DEV-0196: بدافزار «KingsPawn» QuaDream که برای هدف قرار دادن جامعه مدنی در اروپا، آمریکای شمالی، خاورمیانه و آسیای جنوب شرقی استفاده میشود.
به سایت آموزشی میتوانید خوش آمدید، درضمن اگر برای کسب و کار به جذب مشتری نیاز دارید پیشنهاد میکنیم روی سایت تبلیغاتی کلیک کنید تا بزرگترین سایت تبلیغات ایران بشوید.
DEV-0196: بدافزار «KingsPawn» QuaDream که برای هدف قرار دادن جامعه مدنی در اروپا، آمریکای شمالی، خاورمیانه و آسیای جنوب شرقی استفاده میشود.
بهروزرسانی آوریل 2023 – Microsoft Threat Intelligence به یک عامل تهدید جدید به نام طبقهبندی با موضوع آب و هوا تغییر داده است. DEV-0196 اکنون به عنوان سونامی کارمین ردیابی میشود.
برای کسب اطلاعات بیشتر در مورد این تکامل، اینکه چگونه طبقهبندی جدید منشأ، ویژگیهای منحصربهفرد و تأثیر عوامل تهدید را نشان میدهد، و نقشهبرداری کاملی از نام بازیگران تهدید، این وبلاگ را بخوانید: مایکروسافت به یک نامگذاری عامل تهدید جدید تغییر می کند. طبقه بندی.
تحلیلگران Microsoft Threat Intelligence با اطمینان بالا ارزیابی میکنند که یک گروه تهدید که توسط مایکروسافت بهعنوان DEV-0196 ردیابی میشود، با یک بازیگر تهاجمی بخش خصوصی مستقر در اسرائیل (PSOA) معروف به QuaDream مرتبط است. بنا بر گزارشها، QuaDream پلتفرمی را که REIGN مینامند را برای اهداف اجرای قانون به دولتها میفروشد. REIGN مجموعه ای از سوء استفاده ها، بدافزارها و زیرساخت هایی است که برای استخراج داده ها از دستگاه های تلفن همراه طراحی شده است.
در این وبلاگ، مایکروسافت DEV-0196 را تجزیه و تحلیل میکند، جزئیات فنی بدافزار iOS بازیگر را که ما آن را KingsPawn مینامیم، مورد بحث قرار میدهد و شاخصهای سازش میزبان و شبکه را به اشتراک میگذارد که میتواند برای کمک به شناسایی استفاده شود.
در طول تحقیقات ما در مورد DEV-0196، مایکروسافت با چندین شریک همکاری کرد. یکی از این شرکا، آزمایشگاه شهروندی از دانشگاه مانک در تورنتو، حداقل پنج قربانی جامعه مدنی بدافزار DEV-0196 را شناسایی کرد که شامل روزنامهنگاران، چهرههای مخالف سیاسی و یک کارگر سازمان غیردولتی (NGO) در آمریکای شمالی میشد. آسیای مرکزی، آسیای جنوب شرقی، اروپا و خاورمیانه. علاوه بر این، Citizen Lab توانست مکانهای اپراتور سیستمهای QuaDream را در کشورهای زیر شناسایی کند: بلغارستان، چک، مجارستان، غنا، اسرائیل، مکزیک، رومانی، سنگاپور، امارات متحده عربی و ازبکستان. گزارش Citizen Lab را اینجا بخوانید.
مایکروسافت اطلاعات مربوط به DEV-0196 را با مشتریان، شرکای صنعتی و عموم به اشتراک میگذارد تا دانش جمعی را در مورد نحوه عملکرد PSOAها بهبود بخشد و آگاهی را در مورد چگونگی تسهیل هدفیابی و بهرهبرداری از جامعه مدنی PSOAها افزایش دهد. برای اطلاعات بیشتر، حمایت از ارزشهای دموکراتیک و حفاظت از ثبات فضای مجازی را بخوانید.
DEV-0196: یک بازیگر تهاجمی بخش خصوصی مستقر در اسرائیل
PSOAها، که مایکروسافت از آنها به عنوان مزدوران سایبری نیز یاد می کند، ابزارها یا خدمات هک را از طریق انواع مدل های تجاری، از جمله دسترسی به عنوان یک سرویس، می فروشند. در دسترسی به عنوان یک سرویس، بازیگر ابزارهای هک کامل سرتاسری را می فروشد که می تواند توسط خریدار در عملیات سایبری استفاده شود. PSOA خود در هیچ هدف گذاری یا اجرای عملیات دخالت ندارد.
تحلیلگران Microsoft Threat Intelligence با اطمینان بالا ارزیابی میکنند که DEV-0196 از این مدل استفاده میکند و خدمات بهرهبرداری و بدافزار را به دولتها میفروشد. مستقیماً در هدف گیری دخالتی ندارد. مایکروسافت همچنین با اطمینان بالا ارزیابی میکند که DEV-0196 با یک شرکت خصوصی مستقر در اسرائیل به نام QuaDream مرتبط است. طبق مرجع شرکتهای اسرائیل، QuaDream، تحت نام اسرائیلی קוודרים בע”מ، گنجانده شد. در آگوست 2016. این شرکت هیچ وب سایتی ندارد، و گزارش های عمومی کمی در مورد این شرکت وجود دارد، به استثنای چند مورد قابل توجه.
QuaDream در یک گزارش رویترز 2022، که به بروشور شرکتی استناد می کند که پلتفرم REIGN و لیستی از قابلیت ها را توصیف می کند، این گزارش همچنین به طور مشخص پیشنهاد می کند که QuaDream از یک اکسپلویت iOS با کلیک صفر استفاده می کند که از همان آسیب پذیری استفاده می کند. سوء استفاده ForcedEntry گروه NSO. گزارش قبلی توسط اسرائیل پایگاه خبری هاآرتص، همچنین با استناد به بروشور QuaDream، فاش کرد که QuaDream به مشتریان خود REIGN را نمی فروخت. این کار را از طریق یک شرکت قبرسی انجام داد. هاآرتص همچنین گزارش داد که دولت عربستان سعودی و همچنین دولت غنا جزو مشتریان QuaDream هستند. با این حال، هاآرتص نتوانست ادعاهای مطرح شده در مطبوعات غنا را تأیید کند. /a> و تکرار در press که کارمندان QuaDream در میان 14 کارمند فناوری اسرائیلی از شرکت های مختلف بودند که به آکرا، غنا در سال 2020 برای دیدار با دولت فعلی سه ماه قبل از انتخابات ریاست جمهوری برای اهداف یک پروژه ویژه مرتبط با آن.
QuaDream در گزارش دسامبر 2022 از Meta، که طبق گزارش ها 250 حساب مرتبط با شرکت را حذف کرد. بر اساس این گزارش، متا در حال آزمایش QuaDream در حال آزمایش توانایی آن برای بهره برداری از دستگاه های تلفن همراه iOS و Android با هدف «انتخاب انواع مختلف داده ها از جمله پیام ها، تصاویر، فایل های ویدیویی و صوتی، و موقعیت جغرافیایی» است.
بررسی فنی: بدافزار DEV-0196
تحلیلگران Microsoft Threat Intelligence با اطمینان بالا ارزیابی میکنند که این بدافزار، که ما آن را KingsPawn مینامیم، توسط DEV-0196 توسعه یافته است و بنابراین به شدت به QuaDream مرتبط است. ما با اطمینان متوسط ارزیابی میکنیم که بدافزار موبایلی که با DEV-0196 مرتبط میکنیم بخشی از سیستمی است که بهعنوان REIGN مورد بحث عمومی قرار میگیرد.
نمونههای ضبطشده دستگاههای iOS، بهویژه iOS 14 را هدف قرار دادند، اما نشانههایی وجود داشت که برخی از کدها را میتوان در دستگاههای Android نیز استفاده کرد. از آنجایی که نمونه بدافزار iOS 14 را هدف قرار میدهد، برخی از تکنیکهای مورد استفاده در این نمونه ممکن است دیگر در نسخههای iOS جدیدتر کار نکنند یا مرتبط نباشند. با این حال، ما ارزیابی میکنیم که به احتمال زیاد DEV-0196 بدافزار خود را بهروزرسانی کرده و نسخههای جدیدتر را هدف قرار داده است. تجزیه و تحلیل این بدافزار نشان داد که به چندین مؤلفه تقسیم شده است. بخشهای زیر بر دو مورد از این مؤلفهها تمرکز دارند: یک عامل مانیتور و عامل بدافزار اصلی.
نماینده نظارت
عامل مانیتور یک فایل بومی Mach-O است که در Objective-C نوشته شده است. مسئول کاهش ردپای قانونی بدافزار برای جلوگیری از شناسایی و جلوگیری از تحقیقات است. برای انجام این کار چندین تکنیک دارد که یکی از آنها نظارت بر دایرکتوری های مختلف است، مانند /private/var/db/analyticsd/ و /private/var/mobile/Library/Logs/CrashReporter. ، برای هر گونه مصنوعات اجرای بدافزار یا فایل های مربوط به خرابی. هنگامی که این مصنوعات یا فایل ها شناسایی شدند، عامل نظارت آنها را حذف می کند.
عامل مانیتور همچنین مسئول مدیریت فرآیندها و رشتههای مختلف ایجاد شده از طرف بدافزار است تا از مصنوعات ایجاد شده از خرابیهای فرآیند غیرمنتظره جلوگیری کند. عامل از تابع waitpid برای نظارت بر همه فرآیندهای فرزندی که ایجاد میشوند و شناسه پردازش فرزند به لیست ردیابی اضافه می شود. عامل مانیتور با تماس با sigaction سعی میکند بهطور ایمن فرآیندهای فرزند ردیابیشده را خاموش کند. با پارامتر SIGTSTP، اگر sigaction با موفقیت برگردد، به این معنی است که فرآیند فرزند قابل دسترسی است و یک فرمان SIGKILL برای از بین بردن آن ارسال میشود. با این کار از ارسال یک فرمان kill به یک PID که وجود ندارد، جلوگیری میکند، که میتواند پیامهای خطا و مصنوعات را پشت سر بگذارد.
نماینده اصلی
عامل اصلی نیز یک فایل بومی Mach-O است. با این حال، این زبان به زبان Go نوشته شده است، یک زبان بسیار قابل حمل، که به احتمال زیاد انتخاب شده است زیرا امکان گردآوری در چندین پلتفرم را فراهم می کند و تلاش توسعه را کاهش می دهد.
این عامل دارای قابلیت هایی برای موارد زیر است:
- اطلاعات دستگاه (مانند نسخه iOS و وضعیت باتری) را دریافت کنید
- اطلاعات Wi-Fi (مانند SSID و وضعیت حالت هواپیما)
- اطلاعات تلفن همراه (مانند شرکت مخابراتی، داده های سیم کارت و شماره تلفن)
- جستجو و بازیابی فایل ها
- از دوربین دستگاه در پس زمینه استفاده کنید
- دریافت مکان دستگاه
- تماسهای تلفنی را کنترل کنید
- به زنجیره کلید iOS دسترسی پیدا کنید
- یک رمز عبور یکبار مصرف مبتنی بر زمان iCloud (TOTP) ایجاد کنید
به برخی از این قابلیتها، به عنوان مثال استفاده از دوربین مخفی، با استفاده از دو باینری کلیدی، tccd و mediaserverd دست مییابد، تکنیکی که توسط ZecOps. نام tccd مخفف Transparency, Consent, and Control (TCC) Daemon است و این فرآیند مجوزهای دسترسی برای تجهیزات جانبی مختلف مانند دوربین و میکروفون را مدیریت می کند. به طور معمول، کاربران با یک اعلان پاپ آپ از فرآیند tccd مواجه میشوند که به آنها هشدار میدهد که چیزی درخواست دسترسی به دوربین، میکروفون یا سایر تجهیزات جانبی را داده است و کاربر باید اجازه دهد یا رد کند. آی تی. در این سناریوی سازش، عامل خود را به باینری tccd تزریق میکند، که به عامل اجازه میدهد هم فرآیندها و هم رشتههای جدید را به عنوان بخشی از فرآیند بهرهبرداری ایجاد کند و همچنین به آن اجازه میدهد تا از هر tccd دور بزند. در دستگاه به این معنی است که کاربر از به خطر افتادن دوربین بی خبر است. در هماهنگی با tccd، عامل همچنین به خود اجازه اجرای در پسزمینه از طریق mediaserverd را میدهد. این باینری رابطی را کنترل می کند که سایر برنامه ها هنگام استفاده از دوربین با آن تعامل دارند. برای جزئیات بیشتر در مورد تزریق فرآیند iOS، tccd و سایر اجزای سیستم ، به کتابها و به بخشهای داخلی macOS و iOS جاناتان لوین مراجعه کنید. وبلاگ.
تکنیک های مورد استفاده در عامل اصلی شامل یک بای پس PMAP، یک یکپارچگی فایل موبایل اپل (AMFI) دور زدن، و یک sandbox فرار. PMAP یکی از مکانیسم هایی است که با لایه محافظت از صفحه (PPL) برای جلوگیری از اجرای کد بدون امضا در دستگاه های iOS. AMFI یک مکانیسم حفاظتی متشکل از چندین مؤلفه از جمله پسوند هسته، AppleFileMobileIntegrity.kext، و همچنین دایمون userland، amfid است. جعبه ایمنی دسترسی به منابع سیستم و دادههای کاربر را از طریق یک سیستم حقوقی محدود میکند. اگرچه PMAP، PPL، AMFI و sandbox در طول سالها سختتر شدهاند، مهاجمان پیشرفته سعی میکنند این مکانیسمهای حفاظتی را دور بزنند تا کد بدون امضا را اجرا کنید.
این نماینده همچنین یک کانال امن برای XPC با ایجاد یک برنامه افزودنی تو در تو به نام fud.appex پیام رسانی کنید. پیامرسانی XPC به عامل اجازه میدهد تا از باینریهای مختلف سیستم برای اطلاعات حساس دستگاه، مانند جزئیات مکان، پرس و جو کند. اگرچه یک باینری قانونی به نام fud در دستگاههای iOS وجود دارد که بخشی از سرویس بهروزرسانی لوازم جانبی موبایل است، fud.appex بخشی از سرویس قانونی اپل نیست. عامل پسوند برنامه مخرب را در پوشه /private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/ ایجاد می کند. دلیل اصلی برای انجام پیامهای XPC از داخل این برنامه افزودنی، ایجاد یک کانال مخفی است که عامل را قادر میسازد از نظارت بر آن جلوگیری کند. این تکنیک دایرکتوری تودرتو به این معنی است که سرویس XPC به گونه ای ثبت می شود که فقط برای خود برنامه افزودنی قابل مشاهده است، بنابراین هرگونه نظارت خارجی توسط سایر برنامه ها و فرآیندهای سیستم بسیار دشوارتر است. پس از باز کردن و بازیابی tccd به حالت اولیه، کل پوشه PlugIns حذف میشود تا هر گونه مصنوعات موجود در آن پنهان شود.
در وبلاگ خود، Citizen Lab در مورد وجود مخرب احتمالی بحث می کند رویدادهای تقویم در دستگاههایی که توسط بدافزار DEV-0196 به خطر افتاده است، بنابراین یکی دیگر از عملکردهای قابل توجه عامل اصلی این است که حاوی کد خاصی برای حذف رویدادها از تقویم دستگاه است. نماینده همه رویدادهای تقویم را از دو سال قبل از زمان فعلی و تا دورترین زمان ممکن در آینده جستجو میکند، و هر رویدادی را که به عنوان «سازماندهنده» به یک آدرس ایمیل مرتبط است، حذف میکند. نماینده همچنین آدرس ایمیل را از idstatuscache.plistحذف میکند. ، که یک پایگاه داده حاوی سوابق اولین تماس دستگاه با سایر حساب های iCloud است. این فهرست حاوی آدرس ایمیلی است که دعوتنامه تقویم مخرب را ارسال کرده است، و همچنین یک مهر زمانی از تعامل اصلی، مانند زمانی که دعوت نامه دریافت شده است.
عملکرد اضافی در عامل برای پوشاندن مسیرهای آن با حذف مصنوعات نظارت مکان از سوابق فرآیند locationd وجود دارد. برای اولین پرسوجو از مکانها از locationd، نماینده باید مشتری را ثبت کند که با locationd از طریق پیامرسانی XPC ارتباط برقرار میکند. سپس فرآیند locationd رکوردی از این اتصالات را در /private/var/root/Library/Caches/locationd/clients.plist ذخیره میکند. عامل مخرب مواردی را در plist کلاینت جستجو می کند که پسوند subridged دارند، و سپس آنها را حذف می کند، که نشان می دهد نام مشتری نظارت بر موقعیت مکانی آنها احتمالاً به آن ختم می شود. کلمه. این نمونه دیگری از فعالیت های مخربی است که تلاش می کنند به عنوان فرآیندهای سیستمی نامطلوب ظاهر شوند، زیرا subridged نام یک باینری قانونی اپل، بخشی از SoftwareUpdateBridge Framework است.
بررسی فنی: زیرساخت DEV-0196
مایکروسافت تشخیصهای شبکه منحصربهفردی را توسعه داد که میتوان از آن برای اثر انگشت زیرساخت DEV-0196 در اینترنت استفاده کرد. این گروه به شدت از ثبت کننده های دامنه و ارائه دهندگان میزبانی ابری ارزان استفاده می کرد که ارز دیجیتال را به عنوان پرداخت می پذیرفتند. آنها تمایل داشتند فقط از یک دامنه برای هر آدرس IP استفاده کنند و دامنه ها به ندرت در چندین آدرس IP مورد استفاده مجدد قرار می گرفتند. بسیاری از دامنههای مشاهدهشده با استفاده از گواهیهای رایگان Let’s Encrypt SSL مستقر شدند، در حالی که سایرین از گواهیهای خودامضا استفاده کردند که برای تلفیق با استقرارهای عادی Kubernetes طراحی شدهاند.
ما برای اهداف تشخیص، نشانگرهای مبتنی بر شبکه را در انتهای این پست قرار داده ایم. اغلب، بازیگران تهدید دامنههایی را به کار میگیرند که دارای TLDهای خاص کشور یا مضامینی هستند که با مکان اهداف مورد نظر هماهنگ هستند. قابلتوجه، فهرست دامنههای DEV-0196 ما شامل دامنههایی است که به شدت با کشورهایی مرتبط هستند که Citizen Lab آنها را بهعنوان مکان قربانیان، کشورهایی که پلتفرمهای QuaDream در آنجا کار میکردند یا هر دو شناسایی کرده است. برای روشن بودن، شناسایی قربانیان بدافزار در یک کشور لزوماً به این معنی نیست که یک نهاد در آن کشور مشتری DEV-0196 است، زیرا هدفگیری بینالمللی رایج است.
جلوگیری از بهره برداری از دستگاه های تلفن همراه توسط بازیگران پیشرفته ای که به طور بالقوه دارای اکسپلویت های صفر کلیک هستند دشوار است. همچنین چالش های قابل توجهی در تشخیص حمله به دستگاه های تلفن همراه، هم در حین و هم پس از سازش وجود دارد. این بخش برخی از روشها را برای به حداقل رساندن خطر به خطر انداختن دستگاههای تلفن همراه توسط عوامل مخرب مورد بحث قرار میدهد و سپس برخی از شاخصهای سازش را که با فعالیت DEV-0196 مرتبط میکنیم، ارائه میکند.
بهداشت سایبری اساسی در کمک به جلوگیری از تلفن همراه مهم است سازش دستگاه بهترین روشهای خاص شامل بهروزرسانی نرمافزار دستگاه به آخرین نسخه، فعال کردن بهروزرسانی خودکار نرمافزار در صورت وجود، استفاده از نرمافزار ضد بدافزار، و هوشیاری در مورد کلیک نکردن روی پیوندها در پیامهای غیرمنتظره یا مشکوک است.
اگر فکر میکنید ممکن است مورد هدف مهاجمان پیشرفته قرار بگیرید و از یک دستگاه iOS استفاده کنید، توصیه میکنیم حالت قفل کردن را فعال کنید. . حالت قفل کردن با کاهش سطح حمله در دسترس عوامل تهدید، امنیت بیشتری را برای دستگاههای iOS ارائه میکند.
تشخیص Sentinel
مشتریان Microsoft Sentinel میتوانند از تحلیل TI Mapping برای مطابقت خودکار شاخصهای دامنه مخرب ذکر شده در این پست وبلاگ با دادههای موجود در فضای کاری خود استفاده کنند. اگر تجزیه و تحلیل نقشه TI در حال حاضر مستقر نیست، مشتریان می توانند راه حل Threat Intelligence را از Microsoft Sentinel Content Hub نصب کنند تا قانون تجزیه و تحلیل در فضای کاری Sentinel آنها مستقر شود. جزئیات بیشتر در مورد Content Hub را میتوانید در اینجا بیابید: https://learn.microsoft.com/azure/sentinel /sentinel-solutions-deploy.
علاوه بر این، مشتریان میتوانند از طریق GitHub به شاخصهای اشتراکگذاری شده در قالبی ساختاریافته دسترسی داشته باشند تا بتوان آنها را در تجزیه و تحلیل سفارشی و سایر پرسشها ادغام کرد: https://github.com/microsoft/mstic/blob/master/RapidReleaseTI/Indicators.csv.
شاخصهای سازش (IOC)
نشانگرهای مبتنی بر میزبان
این شاخصهای مبتنی بر میزبان نشاندهنده فعالیت DEV-0196 هستند. با این حال، آنها نباید صرفاً به عنوان انتساب استفاده شوند زیرا سایر بازیگران نیز ممکن است از TTPهای مشابه یا مشابه استفاده کنند.
فایل موجود یا فعالیت پردازش از /private/var/db/com.apple.xpc.roleaccountd.staging/subridged
فایل موجود یا فعالیت پردازش از com.apple.avcapture
پوشه /private/var/db/com.apple.xpc.roleaccountd.staging/PlugIns/fud.appex/ موجود است یا دارای فعالیت شناسایی شده از پوشه.
نشانگرهای شبکه
بر اساس نتایج بررسی C2 ما، Microsoft Threat Intelligence دامنههای زیر را با فعالیت DEV-0196 مرتبط میکند. تاریخهایی که دامنهها برای اولین بار بهعنوان محتمل در استفاده شناسایی شدهاند، همراه با آخرین تاریخ فعال مشاهده شده ارائه شده است.
دامنه | اولین فعال | آخرین فعالیت | ||
fosterunch[.]com | 30-05-2022 | CURRENT | ||
woomnbling[.]com | 2022-05-30 | CURRENT | ||
zebra-arts[.]com | 31-05-2022 | CURRENT | ||
2022-08-19 | CURRENT | |||
choccoline[.]com | 19-08-2022 | CURRENT | ||
lateparties[.]com | 2022-09-15 | CURRENT | ||
Foundurycolletive[.]com | 2022-11-07 | CURRENT | ||
jungelfruitime[.]com | 09/11/2022 | CURRENT | ||
gameboysess[. ]com | 2022-11-09 | CURRENT | ||
healthcovid19[.]com | 2022- 11-10 | CURRENT | ||
codingstudies[.]com | 2022-11-16 | CURRENT | ||
hoteluxurysm[.]com | 2022-11-18 | CURRENT | ||
newz-globe[.]com | 23-11-2022 | CURRENT | ||
hotalsextra[.]com | 23-11-2022 | CURRENT | ||
nordmanetime[.]com | 2022-11-23 | CURRENT | ||
fullaniimal[.]com | 2022-11-23 | CURRENT | ||
wikipedoptions[.]com | 2022-11-23 | CURRENT | ||
redanddred[.]com | 23-11-2022 | CURRENT | ||
whiteandpiink[.]com | 2022-12-02 | CURRENT | ||
agronomsdoc[.]com | 2022-12-02 | |||
nutureheus[.]com | 2022-12-02 | CURRENT | ||
timeeforsports[.]com | 15-12-2022 | CURRENT | ||
treerroots[.]com | 2022-12-15 | CURRENT | ||
unitedyears[.]com | 2022-12- 15 | CURRENT | ||
eccocredit[.]com | 2022-12-16 | CURRENT | ||
اکولوژیتیک[.]com | 19-12-2022 | CURRENT | ||
climatestews[.]com | 2022-12-19 | CURRENT | ||
aqualizas[.]com | CURRENT | |||
bgnews-bg[.]com | 2022-12-20 | CURRENT | ||
mikontravels[.]com | 23-12-2022 | CURRENT | ||
بازی الکترونیک[.]آنلاین | 23-12-2022 | CURRENT | ||
transformaition[.]com | 23/12/2022 | CURRENT | ||
betterstime[.]com | 23-12-2022 | CURRENT | ||
goshopeerz[.]com | 2022-12-23 | |||
countshops[.]com | 2022-12-23 | CURRENT | ||
inneture[.]com | 23-12-2022 | CURRENT | ||
shoppingeos[.]com | 23-12-2022 | CURRENT | ||
mwww[.]ro | 2023-01- 05 | CURRENT | ||
rentalproct[.]com | 2023-01-05 | CURRENT | ||
bcarental[.]com | 05-01-2023 | CURRENT | ||
kikocruize[.]com | 05/01/2023 | CURRENT | ||
elvacream[.]com | CURRENT | |||
pachadesert[.]com | 2023-01-12 | CURRENT | ||
razzodev[.]com | 2023-02-06 | CURRENT | ||
wombatcash[.]com | 06/02/2023 | CURRENT | ||
globepayinfo[.] com | 2023-02-06 | CURRENT | ||
job4uhunt[.]com | 2023-02 -08 | CURRENT | ||
ctbgameson[.]com | 2023-02-08 | CURRENT | ||
adeptary[.]com | 2023-02-08 | CURRENT | ||
2023-02-08 | CURRENT | |||
biznomex[.]com | 2023-02-08 | CURRENT | ||
careerhub4u[.]com | 2023-02-08 | CURRENT | ||
furiamoc[.]com | 2023-02-08 | CURRENT | ||
motorgamings[.]com | 08/02/2023 | CURRENT | ||
aniarchit[. ]com | 2023-02-08 | CURRENT | ||
skyphotogreen[.]com | 2023- 02-26 | CURRENT | ||
datacentertime[.]com | 2023/02/26 | CURRENT | ||
stylelifees[.]com | 26-02-2023 | CURRENT | ||
kidzlande[.]com | 01/03/2023 | CURRENT | ||
homelosite[.]com | 2023-03-01 | CURRENT | ||
zooloow[.]com | 2023-03-01 | CURRENT | ||
studiesutshifts[.]com | 2023-03-01 | CURRENT | ||
codingstudies[.]com | 2023-03-08 | CURRENT | ||
londonistory[ .]com | 16/03/2023 | CURRENT | ||
bestteamlife[.]com | 2023 -03-16 | CURRENT | ||
newsandlocalupdates[.]com | 2023-03-16 | CURRENT | ||
موتورهای شما[.]com | 2023-03-16 | CURRENT | ||
zooloow[.]com | 26-02-2023 | 2023-03-04 | ||
26-02-2023 | 2023-03-04 | |||
homelosite[.]com | 26-02-2023 | 04-03-2023 | ||
studiesutshifts[.]com | 26-02-2023 | 04-03-2023 | ||
datacentertime[.]com | 07-11-2022 | 2023-02-25 | ||
homelosite[.]com | 2022-11-09 | 2023- 02-25 | ||
zooloow[.]com | 2022-11-10 | 2023-02-25 | ||
kidzlande[.]com | 2022-11-10 | 2023-02-25 | ||
studiesutshifts[.]com | 2022-11-10 | 2023-02-25 | ||
stylelifees[.] com | 11-11-2022 | 25-02-2023 | ||
skyphotogreen[.]com | 2022-11-11 | 2023-02-25 | ||
gardenearthis[.]com | 2023-01-11 | 25-02-2023 | ||
fullstorelife[.]com | 11-01-2023 | 2023 -02-25 | ||
غیر دانشگاهی[.]org | 24-05-2022 | 2023-01-20 | ||
shopplifys[.]com | 26-05-2022 | 20-01-2023 | ||
thetimespress[.]com | 2022-06-24 | 2023-01-20 | ||
studyshifts[. ]com | 2022-06-24 | 2023-01-20 | ||
codinerom[.]com | 20-01-2023 | |||
gamingcolonys[.]com | 2022-07-17 | 2023-01-20 | ||
kidzalnd[.]org | 2022-07-17 | 2023-01-20 | ||
wildhour[.]store | 2022-07-26 | 2023-01-20 | 2023-01-20 | |
wilddog[.]site | 2022-07-26 | 2023-01-20 | 2022-07-26 | 2023-01-20 |
runningandbeyond[ .]org | 04-08-2022 | 20-01-2023 | ||
fullmoongreyparty[.]org | 2022-08-04 | 2023-01-20 | ||
greenrunners[.]org | 2022-08- 04 | 2023-01-20 | ||
sunsandlights[.]com | 2022-08-09 | 2023-01-20 | ||
techpowerlight[.]com | 2022-08-16 | 2023-01-20 | ||
gamezess[.]com | 29-08-2022 | 2023-01-20 | ||
برنامه ریزی[.]org | 29-08-2022 | 2023-01-20 | ||
luxario [.]org | 2022-09-03 | 2023-01-20 | ||
vinoneros[.]com | 2022-09-03 | 2023-01-20 | ||
i-reality[.]آنلاین | 2022 -09-07 | 2023-01-20 | ||
styleanature[.]com | 2022-09-07 | 2023-01-20 | ||
planetosgame[.]com | 2022-12-12 | 2023-01 -20 | ||
kidsfunland[.]org | 29-07-2022 | 19-01-2023 | ||
fullstorelife[.]com | 2022-11-11 | 2023-01-09 | ||
2022-01-26 | 2022-12-20 | |||
allplaces[.]آنلاین | 26-01-2022 | 20-12-2022 | ||
sunclub[.]site | 26-01-2022 | 20-12-2022 | ||
thenewsfill[.]com | 26-05-2022 | 2022-12-20 | ||
wellnessjane[.]org | 26-05-2022 | 2022- 12-20 | ||
meehealth[.]org | 27-05-2022 | 2022-12-20 | ||
gameizes[.]com | 2022-07-20 | 2022-12-20 | ||
playozas[.]com | 2022-07-20 | 2022-12-20 | ||
foodyplate[.] com | 2022-07-20 | 2022-12-20 | ||
designaroo[.]org | 29-08-2022 | 20-12-2022 | ||
designspacing[.]org | 2022-08-29 | 2022-12-20 | ||
stockstiming[.]org | 2022-09-01 | 2022 -12-20 | ||
hoteliqo[.]com | 2022-09-01 | 2022-12-20 | ||
projectoid[.]org | 2022-09-01 | 2022-12-20 | ||
study-search[.]com | 2022-09-01 | 2022-12-20 | ||
tokenberries [.]com | 2022-09-03 | 2022-12-20 | ||
Recovery-plan[.]org | 2022-09-07 | 2022-12-20 | ||
deliverystorz[.]com | 2022 -09-07 | 2022-12-20 | ||
forestaaa[.]com | 2022-10-04 | 2022-12-20 | ||
addictmetui[.]com | 2022-10-20 | 2022-12 -20 | ||
earthyouwantiis[.]com | 2022-10-20 | 2022-12-20 | ||
zedforme[.]com | 20-10-2022 | 2022-12-20 | ||
28-10-2022 | 2022-12-20 | |||
navadatime[.]com | 2022-11-10 | 2022-12-15 | ||
careers4ad[.]com | 13-11-2022 | 15-12-2022 | ||
gardenearthis[.]com | 07-11-2022 | 2022-12-14 | ||
studyreaserch[.]com | 2022-11-09 | 2022- 12-14 | ||
novinite[.]biz | 2022-08-31 | 2022-12-10 | ||
agronomsdoc[.]com | 16-11-2022 | 28-11-2022 | ||
whiteandpiink[.]com | 16-11-2022 | 28-11-2022 | ||
nutureheus[.] com | 2022-11-18 | 2022-11-28 | ||
dressuse[.]com | 18-09-2022 | 20-11-2022 | ||
iwoodstor[.]xyz | 2022-09-18 | 2022-11-20 | ||
teachlearning[.]org | 18-09-2022 | 2022 -11-20 | ||
subcloud[.]آنلاین | 2022-09-21 | 2022-11-20 | ||
monvesting[.]com | 2022-09-21 | 2022-11-20 | ||
elektrozi[.]com | 2022-09-21 | 2022-11-20 | ||
hoteluxurysm[. ]com | 2022-11-09 | 2022-11-14 | ||
hopsite[.]آنلاین | 2022-11-14 | |||
bikersrental[.]com | 2022-05-24 | 2022-11-13 | ||
takestox[.]com | 2022-05-24 | 2022-11-13 | ||
sidelot[.]org | 2022-05-24 | 2022-11-13 | 2022-11-13 | |
powercodings[.]com | 2022-08-21 | 2022-11-13 | 2022-08-21 | 2022-11-13 |
takebreak[ .]io | 2022-10-12 | 2022-11-13 | ||
fullstorelife[.]com | 2022-11-07 | 2022-11-10 | ||
noraplant[.]com | 2022-11- 09 | 2022-11-09 | ||
forestaaa[.]com | 2022-10-04 | 07-11-2022 | ||
goodsforuw[.]com | 26-10-2022 | 2022-11-07 | ||
stayle[.]co | 26-10-2022 | 2022-11-07 | ||
eedloversra[.]آنلاین | 28-10-2022 | 2022-11-07 | ||
sevensdfe [.]com | 2022-11-03 | 2022-11-07 | ||
dsudro[.]com | 2022-11-03 | 2022-11-07 | ||
gameboysess[.]com | 2022-11 -07 | 2022-11-07 | ||
sseamb[.]com | 2022-10-26 | |||
healthcovid19[.]com | 2022-11-04 | 2022-11-06 | ||
noraplant[.]com | 2022-11-04 | 2022-11-06 | ||
fullstorelife[.]com | 2022-11-04 | 2022-11-06 | ||
datacentertime[.]com | 2022-11-04 | 2022-11-05 | ||
recover-your-body[. ]xyz | 2022-01-06 | 2022-11-02 | ||
reloadyourbrowser[.]info | 2022-11-02 | |||
comeandpet[.]me | 2022-07-05 | 2022-11-02 | ||
brushyourteeth[.]online | 2022-07-05 | 2022-11-02 | ||
digital-mar[.]com | 2022-08-10 | 2022-11-02 | ||
retailmark[.]net | 2022-08-16 | 2022-11-02 | ||
dsudro[.]com | 2022-10-04 | 2022-11-02 | ||
studysliii[.]com | 2022-10-26 | 2022-11-02 | ||
homeigardens[.]com | 2022-09-07 | 2022-10-29 | ||
stayle[.]co | 2022- 10-20 | 2022-10-24 | ||
studysliii[.]com | 2022-10-20 | 2022-10-24 | ||
goodsforuw[.]com | 2022-10-20 | 2022-10- 24 | ||
dsudro[.]com | 2022-10-20 | 2022-10-24 | ||
sseamb[.]com | 2022-10-20 | 2022-10-24 | ||
sevensdfe[.]com | 2022-10-20 | 2022-10-24 | ||
koraliowe[.]com | 2022-04-05 | 2022-10-13 | ||
topuprr[.]com | 2022 -04-05 | 2022-10-13 | ||
zeebefg[.]com | 2022-04-05 | 2022-10-12 | ||
takebreak[.]io | 2022-06-21 | 2022-10 -11 | ||
forestaaa[.]com | 2022-10-03 | 2022-10-03 | ||
teachlearning[.]org | 2022-09-18 | 2022-09-18 | ||
2022-09-15 | 2022-09-17 | |||
jyfa[.]xyz | 2022-09-15 | 2022-09-17 | ||
monvesting[.]com | 2022-07-19 | 2022-09-15 | ||
teachlearning[.]org | 2022-07-19 | 2022-09-15 | ||
elektrozi[.]com | 2022-07-20 | 2022- 09-15 | ||
thepila[.]com | 2022-09-15 | 2022-09-15 | ||
thegreenlight[.]xyz | 2022-01-11 | 2022-09-14 | ||
gosport24[.]com | 2022-01-11 | 2022-09-14 | ||
classiccolor[.] live | 2022-01-11 | 2022-09-11 | ||
shoeszise[.]xyz | 2022-02-24 | 2022-09-11 | ||
cleanitgo[.]info | 2022-02-24 | 2022-09-11 | ||
setclass[.]live | 2022-02-24 | 2022 -09-11 | ||
white-rhino[.]online | 2022-04-14 | 2022-09-11 | ||
space-moon[.]com | 2022-04-14 | 2022-09-11 | ||
enrollering[.]com | 2022-05-24 | 2022-09-11 | ||
newslocalupdates[.]com | 2022-08-19 | 2022-09-11 | ||
newsbuiltin[.]online | 2022-09-11 | 2022-09-11 | ||
beendos[.]com | 2022 -04-14 | 2022-09-10 | ||
linestrip[.]online | 2022-07-01 | 2022-09-07 | ||
sunnyweek[.]site | 2022-07-01 | 2022-09 -07 |
پیشنهاد میکنیم از دیگر نوشته ها دیدن کنید.