تكشف ESET Research عن حملة من مجموعة APT المعروفة باسم Evasive Panda تستهدف منظمة غير حكومية دولية في الصين ببرامج ضارة يتم تسليمها من خلال تحديثات البرامج الصينية الشهيرة
اكتشف باحثو ESET حملة ننسبها إلى مجموعة APT المعروفة باسم Evasive Panda ، حيث تم اختطاف قنوات التحديث للتطبيقات المشروعة بشكل غامض لتقديم المثبت لبرنامج MgBot الضار ، وهو الباب الخلفي الرئيسي لـ Evasive Panda.
- تم استهداف المستخدمين في الصين القارية ببرامج ضارة يتم تسليمها من خلال تحديثات للبرامج التي طورتها الشركات الصينية.
- نقوم بتحليل الفرضيات المتنافسة حول كيفية وصول البرامج الضارة إلى المستخدمين المستهدفين.
- بثقة عالية نعزو هذا النشاط إلى مجموعة Evasive Panda APT.
- نحن نقدم نظرة عامة على الباب الخلفي MgBot المميز الخاص بـ Evasive Panda ومجموعة أدواته المكونة من وحدات المكونات الإضافية.
الملف الشخصي المراوغة الباندا
المراوغة الباندا (المعروف أيضا باسم البرونز هايلاند و داجر فلاي) هي مجموعة APT ناطقة بالصينية ، نشط منذ عام 2012 على الأقل. لاحظت ESET Research المجموعة التي تجري تجسسًا إلكترونيًا ضد أفراد في الصين القارية وهونغ كونغ وماكاو ونيجيريا. تم استهداف الكيانات الحكومية في الصين وماكاو ودول جنوب شرق وشرق آسيا ، وتحديداً ميانمار والفلبين وتايوان وفيتنام ، بينما تم استهداف منظمات أخرى في الصين وهونغ كونغ. وفقًا للتقارير العامة ، استهدفت المجموعة أيضًا كيانات غير معروفة في هونغ كونغ والهند وماليزيا.
تنفذ المجموعة إطار عمل البرمجيات الخبيثة المخصص الخاص بها بهيكل معياري يسمح لبوبها الخلفي ، المعروف باسم MgBot ، بتلقي وحدات للتجسس على ضحاياها وتعزيز قدراتها.
نظرة عامة على الحملة
في يناير 2022 ، اكتشفنا أنه أثناء إجراء التحديثات ، تلقى تطبيق صيني شرعي مثبتًا للباب الخلفي Evasive Panda MgBot. خلال تحقيقنا ، اكتشفنا أن النشاط الضار يعود إلى عام 2020.
كان المستخدمون الصينيون محور هذا النشاط الضار ، والذي يظهره القياس عن بعد من خلال ESET بدءًا من عام 2020 ويستمر طوال عام 2021. وكان المستخدمون المستهدفون موجودين في مقاطعات غانسو وغوانغدونغ وجيانغسو ، كما هو موضح في الشكل 1.
غالبية الضحايا الصينيين هم أعضاء في منظمة غير حكومية دولية تعمل في اثنتين من المقاطعات المذكورة سابقاً.
كما تم اكتشاف ضحية أخرى في دولة نيجيريا.
عزو
يستخدم Evasive Panda بابًا خلفيًا مخصصًا يُعرف باسم MgBot ، والذي كان موثقة علنا في عام 2014 ولم يشهد تطورًا يذكر منذ ذلك الحين ؛ على حد علمنا ، لم يتم استخدام الباب الخلفي من قبل أي مجموعة أخرى. في هذه المجموعة من الأنشطة الخبيثة ، لوحظ فقط البرنامج الضار MgBot منتشر على الأجهزة الضحية ، إلى جانب مجموعة أدواته المكونة من المكونات الإضافية. لذلك ، بثقة عالية ننسب هذا النشاط إلى Evasive Panda.
التحليل الفني
أثناء التحقيق الذي أجريناه ، اكتشفنا أنه عند إجراء تحديثات تلقائية ، قام مكون برنامج تطبيق شرعي بتنزيل أدوات تثبيت MgBot backdoor من عناوين URL وعناوين IP الشرعية.
في الجدول 1 ، نقدم عنوان URL من حيث تم التنزيل ، وفقًا لبيانات القياس عن بُعد من ESET ، بما في ذلك عناوين IP للخوادم ، كما تم حلها في ذلك الوقت بواسطة نظام المستخدم ؛ لذلك ، نعتقد أن عناوين IP هذه شرعية. وفقًا لسجلات DNS السلبية ، تتطابق جميع عناوين IP هذه مع المجالات التي تمت ملاحظتها ، لذلك نعتقد أن عناوين IP هذه شرعية.
الجدول 1. مواقع التنزيل الضارة وفقًا لقياسات ESET عن بُعد
URL | الروية الأولى | المجال IP | ASN | تحميل |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72 [.] 74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .إملف تنفيذى |
183.232.96 [.] 107 | AS56040 | |||
61.129.7 [.] 35 | AS4811 |
فرضيات التسوية
عندما قمنا بتحليل احتمالية وجود عدة طرق يمكن أن تشرح كيف تمكن المهاجمون من تقديم برامج ضارة من خلال تحديثات مشروعة ، فقد تركنا مع سيناريوهين: تسوية سلسلة التوريد وهجمات الخصم في الوسط. بالنسبة لكلا السيناريوهين ، سنأخذ في الاعتبار أيضًا السوابق لهجمات مماثلة من قبل مجموعات APT الأخرى الناطقة بالصينية.
Tencent QQ هي خدمة وسائط اجتماعية ودردشة صينية شهيرة. في الأقسام التالية ، سنستخدم محدث برنامج عميل Tencent QQ Windows ، QQUrlMgr.exe (مدرج في الجدول 1) ، للحصول على أمثلة لدينا ، بالنظر إلى أن لدينا أكبر عدد من عمليات الاكتشاف من التنزيلات بواسطة هذا المكون المحدد.
سيناريو حل وسط سلسلة التوريد
نظرًا للطبيعة المستهدفة للهجمات ، فإننا نتوقع أن المهاجمين سيحتاجون إلى اختراق خوادم تحديث QQ لتقديم آلية لتحديد المستخدمين المستهدفين لتسليمهم البرامج الضارة ، وتصفية المستخدمين غير المستهدفين وتقديم تحديثات مشروعة لهم - قمنا بالتسجيل الحالات التي تم فيها تنزيل تحديثات شرعية من خلال نفس البروتوكولات التي تم إساءة استخدامها.
على الرغم من أنها ليست قضية Evasive Panda ، إلا أن المثال الرئيسي لهذا النوع من التسوية موجود في تقريرنا عملية NightScout: هجوم سلسلة التوريد يستهدف الألعاب عبر الإنترنت في آسيا، حيث قام المهاجمون بخرق خوادم التحديث الخاصة بشركة مطور برامج مقرها في هونغ كونغ. وفقًا للقياس عن بُعد الخاص بنا ، تم تثبيت برنامج BigNox على أكثر من 100,000 مستخدم ، لكن خمسة فقط لديهم برامج ضارة تم تسليمها من خلال تحديث. نشك في أن المهاجمين قد اخترقوا BigNox API على خادم التحديث للرد على مكون المحدث على أجهزة المستخدمين المستهدفين بعنوان URL إلى خادم حيث استضاف المهاجمون برامجهم الضارة ؛ تم إرسال عنوان URL الشرعي للتحديث للمستخدمين غير المستهدفين.
بناءً على هذا السوابق ، نوضح في الشكل 2 كيف يمكن لسيناريو حل وسط سلسلة التوريد أن يتكشف وفقًا للملاحظات في القياس عن بُعد لدينا. ومع ذلك ، يجب أن نحذر القارئ من أن هذا مجرد تخمين واستناداً إلى تحليلنا الثابت ، بمعلومات محدودة للغاية ، QQUrlMgr.exe (شا -1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
وتجدر الإشارة أيضًا إلى أنه أثناء بحثنا لم نتمكن مطلقًا من استرداد عينة من بيانات "تحديث" XML - لا عينة XML شرعية ولا ضارة - من الخادم الذي تم الاتصال به بواسطة QQUrlMgr.exe. عنوان URL الخاص بـ "فحص التحديث" مشفر بشكل غير واضح ، في الملف القابل للتنفيذ ، كما هو موضح في الشكل 3.
غير واضح ، عنوان URL الكامل للتحقق من التحديث هو:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
يستجيب الخادم ببيانات بتنسيق XML مشفرة باستخدام base64 ومشفرة بتنفيذ خوارزمية TEA باستخدام مفتاح 128 بت. تحتوي هذه البيانات على إرشادات لتنزيل ملف وتنفيذه ، إلى جانب معلومات أخرى. نظرًا لأن مفتاح فك التشفير مشفر أيضًا ، كما هو موضح في الشكل 4 ، فقد يكون معروفًا للمهاجمين.
QQUrlMgr.exe ثم يقوم بتنزيل الملف المشار إليه ، غير المشفر ، عبر HTTP ويقوم بتجزئة محتوياته باستخدام خوارزمية MD5. يتم التحقق من النتيجة مقابل تجزئة موجودة في بيانات XML لاستجابة التحقق من التحديث ، كما هو موضح في الشكل 5. إذا تطابق التجزئات ، QQUrlMgr.exe ينفذ الملف الذي تم تنزيله. يعزز هذا فرضيتنا القائلة بأن المهاجمين سيحتاجون إلى التحكم في آلية جانب خادم XML في خادم التحديث حتى يتمكنوا من توفير تجزئة MD5 الصحيحة لمثبت البرامج الضارة.
نعتقد أن هذا السيناريو سوف يشرح ملاحظاتنا ؛ ومع ذلك ، يتم ترك العديد من الأسئلة دون إجابة. لقد تواصلنا مع Tencent's مركز الاستجابة الأمنية لتأكيد شرعية عنوان URL الكامل الذي تم تنزيل البرنامج الضار منه ؛ update.browser.qq [.] com هو - وقت كتابة هذا التقرير - غير قابل للوصول ، لكن Tencent لم تتمكن من تأكيد ما إذا كان عنوان URL الكامل شرعيًا.
سيناريو الخصم في الوسط
في 2022-06-02 ، نشرت Kaspersky ملف بحث تقرير حول قدرات مجموعة LuoYu APT الناطقة بالصينية والبرامج الضارة WinDealer الخاصة بهم. على غرار ما لاحظناه في هذه المجموعة من ضحايا Evasive Panda ، وجد باحثوهم أنه منذ عام 2020 ، تلقى ضحايا LuoYu برنامج WinDealer الضار من خلال التحديثات عبر التطبيق الشرعي qgametool.exe من PPTV برنامج تم تطويره أيضًا بواسطة شركة صينية.
يتمتع WinDealer بقدرة محيرة: فبدلاً من حمل قائمة بخوادم القيادة والتحكم القائمة للاتصال في حالة التوصل إلى حل وسط ناجح ، فإنه ينشئ عناوين IP عشوائية في 13.62.0.0/15 و 111.120.0.0/14 نطاقات من China Telecom AS4134. على الرغم من كونها مصادفة صغيرة ، فقد لاحظنا أن عناوين IP للمستخدمين الصينيين المستهدفين في وقت تلقي البرنامج الضار MgBot كانت على نطاقات عناوين IP AS4134 و AS4135.
التفسيرات المحتملة لما يمكّن هذه القدرات لبنية القيادة والتحكم الخاصة به هي أن LuoYu إما يتحكم في كمية كبيرة من الأجهزة المرتبطة بعناوين IP على تلك النطاقات ، أو أنهم قادرون على القيام به الخصم في الوسط (AitM) أو اعتراض المهاجم على الجانب على البنية التحتية لذلك AS بالتحديد.
ستكون أنماط اعتراض AitM ممكنة إذا كان المهاجمون - إما LuoYu أو Evasive Panda - قادرين على اختراق الأجهزة الضعيفة مثل أجهزة التوجيه أو البوابات. سابقة ، في عام 2019 اكتشف باحثو ESET أن مجموعة APT الصينية المعروفة باسم BlackTech كانت تنفذ هجمات AitM من خلال أجهزة توجيه ASUS المخترقة وتقدم برنامج Plead الضار من خلال تحديثات برنامج ASUS WebStorage.
من خلال الوصول إلى البنية التحتية الأساسية لمزود خدمة الإنترنت - من خلال وسائل قانونية أو غير قانونية - سيكون Evasive Panda قادرًا على اعتراض والرد على طلبات التحديث التي يتم إجراؤها عبر HTTP ، أو حتى تعديل الحزم أثناء التنقل. في أبريل 2023 ، باحثو سيمانتيك وذكرت على Evasive Panda الذي يستهدف منظمة اتصالات في إفريقيا.
ختامية
في النهاية ، بدون أدلة إضافية ، لا يمكننا إثبات أو تجاهل فرضية واحدة لصالح الأخرى ، بالنظر إلى أن مثل هذه القدرات في متناول اليد لمجموعات APT الصينية.
مجموعة أدوات
مجبوت
MgBot هو الباب الخلفي الأساسي لنظام التشغيل Windows الذي تستخدمه Evasive Panda ، والذي وفقًا لنتائجنا كان موجودًا منذ عام 2012 على الأقل ، وكما هو مذكور في منشور المدونة هذا ، فقد تم نشره علنًا موثقة في VirusBulletin في عام 2014. تم تطويره في C ++ بتصميم موجه للكائنات ، ولديه القدرة على التواصل عبر TCP و UDP ، وتوسيع وظائفه عبر وحدات المكونات الإضافية.
لم يتغير برنامج التثبيت والباب الخلفي الخاص بـ MgBot ووظائفهما بشكل ملحوظ منذ توثيقه لأول مرة. سلسلة تنفيذها هي نفسها كما هو موضح في هذا تقرير بواسطة Malwarebytes من 2020.
الإضافات MgBot
تسمح بنية MgBot المعيارية لها بتوسيع وظائفها من خلال تلقي ونشر الوحدات على الجهاز المخترق. يسرد الجدول 2 المكونات الإضافية المعروفة ووظائفها. من المهم ملاحظة أن المكونات الإضافية لا تحتوي على أرقام تعريف داخلية فريدة ؛ لذلك نحن نحددهم هنا من خلال أسماء DLL الخاصة بهم على القرص ، والتي لم نشهد تغييرًا من قبل.
الجدول 2. قائمة ملفات DLL للبرنامج المساعد
اسم البرنامج المساعد DLL | نبذة |
---|---|
Kstrcs.dll | كلوغر. يقوم فقط بتسجيل ضغطات المفاتيح بشكل نشط عندما تنتمي النافذة الأمامية إلى عملية مسماة QQ.exe ويتطابق عنوان النافذة QQEdit. من المحتمل أن يكون الهدف هو تطبيق الدردشة Tencent QQ. |
sebasek.dll | ملف سارق. يحتوي على ملف تكوين يتيح تجميع الملفات من مصادر مختلفة: محركات الأقراص الثابتة ومحركات أقراص USB المحمولة والأقراص المضغوطة ؛ بالإضافة إلى المعايير المستندة إلى خصائص الملف: يجب أن يحتوي اسم الملف على كلمة أساسية من قائمة محددة مسبقًا ، ويجب أن يكون حجم الملف بين حد أدنى وأقصى للحجم. |
ملف Cbmrpa.dll | يلتقط النص المنسوخ إلى الحافظة ويسجل المعلومات من مفتاح تسجيل USBSTOR. |
pRsm.dll | يلتقط الإدخال والإخراج تدفقات الصوت. |
mailLFpassword.dll | سارق الاعتماد. يسرق بيانات الاعتماد من برنامج عميل البريد الإلكتروني في Outlook و Foxmail. |
Agentpwd.dll | سارق الاعتماد. يسرق بيانات الاعتماد من Chrome و Opera و Firefox و Foxmail و QQBrowser و FileZilla و WinSCP ، من بين آخرين. |
qmsdp.dll | مكون إضافي معقد مصمم لسرقة المحتوى من قاعدة بيانات Tencent QQ التي تخزن محفوظات رسائل المستخدم. يتم تحقيق ذلك عن طريق الترقيع في الذاكرة لمكون البرنامج KernelUtils.dll وإسقاط مزيف userenv.dll DLL. |
wcdbcrk.dll | سارق المعلومات لـ Tencent WeChat. |
gmck.dll | ملفات تعريف الارتباط لـ Firefox و Chrome و Edge. |
تم تصميم غالبية المكونات الإضافية لسرقة المعلومات من التطبيقات الصينية الشائعة للغاية مثل QQ و WeChat و QQBrowser و Foxmail - وكلها تطبيقات طورتها Tencent.
وفي الختام
اكتشفنا حملة ننسبها إلى مجموعة Evasive Panda APT ، تستهدف المستخدمين في الصين القارية ، وتوصيل باب خلفي MgBot من خلال بروتوكولات تحديث التطبيقات من الشركات الصينية المعروفة. قمنا أيضًا بتحليل المكونات الإضافية لـ MgBot backdoor ووجدنا أن معظمها مصمم للتجسس على مستخدمي البرامج الصينية عن طريق سرقة بيانات الاعتماد والمعلومات.
شركات النفط العالمية
ملفات
SHA-1 | اسم الملف | كشف | الوصف |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot Information Stealer. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot file stealer. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | ملف kstrcs.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot keylogger. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot cookie stealer. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot Information Stealer. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32 / Agent.VFT | البرنامج المساعد لالتقاط الصوت MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32 / وكيل. ABUJ | البرنامج المساعد لالتقاط نص الحافظة MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | Agentpwd.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot لسرقة بيانات الاعتماد. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32 / Agent.VFT | البرنامج المساعد MgBot لسرقة بيانات الاعتماد. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32 / Kryptik.HRRI | مثبت MgBot. |
شبكة
IP | مزود | الروية الأولى | التفاصيل |
---|---|---|---|
122.10.88 [.] 226 | AS55933 كلاودي المحدودة | 2020-07-09 | خادم MgBot C&C. |
122.10.90 [.] 12 | AS55933 كلاودي المحدودة | 2020-09-14 | خادم MgBot C&C. |
تقنيات MITER ATT & CK
تم بناء هذا الجدول باستخدام إصدار 12 من إطار MITER ATT & CK.
تكتيك | ID | الاسم | الوصف |
---|---|---|---|
تنمية الموارد | T1583.004 | اكتساب البنية التحتية: الخادم | حصلت Evasive Panda على خوادم لاستخدامها في البنية التحتية للقيادة والتحكم. |
T1587.001 | تطوير القدرات: البرامج الضارة | تطور Evasive Panda الباب الخلفي المخصص والمكونات الإضافية لـ MgBot ، بما في ذلك اللوادر المشوشة. | |
التنفيذ | T1059.003 | مترجم الأوامر والبرمجة: Windows Command Shell | يقوم برنامج تثبيت MgBot بتشغيل الخدمة من ملفات BAT باستخدام الأمر بدء صافي AppMgmt |
T1106 | API الأصلي | يستخدم مثبّت MgBot ملف إنشاء عملية داخليةW API للتنفيذ rundll32.exe لتحميل DLL الخلفي. | |
T1569.002 | خدمات النظام: تنفيذ الخدمة | يتم تنفيذ MgBot كخدمة Windows. | |
إصرار | T1543.003 | إنشاء أو تعديل عملية النظام: خدمة Windows | يستبدل MgBot مسار خدمة إدارة التطبيقات DLL الموجودة بمسارها الخاص. |
التصعيد امتياز | T1548.002 | آلية التحكم في الارتفاع عن طريق إساءة الاستخدام: تجاوز التحكم في حساب المستخدم | ينفذ برنامج MgBot تجاوز UAC. |
التهرب الدفاعي | T1140 | فك تشفير / فك تشفير الملفات أو المعلومات | يقوم برنامج التثبيت الخاص بـ MgBot بفك تشفير ملف CAB مضمن يحتوي على DLL الخلفي. |
T1112 | تعديل التسجيل | يعدل MgBot التسجيل للاستمرار. | |
T1027 | ملفات أو معلومات مبهمة | يحتوي مثبت MgBot على ملفات برامج ضارة مضمنة وسلاسل مشفرة. يحتوي MgBot على سلاسل مشفرة. تحتوي ملحقات MgBot على ملفات DLL مضمنة. | |
T1055.002 | عملية الحقن: الحقن القابل للتنفيذ المحمول | يمكن لـ MgBot حقن الملفات القابلة للتنفيذ المحمولة في العمليات البعيدة. | |
الوصول إلى بيانات الاعتماد | T1555.003 | بيانات الاعتماد من مخازن كلمات المرور: بيانات الاعتماد من متصفحات الويب | وحدة البرنامج المساعد MgBot Agentpwd.dll يسرق بيانات الاعتماد من متصفحات الويب. |
T1539 | سرقة ملف تعريف ارتباط جلسة الويب | وحدة البرنامج المساعد MgBot gmck.dll يسرق ملفات تعريف الارتباط. | |
الاكتشاف | T1082 | اكتشاف معلومات النظام | يجمع MgBot معلومات النظام. |
T1016 | اكتشاف تكوين شبكة النظام | MgBot لديه القدرة على استعادة معلومات الشبكة. | |
T1083 | اكتشاف الملفات والدليل | MgBot لديه القدرة على إنشاء قوائم الملفات. | |
مجموعة | T1056.001 | التقاط الإدخال: Keylogging | وحدة البرنامج المساعد MgBot ملف kstrcs.dll هو كيلوغر. |
T1560.002 | أرشفة البيانات المجمعة: أرشفة عبر المكتبة | وحدة البرنامج المساعد MgBot sebasek.dll يستخدم aPLib لضغط الملفات المرحلية للتسلل. | |
T1123 | التقاط الصوت | وحدة البرنامج المساعد MgBot pRsm.dll يلتقط تدفقات الإدخال والإخراج الصوتية. | |
T1119 | التحصيل الآلي | تلتقط الوحدات النمطية لبرنامج MgBot البيانات من مصادر مختلفة. | |
T1115 | بيانات الحافظة | وحدة البرنامج المساعد MgBot ملف Cbmrpa.dll يلتقط النص المنسوخ إلى الحافظة. | |
T1025 | البيانات من الوسائط القابلة للإزالة | وحدة البرنامج المساعد MgBot sebasek.dll يجمع الملفات من الوسائط القابلة للإزالة. | |
T1074.001 | تنظيم البيانات: التدريج المحلي للبيانات | تقوم وحدات البرنامج المساعد لـ MgBot بعرض البيانات محليًا على القرص. | |
T1114.001 | جمع البريد الإلكتروني: جمع البريد الإلكتروني المحلي | تم تصميم وحدات البرنامج المساعد لـ MgBot لسرقة بيانات الاعتماد ومعلومات البريد الإلكتروني من العديد من التطبيقات. | |
T1113 | القبض على الشاشة | يمكن لـ MgBot التقاط لقطات شاشة. | |
القيادة والتحكم | T1095 | بروتوكول طبقة غير التطبيق | يتواصل MgBot مع C & C من خلال بروتوكولات TCP و UDP. |
exfiltration | T1041 | تسلل عبر قناة C2 | يقوم MgBot بسحب البيانات التي تم جمعها عبر C & C. |
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :لديها
- :يكون
- :ليس
- :أين
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- ماهرون
- من نحن
- الوصول
- وفقا
- حسابي
- تحقق
- المكتسبة
- بنشاط
- نشاط
- إضافي
- عناوين
- أفريقيا
- ضد
- خوارزمية
- الكل
- يسمح
- على طول
- أيضا
- بالرغم ان
- من بين
- كمية
- an
- تحليل
- تحليل
- و
- أي وقت
- API
- تطبيق
- التطبيقات
- ابريل
- APT
- هندسة معمارية
- أرشيف
- هي
- AS
- الآسيوية
- أسوشيتد
- At
- مهاجمة
- الهجمات
- سمعي
- الآلي
- الى الخلف
- العمود الفقري
- الباب الخلفي
- على أساس
- BAT
- BE
- كان
- اعتقد
- ينتمي
- أفضل
- ما بين
- المدونة
- على حد سواء
- المتصفح
- المتصفحات
- بنيت
- لكن
- by
- C + +
- الحملات
- CAN
- لا تستطيع
- قدرات
- أسر
- يلتقط
- تحمل
- حقيبة
- الحالات
- سلسلة
- تغيير
- قنوات
- التحقق
- التحقق
- الصين
- الصينية
- الكروم
- زبون
- كتلة
- الكود
- صدفة
- مجموعة شتاء XNUMX
- التواصل
- الشركات
- حول الشركة
- المنافسة
- إكمال
- مجمع
- عنصر
- حل وسط
- تسوية
- إجراء
- الثقة
- الاعداد
- أكد
- التواصل
- تحتوي على
- يحتوي
- محتوى
- محتويات
- استمرار
- مراقبة
- ملفات تعريف الارتباط ( الكوكيز )
- استطاع
- دولة
- البلد
- خلق
- الاعتماد
- أوراق اعتماد
- المعايير
- على
- البيانات
- قاعدة البيانات
- تعريف
- نقل
- تم التوصيل
- تقديم
- يسلم
- نشر
- نشر
- وصف
- تصميم
- تصميم
- المتقدمة
- المطور
- يطور
- الأجهزة
- مختلف
- اكتشف
- DNS
- do
- المجالات
- لا
- بإمكانك تحميله
- التنزيلات
- إسقاط
- أثناء
- الشرق
- حافة
- إما
- البريد الإلكتروني
- جزءا لا يتجزأ من
- تمكن
- مشفرة
- تعزيز
- الكيانات
- أبحاث إسيت
- أنشئ
- حتى
- دليل
- تطور
- مثال
- أمثلة
- تنفيذ
- ينفذ
- exfiltration
- القائمة
- شرح
- مد
- زائف
- صالح
- الشكل
- قم بتقديم
- ملفات
- تصفية
- برنامج فايرفوكس
- الاسم الأول
- الرائد
- تركز
- في حالة
- النموذج المرفق
- وجدت
- الإطار
- تبدأ من
- بالإضافة إلى
- وظيفة
- إضافي
- الألعاب
- يولد
- معطى
- حكومة
- الجهات الحكومية
- تجمع
- مجموعات
- قوانغدونغ
- كان
- يد
- مزيج
- يملك
- هنا
- مرتفع
- أعلى
- جدا
- تاريخ
- كونغ
- 香港
- استضافت
- كيفية
- لكن
- HTTP
- HTTPS
- هوية
- تحديد
- تحديد
- if
- غير شرعي
- التنفيذ
- الأدوات
- أهمية
- in
- بما فيه
- الهند
- وأشار
- الأفراد
- معلومات
- البنية التحتية
- إدخال
- تثبيت
- بدلًا من ذلك
- تعليمات
- داخلي
- عالميا
- إلى
- تقديم
- تحقيق
- IP
- عناوين الانترنت بروتوكول
- ISP
- IT
- انها
- يناير
- Kaspersky
- القفل
- المعرفة
- معروف
- هونغ
- كبير
- تطلق
- طبقة
- شروط وأحكام
- شرعية
- شرعي
- على الأرجح
- محدود
- قائمة
- المدرج
- مصانع
- قوائم
- القليل
- تحميل
- محلي
- محليا
- تقع
- المواقع
- آلة
- الآلات
- البر الرئيسى
- أغلبية
- ماليزيا
- البرمجيات الخبيثة
- التقيم
- تمكن
- إدارة
- كثير
- رسم خريطة
- مباراة
- ماكس العرض
- أقصى
- MD5
- يعني
- آلية
- الوسائط
- الأعضاء
- المذكورة
- الرسالة
- طرق
- الحد الأدنى
- تعديل
- وحدات
- وحدة
- الوحدات
- الأكثر من ذلك
- ميانمار
- عين
- أسماء
- الطبيعة
- حاجة
- بحاجة
- لا هذا ولا ذاك
- شبكة
- التالي
- المنظمات غير الحكومية
- نيجيريا
- عدد
- أرقام
- of
- on
- ONE
- online
- الألعاب عبر الإنترنت
- فقط
- العمل
- تعمل
- or
- منظمة
- المنظمات
- نشأت
- أخرى
- أخرى
- لنا
- خارج
- بريد اوتلوك
- الناتج
- على مدى
- نظرة عامة
- الخاصة
- الحزم
- خاص
- سلبي
- كلمة المرور
- الترقيع
- مسار
- أداء
- ينفذ
- إصرار
- الفلبين
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- تضرع
- المساعد
- الإضافات
- نقاط
- الرائج
- ممكن
- منشور
- يقدم
- سابقا
- ابتدائي
- رئيسي
- عملية المعالجة
- العمليات
- HAS
- البروتوكولات
- إثبات
- تزود
- محافظات
- جمهور
- علانية
- نشرت
- بحت
- الأسئلة المتكررة
- عشوائية
- التي تم الوصول إليها
- قارئ
- تسلم
- تلقى
- يستلم
- تسجيل
- استعادة
- مسجل
- سجل
- عن بعد
- الرد
- تقرير
- التقارير
- طلبات
- بحث
- الباحثين
- حل
- استجابة
- نتيجة
- s
- نفسه
- سيناريو
- سيناريوهات
- لقطات
- أقسام
- أمن
- رأيت
- تسلسل
- خوادم
- الخدمة
- خدماتنا
- الجلسة
- عدة
- أظهرت
- يظهر
- بشكل ملحوظ
- مماثل
- منذ
- المقاس
- صغير
- العدالة
- وسائل التواصل الاجتماعي
- تطبيقات الكمبيوتر
- مصادر
- على وجه التحديد
- تخمين
- المسرح
- بداية
- ابتداء
- تسرق
- لا يزال
- فروعنا
- تيارات
- ناجح
- هذه
- نظام
- جدول
- تايوان
- أخذ
- الهدف
- المستهدفة
- استهداف
- الأهداف
- شاي
- الاتصالات
- الاتصالات
- تينسنت
- من
- أن
- •
- الفلبين
- من مشاركة
- منهم
- then
- وبالتالي
- تشبه
- هم
- هؤلاء
- عبر
- طوال
- الوقت
- عنوان
- إلى
- أدوات
- نوع
- فريد من نوعه
- لا يمكن الوصول
- تحديث
- آخر التحديثات
- URL
- USB
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- مختلف
- جدا
- بواسطة
- ضحية
- ضحايا
- فيتنام
- الضعيفة
- وكان
- we
- الويب
- متصفحات الانترنت
- وي شات
- حسن
- معروف
- كان
- ابحث عن
- متى
- سواء
- التي
- في حين
- واسع
- ويكيبيديا
- سوف
- نوافذ
- مع
- بدون
- قيمة
- سوف
- جاري الكتابة
- XML
- زفيرنت