Predator Still Active, with New Client and Corporate Links Identified
Executive Summary
지난 2년 동안 Insikt Group과 다른 단체들의 대대적으로 대중에게 노출되고 미국 정부가 Predator 모바일 스파이웨어의 배후 조직인 Intellexa Consortium을 제재하면서 Insikt Group은 Predator 관련 활동이 크게 감소한 것을 관찰했습니다. 이러한 명백한 감소는 미국의 제재, 대중에 대한 노출, 영국과 프랑스가 주도하는 폴 몰(Pall Mall) 프로세스와 같이 스파이웨어 확산을 억제하기 위한 광범위한 국제적 노력이 결합되어 Intellexa의 운영에 지속적인 타격을 입혔는지에 대한 의문을 불러일으켰습니다. 그러나 Predator 활동은 멈추지 않았으며, 최근 몇 달 동안 Insikt Group은 운영자들이 계속 버티고 있음을 반영하는 활동 재개를 관찰하였습니다. Insikt Group이 이전에 파악한 국가의 알려진 Predator 운영자와 연결된 인프라가 대부분이지만, 이전에 스파이웨어와 공개적으로 연결된 적이 없는 국가인 모잠비크에서 새로운 고객도 확인되었습니다. 이는 Predator가 아프리카에서 매우 활발하게 활동하고 있으며, 확인된 고객의 절반 이상이 아프리카 대륙에 있다는 더 광범위한 관찰과 일치합니다. 또한 Insikt Group은 상위 계층인 Predator 인프라와 이전에 Intellexa 컨소시엄과 연관된 체코 엔터티 간의 연결 고리를 발견했습니다.
Predator와 같은 스파이웨어의 배포가 합법적인 범죄 수사용 또는 대테러를 위한 사용을 넘어설 경우, 직접적인 표적과 관련 개인 모두의 개인정보, 법적 권리, 신체적 안전에 심각한 위협을 가합니다. 대부분의 알려진 악용 사례가 시민 사회와 정치 활동가를 표적으로 삼았지만, 스파이웨어 악용 기록이 있는 지역의 개인과 조직은 분야에 관계없이 경계를 늦추지 말아야 합니다. Predator의 고가 라이선스 모델을 고려하면 Predator는 일반적으로 고가치의 전략적 목표에만 사용됩니다. 이로 인해 자신이 보유할 수 있는 정보로 인해 정치인, 기업 임원 및 민감한 위치에 있는 사람들이 특히 취약해집니다. 용병 스파이웨어 개발자의 활동을 억제하기 위한 전 세계적인 노력을 반영하듯, 현재 여러 EU 국가에서 정치적 반대파 인사에 대한 스파이웨어 사용 조사를 진행하는 중입니다.
Insikt Group의 이전 Predator 보고서에 명시된 대로, 방어자는 권장 모범 사례를 따라야 합니다. 여기에는 개인 장치와 회사 장치를 분리하여 보관하고, 휴대폰을 정기적으로 업데이트하며, 주기적인 장치 재부팅 권장(그러나 장치 재부팅으로 항상 Predator를 완전히 제거하지 않을 수도 있음), 잠금 모드 사용, 모바일 장치 관리(MDM) 시스템 구현이 포함됩니다. 또한 직원들의 보안 인식 교육에 투자하고 데이터 노출을 최소화하는 문화를 조성하는 것은 스피어피싱 공격이 성공할 위험을 줄이고 침해 발생 시 데이터 도난을 제한하는 데 필수적입니다.
Insikt Group은 지속적인 수요와 기업 수익성에 의해 용병 스파이웨어 시장이 계속 확장될 것으로 예상합니다. 이러한 성장에는 지속적인 혁신이 함께 진행될 가능성이 높으며, 경쟁이 치열해지고 대상의 IT 보안이 강화됨에 따라 새로운 제품과 기술의 개발이 촉진될 것입니다. 예를 들어, 방어자가 전체 취약점 클래스를 제거하기 위해 노력하는 동안, 스파이웨어 운영자는 탈취한 자격 증명을 통해 접근하는 클라우드 백업과 같은 대안을 표적으로 삼거나 새로운 배포 방법을 사용하여 적응할 수 있습니다. 이러한 도구가 확산되고 기술이 발전함에 따라 피해자의 범위가 시민 사회를 넘어 정치적 담론에 영향을 미치고 추가적인 법적 대립을 촉발할 가능성이 있습니다. 최근 법원이 기술 기업의 손을 들어주며 스파이웨어 공급업체에 불리한 판결을 내린 것이 선례가 되어, 더 많은 기업이 플랫폼 악용에 적극적으로 이의를 제기하도록 장려할 수 있습니다. Insikt Group은 스파이웨어 공급업체들이 제재나 탐지를 피하기 위해 복잡한 기업 구조를 계속 활용할 것이며, 특정 지역에 맞춰 운영을 점점 더 세분화할 것으로 예상합니다. 이러한 경향은 종종 생태계의 발칸화(분열되고 단절되는 현상)로 설명됩니다.
주요 연구 결과
- Insikt Group은 Predator와 관련된 새로운 인프라를 식별했으며, 이는 대중에 공개되고 국제 제재와 정책 개입에도 불구하고 계속 운영되고 있음을 나타냅니다.
- 새로 확인된 인프라는 피해자를 대상으로 하는 1급 서버뿐만 아니라, 여러 국가의 Predator 운영자와 연결될 가능성이 있는 상위 계층 구성 요소도 포함되어 있습니다.
- Predator 인프라 대부분은 이전 보고와 일치하지만 Predator 운영자들은 탐지를 피하기 위해 설계된 변경 사항을 도입했으며, 이는 Insikt Group이 이전 보고에서 언급한 패턴입니다.
- Insikt Group은 지난 12개월 동안 여러 국가에서 Predator 관련 활동을 탐지했으며, 모잠비크에서 Predator 운영자의 존재가 의심되는 사례를 최초로 보고했습니다.
- Insikt Group은 체코 탐사 전문 언론사를 통하여 Predator 인프라의 구성 요소를 이전에 Intellexa Consortium과 연관되었던 체코 엔터티와 연결지었습니다.
배경
Predator는 안드로이드와 아이폰 기기 모두를 대상으로 하는 정교한 용병 스파이웨어이며 적어도 2019년부터 활동해 왔습니다. 원래 Cytrox에서 개발하고 현재 Intellexa 연합에서 운영 중인 Predator는 유연성과 은밀성을 위해 설계되었으며, 감염된 장치에 최소한의 증거를 남기고 악용에 대한 외부 조사를 특히 어렵게 만듭니다. 일단 배포되면 Predator는 피해자가 모르게 기기의 마이크, 카메라 및 모든 데이터(예: 연락처, 메시지, 사진, 비디오)에 완전히 접근할 수 있습니다. Python을 기반으로 한 스파이웨어의 모듈식 설계는 운영자가 장치를 다시 악용할 필요 없이 원격으로 새로운 기능을 도입할 수 있도록 허용합니다.
프레데터는 '원클릭' 및 '제로클릭' 공격 벡터를 통해 전달될 수 있습니다. '원클릭' 공격은 사용자 상호 작용이 필요한 악성 링크가 포함된 소셜 엔지니어링 메시지에 의존하는 반면(1, 2, 3), '제로클릭' 공격은 'Predator 파일'에서 설명된 바와 같이 네트워크 인젝션 또는 근접 기반 방법과 같이 공격 대상의 어떠한 조치도 필요하지 않은 기법을 사용합니다. 그러나 Predator가 NSO Group Pegasus에서 볼 수 있는 것과 같이 사용자 상호 작용 없이 메시징 앱(예: FORCEDENTRY 또는 BLASTPASS)을 통해 장치를 손상시킬 수 있는 완전 원격 '제로클릭' 악용을 사용한 확인된 사례는 없습니다.
지난 2년 동안 Insikt Group은 앙골라, 아르메니아, 보츠와나, 콩고민주공화국, 이집트, 인도네시아, 카자흐스탄, 몽골, 모잠비크, 오만, 필리핀, 사우디아라비아, 트리니다드토바고 등 12개국 이상에서 Predator 운영자 용의자를 식별했습니다(1, 2). 특히, 모잠비크를 의심 고객으로 식별한 공개 보고서는 이번이 처음입니다. Predator는 표면상 대테러 및 법 집행 목적으로 판매되지만, 이전 보도에 따르면 언론인, 활동가, 정치인 등 시민 사회 행위자를 대상으로 하여 명확한 패턴으로 배치된 것이 문서화되었습니다(1, 2, 3, 4). 이전 보고서에 설명된 이러한 사례는 Predator와 같은 용병 스파이웨어의 광범위한 사용, 탐지의 어려움, 제한된 피해자 지원을 고려할 때 전체 악용 사례의 일부에 불과할 가능성이 큽니다. 베트남과 연계된 운영자가 유럽연합 관리와 유럽의회 의원을 표적으로 삼은 Predator뿐만 아니라 Pegasus와 같은 다른 용병 스파이웨어에서도 관찰된 것처럼, 국경을 넘는 표적 공격의 위험성을 강조하는 것이 중요합니다.
Predator의 인프라와 기술에 대한 대중의 보고가 증가하고 Intellexa의 기업 구조에 대한 관심이 높아지고 있음에도 불구하고 Predator의 운영은 여전히 활발합니다. 이러한 지속성은 미국 제재, EU 결의, Intellexa 계열사에 대한 미국 비자 금지, 폴 몰 프로세스의 시작과 같은 조치와 악용 비용 상승 가능성(특히 아이폰에 대해) 이후에도 계속되고 있습니다. 이는 수출 제한에 직면한 국가들에서 스파이웨어 도구에 대한 수요 증가, 공개 보고 및 보안 강화에 대응하는 지속적인 기술 혁신, 제재 및 책임 귀속을 방해하기 위해 설계된 점점 더 복잡한 기업 구조를 반영하는 것으로 보입니다. Predator 작전과 관련이 있을 가능성이 있는 체코 엔터티가 관련된 사례 중 하나를 이 보고서 후반부에서 설명합니다.
위협 분석
1급 (C2) 서버
Insikt Group은 Predator와 관련이 있을 가능성이 높은 새로운 피해자 대상 1급(C2) 인프라를 식별했으며, 여기에는 도메인 및 IP 주소가 포함됩니다. 이러한 도메인 및 IP 주소의 구체적인 기능은 아직 확인되지 않았지만, Predator와 연결된 이전 인프라와 일치하는 페이로드 전달 및 악용 프로세스에 관여하고 있을 가능성이 높습니다. 부록 B의 표에는 지난 12개월 동안 관찰된 도메인 및 IP 주소가 제시되어 있습니다.
Insikt Group이 과거에 보고한 바와 같이, 이전에는 Predator와 연결된 도메인이 자주 방문하는 지역 뉴스 언론사와 같은 특정 조직을 가장하는 경우가 많았습니다(1, 2). 그러나 2023년 말부터 언론의 관심과 대중의 보도가 증가하면서 이러한 패턴이 점차적으로 변화하기 시작했습니다. 최근의 도메인은 일반적으로 두 개 이상의 무작위 영어 단어로 구성됩니다. Insikt Group은 이러한 도메인 중 일부가 특정 키워드를 재사용하는 것을 관찰했습니다. 예를 들어, boundbreeze[.]com 및 branchbreeze[.]com 라는 도메인들은 'breeze'라는 단어를 공유합니다. 최근 몇몇 사례에서, 도메인에 포르투갈어 단어가 포함되어 있으며, 이는 의도된 표적의 언어를 반영하는 것으로 보입니다. 또한 특정 도메인에는 표적에 대한 단서를 제공할 수 있는 키워드(예: keep-badinigroups[.]com)가 포함되어 있으며, 이는 이라크 쿠르디스탄의 바디난 지역에서 사용되는 바디니 방언과 관련된 지역 사회나 그룹을 지칭할 수 있습니다.
식별된 도메인의 대부분은 등록 기관인 PDR Ltd(d/b/a PublicDomainRegistry.com)를 통해 등록되었으며 일반적으로 orderbox-dns[.]com 등과 연결된 네임 서버를 사용합니다. Predator 인프라는 역사적으로 AS62005, AS61138, AS44066과 같은 특정 자율 시스템 번호(ASN)를 선호해 왔으나, Insikt Group은 최근 Predator와 연관된 도메인이 AS42708, AS20473, AS44477 등 이전에는 Predator 활동과 연결되지 않았던 더 넓은 범위의 ASN에서 호스팅되고 있음을 관찰했습니다. 특히, Insikt Group은 상위 계층 Predator 인프라에 연결된 서버가 Stark Industries에 호스팅된 최소 한 가지 사례를 확인했습니다.
의심되는 인프라 탐지 회피 전략
지속적인 대중 노출에 대응하여 Predator의 운영자들은 탐지를 피하기 위해 다양한 전술을 채택했습니다. 여기에는 이전에 보고된 것보다 더 다양한 서버 구성을 사용하고, ASN의 다양성을 확장하며, 다계층 인프라에 추가 계층을 도입하는 등의 접근 방식이 포함됩니다. 주목할 만한 전략 중 하나는 가짜 웹사이트를 사용하는 것으로, 가짜 404 오류 페이지, 위조 로그인 또는 가입 페이지, 공사 중이라고 표시된 사이트, 컨퍼런스처럼 특정 단체와 관련이 있다고 주장하는 웹사이트 등 일반적으로 네 가지 주요 범주로 나뉩니다(그림 1-4 참조).
다계층 인프라
Insikt Group에서 이전에 보고한 바와 같이, Predator 고객은 특정 개인이나 법인을 대상으로 할 수 있도록 설계된 다계층 인프라 네트워크를 계속 사용하고 있습니다(그림 5 참조). 이 네트워크는 국제앰네스티의 2023년 10월 보고서에 설명된 고급 아키텍처와 매우 유사하지만, 그 이후로 계속 발전해 왔습니다. Insikt Group이 2024년 3월에 보고한 Predator의 다계층 인프라의 이전 버전은 세 개의 계층만 포함하고 있었습니다. 현재 설계에 네 번째 계층을 추가한 것은 Predator를 배포한 것으로 의심되는 국가의 식별을 더욱 어렵게 만들기 위한 의도로 보입니다.
Insikt Group은 Recorded Future® Network Intelligence를 활용하여, 1급 서버가 전송 제어 프로토콜 (TCP) 포트 10514를 사용하여 전용 2급 업스트림 가상 사설 서버 (VPS) IP 주소와 지속적으로 통신하는 것을 관찰했습니다. 이러한 업스트림 서버는 익명화 홉 포인트로 기능할 가능성이 높아, 1급 서버를 개별 Predator 고객과 직접 연결하기가 더 어려워집니다. 2급 및 3급 서버 간에도 TCP 포트 10514를 통한 통신이 일관되게 관찰됩니다. 그 후, 3급 서버는 트래픽을 4급 레이어로 중계하며, 4급 레이어는 Predator 고객의 통제를 받는 것으로 의심되는 고정 국내 ISP IP 주소에 해당하는 것으로 보입니다. 분석된 모든 사례에서 1급 서버와 해당 업스트림 서버가 단일 고객 전용인 것으로 나타났습니다.
1급에서 4급까지는 Predator 고객의 운영 인프라와 직접적으로 연결된 것으로 보이지만, Insikt Group은 5급으로 추적되는 추가적인 계층도 모니터링하고 있으며, 이는 Predator 관련 운영에서 중심적이지만 아직 명확하지 않은 역할을 하는 것으로 보입니다. 5급 서버는 이전에 공개적으로 Intellexa와 연관되어 있었으며, 체코 엔터티인 FoxITech s.r.o.에 연결되어 있었고 이는 이후 체코 엔터티와의 연결 섹션에서 자세히 설명합니다.
특정 국가 내에서 의심되는 Predator 사용
Insikt Group이 2024년 3월 Predator에 대한 보고를 시작한 이후, 전 세계 12개국 이상에서 스파이웨어 운영자로 의심되는 사람들이 확인되었습니다. 이러한 운영자 중 일부는 지난 12개월 동안 활동을 계속했지만, 일부 지역에서는 공개 보고로 인해 활동이 중단된 것으로 보이며, 이로 인해 현재 Predator 운영자의 수가 전반적으로 감소했습니다. 예를 들어, 콩고민주공화국(DRC)에서는 2024년 9월에 Insikt Group이 DRC 관련 활동에 대한 조사 결과를 발표한 지 약 2주 후에 작전이 중단된 것으로 보입니다. 마찬가지로, Recorded Future Network Intelligence에 따르면 앙골라의 의심되는 운영자는 같은 시기에 활동을 중단했다가 2025년 초에 활동을 재개했습니다. 또한, Insikt Group은 이 보고서 이전에는 Predator 운영자가 확인되지 않았던 모잠비크에서 Predator 사용의 증거를 발견했습니다.
모잠비크
Insikt Group은 Recorded Future Network Intelligence 및 기타 아티팩트를 바탕으로 표 1에 나열된 도메인을 모잠비크에 기반을 둔 Predator 운영자로 의심할 수 있는 높은 수준의 확신을 가지고 있습니다. 또한 Recorded Future 소스의 다양한 기술 지표를 기반으로 하여 mdundobeats[.]com, noticiafamosos[.]com, onelifestyle24[.]com 및 부록 B의 다른 사이트를 포함하여 을 포함한 여러 다른 도메인이 동일한 고객과 연결되어 있을 가능성이 높습니다. 특히, onelifestyle24[.]com을 호스팅하는 도메인을 제외하고 이러한 도메인과 관련된 모든 IP 주소는 동일한 두 개의 /24 CIDR 범위에 속합니다. Insikt Group은 Recorded Future Network Intelligence와 패시브 DNS 데이터를 사용하여 모잠비크의 Predator 운영자로 의심되는 대상이 2024년 상반기에 활동을 시작했으며, 이 글을 쓰는 시점에도 여전히 활동 중인 것으로 평가합니다.
표 1: Domains and IP addresses linked to Predator customer located in Mozambique (Source: Recorded Future)
Although there has been no public reporting to date linking Predator to Mozambique, earlier investigations have connected the country to other forms of surveillance. In 2021, a report, drawing on a 2018 Citizen Lab analysis, suggested that Mozambique was likely a Pegasus operator (there were no confirmed Pegasus infections within Mozambique at that time). Additionally, a 2016 report by the Mozambican investigative outlet Verdade revealed that the government had acquired and was using advanced surveillance technologies to monitor citizens’ communications.
동유럽 국가와 관련된 추가 클러스터
식별된 도메인 및 IP 주소 중 상당수는 특정 국가의 특정 의심 운영자에게 귀속될 수 있지만, 다른 경우에는 책임 귀속이 더 복잡합니다. 기술 지표는 여러 도메인과 IP 주소를 별개의 클러스터로 연결하는 경우가 많으며, Insikt Group은 동일한 운영자가 이를 제어할 가능성이 높다고 평가합니다.
이러한 클러스터 중 하나는 짧은 활동 기간으로 주목받았습니다. Recorded Future Network Intelligence에 따르면 이 클러스터는 2024년 8월부터 11월까지만 활성화되었으며, 1급에서 4급 서버 두 세트로 구성되었을 가능성이 높습니다. 이 클러스터는 간결함 때문에 테스트 및 개발 작업을 나타낼 수 있으며, 위치 때문에 동유럽 운영자와 연결될 수 있습니다. 현재 이 클러스터와 연결된 도메인은 speedbrawse[.]com이 유일합니다. Insikt Group은 이 운영자의 갑작스러운 활동 중단이 2024년 9월 Intellexa에 대한 제재 강화와 관련이 있을 수 있다고 평가합니다.
체코 엔터티와의 연결
그리스 대법원 검사는 그리스 언론인 Thanasis Koukakis 및 다른 사람들을 대상으로 한 Predator 사용 조사를 진행하는 동안, 금융 경찰에게 Intellexa Consortium과 관련된 회사들에 대한 보고서를 작성하도록 지시했으며, 이 문서는 나중에 체코의 탐사 전문 언론사인 Investigace.cz에 의해 입수되었습니다. 이 보고서에는 Dvir Horef Hazan이라는 개인을 포함하여 Intellexa와 관련된 엔터티가 나열된 공급업체 표가 있습니다. Dvir Horef Hazan은 그림 6에 보고서에 설명된 연결과 함께 나와 있습니다.
체코 언론사의 조사에 따르면 체코 식장 소유주이자 프로그래머 겸 기업가인 Hazan은 마케팅, 컨설팅 및 IT 자문을 전문으로 하는 4개 회사를 포함하여 최소 8개의 체코 회사를 소유하고 있으며, Intellexa에서 일한 것으로 추정됩니다. 그리스 경찰 보고서에 따르면 Intellexa는 불특정 서비스에 대해 Hazan과 그의 회사 3곳(Zambrano Trade s.r.o., Hadastech s.r.o., Shilo s.r.o.)에 약 300만 유로를 송금한 것으로 나타났습니다. 또한 Importgenius 기록에 따르면 Hazan이 단독으로 운영하는 Hadastech는 2020년부터 2021년 사이에 신원이 확인되지 않은 우크라이나 회사로부터 휴대전화 및 '기타 네트워킹 장비'로 설명된 40건의 선적물을 받았습니다.
추가 분석에 따르면 Hazan은 전 세계 고객에게 소프트웨어 개발, 사이버 보안, 인력 채용, 백오피스 지원 등 통합 IT 및 비즈니스 서비스를 제공한다고 주장하며 크르노프에 본사를 둔 체코 기업이자 Michal Ikonomidis가 소유한 FoxITech s.r.o.와도 간접적으로 연결되어 있는 것으로 나타났습니다. 좀 더 구체적으로 말하자면, FoxITech s.r.o.는 Hazan의 회사 중 하나가 소유한 건물에 본사를 두고 있으며, 이 건물에는 앞서 언급한 다른 Hazan 소유의 사업체들도 있습니다. Hazan과 FoxITech s.r.o. 간의 이러한 연관성은 소셜 미디어에 따르면 Hazan과 Ikonomidis가 친구로 보이며, Hazan의 첫 번째 회사와 FoxITech s.r.o.가 동일한 대리인을 통해 공증인 사무실에 등록되었다는 사실로 더욱 입증됩니다. 게다가 FoxITech s.r.o.에 연결된 RIPE(Réseaux IP Européens) 항목에는 Hazan의 회사인 Shilo s.r.o.와 관련된 이메일 주소가 포함되어 있습니다. Investigace.cz에 따르면, FoxITech s.r.o.에 보낸 이메일은 Hazan의 회사 중 하나인 Bender ONE s.r.o.에 속한 주소에서 답변을 받았습니다.
FoxITech s.r.o.와 Predator 운영 간의 정확한 성격과 목적은 불분명하지만, Insikt Group은 4급 서버가 FoxITech s.r.o.에 연결된 5급 인프라와 정기적으로 통신하는 것을 관찰했습니다. 이로써 Predator의 다계층 인프라와 체코 엔터티 간의 연결이 구축되어, Predator 인프라와 Intellexa Consortium 관련 엔터티 간의 최초의 기술적 연결이 성립되었습니다.
특히 Investigace.cz는 이전에 체코의 Cytrox에 대해 보도하면서, 회사의 등기 이사가 Ostrava 근처 마을의 연금 수급자이며 Intellexa를 알지 못한다는 사실을 밝혔습니다. 그녀는 Hazan을 근처에 사는 가족 지인으로 알고 있었습니다. 또한 그녀의 사위인 Amos Uzan은 Ehud Olmert가 총리로 재임하던 2003년부터 2009년까지 정부의 보안 및 통신 분야에서 일한 이스라엘인입니다. Olmert는 이전에 자신이 2006년부터 2009년까지 Intellexa의 유급 고문으로 일했다고 공개했습니다.
전망
Insikt Group은 Intellexa 및 관련 엔터티를 겨냥한 광범위한 언론의 주목과 제재에도 불구하고 모잠비크를 포함하여 Predator가 계속 사용되고 있음을 나타내는 증거를 발견했습니다. 최근 활동이 관찰되었지만, 이전 보고서에 비해 의심되는 운영자의 수가 감소한 것은 대중에 대한 노출, 제재 및 관련 조치로 인해 Intellexa에 운영 비용이 증가했을 가능성이 높다는 것을 시사합니다. 게다가, Predator 운영자들은 역사적으로 일관된 작전 방식을 유지해왔지만, 최근의 발견된 사항은 탐지를 피하기 위한 새로운 전술의 채택을 나타냅니다. 제재와 기타 압력은 기업 구조의 복잡성을 증가시키려는 노력을 촉진하여, 운영을 추적하고 방해하기 어렵게 만들 가능성이 큽니다. Predator 및 유사한 스파이웨어 제품의 지속적인 확산과 합법적인 법 집행 및 대테러 용도를 넘어서는 해킹 고용 서비스의 가용성은 다양한 조직과 개인에게 중대한 위험을 초래합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
부록 A — 침해 지표
asistentcomercialonline[.]com
barbequebros[.]com
boundbreeze[.]com
branchbreeze[.]com
c3p0solutions[.]com
caddylane[.]com
canylane[.]com
clockpatcher[.]com
colabfile[.]com
craftilly[.]com
dollgoodies[.]com
drivemountain[.]com
eclipsemonitor[.]com
flickerxxx[.]com
gamestuts[.]com
gettravelright[.]com
gilfonts[.]com
gobbledgums[.]com
humansprinter[.]com
infoshoutout[.]com
keep-badinigroups[.]com
lawrdo[.]com
longtester[.]com
mappins[.]io
mdundobeats[.]com
mountinnovate[.]com
mundoautopro[.]com
myprivatedrive[.]net
myread[.]io
mystudyup[.]com
nightskyco[.]com
noticiafamosos[.]com
noticiafresca[.]net
onelifestyle24[.]com
openstreetpro[.]com
pedalmastery[.]com
pinnedplace[.]com
remixspot[.]com
roadsidefoodie[.]com
secneed[.]com
secsafty[.]com
shopstodrop[.]com
speedbrawse[.]com
stableconnect[.]net
starryedge[.]com
statuepops[.]com
steepmatch[.]com
streamable-vid[.]com
strictplace[.]com
svcsync[.]com
themastersphere[.]com
traillites[.]com
trigship[.]com
unibilateral[.]com
updatepoints[.]com
wtar[.]io
zipzone[.]io
IP Addresses:
5[.]183[.]95[.]179
5[.]253[.]43[.]92
38[.]54[.]2[.]119
38[.]54[.]2[.]223
38[.]54[.]2[.]238
45[.]86[.]163[.]182
45[.]86[.]231[.]100
45[.]86[.]231[.]222
45[.]143[.]166[.]125
45[.]155[.]250[.]228
46[.]30[.]188[.]19
46[.]30[.]188[.]161
46[.]30[.]189[.]26
46[.]246[.]96[.]198
51[.]195[.]49[.]222
79[.]110[.]52[.]192
79[.]141[.]164[.]56
85[.]17[.]9[.]18
89[.]150[.]57[.]192
89[.]150[.]57[.]234
128[.]199[.]39[.]196
138[.]199[.]153[.]155
141[.]164[.]37[.]66
146[.]70[.]81[.]33
146[.]70[.]88[.]93
154[.]205[.]146[.]159
158[.]247[.]205[.]35
158[.]247[.]222[.]189
158[.]247[.]254[.]22
162[.]19[.]214[.]208
169[.]239[.]128[.]22
169[.]239[.]128[.]42
169[.]239[.]128[.]46
169[.]239[.]128[.]48
169[.]239[.]128[.]138
169[.]239[.]128[.]160
169[.]239[.]128[.]174
169[.]239[.]128[.]182
169[.]239[.]129[.]57
169[.]239[.]129[.]63
169[.]239[.]129[.]77
169[.]239[.]129[.]100
169[.]255[.]58[.]14
169[.]255[.]58[.]18
172[.]233[.]116[.]151
185[.]158[.]248[.]139
185[.]158[.]248[.]146
185[.]167[.]60[.]33
185[.]236[.]202[.]161
185[.]243[.]114[.]170
188[.]166[.]0[.]154
193[.]29[.]56[.]52
193[.]29[.]59[.]176
193[.]168[.]143[.]206
193[.]243[.]147[.]42
195[.]54[.]160[.]224