记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

安全威胁情报周报(08.16-08.22)

2021-08-23 00:37
‍‍


一周威胁情报摘要

金融威胁情报

  • Neurevt 木马针对墨西哥金融机构用户展开攻击活动

  • 日本加密货币交易所 Liquid 遭到黑客攻击,存、取款业务已暂停

政府威胁情报
  • 俄罗斯网络间谍组织 APT29 针对斯洛伐克政府展开攻击

  • 黑客利用 CVE-2019-19781 漏洞入侵美国人口普查局,人口普查数据未受影响

能源威胁情报
  • 殖民管道网络攻击事件后续:披露数据泄露行为

工控威胁情报
  • 芯片制造商 Realtek 的 Wi-Fi SDK 中存在多个缺陷,影响近百万物联网设备

  • Indra 组织:伊朗火车站攻击事件的幕后黑手 

流行威胁情报
  • 美国移动供应商 T-Mobile 遭到黑客攻击,数据发生泄露

高级威胁情报
  • APT29—觊觎全球情报的国家级黑客组织(下)

  • 伊朗 Siamesekitten APT 的新间谍活动:针对以色列展开攻击

  • 朝鲜 APT37 针对韩国在线报刊发起水坑攻击

漏洞情报
  • 邮件客户端存在多个 STARTTLS 缺陷

  • 10万多个网站受 WordPress 插件中的 XSS 漏洞影响

勒索专题
  • 国内数字技术服务企业****疑似遭到勒索软件攻击

  • 美国卫生系统 Memorial Health System 遭到勒索软件袭击

钓鱼专题
  • 新型威胁趋势:受验证码保护的网络钓鱼活动在快速增长


注:由于篇幅限制,本期周报仅精选16篇发布,后台回复“822”可获取完整版周报(25篇)。


 


金融威胁情报


Neurevt 木马针对墨西哥金融机构用户展开攻击活动

Tag:Neurevt,木马,墨西哥

事件概述:

思科于2021年6月发现具有间谍软件和后门功能的新版本木马 Neurevt ,此版木马似乎只针对墨西哥金融机构用户展开攻击活动。目标一旦感染该木马,攻击者就可以访问受害者的系统并修改他们的系统设置以隐藏踪迹。Neurevt 木马通过窃取受害者的系统服务令牌提升其权限,从而访问受害者的操作系统,窃取用户帐户信息、银行网站凭据、屏幕截图等信息。

技术详情:
新版本 Neurevt 木马通过混淆的 PowerShell 命令下载 Neurevt 家族的可执行文件。木马将其他可执行文件、脚本和文件放入运行时创建的文件夹中。释放的有效载荷最终会在文件系统的安全位置运行,通过窃取服务令牌信息来提升特权,并执行释放的可执行文件。该文件会设置挂钩程序监控键盘输入和鼠标记录事件,并且收集屏幕和剪贴板信息。然后,Neurevt 会检测虚拟机和调试器环境,禁用防火墙,修改受害者机器的代理设置,以逃避检测和阻挠分析。Neurevt 木马不调用已知的 API 进行 HTTP 通信,而是使用命令与控制服务器通道进行通信和渗漏信息。 
 

来源:

https://blog.talosintelligence.com/2021/08/neurevt-trojan-takes-aim-at-mexican.html?

步点评

微步情报局建议您通过以下方式降低感染和数据泄露的风险:
  • 限制访问可疑网站和下载恶意内容;

  • Windows 管理工具、PowerShell 执行策略的使用实现基于角色的访问控制,并阻止来自 C&C 的可疑 IP 地址、域和网络流量;

  • 应安装软件最新版本,包括防病毒扫描引擎、操作系统和应用程序;

  • 禁用浏览器脚本的自动执行。


日本加密货币交易所 Liquid 遭到黑客攻击,存、取款业务已暂停

Tag:Liquid,加密货币

事件概述:
日本加密货币交易所 Liquid 于8月19日发表重要通知,称其热钱包(在线钱包)遭到黑客攻击,大量加密货币被盗。由于攻击事件,Liquid 已停止所有加密货币取款业务,但法定存款、取款业务及 Liquid 上的交易服务和 Liquid Earn 在内的其他业务,仍然可用。
据 Liquid 分析表明,黑客组织从 Liquid 加密货币钱包转移了 91.35mm 的 USDe,在第三方的帮助下,16.13 mm 的 ERC-20 资产已被冻结,并且表示 Liquid Ear 中的加密资产不受影响。Liquid 表示目前正在调查并会定期提供更新信息,并敦促用户在攻击完全缓解之前不要将加密货币资产存入 Liquid 钱包。
 
来源:https://blog.liquid.com/warm-wallet-incident


政府威胁情报


俄罗斯网络间谍组织 APT29 针对斯洛伐克政府展开攻击

Tag:间谍组织,斯洛伐克政府

事件概述:

ESET 和 IstroSec 于近期表示,俄罗斯网络间谍组织 APT29 在数月以来一直针对斯洛伐克政府展开攻击活动。APT29 是一个与俄罗斯情报部门有关联的俄罗斯网络间谍组织,多家安全机构在今年早期曾将 APT29 关联到俄罗斯对外情报局(SVR)和 SolarWinds 供应链攻击背后的组织。该组织在2021年2月至2021年7月期间发动了多次针对斯洛伐克官员的鱼叉式网络钓鱼活动。威胁组织伪装成斯洛伐克国家安全局 ( NBU ) 向斯洛伐克外交官发送电子邮件,这些文件通常是 ISO 映像文件,会在受感染的系统上下载并安装 Cobalt Strike 后门。
据 ESET 称,这些攻击活动均采用相同的策略:电子邮件->ISO 镜像->LNK 快捷方式文件->Cobalt Strike 后门。

来源:

https://therecord.media/russian-cyberspies-targeted-slovak-government-for-months/


黑客利用 CVE-2019-19781 漏洞入侵美国人口普查局,人口普查数据未受影响

Tag:漏洞,人口普查

事件概述:
据美国政府监管机构于8月16日称黑客在2020年1月滥用 Citrix 设备的主要漏洞 CVE-2019-19781 入侵了美国人口普查局的服务器。由于被黑的服务器并未连接到人口普查网络,人口普查数据并未受到此次攻击事件的影响。
攻击时间线:
  • 2020年2月5日:美国人口普查局确认其他服务器遭到黑客攻击;

  • 2020年1月31日:美国人口普查局收到第二份CISA通知,要求其调查被黑服务器;

  • 2020年1月28日:美国人口普查局运行脚本并确认其Citrix系统遭到黑客攻击;

  • 2020年1月16日:美国人口普查局的安全团队收到了来自CISA的通知,称其服务器被黑客入侵,并要求该机构进行调查;

  • 2020年1月15日:美国人口普查局收到了来自信息共享合作伙伴的恶意IP地址列表,这些地址被用于进行漏洞利用;

  • 2020年1月13日:美国人口普查局防火墙阻止攻击者与其远程命令和控制(C&C)服务器进行通信;

  • 2020年1月11日:美国人口普查局Citrix服务器遭攻击者使用公开漏洞破坏;

  • 2020年1月10日:概念验证漏洞利用代码在GitHub上发布;

  • 2019年12月17日:Citrix披露了CVE-2019-19781,这是Citrix Application Delivery Controller (简称ADC,以前称为NetScaler ADC)和 Citrix Gateway(以前称为NetScaler Gateway)中的一个漏洞。补丁不可用,但供应商发布了缓解措施以防止攻击。

 
来源:
https://www.oig.doc.gov/OIGPublications/OIG-21-034-A.pdf


能源威胁情报

 

殖民管道网络攻击事件后续:披露数据泄露行为

Tag:索软件攻击,数据泄露

事件概述:
在2021年5月殖民管道 Colonial Pipeline 发生勒索软件攻击后,Colonial Pipeline 披露勒索攻击事件导致5,810个人的敏感信息数据发生泄露。此次勒索攻击是由 Darkside 勒索组织发起的,该组织在向 Colonial Pipeline 索要了500万美元的赎金后,在6月被迫退回了大部分资金。
Colonial Pipeline 在数据泄露通知中称,在2021年5月6日至2021年7月1日期间,Colonial Pipeline 由于遭到未经授权的第三方读取系统存储记录,导致数据发生泄露,5810人受到影响。数据泄露通知显示此次泄露的信息具体包括姓名、出生日期、联系信息、驾照信息、社会安全号码、政府颁发的身份证件(如军人身份证和税号)和健康相关信息(包括健康保险信息)。
 
来源:
https://apps.web.maine.gov/online/aeviewer/ME/40/44968239-4f1b-4bb7-927c-775864a3ad07.shtml


工控威胁情报

 

芯片制造商 Realtek 的 Wi-Fi SDK 中存在多个缺陷,影响近百万物联网设备

Tag:Wi-Fi,SDK,漏洞

事件概述:
台湾芯片制造商 Realtek 于8月15日发表漏洞报告,称其 Wi-Fi 模块附带的3个软件开发工具包(SDK)存在4个安全漏洞,并且发布了相关补丁进行了针对性的漏洞修复。
攻击者可以滥用这些漏洞破坏目标设备并以最高权限执行任意代码。rtl819x-SDK-v3.2.x 系列、rtl819x-SDK-v3.4.x 系列、 rtl819x-SDK-v3.4T 系列、 rtl819x-SDK-v3.4T-CT 系列、 rtl819x-eCos-v1.5.x 系列版本均受这些漏洞的影响。这些软件开发工具包被用于65家供应商生产的近200款物联网设备,其中住宅网关、旅行路由器、Wi-Fi 中继器、IP 摄像头、智能闪电网关、连接玩具、众多厂商的路由器均受到这些软件开发工具包中的漏洞影响。研究人员还表示受这些漏洞影响设备的数量达到100万。
这4个漏洞分别是:
  • CVE-2021-35392(CVSS 8.1):由于不安全地制作 SSDP NOTIFY 消息,“WiFi 简单配置”服务器中的堆缓冲区溢出漏洞;

  • CVE-2021-35393(CVSS 8.1):由于 UPnP SUBSCRIBE/UNSUBSCRIBE 回调标头的不安全解析,“WiFi 简单配置”服务器中的堆栈缓冲区溢出漏洞;

  • CVE-2021-35394(CVSS 9.8):“UDPServer”MP 工具中的多个缓冲区溢出漏洞和任意命令注入漏洞;

  • CVE-2021-35395(CVSS 9.8):由于某些过长参数的不安全副本,HTTP Web 服务器“boa”中存在多个缓冲区溢出漏洞。

 
来源:
https://www.realtek.com/images/safe-report/Realtek_APRouter_SDK_Advisory-CVE-2021-35392_35395.pdf


Indra 组织:伊朗火车站攻击事件的幕后黑手

Tag:铁路基础设施,伊朗,Indra

事件概述:
伊朗铁路基础设施于7月9日遭到网络攻击后,全国各地车站的信息板上出现有关火车延误或取消的信息,7月10日,伊朗道路和城市化部的网站在又一次“网络中断”后停止服务。Check Point 通过与 Indra 威胁组织之前针对叙利亚多家私营公司攻击活动的工具、战术、技术之间的高度相似性,将这两次连续的网络攻击活动与 Indra 关联起来。与之前活动不同的是,Indra 威胁组织并没有公开承认对此次事件负责。Indra 威胁组织自称为反对派组织,自2019年起对多家叙利亚私营公司发起攻击活动,其中受害者 Katerji Group(卡特吉集团) 和 Arfada Petroleum(阿法达石油公司)均是美国制裁名单上的成员。研究人员还称 Indra 威胁组织不太可能是国家背景的威胁组织。 
技术详情:
CheckPoint 通过以下因素将伊朗火车站攻击事件归因至 Indra 组织:
  • 这些攻击均是针对伊朗相关的目标;
  • 多层执行流程都使用脚本文件和存档文件作为其传递方式,脚本本身虽然属于不同的文件类型,但具有几乎相同的功能;
  • 执行流程依赖于有关目标网络的先前访问和侦察信息;
  • Wiper 是部署在受害者计算机上的最终有效载荷,Meteor、Stardust 和 Comet 是同一有效载荷不同版本的 Wiper,没有迹象表明其他威胁组织曾经使用过此工具。
 
来源:
https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/


流行威胁情报

 

美国移动供应商 T-Mobile 遭到黑客攻击,数据发生泄露

Tag:T-Mobile,数据泄露,美国

事件概述:
美国三大移动供应商之一 T-Mobile 疑似遭到某个国际组织的成员黑客入侵,数据发生泄露,T-Mobile 多达1亿个账户受到影响。黑客称在上周六(8月14日)之前的两到三周时间段内均可以访问 T-Mobile 的系统。黑客还称是通过几个不同的 IP 地址 获得了 T-Mobile 系统的访问权限,然后通过暴力破解和使用内部的凭证填充访问了100台服务器,获得了 T-Mobile 的敏感数据。这些数据包括姓名、地址、电话号码、驾照信息和 IMEI 号码、国际移动用户识别码(IMSI)、 PIN 码。其中T-Mobile泄露的一部分数据(3000万社会保障号码和驾驶证号码)已在暗网论坛上出售,售价为6个比特币,约合286,000美元。T-Mobile 表示正在调查此次事件,并且没有任何迹象表明泄露的数据包括财务信息、信用卡信息、借记卡或其他支付敏感信息。
历史回顾:
T-Mobile 在过去几年中,发生了多次数据泄露事件。
2018年,T-Mobile 多达230万个账户涉及访问不安全 API 漏洞受影响;
2019年,T-Mobile 超过100万个账户的姓名、账单地址、账号、电话号码和其他详细的敏感信息遭到泄露;
2020年,T-Mobile 通知了大约 200,000 名客户数据泄露事件,其中泄露的数据信息包括电话号码、客户订阅的线路数量以及与呼叫相关的信息。
 

来源:

https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation


高级威胁情报

 

APT29—觊觎全球情报的国家级黑客组织(下)

Tag:APT29,俄罗斯

事件概述:
继8月6日微步情报局发布“APT29—觊觎全球情报的国家级黑客组织”上篇之后,8月11日发布“APT29—觊觎全球情报的国家级黑客组织”中篇后,微步情报局于8月18日发表“APT29—觊觎全球情报的国家级黑客组织”下篇。下篇主要基于落地环境、C&C、木马、隐写术剖析 APT29 的关键 TTPS,从组织背景、攻击战术、武器库等多方面梳理微步视角下“真实”的黑客画像。
APT29 作为一支在国际网络情报战中极具代表性的国家级黑客组织,其长期针对全球多数国家发动网络间谍活动窃取高价值情报信息,作为网络强国的美国正是 APT29 的主要攻击目标。《APT29—觊觎全球情报的国家级黑客组织》旨在梳理总结关于 APT29 的已披露情报信息。在复盘研究 APT29 相关攻击事件的同时,微步情报局也致力于研究将这些攻击事件归因至 APT29 的关键证据,这也正是微步情报局想传达的观念:敢于质疑已有的黑客组织归属,致力于研究披露最真实的攻击事件。最后,微步情报局希望协同各安全机构,一起致力于研究披露最真实而非合理的黑客攻击事件。
APT29相关研究报告参见:
本公众号后台回复关键字“APT29”,获取含IOC完整版PDF报告
  
来源:
https://mp.weixin.qq.com/s/GBGJ1WOVsQCpVTY9audJPA


伊朗 Siamesekitten APT 的新间谍活动:针对以色列展开攻击

Tag:Siamesekitten,伊朗,间谍活动

事件概述:
ClearSky 在近期监测到了伊朗威胁组织 Siamesekitten 针对以色列的两次攻击活动,第一次是在2021年5月初该组织针对以色列一家IT公司的攻击活动,第二次是针对以色列其他公司的类似攻击活动。在第二次攻击活动中,Siamesekitten 组织将后门恶意软件升级为“Shark”的新版本,并取代了名为“Milan”的旧版本恶意软件。
技术详情:
Siamesekitten 组织首先利用社会工程技术识别潜在受害者和要冒充的人力资源部门员工,然后创建一个冒充目标组织的网络钓鱼网站和创建与模拟组织兼容的诱饵文件,再以人力资源员工的名义在 LinkedIn 上设置虚假个人资料,诱使目标在钓鱼网站下载恶意诱饵文件(Excel 文件和一个便携式可执行PE文件)。Siamesekitten 组织通过 CMD 命令行窗口和 VB 脚本执行获取立足点,并通过恶意 Excel 文件和便携式可执行 PE 文件下载 DanBot RAT,然后下载新版本的 Shark 后门。Siamesekitten 威胁组织还通过设置计划任务来在受害者目标主机上实现长久维持,然后使用 Base64 去混淆、解码文件或信息,进行掩蔽自身踪迹。恶意后门还通过 DNS 和 HTTPS 与 C&C 进行通信,使用非标准协议将收集到的信息回传给恶意 C&C。
 

来源:

https://www.clearskysec.com/wp-content/uploads/2021/08/Siamesekitten.pdf


朝鲜 APT37 针对韩国在线报刊发起水坑攻击

Tag:APT37,朝鲜

事件概述:
Volexity 最近调查发现 InkySquid 组织(又称 APT37、ScarCruft )针对一家报道朝鲜新闻的韩国在线新闻报纸网站 Daily NK 的水坑攻击活动,恶意代码至少在 2021年3月下旬至2021年 6月上旬存在于 Daily NK 网站上。APT37 组织在攻击活动中利用 Internet Explorer 漏洞 CVE-2020-1380,Internet Explorer 和 Microsoft Edge 旧版本的漏洞 CVE-2021-26411 感染受害者,并且利用存储在 SVG 标签中的编码内容来存储密钥字符串及其初始载荷 BLUELIGHT 。
技术详情:
威胁组织 APT37 在 Daily NK 网站的合法文件中添加混淆代码,如果用户使用 Internet Explorer 访问 Daily NK,则页面会将目标重定向到 jquery[.]services 的恶意子域,加载额外的 JavaScript 文件。jquery[.]services 的不同子域被用来托管初始载荷“BLUELIGHT”,BLUELIGHT 恶意软件系列使用不同的云提供商来促进 C&C 通信。威胁组织会在受害者内部收集用户名、计算机名称、操作系统版本、网络IP、默认接口的本地IP、本地时间、进程 SID 权限级别、运行VM工具等信息,通过 XOR 编码将收集到的信息回传到 C&C ,然后捕捉屏幕截图定时迭代上传信息,并通过枚举来查询新命令,命令文件在处理后会被威胁组织删除。
 
来源:
https://www.volexity.com/blog/2021/08/17/north-korean-apt-inkysquid-infects-victims-using-browser-exploits/?


漏洞情报

 

邮件客户端存在多个 STARTTLS 缺陷

Tag:STARTTLS,漏洞

事件概述:
TLS 是当今应用最广泛、分析最充分的加密技术之一。但由于历史原因,电子邮件协议的 TLS 通常不直接使用,而是通过 STARTTLS 进行协商。研究人员指出,通过 STARTTLS 的连接是脆弱的,容易受到许多安全漏洞和攻击的影响。
安全研究人员于近日披露了多达40个与邮件客户端和服务器的机会性加密机制相关的不同漏洞,这些漏洞可导致针对性的中间人攻击、邮箱欺骗、凭据窃取,跨协议攻击。在研究期间的扫描发现,32万个电子邮件服务器容易受 STARTTLS 缺陷的影响。Apple Mail、Gmail、Mozilla Thunderbird、Claws Mail、Mutt、Evolution、Exim、Mail.ru、Samsung Email、Yandex 和 KMail 流行客户端均受这些漏洞的影响。

来源:

https://www.usenix.org/conference/usenixsecurity21/presentation/poddebniak
 


10万多个网站受 WordPress 插件中的 XSS 漏洞影响

Tag:WordPress,XSS,SEOPress

事件概述:
Wordfence 威胁情报团队于近日披露了一个 SEOPress 中的跨站脚本(XSS)漏洞,SEOPress是一个安装在10万多个站点上的 WordPress 插件,旨在通过许多不同的功能优化 WordPress 网站的 SEO。此漏洞可以使攻击者在易受攻击的站点上注入任意 Web 脚本,该脚本将在用户访问“所有帖子”页面时执行。
漏洞具体披露时间线:
  • 2021年7月29日,初步发现和分析漏洞,并开始与插件供应商联系;

  • 2021年7月30日,供应商确认用于处理披露漏洞信息的收件箱,Wordfence 向其发送完整的披露细节;

  • 2021年8月1日,供应商确认收到详细信息并开始着手修复;

  • 2021年8月4日,供应商发布包含补丁插件的最新的更新版本;

  • 2021年8月28日,Wordfence 免费用户收到防火墙规则。


来源:

https://www.wordfence.com/blog/2021/08/xss-vulnerability-patched-in-seopress-affects-100000-sites/

勒索专题



2021年8月18日

国内数字技术服务企业****疑似遭到勒索软件攻击

中国领先的软件与信息技术服务商“****”疑似遭到勒索软件攻击,被窃取并勒索的数据有5.42 GB。LOCKBIT 2.0 于近日在暗网上张贴了国内****勒索数据的倒计时警示信息条,勒索组织宣称:“由于软通网对安全的态度不佳,我们成为了他们很多数据的所有者。其中包括员工数据、外部和内部合同、财务文件。截至到8月23日,如果****不开始与我们谈判,我们将公布一小部分数据,如果软通继续忽视员工、客户和他们的数据,我们将公布全部获得的数据。”
来源:
http://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion

2021年8月15日

美国卫生系统 Memorial Health System 遭到勒索软件袭击

俄亥俄州的卫生系统 Memorial Health System 疑似遭到勒索软件攻击,电子健康记录 (EHR) 停机, 所有定于 8 月16日的放射学检查和紧急手术病例也因此被取消。Memorial Health System 在声明中表示暂停了用户对其运营相关 IT 应用程序的访问,并未透露攻击是否涉及勒索软件的具体细节。
来源:
https://www.govinfosecurity.com/memorial-health-system-in-ohio-latest-to-be-hit-attack-a-17302

钓鱼专题



2021年8月13日

新型威胁趋势:受验证码保护的网络钓鱼活动在快速增长

据多项研究论文显示受验证码保护的网络钓鱼页面呈增长趋势。网络钓鱼内容隐藏在验证码后面可防止安全爬虫检测恶意内容,并为网络钓鱼登录页面添加合法外观,促使大规模网络钓鱼和灰色软件活动变得更加复杂。我们可以通过静态 URL 分析、流量分析、使用内容分析等多种方式去检测这些恶意站点。

 

来源:

https://unit42.paloaltonetworks.com/captcha-protected-phishing/



- END -


关于微步在线研究响应团队

ThreatBook


微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台+转载文章

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

 

知识来源: id=c9f3c934730128ba7cb82feb37543f59&source_url=https%3A%2F%2Fmp.weixin.qq.com%2Fs%2FmnU7_tnE6tlpJo9tT7xt_g

阅读:649410 | 评论:1 | 标签:情报 威胁情报 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“安全威胁情报周报(08.16-08.22)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

客黑业创的万千入年:由自富财

❤用费0款退球星,年1期效有员会

🧠富财控掌,知认升提,长成起一💡

标签云 ☁