ESET Research afslører en kampagne fra APT-gruppen kendt som Evasive Panda rettet mod en international NGO i Kina med malware leveret gennem opdateringer af populær kinesisk software
ESET-forskere har opdaget en kampagne, som vi tilskriver APT-gruppen kendt som Evasive Panda, hvor opdateringskanaler af legitime applikationer på mystisk vis blev kapret for at levere installationsprogrammet til MgBot-malwaren, Evasive Pandas flagskibsbagdør.
- Brugere på det kinesiske fastland blev målrettet med malware leveret gennem opdateringer til software udviklet af kinesiske virksomheder.
- Vi analyserer de konkurrerende hypoteser om, hvordan malwaren kunne være blevet leveret til målrettede brugere.
- Med stor tillid tilskriver vi denne aktivitet til Evasive Panda APT-gruppen.
- Vi giver et overblik over Evasive Pandas signatur bagdør MgBot og dets værktøjssæt af plugin-moduler.
Undvigende Panda profil
Undvigende Panda (også kendt som BRONZEHØJLAND , Dolkeflue) er en kinesisk-talende APT-gruppe, aktiv siden mindst 2012. ESET Research har observeret gruppen, der udfører cyberspionage mod enkeltpersoner i det kinesiske fastland, Hongkong, Macao og Nigeria. Regeringsenheder blev målrettet i Kina, Macao og sydøst- og østasiatiske lande, specifikt Myanmar, Filippinerne, Taiwan og Vietnam, mens andre organisationer i Kina og Hong Kong også var målrettet. Ifølge offentlige rapporter har gruppen også rettet mod ukendte enheder i Hong Kong, Indien og Malaysia.
Gruppen implementerer sin egen tilpassede malware-ramme med en modulær arkitektur, der gør det muligt for dens bagdør, kendt som MgBot, at modtage moduler til at spionere på sine ofre og forbedre sine muligheder.
Kampagneoversigt
I januar 2022 opdagede vi, at under udførelsen af opdateringer, havde en legitim kinesisk applikation modtaget et installationsprogram til Evasive Panda MgBot-bagdøren. Under vores undersøgelse opdagede vi, at den ondsindede aktivitet gik tilbage til 2020.
Kinesiske brugere var i fokus for denne ondsindede aktivitet, som ESET-telemetri viser startende i 2020 og fortsætter gennem 2021. De målrettede brugere var placeret i Gansu-, Guangdong- og Jiangsu-provinserne, som vist i figur 1.
Størstedelen af de kinesiske ofre er medlemmer af en international NGO, der opererer i to af de tidligere nævnte provinser.
Et yderligere offer blev også opdaget at være lokaliseret i landet Nigeria.
Attribution
Evasive Panda bruger en brugerdefineret bagdør kendt som MgBot, som var offentligt dokumenteret i 2014 og har set lidt udvikling siden da; så vidt vi ved, er bagdøren ikke blevet brugt af nogen anden gruppe. I denne klynge af ondsindet aktivitet blev kun MgBot-malwaren observeret installeret på ofre maskiner sammen med dets værktøjssæt af plugins. Derfor tilskriver vi med stor tillid denne aktivitet til Evasive Panda.
Teknisk analyse
Under vores undersøgelse opdagede vi, at en legitim applikationssoftwarekomponent downloadede MgBot-bagdørsinstallatører fra legitime URL'er og IP-adresser, når de udførte automatiserede opdateringer.
I tabel 1 angiver vi URL'en, hvorfra overførslen stammer fra, ifølge ESET-telemetridata, inklusive servernes IP-adresser, som blev løst på det tidspunkt af brugerens system; derfor mener vi, at disse IP-adresser er legitime. Ifølge passive DNS-registreringer matcher alle disse IP-adresser de observerede domæner, derfor mener vi, at disse IP-adresser er legitime.
Tabel 1. Ondsindede downloadplaceringer i henhold til ESET-telemetri
URL | Først set | Domæne IP | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Hypoteser om kompromis
Da vi analyserede sandsynligheden for flere metoder, der kunne forklare, hvordan angriberne formåede at levere malware gennem legitime opdateringer, stod vi tilbage med to scenarier: kompromis i forsyningskæden og modstander-i-midten-angreb. For begge scenarier vil vi også tage hensyn til antecedenter for lignende angreb fra andre kinesisk-talende APT-grupper.
Tencent QQ er en populær kinesisk chat- og social medietjeneste. I de næste afsnit vil vi bruge Tencent QQ Windows-klientsoftwareopdateringen, QQUrlMgr.exe (angivet i tabel 1), for vores eksempler, givet at vi har det højeste antal registreringer fra downloads af denne særlige komponent.
Supply-chain kompromis scenarie
I betragtning af angrebenes målrettede karakter, spekulerer vi i, at angribere ville have været nødt til at kompromittere QQ-opdateringsserverne for at indføre en mekanisme til at identificere de målrettede brugere for at levere dem malware, filtrere ikke-målrettede brugere og levere dem legitime opdateringer – vi registrerede tilfælde, hvor legitime opdateringer blev downloadet gennem de samme misbrugte protokoller.
Selvom det ikke er en undvigende Panda-sag, er et godt eksempel på denne type kompromis i vores betænkning Operation NightScout: Supply-chain-angreb retter sig mod onlinespil i Asien, hvor angribere kompromitterede opdateringsserverne hos et softwareudviklerfirma med base i Hong Kong. Ifølge vores telemetri havde mere end 100,000 brugere BigNox-softwaren installeret, men kun fem fik malware leveret gennem en opdatering. Vi formoder, at angriberne kompromitterede BigNox API på opdateringsserveren for at svare på opdateringskomponenten på målrettede brugeres maskiner med en URL til en server, hvor angriberne hostede deres malware; ikke-målrettede brugere fik tilsendt den legitime opdaterings-URL.
Baseret på dette forudgående illustrerer vi i figur 2, hvordan kompromisscenariet i forsyningskæden kunne have udfoldet sig ifølge observationer i vores telemetri. Alligevel må vi advare læseren om, at dette er ren spekulation og baseret på vores statiske analyse, med meget begrænset information, af QQUrlMgr.exe (sha-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Det er også værd at bemærke, at vi under vores forskning aldrig var i stand til at hente en prøve af XML-"opdaterings"-dataene – hverken en legitim eller en ondsindet XML-prøve – fra den server, som kontaktes af QQUrlMgr.exe. "Update check" URL'en er hårdkodet i sløret form i den eksekverbare, som vist i figur 3.
Deobfusceret, den komplette opdateringskontrol-URL er:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Serveren reagerer med XML-formaterede data kodet med base64 og krypteret med en implementering af TEA-algoritmen ved hjælp af en 128-bit nøgle. Disse data indeholder instruktioner til at downloade og udføre en fil sammen med andre oplysninger. Da dekrypteringsnøglen også er hårdkodet, som vist i figur 4, kan den være kendt af angriberne.
QQUrlMgr.exe downloader derefter den angivne fil, ukrypteret, via HTTP og hash dens indhold med MD5-algoritmen. Resultatet kontrolleres mod en hash, der er til stede i opdateringskontrolsvarets XML-data, som vist i figur 5. Hvis hasherne matcher, QQUrlMgr.exe udfører den downloadede fil. Dette forstærker vores hypotese om, at angriberne skal kontrollere XML-server-side-mekanismen i opdateringsserveren for at kunne levere den korrekte MD5-hash for malware-installationsprogrammet.
Vi mener, at dette scenarie ville forklare vores observationer; mange spørgsmål er dog ubesvarede. Vi nåede ud til Tencent's Sikkerhedsresponscenter at bekræfte legitimiteten af den fulde URL, hvorfra malwaren blev downloadet; update.browser.qq[.]com er – i skrivende stund – ikke tilgængelig, men Tencent kunne ikke bekræfte, om den fulde URL var legitim.
Modstander-i-midten-scenarie
Den 2022-06-02 udgav Kaspersky en forskning rapport om mulighederne for den kinesisk-talende LuoYu APT-gruppe og deres WinDealer malware. I lighed med det, vi observerede på denne klynge af undvigende Panda-ofre, fandt deres forskere ud af, at ofre for LuoYu siden 2020 havde modtaget WinDealer-malwaren gennem opdateringer via den legitime applikation qgametool.exe fra PPTV software, også udviklet af et kinesisk firma.
WinDealer har en forvirrende evne: i stedet for at have en liste over etablerede C&C-servere til at kontakte i tilfælde af et vellykket kompromis, genererer den tilfældige IP-adresser i 13.62.0.0/15 , 111.120.0.0/14 spænder fra China Telecom AS4134. Selvom det var en lille tilfældighed, har vi bemærket, at IP-adresserne på de kinesiske brugere, der er målrettet, på det tidspunkt, hvor de modtog MgBot-malwaren, var på IP-adresseområderne AS4134 og AS4135.
Mulige forklaringer på, hvad der muliggør disse muligheder for dens C&C-infrastruktur er, at LuoYu enten kontrollerer en stor mængde enheder, der er forbundet med IP-adresserne på disse områder, eller at de er i stand til at modstander-i-midten (AitM) eller angriber-på-siden aflytning på infrastrukturen af det pågældende AS.
AitM-stile af aflytning ville være mulige, hvis angriberne – enten LuoYu eller Evasive Panda – var i stand til at kompromittere sårbare enheder såsom routere eller gateways. Som en antecedent, i 2019 ESET-forskere opdagede at den kinesiske APT-gruppe kendt som BlackTech udførte AitM-angreb gennem kompromitterede ASUS-routere og leverede Plead-malwaren gennem ASUS WebStorage-softwareopdateringer.
Med adgang til internetudbyderens backbone-infrastruktur – gennem lovlige eller ulovlige midler – ville Evasive Panda være i stand til at opsnappe og svare på opdateringsanmodninger, der udføres via HTTP, eller endda ændre pakker på farten. I april 2023, Symantec-forskere rapporteret om Evasive Panda rettet mod en telekommunikationsorganisation i Afrika.
Wrap-up
I sidste ende, uden yderligere beviser, kan vi ikke bevise eller afvise den ene hypotese til fordel for den anden, i betragtning af at sådanne kapaciteter er til rådighed for kinesiske APT-grupper.
Værktøjssæt
MgBot
MgBot er den primære Windows-bagdør brugt af Evasive Panda, som ifølge vores resultater har eksisteret siden mindst 2012 og, som nævnt i dette blogindlæg, var offentligt dokumenteret på VirusBulletin i 2014. Det blev udviklet i C++ med et objektorienteret design og har evnerne til at kommunikere via TCP og UDP og udvide dets funktionalitet via plugin-moduler.
MgBots installatør og bagdør og deres funktionalitet har ikke ændret sig væsentligt, siden det først blev dokumenteret. Dens udførelseskæde er den samme som beskrevet i denne indberette af Malwarebytes fra 2020.
MgBot plugins
MgBots modulære arkitektur giver den mulighed for at udvide sin funktionalitet ved at modtage og implementere moduler på den kompromitterede maskine. Tabel 2 viser de kendte plugins og deres funktionalitet. Det er vigtigt at bemærke, at plugins ikke har unikke interne identifikationsnumre; derfor identificerer vi dem her ved deres DLL-navne på disken, som vi aldrig har set ændre sig.
Tabel 2. Liste over plugin DLL-filer
Plugin DLL navn | Oversigt |
---|---|
Kstrcs.dll | Keylogger. Den logger kun aktivt tastetryk, når forgrundsvinduet tilhører en proces med navn QQ.exe og vinduets titel matcher QQEdit. Det er sandsynligt, at målet er Tencent QQ-chatapplikationen. |
sebasek.dll | Filtyver. Har en konfigurationsfil, der muliggør indsamling af filer fra forskellige kilder: HDD'er, USB-drev og cd-rom'er; samt kriterier baseret på filegenskaberne: filnavn skal indeholde et nøgleord fra en foruddefineret liste, filstørrelse skal være mellem en defineret minimum og maksimum størrelse. |
Cbmrpa.dll | Indfanger tekst, der er kopieret til udklipsholderen, og logger oplysninger fra USBSTOR-registreringsnøglen. |
pRsm.dll | Optager input og output lydstreams. |
mailLFPassword.dll | Credential stjæler. Stjæler legitimationsoplysninger fra Outlook og Foxmail e-mail-klientsoftware. |
agentpwd.dll | Credential stjæler. Stjæler legitimationsoplysninger fra blandt andet Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla og WinSCP. |
qmsdp.dll | Et komplekst plugin designet til at stjæle indholdet fra Tencent QQ-databasen, der gemmer brugerens beskedhistorik. Dette opnås ved in-memory patching af softwarekomponenten KernelUtils.dll og tabe en falsk userenv.dll dll. |
wcdbcrk.dll | Informationstyver til Tencent WeChat. |
Gmck.dll | Cookie-tyveri til Firefox, Chrome og Edge. |
Størstedelen af plugins er designet til at stjæle information fra meget populære kinesiske applikationer som QQ, WeChat, QQBrowser og Foxmail - alle applikationer udviklet af Tencent.
Konklusion
Vi opdagede en kampagne, som vi tilskriver Evasive Panda APT-gruppen, rettet mod brugere på det kinesiske fastland, der leverer deres MgBot-bagdør gennem opdateringsprotokoller for applikationer fra velkendte kinesiske virksomheder. Vi analyserede også plugins til MgBot-bagdøren og fandt ud af, at størstedelen af dem er designet til at spionere på brugere af kinesisk software ved at stjæle legitimationsoplysninger og information.
IoC'er
Filer
SHA-1 | Filnavn | Detektion | Beskrivelse |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBot information stealer plugin. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBot file stealer plugin. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot keylogger plugin. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBot cookie stealer plugin. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBot information stealer plugin. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBot audio capture plugin. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBot udklipsholder tekstfangst plugin. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | MgBot-legitimationsstyver-plugin. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | MgBot-legitimationsstyver-plugin. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot installationsprogram. |
Netværk
IP | Provider | Først set | Detaljer |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | MgBot C&C server. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | MgBot C&C server. |
MITRE ATT&CK teknikker
Dette bord er bygget vha udgave 12 af MITER ATT&CK-rammerne.
Taktik | ID | Navn | Beskrivelse |
---|---|---|---|
Ressourceudvikling | T1583.004 | Anskaf Infrastruktur: Server | Evasive Panda købte servere, der skal bruges til C&C-infrastruktur. |
T1587.001 | Udvikle muligheder: Malware | Evasive Panda udvikler sin brugerdefinerede MgBot-bagdør og plugins, inklusive slørede loadere. | |
Udførelse | T1059.003 | Kommando- og scriptfortolker: Windows Command Shell | MgBots installationsprogram starter tjenesten fra BAT-filer med kommandoen net start AppMgmt |
T1106 | Native API | MgBots installationsprogram bruger CreateProcessInternalW API til at udføre rundll32.exe for at indlæse bagdør DLL. | |
T1569.002 | Systemtjenester: Serviceudførelse | MgBot udføres som en Windows-tjeneste. | |
Vedholdenhed | T1543.003 | Opret eller rediger systemproces: Windows Service | MgBot erstatter stien til den eksisterende Application Management-tjeneste DLL med sin egen. |
Privilegie-eskalering | T1548.002 | Misbrugshøjdekontrolmekanisme: Omgå brugerkontokontrol | MgBot udfører UAC Bypass. |
Forsvarsunddragelse | T1140 | Deobfuscate/Decode Files eller Information | MgBots installationsprogram dekrypterer en indlejret CAB-fil, der indeholder bagdør-DLL'en. |
T1112 | Rediger registreringsdatabasen | MgBot ændrer registreringsdatabasen for persistens. | |
T1027 | Uklare filer eller oplysninger | MgBots installationsprogram indeholder indlejrede malware-filer og krypterede strenge. MgBot indeholder krypterede strenge. MgBot-plugins indeholder indlejrede DLL-filer. | |
T1055.002 | Procesinjektion: Bærbar eksekverbar injektion | MgBot kan injicere bærbare eksekverbare filer til fjernprocesser. | |
Adgang til legitimationsoplysninger | T1555.003 | Oplysninger fra adgangskodelagre: Oplysninger fra webbrowsere | MgBot plugin-modul agentpwd.dll stjæler legitimationsoplysninger fra webbrowsere. |
T1539 | Stjæl websessionscookie | MgBot plugin-modul Gmck.dll stjæler cookies. | |
Discovery | T1082 | Opdagelse af systemoplysninger | MgBot indsamler systemoplysninger. |
T1016 | Opdagelse af systemnetværkskonfiguration | MgBot har evnen til at gendanne netværksoplysninger. | |
T1083 | Opdagelse af filer og mapper | MgBot har evnen til at oprette fillister. | |
Samling | T1056.001 | Input Capture: Keylogging | MgBot plugin-modul kstrcs.dll er en keylogger. |
T1560.002 | Arkiver indsamlede data: Arkiver via bibliotek | MgBots plugin-modul sebasek.dll bruger aPLib til at komprimere filer iscenesat til eksfiltrering. | |
T1123 | Audio Capture | MgBots plugin-modul pRsm.dll optager input og output lydstreams. | |
T1119 | Automatiseret indsamling | MgBots plugin-moduler fanger data fra forskellige kilder. | |
T1115 | Udklipsholder data | MgBots plugin-modul Cbmrpa.dll optager tekst, der er kopieret til udklipsholderen. | |
T1025 | Data fra flytbare medier | MgBots plugin-modul sebasek.dll samler filer fra flytbare medier. | |
T1074.001 | Data iscenesat: Lokal datainddeling | MgBots plugin-moduler iscenesætter data lokalt på disken. | |
T1114.001 | E-mail-indsamling: Lokal e-mail-indsamling | MgBots plugin-moduler er designet til at stjæle legitimationsoplysninger og e-mail-oplysninger fra flere applikationer. | |
T1113 | Screen Capture | MgBot kan tage skærmbilleder. | |
Kommando og kontrol | T1095 | Ikke-applikationslagsprotokol | MgBot kommunikerer med sin C&C gennem TCP- og UDP-protokoller. |
Eksfiltrering | T1041 | Eksfiltrering over C2-kanal | MgBot udfører eksfiltrering af indsamlede data via C&C. |
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :har
- :er
- :ikke
- :hvor
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- I stand
- Om
- adgang
- Ifølge
- Konto
- opnået
- erhvervede
- aktivt
- aktivitet
- Yderligere
- adresser
- afrika
- mod
- algoritme
- Alle
- tillader
- sammen
- også
- Skønt
- blandt
- beløb
- an
- analyse
- analysere
- ,
- enhver
- api
- Anvendelse
- applikationer
- april
- APT
- arkitektur
- Arkiv
- ER
- AS
- asiatisk
- forbundet
- At
- angribe
- Angreb
- lyd
- Automatiseret
- tilbage
- Backbone
- bagdør
- baseret
- BAT
- BE
- været
- Tro
- tilhører
- BEDSTE
- mellem
- Blog
- både
- browser
- browsere
- bygget
- men
- by
- C + +
- Kampagne
- CAN
- kan ikke
- kapaciteter
- fange
- fanger
- regnskabsmæssige
- tilfælde
- tilfælde
- kæde
- lave om
- kanaler
- kontrollere
- afkrydset
- Kina
- kinesisk
- Chrome
- kunde
- Cluster
- kode
- sammentræf
- samling
- kommunikere
- Virksomheder
- selskab
- konkurrerende
- fuldføre
- komplekse
- komponent
- kompromis
- Kompromitteret
- udførelse
- tillid
- Konfiguration
- Bekræfte
- kontakt
- indeholder
- indeholder
- indhold
- indhold
- fortsættende
- kontrol
- cookies
- kunne
- lande
- land
- Oprettelse af
- KREDENTIAL
- Legitimationsoplysninger
- kriterier
- skik
- data
- Database
- definerede
- levere
- leveret
- leverer
- leverer
- indsat
- implementering
- beskrevet
- Design
- konstrueret
- udviklet
- Udvikler
- udvikler
- Enheder
- forskellige
- opdaget
- dns
- do
- Domæner
- Dont
- downloade
- downloads
- Dropper
- i løbet af
- Øst
- Edge
- enten
- indlejret
- muliggør
- krypteret
- forbedre
- enheder
- ESET Research
- etableret
- Endog
- bevismateriale
- evolution
- eksempel
- eksempler
- udføre
- Udfører
- udførelse
- eksfiltration
- eksisterende
- Forklar
- udvide
- falsk
- favorisere
- Figur
- File (Felt)
- Filer
- filtrering
- Firefox
- Fornavn
- flagskib
- Fokus
- Til
- formular
- fundet
- Framework
- fra
- fuld
- funktionalitet
- yderligere
- spil
- genererer
- given
- Regering
- Regeringsenheder
- gruppe
- Gruppens
- Guangdong
- havde
- hånd
- hash
- Have
- link.
- Høj
- højeste
- stærkt
- historie
- Hong
- Hong Kong
- hostede
- Hvordan
- Men
- http
- HTTPS
- Identifikation
- identificere
- identificere
- if
- Ulovlig
- implementering
- redskaber
- vigtigt
- in
- Herunder
- Indien
- angivet
- enkeltpersoner
- oplysninger
- Infrastruktur
- indgang
- installeret
- i stedet
- anvisninger
- interne
- internationalt
- ind
- indføre
- undersøgelse
- IP
- IP-adresser
- ISP
- IT
- ITS
- januar
- Kaspersky
- Nøgle
- viden
- kendt
- Kong
- stor
- lanceringer
- lag
- Politikker
- legitimitet
- legitim
- Sandsynlig
- Limited
- Liste
- Børsnoterede
- Listings
- Lister
- lidt
- belastning
- lokale
- lokalt
- placeret
- placeringer
- maskine
- Maskiner
- fastland
- Flertal
- Malaysia
- malware
- Malwarebytes
- lykkedes
- ledelse
- mange
- kort
- Match
- max-bredde
- maksimal
- MD5
- midler
- mekanisme
- Medier
- Medlemmer
- nævnte
- besked
- metoder
- minimum
- ændre
- modulær
- Moduler
- Moduler
- mere
- Myanmar
- Som hedder
- navne
- Natur
- Behov
- behov
- Ingen
- netværk
- næste
- Ngo
- Nigeria
- nummer
- numre
- of
- on
- ONE
- online
- online spil
- kun
- Opera
- opererer
- or
- organisation
- organisationer
- stammer
- Andet
- Andre
- vores
- ud
- Outlook
- output
- i løbet af
- oversigt
- egen
- pakker
- særlig
- passive
- Adgangskode
- lappe
- sti
- udfører
- udfører
- udholdenhed
- Filippinerne
- plato
- Platon Data Intelligence
- PlatoData
- påberåbe sig
- plugin
- Plugins
- punkter
- Populær
- mulig
- Indlæg
- præsentere
- tidligere
- primære
- Prime
- behandle
- Processer
- egenskaber
- protokoller
- Bevise
- give
- provinser
- offentlige
- offentligt
- offentliggjort
- rent
- Spørgsmål
- tilfældig
- nået
- Læser
- modtage
- modtaget
- modtagende
- optegnelser
- Recover
- registreret
- register
- fjern
- svar
- indberette
- Rapporter
- anmodninger
- forskning
- forskere
- løst
- svar
- resultere
- s
- samme
- scenarie
- scenarier
- screenshots
- sektioner
- sikkerhed
- set
- Sequence
- Servere
- tjeneste
- Tjenester
- Session
- flere
- vist
- Shows
- betydeligt
- lignende
- siden
- Størrelse
- lille
- Social
- sociale medier
- Software
- Kilder
- specifikt
- spekulation
- Stage
- starte
- Starter
- stjæler
- Stadig
- forhandler
- vandløb
- vellykket
- sådan
- systemet
- bord
- taiwan
- Tag
- mål
- målrettet
- rettet mod
- mål
- Te
- telecom
- telekommunikation
- Tencent
- end
- at
- Filippinerne
- deres
- Them
- derefter
- derfor
- Disse
- de
- denne
- dem
- Gennem
- hele
- tid
- Titel
- til
- toolkit
- typen
- enestående
- utilgængelig
- Opdatering
- opdateringer
- URL
- usb
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- forskellige
- meget
- via
- Victim
- ofre
- Vietnam
- Sårbar
- var
- we
- web
- Webbrowsere
- GODT
- Kendt
- var
- Hvad
- hvornår
- hvorvidt
- som
- mens
- bred
- Wikipedia
- vilje
- vinduer
- med
- uden
- værd
- ville
- skrivning
- XML
- zephyrnet