、市民社会や政治活動家を標的としてきましたが、スパイウェアの悪用履歴がある地域に所在する個人や団体は、業種にかかわらず警戒を怠らない必要があります。Predatorは高額なライセンスモデルで提供されているため、その利用は通常、高い戦略的価値を持つ標的に限られています。これにより、政治家や企業の経営幹部など、機密性の高い情報を保有する立場にある人物は、特に標的となりやすくなります。現在、複数のEU加盟国で、政治的反対派に対するスパイウェアの使用が調査されており、これは傭兵型スパイウェア開発者の活動を抑制しようとする世界的な取り組みの一環を反映しています。
Insikt GroupのこれまでのPredatorに関するレポートでも述べられているように、防御側は推奨されるベストプラクティスに従うべきです。これには、個人用デバイスと業務用デバイスを分けて使用すること、携帯電話を定期的にアップデートすること、定期的な端末の再起動を促すこと(ただし、これだけではPredatorを完全に排除できるとは限りません)、ロックダウンモードの活用、モバイルデバイス管理(MDM)システムの導入などが含まれます。さらに、従業員に対するセキュリティ意識向上のためのトレーニングに投資し、最小限のデータ開示を徹底する企業文化を育むことも、スピアフィッシング攻撃の成功リスクを低減し、万一の侵害時におけるデータ窃取を最小限に抑えるために重要です。
Insikt Groupは、傭兵型スパイウェア市場が今後も拡大を続けると予測しています。その背景には、持続的な需要と企業の収益性があります。標的側のITセキュリティ強化や競争の激化により、新たな製品や手法の開発が促進され、この市場の成長には今後も技術革新が伴うと見られます。たとえば、防御側が特定の種類の脆弱性を排除しようとする一方で、スパイウェアの運用者は、盗まれた認証情報を使ってアクセスされるクラウドバックアップなどの代替手段を標的にしたり、新たな展開手法を用いたりすることで適応する可能性があります。これらのツールが拡散し、技術が進化するにつれて、被害者の範囲は市民社会を超えて広がり、政治的な言論に影響を与えたり、さらなる法的対立を引き起こす可能性があります。最近では、テクノロジー企業がスパイウェアのベンダーに対して勝訴した裁判例も出ており、こうした判決が先例となって、他の企業も自社プラットフォームの悪用に対して積極的に異議を唱える動きが広がることが期待されます。Insikt Groupは、スパイウェアのベンダーが今後も制裁や追跡を回避するために複雑な企業構造を利用し続け、かつ特定の地域に特化した運用を強めると見ています。この傾向は「エコシステムのバルカン化」とも呼ばれています。
主な調査結果
- Insikt Groupは、Predatorに関連する新たなインフラを特定しており、これは公表や国際的な制裁、政策介入が行われているにもかかわらず、同スパイウェアの運用が継続していることを示しています。
- 新たに特定されたインフラストラクチャには、被害者向けのTier 1サーバーと、さまざまな国のPredatorオペレーターにリンクしている可能性がある高位層のコンポーネントの両方が含まれています。
- Predatorのインフラの多くはこれまでの報告と一致していますが、運用者は新たな検出回避策を導入しており、この傾向は以前のレポートでも指摘されていました。
- Insikt Groupは過去12か月間にわたり複数の国でPredator関連の活動を検出しており、モザンビークにおけるPredator運用者の存在を報告したのは今回が初となります。
- また、Predatorの一部インフラと、かつてチェコの調査報道機関によってIntellexaコンソーシアムと関連づけられたチェコ企業との接点も確認されました。
背景
Predator は、Android デバイスと iPhone デバイスの両方を標的とする高度な傭兵スパイウェアであり、少なくとも 2019 年から活動しています。もともと Cytrox によって開発され、現在は Intellexa アライアンスの下で運営されている Predator は、柔軟性とステルス性を考慮して設計されており、感染したデバイスに最小限の証拠を残し、悪用に関する外部調査を特に困難にしています。Predator は、導入されると、被害者が気づかないうちに、デバイスのマイク、カメラ、連絡先、メッセージ、写真、ビデオなどのすべてのデータに完全にアクセスできます。Python に基づくスパイウェアのモジュール設計 により、オペレーター はデバイスを再悪用することなく、新しい機能をリモートで導入できます。
Predator は、「1 クリック」と「ゼロクリック」の両方の攻撃ベクトルを介して 配信 できます。「1-click」攻撃は、ユーザーの操作を必要とする悪意のあるリンクを含むソーシャルエンジニアリングメッセージに依存していますが(1、 2、 3)、一方、「Predator Files」で説明されている「ゼロクリック」攻撃には、ネットワークインジェクションや近接ベースの方法など、ターゲットからのアクションを必要としない手法が含まれます。ただし、NSO Group Pegasusで見られるような完全にリモートの「ゼロクリック」エクスプロイトを使用して、ユーザーの操作なしにメッセージングアプリを介してデバイスを侵害、ハッキングできるPredatorの事例は確認されていません( FORCEDENTRY や BLASTPASSなど)。
過去2年間で、Insikt Groupは、アンゴラ、アルメニア、ボツワナ、コンゴ民主共和国、エジプト、インドネシア、カザフスタン、モンゴル、モザンビーク、オマーン、フィリピン、サウジアラビア、トリニダード・トバゴを含む12か国以上でプレデターの疑いのあるオペレーターを特定しました(1、 2)。注目すべきは、モザンビークを疑わしい顧客として特定した最初の公開報告書であることです。プレデターは表向きはテロ対策と法執行目的で販売されていますが、以前の(脅威についての)レポート作成では、ジャーナリストや活動家、政治家を含む市民社会の関係者に対する展開の明確なパターンが文書化されています(1、 2、 3、 4)。 以前のレポートで説明されたこれらの事例は、Predator のような傭兵スパイウェアの広範な使用、検知の難しさ、および被害者のサポートが限られていることを考えると、虐待全体のほんの一部にすぎない可能性があります。 ベトナムと 関係 のあるオペレーターがEU当局者や欧州議会議員を標的にしているプレデターだけでなく、ペガサスなどの 他の傭兵スパイウェアでも観察されている国境を越えた標的化のリスクを強調することが重要です。
Predator のインフラストラクチャと 技術に関する一般の (脅威についての)レポート作成が増加し、Intellexa の 企業構造への注目が高まっているにもかかわらず、Predator の事業は依然として活発です。 この持続性は、 米国の制裁、 EU決議、Intellexa関連会社に対する 米国ビザ 禁止、 ポールモールプロセスの開始などの措置後も続いており、特にiPhoneのエクスプロイトコスト が上昇する可能性が高い 。これは、特に輸出制限に直面している国におけるスパイウェア ツールに対する需要の高まり、脅威についてのレポート作成とセキュリティ強化における継続的な技術革新、制裁と帰属を妨げるように設計された企業構造の複雑化を反映していると考えられます。 そのような例の 1 つで、チェコ語の エンティティ プレデターの作戦に関連している可能性が高いことを、このレポートの後半で説明します。
脅威分析
Tier 1 (C2) サーバー
Insikt Groupは、新たにTier 1(C2)インフラストラクチャーのうち、Predatorに強く関連している可能性が高い被害者向けのインフラを特定しました。その中には、ドメインやIPアドレスが含まれています。これらのドメインやIPアドレスの具体的な機能はまだ確認されていませんが、ペイロードの配信やエクスプロイト(攻撃)プロセスに関与していると見られ、これまでに特定されてきたPredatorのインフラと一致する特徴を示しています。付録Bの表には、過去12か月間に観測されたドメインおよびIPアドレスが示されています。
以前は、Insikt Group が過去に報告したように、Predator にリンクされたドメインは、頻繁にアクセスされる地元の報道機関など、特定の組織になりすますことがよくありました (1, 2)。しかし、このパターンは、2023年末以降、メディアの注目度が高まり、世間の(脅威についての)レポート作成が徐々に変化し始めました。 最近のドメインは、通常、2つ以上の一見ランダムな英語の単語で構成されています。Insikt Group は、これらのドメインの一部が特定のキーワードを再利用していることを観察しました。たとえば、 両方の boundbreeze[.]comそして ブランチブリーズ[.]com「そよ風」という言葉を共有してください。最近のいくつかのケースでは、ドメインにポルトガル語の単語が含まれるが、これは意図したターゲットの言語を反映している可能性が高い。さらに、特定のドメインには、 keep-badinigroups[.]com、これは、イラク・クルディスタンのバディナン地域で話されているバディニ方言に関連するコミュニティまたはグループを指す場合があります。
特定されたドメインの大半は、レジストラPDR Ltd. d/b/a PublicDomainRegistry.comを通じて登録されており、通常はorderbox-dns[.]comなどに関連付けられたネームサーバーを使用しています。Predatorのインフラはこれまで、AS62005、AS61138、AS44066といった特定の自律システム番号(ASN)を好んで使用してきましたが、Insikt Groupは、最近のPredator関連ドメインが、以前はPredatorの活動と関係がなかったAS42708、AS20473、AS44477を含む、より幅広いASN上でホストされていることを確認しました。特筆すべきは、Insikt Groupが、より上位のPredatorインフラに関連するサーバーがStark Industriesでホストされていた事例を少なくとも1件確認したことです。
疑わしいインフラ検知回避戦略
現在進行中のサイバーエクスポージャーに対応して、Predatorの背後にいるオペレーターは、検知を回避するためにさまざまな手口、戦術を採用しています。 これには、 以前に 報告されたよりも多様なサーバー構成の使用、ASN の多様性の拡大、多層インフラストラクチャへの追加レイヤーの導入などが含まれます。注目すべき戦略の 1 つは、偽の Web サイトの使用であり、一般に、偽の 404 エラー ページ、偽のログインまたは登録ページ、建設中であることを示すサイト、会議などの特定のエンティティに関連付けられていると主張する Web サイトの 4 つの主要なカテゴリに分類されます ( 図 1-4 を参照)。
多層構造のインフラストラクチャ
以前に Insikt Groupが報告したように、Predatorの顧客は、特定の個人またはエンティティをターゲットにできるように設計された多層インフラストラクチャネットワークを引き続き使用しています( 図5を参照)。 このネットワークは、アムネスティの2023年10月の報告書で 概説された ハイレベルアーキテクチャとよく似ていますが、それ以来進化を続けています。Insikt Group が 2024 年 3 月に報告した Predator の多層インフラストラクチャの以前のバージョンには、3 つのレイヤーしかありませんでした。現在の設計に4番目の層を追加することは、プレデターの配備が疑われる国の特定をさらに不明瞭にすることを目的としている可能性があります。
Recorded Future®のネットワークインテリジェンスを活用し、Insikt Groupは、Tier 1サーバーが一貫して、専用のTier 2上位仮想プライベートサーバー(VPS)のIPアドレスと、Transmission Control Protocol(TCP)ポート10514を用いて通信していることを確認しました。これらの上位サーバーは、匿名化の中継ポイントとして機能していると見られ、Tier 1サーバーとPredatorの個別顧客とを直接結びつけることを困難にしていると考えられます。また、TCPポート10514を介した通信は、Tier 2サーバーとTier 3サーバーの間でも一貫して確認されています。その後、Tier 3サーバーは、Tier 4層にトラフィックを中継しますが、このTier 4層は、Predatorの顧客が管理していると疑われる、国内の固定ISPのIPアドレスに対応しているようです。分析されたすべての事例において、Tier 1サーバーとそれに対応する上位サーバーは、いずれも単一の顧客専用であると見られました。
Predatorの顧客による運用インフラに直接関係しているのはTier 1からTier 4までの層であるように見受けられますが、Insikt Groupはこれに加えて、Predator関連の活動において中心的ではあるものの、依然として詳細が不明な役割を担っていると見られる追加の層(Tier 5)も監視しています。Tier 5のサーバーは、チェコ共和国に所在する企業FoxITech s.r.o.に関連付けられており、この企業は以前からIntellexaと公に関係があるとされてきました。この件については、「チェコ企業との関係」のセクションでさらに詳しく説明されています。
特定の国におけるPredator使用の疑い
Insikt Groupが2024年3月にPredatorに関する報告を開始して以来、世界中で10数か国以上にわたって、このスパイウェアの使用が疑われるオペレーターが確認されています。これらのオペレーターのうち複数は過去12か月間にわたって活動を継続している一方で、一部の地域では、報道などの影響により活動が停止したと見られ、現在活動しているPredatorオペレーターの数は全体として減少傾向にあります。たとえば、コンゴ民主共和国(DRC)では、Insikt GroupがDRC関連の活動に関する調査結果を2024年9月に発表してからおよそ2週間後に、Predatorの活動が停止したように見受けられます。同様に、アンゴラでも同時期にオペレーターの活動が停止したものの、Recorded Future Network Intelligenceによれば、2025年初頭には活動を再開したことが確認されています。さらに、Insikt Groupは、これまでPredatorのオペレーターが確認されていなかったモザンビークにおいて、Predatorの使用を示す証拠を新たに発見しました。
モザンビーク
さらに、Recorded Future Network Intelligenceおよびその他の証拠に基づき、Insikt Groupは、表1に記載されたドメインが、モザンビークに拠点を置くPredatorのオペレーターに関連している可能性が高いと高い信頼性で判断しています。また、mdundobeats[.]com、noticiafamosos[.]com、およびonelifestyle24[.]comを含む複数のドメイン、ならびに付録Bに掲載されたその他のドメインも、Recorded Futureの技術的指標に基づき、同じ顧客に関連している可能性が高いと考えられます。特に注目すべき点として、onelifestyle24[.]comをホストしているものを除き、これらのドメインに関連付けられているすべてのIPアドレスは、同一の2つの/24 CIDR範囲内に収まっています。Insikt Groupはさらに、Recorded Future Network IntelligenceとパッシブDNSデータの両方を使用して、モザンビークのプレデターオペレーター容疑者が2024年の前半に活動を開始し、執筆時点ではまだ活動していると評価しています。
表1: モザンビークに所在するPredatorの顧客にリンクされているドメインとIPアドレス(情報源: Recorded Future)
これまでのところ、プレデターとモザンビークを結びつける公開(脅威についての)レポート作成は行われていないが、以前の調査では、この国を他の形態の監視と結びつけている。 2021年、2018年のシチズンラボの分析に基づく報告書は、モザンビークがペガサスのオペレーターである可能性が高いことを示唆した(当時、モザンビーク内でペガサスの感染は確認されていなかった)。さらに、モザンビークの調査機関Verdadeによる2016年の報告書では、政府が市民の通信を監視するために高度な監視技術を取得し、使用していること が明らか になりました。
東欧の国に関連すると見られる追加のクラスター
特定された多くのドメインおよびIPアドレスは、特定の国における疑わしいオペレーターに帰属できる一方で、一部のケースでは明確な帰属が難しい場合もあります。技術的な指標から、複数のドメインやIPアドレスが明確に区分されたクラスターとして関連付けられることが多く、Insikt Groupはこれらが同一のオペレーターによって管理されている可能性が高いと評価しています。
そのようなクラスターの1つは、その短い活動期間で注目に値しました。Recorded Future Network Intelligenceによると、このクラスターは2024年8月から11月までのみアクティブであり、Tier 1からTier 4のサーバーの2セットのみで構成されていた可能性があります。このクラスターは、その簡潔さからテストおよび開発業務を表す場合もあれば、その場所を理由に東ヨーロッパのオペレーターにリンクされている場合もあります。現在、 speedbrawse[.]com は、このクラスターに関連付けられている唯一のドメインです。Insikt Groupは、このオペレーターの活動の突然の停止は、2024年9月のIntellexaに対する制裁の エスカレーション にも関連している可能性があると評価しています。
チェコ企業との関係
ギリシャ人ジャーナリストのタナシス・コウカキス氏らに対するプレデターの使用に関する捜査中、ギリシャ最高裁判所の検察官は金融警察に対し、インテレクサ・コンソーシアムに関連する企業に関する報告書を作成するよう 指示 した Investigace.cz。このレポートには、Dvir Horef Hazanという名前の個人を含む、Intellexaに関連するエンティティをリストしたサプライヤーテーブルが含まれています。彼は、レポートで説明されている接続とともに、 図 6 に示します。
チェコのメディアによる調査によると、チェコの ビストロのオーナー、プログラマー、起業家であり、少なくとも8つのチェコ企業を所有し、そのうち4つはマーケティング、コンサルティング、ITアドバイザリーを専門としており、Intellexaで働いていたとされる。ギリシャ警察の報告書によると、Intellexaは、不特定のサービスのために、Hazanと彼の3つの会社(Zambrano Trade s.r.o.、Hadastech s.r.o.、Shilo s.r.o.)に約300万ユーロを送金した。さらに、Importgenius の記録によると、Hazan が単独で指揮する Hadastech は、2020 年から 2021 年の間に、携帯電話や「その他のネットワーク装置」と称される正体不明のウクライナ企業から 40 件の出荷を受け取ったことが明らかになりました。
追加の調査では、Hazan氏がFoxITech s.r.o.とも間接的に関係していることが明らかになっています。FoxITech s.r.o.はチェコのクルノフに拠点を置く企業で、ソフトウェア開発、サイバーセキュリティ、人材採用、バックオフィス支援などの統合的なIT・ビジネスサービスを世界中の顧客に提供していると主張しています。特に、FoxITech s.r.o.の本社はHazan氏が所有する企業の建物内にあり、そこには他のHazan氏所有の企業も入居しています。このHazan氏とFoxITech s.r.o.との関係は、ソーシャルメディア上でHazan氏とオーナーのMichal Ikonomidis氏が友人関係にあると見られることや、Hazan氏の最初の会社とFoxITech s.r.o. 同じ代理人によって公証人事務所で登記されたことからも裏付けられています。さらに、RIPE(ヨーロッパIPネットワーク調整機関)の登録情報によれば、FoxITech s.r.o.に関連付けられたエントリの中には、Hazan氏の会社Shilo s.r.o.のメールアドレスも含まれていました。Investigace.czによると、FoxITech s.r.o.に送信されたメールに対しては、Hazan 氏の企業の1つであるBender ONE s.r.o.のアドレスから返信があったとされています。
FoxITech s.r.o.とPredatorの活動の正確な性質と目的は不明ですが、Insikt Groupは、Tier 4サーバーがFoxITech s.r.o.に関連するTier 5インフラストラクチャと定期的に通信していることを観察しました。これにより、Predatorの多層インフラストラクチャとチェコのエンティティとの間にリンクが確立され、PredatorインフラストラクチャとIntellexaコンソーシアムに関連する企業エンティティとの間で初めての技術的接続が確立されました。
注目すべきは、Investigace.cz 以前チェコ共和国のCytroxについて 報道 し、同社の上場取締役がオストラヴァ近郊の村の年金受給者であり、Intellexaを知らなかったことを明らかにしたことだ。彼女は近くに住む家族の知人であるハザンを知っていました。また、娘の夫であるアモス・ウザンはイスラエル人で、エフード・オルメルト首相在任中の2003年から2009年まで政府の安全保障と通信の役割を果たした。オルメルト氏は以前、2006年から2009年までインテレクサの有給アドバイザーを務めていたことを明らかにしていた。
今後の展望
Insikt Groupは、広範な報道やIntellexaおよび関連企業に対する制裁にもかかわらず、モザンビークを含む地域でPredatorの継続的な使用を示す証拠を確認しています。最近も活動の痕跡が見られるものの、以前の報告と比較して疑われるオペレーターの数が減少していることから、報道や制裁、その他の措置がIntellexaに対して一定の運用上のコストを課している可能性が高いと考えられます。さらに、Predatorのオペレーターはこれまで一貫した手口(モードスオペランディ)を維持してきましたが、最新の調査結果では、検出を回避するために新たな戦術が採用されていることが明らかになっています。制裁やその他の外部圧力によって、企業構造の複雑化が進み、活動の追跡や妨害がさらに困難になることが予想されます。Predatorや同様のスパイウェア製品の継続的な拡散、ならびに正当な法執行機関や対テロ用途を超えたハッキング請負サービスの存在は、幅広い組織や個人にとって重大なリスクをもたらしています。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
asistentcomercialonline[.]com
barbequebros[.]com
boundbreeze[.]com
branchbreeze[.]com
c3p0solutions[.]com
caddylane[.]com
canylane[.]com
clockpatcher[.]com
colabfile[.]com
craftilly[.]com
dollgoodies[.]com
drivemountain[.]com
eclipsemonitor[.]com
flickerxxx[.]com
gamestuts[.]com
gettravelright[.]com
gilfonts[.]com
gobbledgums[.]com
humansprinter[.]com
infoshoutout[.]com
keep-badinigroups[.]com
lawrdo[.]com
longtester[.]com
mappins[.]io
mdundobeats[.]com
mountinnovate[.]com
mundoautopro[.]com
myprivatedrive[.]net
myread[.]io
mystudyup[.]com
nightskyco[.]com
noticiafamosos[.]com
noticiafresca[.]net
onelifestyle24[.]com
openstreetpro[.]com
pedalmastery[.]com
pinnedplace[.]com
remixspot[.]com
roadsidefoodie[.]com
secneed[.]com
secsafty[.]com
shopstodrop[.]com
speedbrawse[.]com
stableconnect[.]net
starryedge[.]com
statuepops[.]com
steepmatch[.]com
streamable-vid[.]com
strictplace[.]com
svcsync[.]com
themastersphere[.]com
traillites[.]com
trigship[.]com
unibilateral[.]com
updatepoints[.]com
wtar[.]io
zipzone[.]io
IP Addresses:
5[.]183[.]95[.]179
5[.]253[.]43[.]92
38[.]54[.]2[.]119
38[.]54[.]2[.]223
38[.]54[.]2[.]238
45[.]86[.]163[.]182
45[.]86[.]231[.]100
45[.]86[.]231[.]222
45[.]143[.]166[.]125
45[.]155[.]250[.]228
46[.]30[.]188[.]19
46[.]30[.]188[.]161
46[.]30[.]189[.]26
46[.]246[.]96[.]198
51[.]195[.]49[.]222
79[.]110[.]52[.]192
79[.]141[.]164[.]56
85[.]17[.]9[.]18
89[.]150[.]57[.]192
89[.]150[.]57[.]234
128[.]199[.]39[.]196
138[.]199[.]153[.]155
141[.]164[.]37[.]66
146[.]70[.]81[.]33
146[.]70[.]88[.]93
154[.]205[.]146[.]159
158[.]247[.]205[.]35
158[.]247[.]222[.]189
158[.]247[.]254[.]22
162[.]19[.]214[.]208
169[.]239[.]128[.]22
169[.]239[.]128[.]42
169[.]239[.]128[.]46
169[.]239[.]128[.]48
169[.]239[.]128[.]138
169[.]239[.]128[.]160
169[.]239[.]128[.]174
169[.]239[.]128[.]182
169[.]239[.]129[.]57
169[.]239[.]129[.]63
169[.]239[.]129[.]77
169[.]239[.]129[.]100
169[.]255[.]58[.]14
169[.]255[.]58[.]18
172[.]233[.]116[.]151
185[.]158[.]248[.]139
185[.]158[.]248[.]146
185[.]167[.]60[.]33
185[.]236[.]202[.]161
185[.]243[.]114[.]170
188[.]166[.]0[.]154
193[.]29[.]56[.]52
193[.]29[.]59[.]176
193[.]168[.]143[.]206
193[.]243[.]147[.]42
195[.]54[.]160[.]224