[[347038]]

APT攻擊者會(huì)關(guān)注時(shí)事，使他們的攻擊活動(dòng)更具吸引力，并對(duì)毫無(wú)戒心的受害者進(jìn)行攻擊。這些事件并不是全球性的，通常僅是本地或區(qū)域名性的，這有助于攻擊者縮小目標(biāo)范圍，以期獲得更大的攻擊成果。

因此，當(dāng)阿布扎比國(guó)家石油公司(ADNOC)終止其之前簽訂的工程，采購(gòu)和建筑(EPC)合同時(shí)，細(xì)心的攻擊者為攻擊方案提供了新的思路。

https://meed.com/adnoc-awards-dalma-gas-project-to-petrofac-and-sapura

自2020年7月以來(lái)，我們發(fā)現(xiàn)針對(duì)中東石油和天然氣行業(yè)多個(gè)供應(yīng)鏈相關(guān)組織的針對(duì)性攻擊有所增加。 我們發(fā)現(xiàn)了以電子郵件附件形式發(fā)送的惡意PDF文件的多個(gè)實(shí)例，并發(fā)現(xiàn)被用來(lái)向這些組織分發(fā)竊取信息的木馬文件AZORult。

在此博客中，我們描述了此活動(dòng)的詳細(xì)信息，解釋了攻擊媒介，惡意軟件分發(fā)策略和威脅歸因。

0x01 分發(fā)策略

攻擊鏈?zhǔn)加谝环怆娮余]件，該電子郵件似乎來(lái)自于ADNOC的一名官員，并且針對(duì)的是供應(yīng)鏈和中東政府部門的官員。

此攻擊活動(dòng)系列中的每封電子郵件都有一個(gè)附件PDF文件。該P(yáng)DF的首頁(yè)上包含下載鏈接，這些鏈接可通往合法的文件共享站點(diǎn)，例如wetransfer和mega.nz(在其中托管ZIP存檔)。ZIP文件包含一個(gè)打包的惡意.NET可執(zhí)行文件，它將解密，加載和執(zhí)行AZORult木馬文件。圖1顯示了攻擊流程。

圖1：攻擊流程

郵件分析

圖2顯示了一封電子郵件，該電子郵件偽裝成來(lái)自ADNOC Sour Gas實(shí)驗(yàn)室的高級(jí)化學(xué)家。

圖2：發(fā)送給中東供應(yīng)鏈行業(yè)官員的虛假電子郵件

在所有情況下，電子郵件都是從基于Gmail的地址發(fā)送的。在攻擊中觀察到的兩個(gè)Gmail地址是：

salessigma87@gmail.com](mailto:salessigma87@gmail.com)

[procurment.chefsfirst.com@gmail.com](mailto:procurment.chefsfirst.com@gmail.com)

攻擊者還利用了來(lái)自Tutanota的匿名電子郵件服務(wù)來(lái)創(chuàng)建在keemail.me和tuta.io中注冊(cè)的電子郵件，這些電子郵件活動(dòng)中也使用了這些電子郵件。

電子郵件附帶的PDF文件是多頁(yè)文件(共14頁(yè))，似乎是與ADNOC和多哈機(jī)場(chǎng)有關(guān)的各種項(xiàng)目的供應(yīng)合同和法律招標(biāo)的報(bào)價(jià)請(qǐng)求(RFQ)。誘餌文件經(jīng)過(guò)精心設(shè)計(jì)，社工目的非常明顯。每個(gè)文檔的第一頁(yè)包含使用嵌入式下載鏈接訪問(wèn)規(guī)格和圖紙的說(shuō)明，這些鏈接會(huì)導(dǎo)致下載惡意ZIP文檔，如上面的攻擊流程所述。

PDF中內(nèi)容的一些示例包括：

PDF文件名： PI-18031 Dalma Gas Development Project(Package B)-TENDER BULLETIN-01.pdf

MD5哈希： e368837a6cc3f6ec5dfae9a71203f2e2

圖3顯示了一個(gè)偽裝成與Dalma天然氣開(kāi)發(fā)項(xiàng)目相關(guān)的合法報(bào)價(jià)請(qǐng)求(RFQ)的PDF。它在右上方帶有ADNOC的徽標(biāo)，并且第一頁(yè)包含惡意下載鏈接。

圖3：與此攻擊相關(guān)的PDF中包含的偽造信件

PDF文件名： AHA-QA HAMAD INTERNATIONAL AIRPORT EXPANSION，DOHA.pdf

MD5哈希： abab000b3162ed6001ed8a11024dd21c

圖4顯示了一個(gè)PDF，該P(yáng)DF偽裝成哈馬德國(guó)際機(jī)場(chǎng)多哈擴(kuò)建計(jì)劃的報(bào)價(jià)請(qǐng)求，據(jù)推測(cè)是來(lái)自卡塔爾的供應(yīng)鏈貿(mào)易承包商。

圖4：當(dāng)?shù)貦C(jī)場(chǎng)擴(kuò)建項(xiàng)目的虛假詢價(jià)

0x02 樣本分析

攻擊者對(duì)中東目標(biāo)特別感興趣，例如中東供應(yīng)鏈中的組織和政府部門，尤其是阿拉伯聯(lián)合酋長(zhǎng)國(guó)( UAE)和卡塔爾。

根據(jù)電子郵件的目標(biāo)收件人，電子郵件的內(nèi)容以及附加的PDF文件，以及元數(shù)據(jù)和基礎(chǔ)結(jié)構(gòu)分析，我們得出結(jié)論，這是對(duì)中東組織的針對(duì)性攻擊。

元數(shù)據(jù)分析

在研究了PDF文件的元數(shù)據(jù)之后，我們能夠發(fā)現(xiàn)與同一威脅參與者關(guān)聯(lián)的多個(gè)PDF文件。從2020年1月到2020年5月，該分發(fā)方法已在野外大量使用。

從2020年7月開(kāi)始，我們觀察到該威脅參與者的活動(dòng)有所增加，并發(fā)起了新的攻擊。

PDF文件的元數(shù)據(jù)表明它們是使用Microsoft Office Word 2013生成的。在所有PDF示例中使用的唯一的作者姓名是：

Donor1

Mr. Adeel

圖5顯示了帶有MD5哈希e368837a6cc3f6ec5dfae9a71203f2e2的PDF文件的元數(shù)據(jù)示例。

圖5：此攻擊系列中使用的PDF之一的元數(shù)據(jù)

附錄中提供了此活動(dòng)中確定的所有PDF樣本的完整列表。

基礎(chǔ)設(shè)施分析

除了電子郵件的內(nèi)容和用于威脅歸因的文檔之外，我們還可以從命令與控制(C&C)基礎(chǔ)結(jié)構(gòu)中推斷出威脅參與者特別選擇了與主題融合的C&C服務(wù)器。

我們發(fā)現(xiàn)的示例中的C&C服務(wù)器是crevisoft.net。

在分析時(shí)，此域名名解析為IP地址 167.114.57.136。我們觀察到，當(dāng)直接訪問(wèn)該域名名時(shí)，它將重定向到位于crevisoft.com上的埃及服務(wù)咨詢公司 ，如圖6所示。

圖6：在crevisoft.com上托管的基于中東的合法站點(diǎn)

以下所有四個(gè)域名都將重定向到上述域名：

• · crevisoft.net
• · cis.sh
• · crevisoft.org
• · crevisoft.co

有了較高的置信度，我們可以得出結(jié)論，該攻擊者有興趣竊取信息并獲得對(duì)位于中東的供應(yīng)鏈相關(guān)組織的基礎(chǔ)結(jié)構(gòu)的訪問(wèn)權(quán)限。

.NET payload的技術(shù)分析

出于技術(shù)分析的目的，我們將分析帶有MD5哈希的.NET二進(jìn)制文件：84e7b5a60cd771173b75a775e0399bc7

下載的ZIP歸檔文件中包含的payload是打包和混淆的.NET二進(jìn)制文件。

基于靜態(tài)分析，我們可以看到payload偽裝成具有欺騙性元數(shù)據(jù)的Skype應(yīng)用程序，如圖7所示。

圖7：主要.NET可執(zhí)行文件的元數(shù)據(jù)

執(zhí)行后，它將解壓縮嵌入在資源部分中的另一個(gè)payload。圖8顯示了使用硬編碼密鑰“ GXR20”解密payload的定制算法。

圖8：用于解密第二階段.NET DLL的子例程

第二階段

圖9顯示了解密后的payload，它是一個(gè)帶有MD5哈希值 0988195ab961071b4aa2d7a8c8e6372d和名稱Aphrodite.dll的.NET DLL。

圖9：解壓縮并加載的第二階段DLL，稱為Aphrodite

通過(guò)為名為“ Mortiz.Anton”的類創(chuàng)建一個(gè)對(duì)象以及以下三個(gè)參數(shù)，將代碼執(zhí)行轉(zhuǎn)移到DLL，如圖10所示。

• · ugz1：“ ddLPjs”(位圖圖像資源的名稱)
• · ugz3：“ KKBxPQsGk”(解密密鑰)
• · projName：“ Skype”(主要可執(zhí)行文件的項(xiàng)目名稱)

圖10：將代碼控件傳遞給Aphrodite DLL

該DLL進(jìn)一步解壓縮另一個(gè)二進(jìn)制文件，該二進(jìn)制文件作為位圖圖像嵌入在主要可執(zhí)行文件的資源部分中，如圖11所示。

圖11：資源部分內(nèi)部的位圖圖像，其中包含下一階段的payload

與第二階段(Aphrodite)相似，它也使用自定義算法進(jìn)行加密。定制算法基于XOR，使用參數(shù)ugz3指定的密鑰。

第三階段

最終的解壓縮二進(jìn)制文件是一個(gè)帶有MD5哈希 ae5f14478d5e06c1b2dc2685cbe992c1和名稱Jupiter的.NET DLL 。

通過(guò)調(diào)用其例程之一，將代碼控件轉(zhuǎn)移到第三級(jí)DLL，如圖12所示。

圖12：解壓縮并加載的名為Jupiter的第三階段DLL

此第三階段DLL使用各種方法來(lái)檢測(cè)虛擬化或分析環(huán)境的存在。

注冊(cè)表檢查

Registry key: "HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0" 
 
Value: "Identifier" 
 
Data contains: "VBOX" OR "VMWARE" OR "QEMU" 
 
  
 
Registry key: "HARDWARE\\Description\\System" 
 
Value: "SystemBiosVersion" 
 
Data contains: "VBOX" OR "QEMU" 
 
  
 
Registry key: "HARDWARE\\Description\\System" 
 
Value: "VideoBiosVersion" 
 
Data contains: "VIRTUALBOX" 
 
  
 
Checks if key present: "SOFTWARE\\Oracle\\VirtualBox Guest Additions" OR "SOFTWARE\\VMware, Inc.\\VMware Tools" 
 
  
 
Registry key: "HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 1\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0" 
 
Value: "Identifier" 
 
Data contains: "VMWARE" 
 
  
 
Registry key: "HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 2\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0" 
 
Value: "Identifier" 
 
Data contains: "VMWARE" 
 
  
 
Registry key: "SYSTEM\\ControlSet001\\Services\\Disk\\Enum" 
 
Value: "0" 
 
Data contains: "VMWARE" 
 
  
 
Registry key: "SYSTEM\\ControlSet001\\Control\\Class\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\0000" 
 
Value: "DriverDesc" 
 
Data contains: "VMWARE" 
 
  
 
Registry key: 
 
"SYSTEM\\ControlSet001\\Control\\Class\\{4D36E968-E325-11CE-BFC1-08002BE10318}\\0000\\Settings" 
 
Value: "Device Description" 
 
Data contains: "VMWARE" 
 
  
 
Registry key: "SOFTWARE\\VMware, Inc.\\VMware Tools" 
 
Value: "InstallPath" 
 
Data contains: "C:\\PROGRAM FILES\\VMWARE\\VMWARE TOOLS\\" 

環(huán)境檢測(cè)：

檢查kernel32.dll的導(dǎo)出函數(shù)是否包含：wine_get_unix_file_name

基于Windows Management Instrumentation(WMI)的檢查：

WMI查詢：“ SELECT * FROM Win32_VideoController”

屬性：“Description”

檢查描述字段中是否存在以下關(guān)鍵字：

· "VM Additions S3 Trio32/64"

· "S3 Trio32/64"

· "VirtualBox Graphics Adapter"

· "VMware SVGA II"

· "VMWARE"

基于DLL名稱的檢查：

檢查進(jìn)程地址空間中是否存在名稱為“ SbieDll.dll”的DLL。

基于用戶名的檢查：

檢查系統(tǒng)用戶名是否包含以下字符串之一：

· "USER"

· "SANDBOX"

· "VIRUS"

· "MALWARE"

· "SCHMIDTI"

· "CURRENTUSER"

基于文件名或基于文件路徑的檢查：

FilePath包含：“ // VIRUS”或“ SANDBOX”或“ SAMPLE”或“ C：\ file.exe”

窗口類檢查：

“ Afx：400000：0”

執(zhí)行完所有上述環(huán)境檢查后，在主進(jìn)程的新實(shí)例中注入了AZORultpayload(MD5哈希： 38360115294c49538ab15b5ec3037a77)。

基于代碼執(zhí)行的流程和所使用的反分析技術(shù)，.NET打包的payload似乎是使用CyaX打包程序創(chuàng)建的。有關(guān)此打包程序的更多詳細(xì)信息，請(qǐng)參見(jiàn)此處。

https://rvsec0n.wordpress.com/2020/01/24/cyax-dotnet-packer/

網(wǎng)絡(luò)通訊

最終的未壓縮payload AZORult將在計(jì)算機(jī)上執(zhí)行信息竊取活動(dòng)，并通過(guò)向URL發(fā)送HTTP POST請(qǐng)求來(lái)泄露信息：hxxp：//crevisoft.net/images/backgrounds/ob/index.php

經(jīng)過(guò)檢查，我們發(fā)現(xiàn)在C&C服務(wù)器上啟用了opendir，如圖13所示。

圖13：在C&C服務(wù)器上啟用了Opendir

可以通過(guò)以下網(wǎng)址訪問(wèn)C&C服務(wù)器上的AZORult面板：hxxp：//crevisoft.net/images/backgrounds/ob/panel/admin.php。

圖14：AZORult面板

PHP郵件程序腳本

在C&C服務(wù)器上發(fā)現(xiàn)的其他組件中，我們發(fā)現(xiàn)了一個(gè)PHP郵件腳本，部署在 hxxp：// crevisoft [。] net / images /-/ leaf.php。

這使攻擊者可以使用C&C服務(wù)器的SMTP發(fā)送電子郵件。

圖15：C&C服務(wù)器上的PHP郵件腳本

0x03 結(jié)論

該攻擊者針對(duì)中東地區(qū)石油和天然氣行業(yè)供應(yīng)鏈行業(yè)的員工，像往常一樣，用戶在突然收到電子郵件時(shí)應(yīng)保持謹(jǐn)慎，即使這些電子郵件似乎與你感興趣的東西有關(guān)，例如可能看起來(lái)是相關(guān)的項(xiàng)目投標(biāo)文件。始終警惕嵌入在文件格式(例如PDF)中的鏈接，因?yàn)檫@些鏈接可能會(huì)導(dǎo)致系統(tǒng)上下載惡意文件。

0x04 MITRE ATT&CK TTP映射

0x05 IOCs

Naming convention: “Updates\” 
 
Updates\YJSlNpkH 
 
Updates\WWOsRUUn 
 
Updates\NcojkRtJmDPru 
 
  
 
XML file names  
 
Scheduled tasks are created using dropped XML files in %temp% directory with random names.  
 
C:\Users\user\AppData\Local\Temp\tmp9AA2.tmp 
 
C:\Users\user\AppData\Local\Temp\tmp23B7.tmp 
 
C:\Users\user\AppData\Local\Temp\tmp24CC.tmp 
 
  
 
Dropped filenames  
 
Files are dropped in the “AppData\Roaming” directory with the same name as a scheduled task. 
 
C:\Users\User\AppData\Roaming\YJSlNpkH.Exe 
 
C:\Users\User\AppData\Roaming\WWOsRUUn.Exe 
 
C:\Users\user\AppData\Roaming\NcojkRtJmDPru.exe 
 
  
 
File hashes 
 
  
 
PDF hashes 
 
  
 
Author: Donor1 
 
  
 
e368837a6cc3f6ec5dfae9a71203f2e2 
 
741f66311653f41f226cbc4591325ca4 
 
fe928252d87b18cb0d0820eca3bf047a 
 
8fe5f4c646fd1caa71cb772ed11ce2e5 
 
d8e3637efba977b09faf30ca49d75005 
 
c4380b4cd776bbe06528e70d5554ff63 
 
34cae3ae03a2ef9bc4056ca72adb73fc 
 
363030120a612974b1eb53cc438bafcb 
 
2710cc01302c480cd7cd28251743faf0 
 
1693f1186a3f1f683893b41b91990773 
 
7a016c37fa50989e082b7f1ca2826f04 
 
709895dd53d55eec5a556cf1544fc5b9 
 
5d9ed128316cfa8ee62b91c75c28acd1 
 
c2ac9c87780e20e609ba8c99d736bec1 
 
269cfd5b77ddf5cb8c852c78c47c7c4c 
 
653f85816361c108adc54a2a1fadadcf 
 
6944f771f95a94e8c1839578523f5415 
 
8e5c562186c39d7ec4b38976f9752297 
 
3d019ede3100c29abea7a7d3f05c642b 
 
67f178fd202aee0a0b70d153b867cb5e 
 
39598369bfca26da8fc4d71be4165ab4 
 
70a92fdba79eaca554ad6740230e7b9a 
 
9db3d79403f09b3d216ee84e4ee28ed3 
 
bafdeef536c4a4f4acef6bdea0986c0b 
 
8d7785c8142c86eb2668a3e8f36c5520 
 
653e737fd4433a7cfe16df3768f1c07e 
 
ebdcb07d3de1c8d426f1e73ef4eb10f4 
 
d258ba34b48bd0013bfce3308576d644 
 
a74c619fd61381a51734235c0539e827 
 
6f1bd3cb6e104ed6607e148086b1e171 
 
cf04d33371a72d37e6b0e1606c7cd9a2 
 
ede5fa9b9af1aeb13a2f54da992e0c37 
 
5321cd5b520d0d7c9100c7d66e8274e1 
 
de521f9e4bc6e934bb911f4db4a92d36 
 
36e5726399319691b6d38150eb778ea7 
 
1c5cb47fd95373ade75d61c1ae366f8b 
 
b7b41d93709777780712f52a9acf7a26 
 
62a05b00c7e7605f7b856c05c89ee748 
 
b520f4f9d87940a55363161491e69306 
 
40c1156d98c39ac08fd925d86775586d 
 
  
 
Author: Mr. Adeel 
 
 
 
f2319ddb303c2a5b31b05d8d77e08b4e 
 
24e67f40ccb69edb88cc990099ef2ffe 
 
54fc7650a8b5c1c8dc85e84732a6d2c7 
 
9cf615982d69d25b1d0057617bd72a95 
 
e9dfa14e4f6048b6f3d0201b2f3c62fe 
 
abab000b3162ed6001ed8a11024dd21c 
 
5c857bf3cf52609ad072d6d74a4ed443 
 
73ddf9f8fc3dc81671ea6c7600e68947 
 
3510cbf8b097e42745cfb6782783af2b 
 
694a6568b7572125305bdb4b24cebe98 
 
7fa5028f2394dcea02d4fdf186b3761f 
 
2260d015eacdc14e26be93fbc33c92aa 
 
d51d5e4c193617fa676154d1fe1d4802 
 
912dbb9e0400987c122f73e0b11876c0 
 
0f4cd9e8111d4eeda89dbe2ce08f6573 
 
d03fb3e473bd95c314987a1b166a92ed 
 
549a06cb43563dad994b86e8f105323a 
 
80149a26ee10786d6f7deaf9fb840314 
 
c7ced41f38b2d481d1910663a14fbec4 
 
3ce6cc6dee4563eb752e55103cdb84d4 
 
  
 
ZIP hashes 
 
  
 
6d0241bc7d4a850f3067bc40124b3f52 
 
cdfde809746759074bcd8ba54eb19ccd 
 
40b5976eb7ddd1d372e34908f74ba0c4 
 
93c8ed2915d8a3ff7285e0aa3106073e 
 
2b719eeca275228fbead4c1d3016b8e4 
 
  
 
Exe hashes 
 
  
 
42aec0b84a21fa36fc26b8210c197483 
 
02ae44011006e358a3b1ccbd85ba01f2 
 
131772a1bb511f2010da66c9c7dca32f 
 
7860c138e3b8f40bfb6efec08f4a4068 
 
3bcbe4d2951987363257a0612a107101 
 
328aa4addb7e475c3721e2ae93391446 
 
84e7b5a60cd771173b75a775e0399bc7 
 
3c83b0fe45e15a2fd65ed64a8e1f65e9 
 
f626e64f57d3b8c840a72bbfbe9fb6ca 
 
fcf7a9b93cffddf0a242a8fc83845ee3 
 
  
 
Unpacked file hashes 
 
  
 
0988195ab961071b4aa2d7a8c8e6372d - Aphrodite 
 
Ae5f14478d5e06c1b2dc2685cbe992c1 - Jupiter 
 
38360115294c49538ab15b5ec3037a77 - Azorult 
 
  
 
Unique PDF file names 
 
  
 
Author: Donor1 
 
  
 
RFQ #88556524.pdf 
 
ADNOC RFQ 97571784 - Purchase - core store Mussafah - Tehnical and Commercial.pdf 
 
ALJABER-GROUP-RFQ-38982254237312018-848000071984-03-19-Rev-1.1.pdf 
 
Dalma Gas Development Project (Package B) -TENDER BULLETIN-01.pdf 
 
RFQ-VENDOR 3 YEARS SUPPLY CONTRACT (RENEWAL OF LTPA 62431092).pdf 
 
  
 
Author: Mr. Adeel 
 
  
 
RFQ-ALJ-HAMAD INTERNATIONAL AIRPORT EXPANSION, DOHA.pdf 
 
RFQ-HAMAD INTERNATIONAL AIRPORT EXPANSION, DOHA QATAR.pdf 
 
RFQ-HAMAD INTERNATIONAL AIRPORT EXPANSION, DOHA.pdf 
 
RFQ#ENQ34640-ALJ24.pdf 
 
AJC-QA HAMAD INTERNATIONAL AIRPORT EXPANSION, DOHA.pdf 
 
  
 
C&C servers 
 
  
 
hxxp://crevisoft[.]net/images/backgrounds/ob/index.php 
 
hxxp://nsseinc[.]com/lingo/index.php 
 
  
 
  
 
Email address 
 
salessigma87@gmail.com 
 
  
 
ZIP hosted URLs: 
 
  
 
Author of PDF: Donor1 
 
  
 
hxxps://we[.]tl/t-lBcWz3Rcbs 
 
hxxps://mega[.]nz/#!Ov41xapb!M-COPorpfcQ7j1G61afFVruLbDVwzNfujRIwERqlIQw 
 
hxxps://we[.]tl/t-P2Lt34YUcf 
 
hxxps://we[.]tl/t-7XwI9xNjQj 
 
hxxps://we[.]tl/t-AgAdhMTWIm 
 
hxxps://mega[.]nz/file/fkImWKab#zvyeMmsYgGiu-hK-FT0o4OBozg0r4gWPRUtAr6iRvwM 
 
hxxps://we[.]tl/t-utJr50o6uf 
 
hxxp://bit[.]ly/32qQFah 
 
hxxps://mega[.]nz/file/zsIB2aLK#pyTNpp8H4pZhpq0i7w0OB8itu3Rj_02n9BksARDrlzc 
 
hxxps://mega[.]nz/#!nrozSBoL!Pc5ApemPW46RC8b0kgiTIyuIa0MnQV9GDUPXGK8__LM 
 
hxxps://we[.]tl/t-TbbBN9VnEZ 
 
hxxps://mega[.]nz/#!KuRElKZT!5F_FfxkyPI7tvJ-mnL7LppAU5X5wA1XbpTM-z8DpVB8 
 
hxxps://mega[.]nz/file/q55WVIKB#zm3CTH6XEv63mwacATKpo2AMe7yjFmp-KpQXUBkhZJ4 
 
hxxp://bit[.]ly/3a3CwSX 
 
hxxps://we[.]tl/t-MFcMWYK7HL 
 
hxxps://mega[.]nz/#!Tmw0EK5Q!zSLa_Ell7Ti5sz-ca-plgqc4vZM7S813Hb9Yk5Jk81Y 
 
hxxps://we[.]tl/t-0NlciPHf5y 
 
hxxps://mega[.]nz/#!y6w1BAqS!DMfA221sRvIyqVqPNhsKMZEAtBNkjY_jLUWEmCpxMfo 
 
hxxps://mega[.]nz/#!j2JSwQYb!LaAP2L2WBKLU3DlR6BViQxZ4b8fsmt53Hl3RKHMfb4w 
 
hxxps://mega[.]nz/file/Ptp1CL6R#EvbG9Gh435cDmmXXyU1_l4dM3Bq9fP2B8VdjirGiK_c 
 
hxxps://we[.]tl/t-feLBFQVV1P 
 
hxxps://we[.]tl/t-ad5X6peqHj 
 
hxxps://www[.]dropbox[.]com/s/cym2723azwnb364/ADNOC%202020%20REQUEST%20FOR%20QUOTATION-REQUEST%20FOR%20TENDER%20CODE%2076384_pdf[.]zip?dl=0 
 
hxxps://we[.]tl/t-uwwupT1WNc 
 
hxxps://mega[.]nz/#!K6xgGCYJ!1cJY91IlILLrGGrDVVrkbb7vNRKL9CAFD4tB9_jP8ts 
 
hxxps://mega[.]nz/#!yrBGmQBA!EhgekpU4VUafMvfJKlNVFej1KsgxYWv1mfzCKXejjEc 
 
hxxps://we[.]tl/t-ZcyzrvcBkP 
 
hxxps://mega[.]nz/file/GpB3VIyS#3-tKCJ8d-y782IN0570wHMMKQ244ttzBRpUmFXh6LZQ 
 
hxxps://mega[.]nz/#!OvJFjQaY!UBgEDtTE_Gn4B4vYrn-d7rYeO5CBMTxt83NyXQGWh0E 
 
hxxps://mega[.]nz/file/G5YmjCYJ#jvqrZX2ZLXn3SAI9nzf8w6mWtxTM4_fwx7VzHdqzfqM 
 
hxxps://mega[.]nz/#!zygWnKAS!5kp8IWNec2HK-YPK2gk-hmLa416PZLtr6VpbNZediSk 
 
hxxps://mega[.]nz/#!uu40wQxJ!HXlLJw7KDJgqnpwCzgrnBt9vu_W1-FZlSIvn0JU5rDw 
 
hxxps://mega[.]nz/#!66hWzACL!_6klTwfD-JaSkwjWrKRIBqX1ghXr-SZGk1Utc2-VJPc 
 
hxxps://www[.]aljaber-llc[.]com/projects/files/ALJABER-RFQ-38982254237312018-848000071984-04-23-Rev-1[.]1[.]zip 
 
hxxps://we[.]tl/t-cJa4jY9Egz 
 
hxxps://we[.]tl/t-Out44emJ9t 
 
hxxps://we[.]tl/t-QuCLQY3cTh 
 
hxxps://we[.]tl/t-nMKuKWbMlE 
 
hxxps://mega[.]nz/file/f1RTVa4A#2uGmQV64RKkNYZEECYXFKjGPS-nalF2ZshufSgqsA_k 
 
hxxps://we[.]tl/t-oAkwGNORsR 
 
hxxps://we[.]tl/t-cFvm5QQlyV 
 
hxxps://www[.]dropbox[.]com/s/5b0bti9r6xhf3pq/ADNOC%202020%20REQUIREMENT%20TENDER%20RFQ%2056774387_PDF[.]zip?dl=0 
 
hxxps://we[.]tl/t-Didobux8kG 
 
hxxps://we[.]tl/t-FkBOHwy1ME 
 
hxxps://mega[.]nz/file/u7xRlS7T#I8L3NL_zi-JizZagSF-E1Gcj5I8ednV6YdqyWs5RnNo 
 
hxxps://we[.]tl/t-XsVO5hewBu 
 
  
 
Author of PDF: Mr. Adeel 
 
  
 
hxxps://we[.]tl/t-NwSigkLd2E 
 
hxxps://we[.]tl/t-wQB6ioE8dL 
 
hxxps://we[.]tl/t-u3NL7Wnplr 
 
hxxps://we[.]tl/t-zC6Wz4CpfZ 
 
hxxps://we[.]tl/t-5wQSJsFUlC 
 
hxxps://we[.]tl/t-egfvdBvESW 
 
hxxps://we[.]tl/t-2a9aq4LJSn 
 
hxxps://we[.]tl/t-4BnTk2Hwiv 
 
hxxps://we[.]tl/t-hSqtTJDi1f 
 
hxxps://we[.]tl/t-1VyVEAtzAf 
 
hxxps://we[.]tl/t-E1iDs5Bghr 
 
hxxps://we[.]tl/t-YlbV0AIU5b 
 
hxxps://we[.]tl/t-1yLti4IfaN 
 
hxxps://we[.]tl/t-dGN9sRTnch 
 
hxxps://we[.]tl/t-spOqYklJIQ 
 
hxxps://we[.]tl/t-cunxjPBouY 
 
hxxps://we[.]tl/t-39SvbwCY2E 
 
hxxps://we[.]tl/t-9RVc3dflK6 
 
hxxps://we[.]tl/t-aBUVx3EMdx 
 
hxxps://we[.]tl/t-XdOjUbrcK8 
 
hxxps://we[.]tl/t-MkUZugwABd 
 
hxxps://we[.]tl/t-ikxwkPtSBi 
 
hxxps://we[.]tl/t-1hWeuMe1h7 
 
hxxps://we[.]tl/t-2L7ajlJSCG 
 
hxxps://we[.]tl/t-HZygDd5TUJ 
 
hxxps://we[.]tl/t-MtgNnMbTij 

本文翻譯自：https://www.zscaler.com/blogs/research/targeted-attacks-oil-and-gas-supply-chain-industries-middle-east如若轉(zhuǎn)載，請(qǐng)注明原文地址。