Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

График полета TA2541

root

СисАдмин Форума
Команда форума
Действительный члены НП "МОД"
Регистрация
17 Февраль 2007
Сообщения
677
Реакции
1.022
Баллы
93
Возраст
57
15 февраля 2022 г. Селена Ларсон и Джо Уайз

pfpt-tv-blog-banner-6~2.jpg


Основные результаты​


  • Исследователи Proofpoint в течение многих лет отслеживали постоянных участников киберпреступлений, нацеленных на авиацию, аэрокосмическую промышленность, транспорт, производство и оборонную промышленность.
  • Злоумышленник постоянно использует трояны удаленного доступа (RAT), которые можно использовать для удаленного управления скомпрометированными машинами.
  • Злоумышленник использует постоянные темы, связанные с авиацией, транспортом и путешествиями. Злоумышленник использует похожие темы и таргетинг с 2017 года.
  • Proofpoint называет этого актора TA2541.

Обзор​


TA2541 — настойчивый киберпреступник, который распространяет различные трояны удаленного доступа (RAT), нацеленные, в частности, на авиационную, аэрокосмическую, транспортную и оборонную отрасли. Proofpoint отслеживает этого субъекта угрозы с 2017 года и за это время использовала последовательные тактики, методы и процедуры (TTP). Субъекты в целевых секторах должны быть осведомлены о TTP субъекта и использовать предоставленную информацию для поиска и обнаружения.


TA2541 использует темы, связанные с авиацией, транспортом и путешествиями. Когда Proofpoint впервые начала отслеживать этого субъекта, группа отправляла загруженные макросами вложения Microsoft Word, которые загружали полезную нагрузку RAT. Группа изменилась, и теперь они чаще отправляют сообщения со ссылками на облачные сервисы, такие как Google Drive, на которых размещена полезная нагрузка. Proofpoint оценивает TA2541 как киберпреступника из-за использования специфического вредоносного ПО, широкого таргетинга с большим объемом сообщений и инфраструктуры управления и контроля.


Хотя общедоступные отчеты с подробным описанием аналогичных действий по угрозам существуют по крайней мере с 2019 года, Proofpoint впервые делится подробной информацией, связывающей общедоступные и частные данные в одном кластере действий по угрозам, который мы называем TA2541.


Детали кампании​


В отличие от многих участников киберпреступлений, распространяющих обычное вредоносное ПО, TA2541 обычно не использует текущие события, актуальные темы или новости в своих приманках социальной инженерии. Почти во всех наблюдаемых кампаниях TA2541 использует темы-приманки, которые включают термины, связанные с транспортом, такие как полет, самолет, топливо, яхта, чартер и т. д.

001.jpg

Рисунок 1: Приманка по электронной почте с запросом информации о деталях самолета.


007.jpg

Рисунок 2: Приманка по электронной почте с запросом информации о амбулаторном полете.


TA2541 демонстрирует постоянную и постоянную активность угроз с января 2017 года. Как правило, его вредоносные кампании включают от сотен до тысяч сообщений, хотя редко можно увидеть, как TA2541 отправляет более 10 000 сообщений за один раз. Кампании затрагивают сотни организаций по всему миру с повторяющимися целями в Северной Америке, Европе и на Ближнем Востоке. Сообщения почти всегда на английском.


Весной 2020 года TA2541 ненадолго переключился на использование тем приманок, связанных с COVID, в соответствии с их общей темой деталей груза и рейса. Например, они распространяли приманки, связанные с грузовыми поставками средств индивидуальной защиты (СИЗ) или наборов для тестирования на COVID-19.


008.jpg

Рисунок 3: Тематическая приманка PPE, используемая TA2541.


Принятие темы COVID-19 было кратким, и злоумышленник быстро вернулся к обычным грузовым, авиационным, чартерным и т. д. тематическим приманкам.


Несколько исследователей опубликовали данные об аналогичных действиях с 2019 года, в том числе Сиско Талос , Морфизек , Майкрософт , Мандиант и независимый исследователи . Proofpoint может подтвердить, что действия в этих отчетах пересекаются с субъектом угрозы, отслеживаемым как TA2541.


Доставка и установка​


В недавних кампаниях Proofpoint наблюдала, как эта группа использует URL-адреса Google Диска в электронных письмах, которые ведут к запутанному файлу Visual Basic Script (VBS). При выполнении PowerShell извлекает исполняемый файл из текстового файла, размещенного на различных платформах, таких как Pastetext, Sharetext и GitHub. Злоумышленник запускает PowerShell в различные процессы Windows и запрашивает у инструментария управления Windows (WMI) продукты безопасности, такие как антивирусное программное обеспечение и брандмауэр, и пытается отключить встроенные средства защиты. Злоумышленник соберет системную информацию перед загрузкой RAT на хост.


006.jpg

Рисунок 4: Пример цепочки атак.


Хотя TA2541 постоянно использует Google Диск, а иногда и OneDrive для размещения вредоносных файлов VBS, начиная с конца 2021 года, Proofpoint заметила, что эта группа начала использовать URL-адреса DiscordApp, ссылающиеся на сжатый файл, который ведет либо к AgentTesla, либо к Imminent Monitor. Discord — это все более популярная сеть доставки контента (CDN), используемая злоумышленниками.


Хотя TA2541 обычно использует URL-адреса как часть доставки, Proofpoint также заметила, что этот субъект использует вложения в электронных письмах. Например, субъект угрозы может отправить сжатые исполняемые файлы, такие как вложения RAR, со встроенным исполняемым файлом, содержащим URL-адрес, в CDN, на которых размещена полезная нагрузка вредоносного ПО.


Ниже приведен пример файла VBS, использованного в недавней кампании с использованием функции StrReverse и функции PowerShell RemoteSigned. Стоит отметить, что имена файлов VBS обычно соответствуют общей тематике электронной почты: бой, самолет, топливо, яхта, чартер и т. д.


002.jpg

Рисунок 5: Содержимое примера файла VBS.


Деобфусцированная команда:
Код:
 https://вставить[.]ee/r/01f2w/0

На рисунке ниже показан пример недавней кампании, в которой код PowerShell размещен на URL-адресе paste.ee.

005.jpg

Рисунок 6: Пример вставки URL.


Упорство:


Как правило, TA2541 будет использовать файлы Visual Basic Script (VBS) для обеспечения постоянства с одной из своих любимых полезных нагрузок, AsyncRAT. Это достигается путем добавления файла VBS в каталог запуска, который указывает на сценарий PowerShell. Примечание. Используемые имена файлов VBS и PowerShell в основном имитируют функции Windows или системы. Примеры из недавних кампаний включают:


Пример сохранения:
Код:
 C:\Users[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemFramework64Bits.vbs

Содержимое VBS-файла:
Код:
 Установить Obj = CreateObject("WScript.Shell")
 Obj.Run "PowerShell -ExecutionPolicy RemoteSigned -File" & "C:\Users\[User]\AppData\Local\Temp\RemoteFramework64.ps1", 0
 Другие последние наблюдаемые имена файлов VBS
 UserInterfaceLogin.vbs
 ОбработчикUpdate64Bits.vbs
 WindowsCrashReportFix.vbs
 SystemHardDrive.vbs

TA2541 также обеспечивает постоянство, создавая запланированные задачи и добавляя записи в реестр. Например, в ноябре 2021 года TA2541 распространял полезную нагрузку Imminent Monitor, используя оба этих метода. В недавних кампаниях vjw0rm и STRRAT также использовали создание задач и добавление записей в реестр. Например:


Запланированное задание:
Код:
 schtasks.exe /Create /TN "Updates\BQVIiVtepLtz" /XML C:\Users\[User]\AppData\Local\Temp\tmp7CF8.tmp
 schtasks /create /sc minute /mo 1 /tn Skype /tr "C:\Users\[Use]\AppData\Roaming\xubntzl.txt"

Реестр:
Код:
 Ключ: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost
 Данные: C:\Users[User]\AppData\Roaming\server\server.exe
 Ключ: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xubntzl
 Данные: C:\Users\User\AppData\Roaming\xubntzl.txt

Вредоносное ПО​


Компания Proofpoint зафиксировала, что TA2541 с 2017 года использует более дюжины различных вредоносных программ. Злоумышленник использует обычное вредоносное ПО, доступное для покупки на криминальных форумах или доступное в репозиториях с открытым исходным кодом. В настоящее время TA2541 предпочитает AsyncRAT, но другие популярные RAT включают NetWire, WSH RAT и Parallax.

004.jpg

Рисунок 7: Вредоносное ПО, используемое TA2541, связанное с объемом сообщений.


Все вредоносные программы, используемые TA2541, могут использоваться для сбора информации и получения удаленного контроля над зараженной машиной. В настоящее время Proofpoint не знает, каковы конечные цели и задачи злоумышленника после первоначальной компрометации.


В то время как AsyncRAT в настоящее время является предпочтительным вредоносным ПО, TA2541 ежегодно меняет свое использование вредоносного ПО, начиная с 2017 года. Злоумышленник обычно использует только один или несколько RAT в наблюдаемых кампаниях, однако в 2020 году Proofpoint наблюдал, как TA2541 распространял более 10 различных типов. вредоносное ПО, использующее одну и ту же начальную цепочку заражения.

003.jpg

Рисунок 8: Распространение вредоносного ПО TA2541 во времени.


Инфраструктура​


TA2541 использует виртуальные частные серверы как часть своей инфраструктуры отправки электронной почты и часто использует динамический DNS (DDNS) для инфраструктуры C2.


В инфраструктуре C2 и артефактах сообщений существует множество шаблонов. Например, исторические кампании включали термин «kimjoy» в доменное имя C2, а также в ответный адрес злоумышленника. Еще одним поразительным TTP является общий шаблон, наблюдаемый с доменами TA2541 C2 и URL-адресами промежуточной загрузки, содержащими ключевые слова «kimjoy», «h0pe» и «grace». TA2541 также регулярно использует одних и тех же регистраторов доменов, включая Netdorm и No-IP DDNS, и хостинг-провайдеров, включая xTom GmbH и Danilenko, Artyom.


виктимология​


Часто кампании содержали от нескольких сотен до нескольких тысяч сообщений электронной почты, адресованных десяткам различных организаций. Несмотря на то, что Proofpoint наблюдала, как TA2541 нацелен на тысячи организаций, многочисленные организации в авиационной, аэрокосмической, транспортной, производственной и оборонной отраслях регулярно фигурируют в качестве целей его кампаний. Похоже, что существует широкое распределение среди получателей, что указывает на то, что TA2541 не нацелен на людей с определенными ролями и функциями.


Заключение​


TA2541 остается постоянной активной угрозой киберпреступности, особенно для организаций в наиболее часто используемых секторах. Proofpoint с высокой степенью уверенности оценивает, что этот злоумышленник будет продолжать использовать те же TTP, которые наблюдались в прошлом, с минимальными изменениями в темах-приманках, доставке и установке. Вполне вероятно, что TA2541 продолжит использовать AsyncRAT и vjw0rm в будущих кампаниях и, вероятно, будет использовать другие стандартные вредоносные программы для достижения своих целей.


Индикаторы компрометации (IOC)


Домены С2


Индикатор

Описание

Дата наблюдения

joelthomas[.]linkpc[.]net

Домен AsyncRAT C2

На протяжении 2021 года

rick63[.]publicvm[.]com

Домен AsyncRAT C2

январь 2022 г.

tq744[.]publicvm[.]com

Домен AsyncRAT C2

январь 2022 г.

bodmas01[.]zapto[.]org

Домен AsyncRAT C2

январь 2022 г.

bigdips0n[.]publicvm[.]com

Домен AsyncRAT C2

декабрь 2021 г.

6001dc[.]ddns[.]net

Домен AsyncRAT C2

сентябрь 2021 г.

кимджой[.]ddns[.]net

Домен Revenge RAT C2

март 2021 г.

h0pe[.]ddns[.]net

Домен AsyncRAT C2

апрель/май 2021 г.

e29rava[.]ddns[.]net

Домен AsyncRAT C2

июнь 2021 г.

акконсалт[.]ddns[.]net

Домен AsyncRAT C2

июль 2021 г.

Grace5321[.]publicvm[.]com

Домен StrRAT C2

январь 2022 г.

Grace5321[.]publicvm[.]com

Неизбежный монитор домена C2

ноябрь 2021 г.
Хэши VBS SHA256

Хэши VBS SHA256, наблюдаемые в последних декабрьских и январских кампаниях.
Имя файла: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs
SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c
Имя файла: детали чартера.pdf.vbs
SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6
Имя файла: детали чартера.pdf.vbs
SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96
Имя файла: 4Pax Trip Details.pdf.vbs
SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c

Подписи инопланетян

2034978 — служба ET POLICY в стиле Pastebin (paste .ee) в TLS SNI
2034979 - ET HUNTING Powershell Запрос на вставку .ee Страница
2034980 — ET MALWARE Powershell с загруженным RUNPE в десятичной кодировке
2850933 - ETPRO HUNTING Double Extension VBS Скачать с Google Диска
2850934 - ETPRO HUNTING Double Extension PIF Скачать с Google Диска
2850936 - ETPRO HUNTING VBS Скачать с Google Диска

Источник
 
Original message
February 15, 2022 Selena Larson and Joe Wise

pfpt-tv-blog-banner-6~2.jpg


Key Findings​


  • Proofpoint researchers have tracked a persistent cybercrime threat actor targeting aviation, aerospace, transportation, manufacturing, and defense industries for years.
  • The threat actor consistently uses remote access trojans (RATs) that can be used to remotely control compromised machines.
  • The threat actor uses consistent themes related to aviation, transportation, and travel. The threat actor has used similar themes and targeting since 2017.
  • Proofpoint calls this actor TA2541.

Overview​


TA2541 is a persistent cybercriminal actor that distributes various remote access trojans (RATs) targeting the aviation, aerospace, transportation, and defense industries, among others. Proofpoint has tracked this threat actor since 2017, and it has used consistent tactics, techniques, and procedures (TTPs) in that time. Entities in the targeted sectors should be aware of the actor's TTPs and use the information provided for hunting and detection.


TA2541 uses themes related to aviation, transportation, and travel. When Proofpoint first started tracking this actor, the group sent macro-laden Microsoft Word attachments that downloaded the RAT payload. The group pivoted, and now they more frequently send messages with links to cloud services such as Google Drive hosting the payload. Proofpoint assesses TA2541 is a cybercriminal threat actor due to its use of specific commodity malware, broad targeting with high volume messages, and command and control infrastructure.


While public reporting detailing similar threat activities exists since at least 2019, this is the first time Proofpoint is sharing comprehensive details linking public and private data under one threat activity cluster we call TA2541.


Campaign Details​


Unlike many cybercrime threat actors distributing commodity malware, TA2541 does not typically use current events, trending topics, or news items in its social engineering lures. In nearly all observed campaigns, TA2541 uses lure themes that include transportation related terms such as flight, aircraft, fuel, yacht, charter, etc.

001.jpg

Figure 1: Email lure requesting information on aircraft parts.


007.jpg

Figure 2: Email lure requesting ambulatory flight information.


TA2541 demonstrates persistent and ongoing threat activity since January 2017. Typically, its malware campaigns include hundreds to thousands of messages, although it is rare to see TA2541 send more than 10,000 messages at one time. Campaigns impact hundreds of organizations globally, with recurring targets in North America, Europe, and the Middle East. Messages are nearly always in English.


In the spring of 2020, TA2541 briefly pivoted to adopting COVID-related lure themes consistent with their overall theme of cargo and flight details. For example, they distributed lures associated with cargo shipments of personal protective equipment (PPE) or COVID-19 testing kits.


008.jpg

Figure 3: PPE themed lure used by TA2541.


The adoption of COVID-19 themes was brief, and the threat actor quickly returned to generic cargo, flight, charter, etc. themed lures.


Multiple researchers have published data on similar activities since 2019 including Cisco Talos, Morphisec, Microsoft, Mandiant, and independent researchers. Proofpoint can confirm the activities in these reports overlap with the threat actor tracked as TA2541.


Delivery and Installation​


In recent campaigns, Proofpoint observed this group using Google Drive URLs in emails that lead to an obfuscated Visual Basic Script (VBS) file. If executed, PowerShell pulls an executable from a text file hosted on various platforms such as Pastetext, Sharetext, and GitHub. The threat actor executes PowerShell into various Windows processes and queries Windows Management Instrumentation (WMI) for security products such as antivirus and firewall software, and attempts to disable built-in security protections. The threat actor will collect system information before downloading the RAT on the host.


006.jpg

Figure 4: Example attack chain.


While TA2541 consistently uses Google Drive, and occasionally OneDrive, to host the malicious VBS files, beginning in late 2021, Proofpoint observed this group begin using DiscordApp URLs linking to a compressed file which led to either AgentTesla or Imminent Monitor. Discord is an increasingly popular content delivery network (CDN) used by threat actors.


Although TA2541 typically uses URLs as part of the delivery, Proofpoint has also observed this actor leverage attachments in emails. For example, the threat actor may send compressed executables such as RAR attachments with an embedded executable containing URL to CDNs hosting the malware payload.


Listed below is an example of a VBS file used in a recent campaign leveraging the StrReverse function and PowerShell’s RemoteSigned functionality. It is worth noting the VBS files are usually named to stay consistent with the overall email themes: fight, aircraft, fuel, yacht, charter, etc.


002.jpg

Figure 5: Contents of a sample VBS file.


Deobfuscated command:
Код:
https://paste[.]ee/r/01f2w/0

The figure below depicts an example from a recent campaign where the PowerShell code is hosted on the paste.ee URL.

005.jpg

Figure 6: Paste URL example.


Persistence:


Typically, TA2541 will use Visual Basic Script (VBS) files to establish persistence with one of their favorite payloads, AsyncRAT. This is accomplished by adding the VBS file in the startup directory which points to a PowerShell script. Note: the VBS and PowerShell file names used are mostly named to mimic Windows or system functionality. Examples from recent campaigns include:


Persistence Example:
Код:
C:\Users[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemFramework64Bits.vbs

Contents of VBS file:
Код:
Set Obj = CreateObject("WScript.Shell") 
Obj.Run "PowerShell -ExecutionPolicy RemoteSigned -File " & "C:\Users\[User]\AppData\Local\Temp\RemoteFramework64.ps1", 0 
Other Recent VBS File Names Observed 
UserInterfaceLogin.vbs 
HandlerUpdate64Bits.vbs 
WindowsCrashReportFix.vbs 
SystemHardDrive.vbs

TA2541 has also established persistence by creating scheduled tasks and adding entries in the registry. For instance, in November 2021 TA2541 distributed the payload Imminent Monitor using both of these methods. In recent campaigns, vjw0rm and STRRAT also leveraged task creation and adding entries to the registry. For example:


Scheduled Task:
Код:
schtasks.exe /Create /TN "Updates\BQVIiVtepLtz" /XML C:\Users\[User]\AppData\Local\Temp\tmp7CF8.tmp 
schtasks /create /sc minute /mo 1 /tn Skype /tr "C:\Users\[Use]\AppData\Roaming\xubntzl.txt"

Registry:
Код:
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost 
Data: C:\Users[User]\AppData\Roaming\server\server.exe 
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xubntzl 
Data: C:\Users\User\AppData\Roaming\xubntzl.txt

Malware​


Proofpoint has observed TA2541 using over a dozen different malware payloads since 2017. The threat actor uses commodity malware available for purchase on criminal forums or available in open-source repositories. Currently, TA2541 prefers AsyncRAT, but other popular RATs include NetWire, WSH RAT and Parallax.

004.jpg

Figure 7: Malware used by TA2541 associated with message volume.


All the malware used by TA2541 can be used for information gathering purposes and to gain remote control of an infected machine. At this time, Proofpoint does not know what the threat actor’s ultimate goals and objectives are once it achieves initial compromise.


While AsyncRAT is the current malware of choice, TA2541 has varied its malware use each year since 2017. The threat actor will typically use just one or a handful of RATs in observed campaigns, however in 2020, Proofpoint observed TA2541 distributing over 10 different types of malware, all using the same initial infection chain.

003.jpg

igure 8: Distribution of TA2541 malware over time.


Infrastructure​


TA2541 uses Virtual Private Servers as part of their email sending infrastructure and frequently uses Dynamic DNS (DDNS) for C2 infrastructure.


There are multiple patterns across the C2 infrastructure and the message artifacts. For example, historic campaigns have included the term “kimjoy” in the C2 domain name as well as in the threat actor reply-to address. Another striking TTP is the common pattern observed with TA2541 C2 domains and payload staging URLs containing the keywords “kimjoy,” “h0pe,” and “grace”. TA2541 also regularly uses the same domain registrars including Netdorm and No-IP DDNS, and hosting providers including xTom GmbH and Danilenko, Artyom.


Victimology​


Often, campaigns contained several hundred to several thousand email messages to dozens of different organizations. Although Proofpoint has observed TA2541 targeting thousands of organizations, multiple entities across aviation, aerospace, transportation, manufacturing, and defense industries appear regularly as targets of its campaigns. There appears to be a wide distribution across recipients, indicating TA2541 does not target people with specific roles and functions.


Conclusion​


TA2541 remains a consistent, active cybercrime threat, especially to entities in its most frequently targeted sectors. Proofpoint assesses with high confidence this threat actor will continue using the same TTPs observed in historic activity with minimal change to its lure themes, delivery, and installation. It is likely TA2541 will continue using AsyncRAT and vjw0rm in future campaigns and will likely use other commodity malware to support its objectives.


Indicators of Compromise (IOCs)


C2 Domains


Indicator

Description

Date Observed

joelthomas[.]linkpc[.]net

AsyncRAT C2 Domain

Throughout 2021

rick63[.]publicvm[.]com

AsyncRAT C2 Domain

January 2022

tq744[.]publicvm[.]com

AsyncRAT C2 Domain

January 2022

bodmas01[.]zapto[.]org

AsyncRAT C2 Domain

January 2022

bigdips0n[.]publicvm[.]com

AsyncRAT C2 Domain

December 2021

6001dc[.]ddns[.]net

AsyncRAT C2 Domain

September 2021

kimjoy[.]ddns[.]net

Revenge RAT C2 Domain

March 2021

h0pe[.]ddns[.]net

AsyncRAT C2 Domain

April/May 2021

e29rava[.]ddns[.]net

AsyncRAT C2 Domain

June 2021

akconsult[.]ddns[.]net

AsyncRAT C2 Domain

July 2021

grace5321[.]publicvm[.]com

StrRAT C2 Domain

January 2022

grace5321[.]publicvm[.]com

Imminent Monitor C2 Domain

November 2021
VBS SHA256 Hashes

VBS SHA256 hashes observed in recent December and January campaigns.
File Name: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs
SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c
File Name: charters details.pdf.vbs
SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6
File Name: charters details.pdf.vbs
SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96
File Name: 4Pax Trip Details.pdf.vbs
SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c

ET Signatures   

2034978 - ET POLICY Pastebin-style Service (paste .ee) in TLS SNI
2034979 - ET HUNTING Powershell Request for paste .ee Page
2034980 - ET MALWARE Powershell with Decimal Encoded RUNPE Downloaded
2850933 - ETPRO HUNTING Double Extension VBS Download from Google Drive
2850934 - ETPRO HUNTING Double Extension PIF Download from Google Drive
2850936 - ETPRO HUNTING VBS Download from Google Drive

Source

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555