ESET-forskere opdagede en cyberspionagekampagne, der siden mindst september 2023 har gjort tibetanere ofre gennem et målrettet vandhul (også kendt som et strategisk webkompromis) og et kompromis i forsyningskæden for at levere trojaniserede installatører af tibetansk sprogoversættelsessoftware. Angriberne havde til formål at implementere ondsindede downloadere til Windows og macOS for at kompromittere besøgende på webstedet med MgBot og en bagdør, der efter vores bedste viden endnu ikke er blevet offentligt dokumenteret; vi har kaldt den Nightdoor.
Nøglepunkter i dette blogindlæg:
- Vi opdagede en cyberspionagekampagne, der udnytter Monlam-festivalen – en religiøs forsamling – til at målrette mod tibetanere i flere lande og territorier.
- Angriberne kompromitterede hjemmesiden for arrangøren af den årlige festival, som finder sted i Indien, og tilføjede ondsindet kode for at skabe et vandhulsangreb rettet mod brugere, der forbinder fra specifikke netværk.
- Vi opdagede også, at en softwareudviklers forsyningskæde var kompromitteret, og trojaniserede installationsprogrammer til Windows og macOS blev serveret til brugerne.
- Angriberne stillede op med en række ondsindede downloadere og fuldt udstyrede bagdøre til operationen, inklusive en offentligt udokumenteret bagdør til Windows, som vi har kaldt Nightdoor.
- Vi tilskriver denne kampagne med stor tillid til den Kina-tilpassede Evasive Panda APT-gruppe.
Undvigende Panda profil
Undvigende Panda (også kendt som BRONZEHØJLAND , Dolkeflue) er en kinesisk-talende APT-gruppe, aktiv siden mindst 2012. ESET Research har observeret gruppen, der udfører cyberspionage mod enkeltpersoner i det kinesiske fastland, Hongkong, Macao og Nigeria. Regeringsenheder var målrettet i Sydøstasien og Østasien, specifikt Kina, Macao, Myanmar, Filippinerne, Taiwan og Vietnam. Andre organisationer i Kina og Hong Kong blev også ramt. Ifølge offentlige rapporter har gruppen også rettet mod ukendte enheder i Hong Kong, Indien og Malaysia.
Gruppen bruger sin egen tilpassede malware-ramme med en modulær arkitektur, der gør det muligt for sin bagdør, kendt som MgBot, at modtage moduler for at spionere på sine ofre og forbedre sine muligheder. Siden 2020 har vi også observeret, at Evasive Panda har evner til at levere sine bagdøre via modstander-i-midten-angreb kapring af opdateringer af lovlig software.
Kampagneoversigt
I januar 2024 opdagede vi en cyberspionageoperation, hvor angribere kompromitterede mindst tre websteder for at udføre vandhulsangreb samt et kompromis i forsyningskæden fra et tibetansk softwarefirma.
Det kompromitterede websted, der misbruges som et vandhul, tilhører Kagyu International Monlam Trust, en organisation baseret i Indien, der promoverer tibetansk buddhisme internationalt. Angriberne placerede et script på webstedet, der bekræfter IP-adressen på det potentielle offer, og hvis det er inden for et af de målrettede adresseområder, viser en falsk fejlside for at lokke brugeren til at downloade en "fix" med navnet certifikat (med en .exe-udvidelse, hvis den besøgende bruger Windows eller .pkg hvis macOS). Denne fil er en ondsindet downloader, der implementerer det næste trin i kompromiskæden.
Baseret på de IP-adresseområder, koden tjekker efter, opdagede vi, at angriberne var målrettet mod brugere i Indien, Taiwan, Hong Kong, Australien og USA; angrebet kunne have haft til formål at udnytte international interesse for Kagyu Monlam-festivalen (figur 1), der afholdes årligt i januar i byen Bodhgaya, Indien.
Interessant nok er netværket af Georgia Institute of Technology (også kendt som Georgia Tech) i USA blandt de identificerede enheder i de målrettede IP-adresseområder. I fortiden, universitetet blev nævnt i forbindelse med det kinesiske kommunistpartis indflydelse på uddannelsesinstitutioner i USA.
Omkring september 2023 kompromitterede angriberne webstedet for et softwareudviklingsfirma baseret i Indien, der producerer tibetansk oversættelsessoftware. Angriberne placerede flere trojaniserede applikationer der, der implementerer en ondsindet downloader til Windows eller macOS.
Ud over dette misbrugte angriberne også den samme hjemmeside og en tibetansk nyhedshjemmeside kaldet Tibetpost – tibetpost[.]net – at være vært for de nyttelaster, der er opnået af de ondsindede downloads, inklusive to fuldfunktionelle bagdøre til Windows og et ukendt antal nyttelaster til macOS.
Med stor tillid tilskriver vi denne kampagne til Evasive Panda APT-gruppen, baseret på den malware, der blev brugt: MgBot og Nightdoor. Tidligere har vi set begge bagdøre udrullet sammen i et ikke-relateret angreb mod en religiøs organisation i Taiwan, hvor de også delte den samme C&C-server. Begge punkter gælder også for kampagnen beskrevet i dette blogindlæg.
Vandhul
Den januar 14th, 2024, opdagede vi et mistænkeligt script kl https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Ondsindet tilsløret kode blev tilføjet til en legitim jQuery JavaScript-biblioteksscript, som det ses i figur 2.
Scriptet sender en HTTP-anmodning til den lokale værtsadresse http://localhost:63403/?callback=handleCallback for at kontrollere, om angriberens mellemliggende downloader allerede kører på den potentielle offermaskine (se figur 3). På en tidligere kompromitteret maskine svarer implantatet med handleCallback({“success”:true }) (se figur 4), og der foretages ingen yderligere handlinger af scriptet.
Hvis maskinen ikke svarer med de forventede data, fortsætter den ondsindede kode ved at hente en MD5-hash fra en sekundær server kl. https://update.devicebug[.]com/getVersion.php. Derefter kontrolleres hashen mod en liste med 74 hashværdier, som det ses i figur 6.
Hvis der er et match, vil scriptet gengive en HTML-side med en falsk nedbrudsmeddelelse (Figur 7), der har til formål at lokke den besøgende bruger til at downloade en løsning for at løse problemet. Siden efterligner typisk "Aw, Snap!" advarsler fra Google Chrome.
Knappen "Immediate Fix" udløser et script, der downloader en nyttelast baseret på brugerens operativsystem (Figur 8).
At bryde hashen
Betingelsen for levering af nyttelast kræver at få den korrekte hash fra serveren kl update.devicebug[.]com, så de 74 hashes er nøglen til angriberens offerudvælgelsesmekanisme. Men da hashen er beregnet på serversiden, var det en udfordring for os at vide, hvilke data der bruges til at beregne det.
Vi eksperimenterede med forskellige IP-adresser og systemkonfigurationer og indsnævrede inputtet til MD5-algoritmen til en formel af de første tre oktetter af brugerens IP-adresse. Med andre ord, for eksempel ved at indtaste IP-adresser, der deler det samme netværkspræfiks 192.168.0.1 , 192.168.0.50, vil modtage den samme MD5-hash fra C&C-serveren.
Men en ukendt kombination af tegn, eller en salt, er inkluderet i strengen af de første tre IP-oktetter før hash for at forhindre hasherne i at blive trivielt brute-forced. Derfor var vi nødt til at brute-force saltet for at sikre inputformlen og først derefter generere hashes ved hjælp af hele rækken af IPv4-adresser for at finde de matchende 74 hashes.
Nogle gange stemmer stjernerne, og vi fandt ud af, at saltet var 1qaz0okm!@#. Med alle dele af MD5-inputformlen (f.eks. 192.168.1.1qaz0okm!@#), vi brute-forced de 74 hashes med lethed og genererede en liste over mål. Se den Tillæg for en komplet liste.
Som vist i figur 9 er størstedelen af målrettede IP-adresseområder i Indien, efterfulgt af Taiwan, Australien, USA og Hong Kong. Bemærk, at det meste af tibetansk diaspora bor i Indien.
Windows nyttelast
På Windows serveres ofre for angrebet med en ondsindet eksekverbar fil placeret på https://update.devicebug[.]com/fixTools/certificate.exe. Figur 10 viser den eksekveringskæde, der følger, når brugeren downloader og udfører den ondsindede rettelse.
certifikat.exe er en dropper, der implementerer en side-loading kæde til at indlæse en mellemliggende downloader, memmgrset.dll (internt navngivet http_dy.dll). Denne DLL henter en JSON-fil fra C&C-serveren på https://update.devicebug[.]com/assets_files/config.json, som indeholder oplysningerne til download af næste trin (se figur 11).
Når næste trin er downloadet og udført, implementerer den en anden side-loading-kæde for at levere Nightdoor som den endelige nyttelast. En analyse af Nightdoor er givet nedenfor i Natdør sektion.
macOS nyttelast
MacOS-malwaren er den samme downloader, som vi dokumenterer mere detaljeret i Kompromis med forsyningskæden. Denne slipper dog en ekstra Mach-O eksekverbar, som lytter på TCP port 63403. Dens eneste formål er at svare med handleCallback({“success”:true }) til den ondsindede JavaScript-kodeanmodning, så hvis brugeren besøger vandhulswebstedet igen, vil JavaScript-koden ikke forsøge at kompromittere den besøgende igen.
Denne downloader henter JSON-filen fra serveren og downloader næste trin, ligesom Windows-versionen tidligere beskrevet.
Kompromis med forsyningskæden
Den januar 18th, opdagede vi, at det officielle websted (Figur 12) for et tibetansk oversættelsessoftwareprodukt til flere platforme hostede ZIP-pakker, der indeholdt trojaniserede installationsprogrammer til legitim software, der implementerede ondsindede downloadere til Windows og macOS.
Vi fandt et offer fra Japan, som downloadede en af pakkerne til Windows. Tabel 1 viser URL'erne og de tabte implantater.
Tabel 1. URL'er for de ondsindede pakker på det kompromitterede websted og type nyttelast i det kompromitterede program
Ondsindet pakke-URL |
Type nyttelast |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32 downloader |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32 downloader |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32 downloader |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS downloader |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS downloader |
Windows-pakker
Figur 13 illustrerer indlæsningskæden for den trojaniserede applikation fra pakken monlam-bodyig3.zip.
Den trojaniserede applikation indeholder en ondsindet dropper kaldet Autorun.exe der implementerer to komponenter:
- en eksekverbar fil med navnet MonlamUpdate.exe, som er en softwarekomponent fra en emulator kaldet C64 for evigt og misbruges til DLL side-loading, og
- RPHost.dll, den sideindlæste DLL, som er en ondsindet downloader til næste trin.
Når downloader-DLL'en er indlæst i hukommelsen, opretter den en planlagt opgave med navnet Demovale beregnet til at blive udført hver gang en bruger logger på. Men da opgaven ikke specificerer en fil, der skal udføres, kan den ikke etablere persistens.
Dernæst får denne DLL en UUID og operativsystemversionen for at oprette en brugerdefineret User-Agent og sender en GET-anmodning til https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat for at få en JSON-fil, der indeholder URL'en til at downloade og udføre en nyttelast, som den falder til % TEMP% vejviser. Vi var ikke i stand til at få et eksempel på JSON-objektdata fra det kompromitterede websted; derfor ved vi ikke præcis hvorfra default_ico.exe downloades, som illustreret i figur 13.
Via ESET telemetri bemærkede vi, at det illegitime MonlamUpdate.exe proces downloadet og udført ved forskellige lejligheder mindst fire ondsindede filer til %TEMP%default_ico.exe. Tabel 2 viser disse filer og deres formål.
Tabel 2. Hash af default_ico.exe downloader/dropper, kontaktet C&C URL og beskrivelse af downloaderen
SHA-1 |
Kontaktet URL |
Formål |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Downloader en ukendt nyttelast fra serveren. |
F0F8F60429E3316C463F |
Downloader en ukendt nyttelast fra serveren. Denne prøve blev skrevet i Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Downloader en tilfældigt navngivet Nightdoor-dropper. |
BFA2136336D845184436 |
N / A |
Open source værktøj SystemInfo, hvori angriberne integrerede deres ondsindede kode og indlejrede en krypteret blob, der, når den først er dekrypteret og eksekveret, installerer MgBot. |
Endelig default_ico.exe downloader eller dropper vil enten hente nyttelasten fra serveren eller droppe den og derefter udføre den på offermaskinen og installere enten Nightdoor (se Natdør sektion) eller MgBot (se vores tidligere analyse).
De to resterende trojaniserede pakker er meget ens, og implementerer den samme ondsindede downloader-DLL, der er sideindlæst af den legitime eksekverbare.
macOS-pakker
ZIP-arkivet, der er downloadet fra den officielle app-butik, indeholder en ændret installationspakke (.pkg fil), hvor en Mach-O eksekverbar og et post-installation script blev tilføjet. Efterinstallationsscriptet kopierer Mach-O-filen til $HOME/Library/Containers/CalendarFocusEXT/ og fortsætter med at installere en Launch Agent i $HOME/Library/LaunchAgents/com.Terminal.us.plist for vedholdenhed. Figur 14 viser scriptet, der er ansvarligt for at installere og starte den ondsindede Launch Agent.
Den ondsindede Mach-O, Monlam-bodyig_Keyboard_2017 i figur 13 er underskrevet, men ikke notariseret ved hjælp af et udviklercertifikat (ikke en certifikat type bruges normalt til distribution) med navn og team-id ja ni yang (2289F6V4BN). Tidsstemplet i signaturen viser, at den blev underskrevet 7. januarth, 2024. Denne dato bruges også i det ændrede tidsstempel for de ondsindede filer i metadataene i ZIP-arkivet. Certifikatet blev udstedt kun tre dage før. Det fulde certifikat er tilgængeligt i IoC'er afsnit. Vores team kontaktede Apple den 25. januarth og attesten blev tilbagekaldt samme dag.
Denne malware i første trin downloader en JSON-fil, der indeholder URL'en til næste trin. Arkitekturen (ARM eller Intel), macOS-versionen og hardware-UUID (en identifikator, der er unik for hver Mac) rapporteres i User-Agent HTTP-anmodningsheaderen. Den samme URL som Windows-versionen bruges til at hente denne konfiguration: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. MacOS-versionen vil dog se på dataene under mac-nøglen til JSON-objektet i stedet for vinde nøgle.
Objektet under mac-nøglen skal indeholde følgende:
- url: URL'en til næste trin.
- md5: MD5 summen af nyttelasten.
- vernow: En liste over hardware-UUID'er. Hvis den er til stede, vil nyttelasten kun blive installeret på Mac'er, der har en af de angivne hardware-UUID'er. Denne kontrol springes over, hvis listen er tom eller mangler.
- udgave: En numerisk værdi, der skal være højere end den tidligere downloadede anden fase "version". Nyttelasten downloades ikke ellers. Værdien af den aktuelle version bevares i applikationen brugerens standardindstillinger.
Efter at malwaren har downloadet filen fra den angivne URL ved hjælp af curl, hashes filen ved hjælp af MD5 og sammenlignes med den hexadecimale sammenfatning under md5 nøgle. Hvis den matcher, fjernes dens udvidede attributter (for at rydde attributten com.apple.quarantine), filen flyttes til $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, og lanceres vha execvp med argumentationen.
I modsætning til Windows-versionen kunne vi ikke finde nogen af de senere stadier af macOS-varianten. Én JSON-konfiguration indeholdt en MD5-hash (3C5739C25A9B85E82E0969EE94062F40), men URL-feltet var tomt.
Natdør
Bagdøren, som vi har navngivet Nightdoor (og er navngivet NetMM af malware-forfatterne ifølge PDB-stier) er en sen tilføjelse til Evasive Pandas værktøjssæt. Vores tidligste viden om Nightdoor går tilbage til 2020, hvor Evasive Panda installerede det på en maskine af et højt profileret mål i Vietnam. Bagdøren kommunikerer med sin C&C-server via UDP eller Google Drive API. Nightdoor-implantatet fra denne kampagne brugte sidstnævnte. Det krypterer en Google API OAuth 2.0 token i datasektionen og bruger tokenet til at få adgang til hackerens Google Drev. Vi har anmodet om, at den Google-konto, der er knyttet til dette token, bliver fjernet.
Først opretter Nightdoor en mappe i Google Drev, der indeholder ofrets MAC-adresse, som også fungerer som et offer-id. Denne mappe vil indeholde alle meddelelserne mellem implantatet og C&C-serveren. Hver besked mellem Nightdoor og C&C-serveren er struktureret som en fil og opdelt i filnavn og fildata, som vist i figur 15.
Hvert filnavn indeholder otte hovedattributter, hvilket er vist i eksemplet nedenfor.
Eksempel:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: magisk værdi.
- 0C64C2BAEF534C8E9058797BCD783DE5: overskrift af pbuf datastruktur.
- 168: størrelsen på meddelelsesobjektet eller filstørrelsen i bytes.
- 0: filnavn, som altid er standard på 0 (nul).
- 1: kommandotype, hårdkodet til 1 eller 0 afhængigt af prøven.
- 4116: kommando ID.
- 0: servicekvalitet (QoS).
- 00-00-00-00-00-00: beregnet til at være MAC-adressen på destinationen, men er altid standard 00-00-00-00-00-00.
Dataene i hver fil repræsenterer controllerens kommando for bagdøren og de nødvendige parametre for at udføre den. Figur 16 viser et eksempel på en C&C-servermeddelelse gemt som fildata.
Ved at lave omvendt konstruktion af Nightdoor var vi i stand til at forstå betydningen af de vigtige felter præsenteret i filen, som vist i figur 17.
Vi fandt ud af, at der blev tilføjet mange meningsfulde ændringer til Nightdoor-versionen, der blev brugt i denne kampagne, en af dem var organiseringen af kommando-id'er. I tidligere versioner blev hvert kommando-ID tildelt en handlerfunktion én efter én, som vist i figur 18. Nummereringsvalgene, som f.eks. 0x2001 til 0x2006fra 0x2201 til 0x2203fra 0x4001 til 0x4003, og fra 0x7001 til 0x7005, foreslog, at kommandoer blev opdelt i grupper med lignende funktionaliteter.
Men i denne version bruger Nightdoor en grentabel til at organisere alle kommando-id'er med deres tilsvarende handlere. Kommando-id'erne er kontinuerlige hele vejen igennem og fungerer som indekser til deres tilsvarende handlere i grentabellen, som vist i figur 19.
Tabel 3 er en forhåndsvisning af C&C-serverkommandoerne og deres funktionaliteter. Denne tabel indeholder de nye kommando-id'er såvel som de tilsvarende id'er fra ældre versioner.
Tabel 3. Kommandoer understøttet af Nightdoor-varianterne brugt i denne kampagne.
Kommando ID |
Tidligere kommando-id |
Beskrivelse |
|
0x1001 |
0x2001 |
Indsaml grundlæggende systemprofiloplysninger såsom: – OS version – IPv4-netværksadaptere, MAC-adresser og IP-adresser – CPU-navn – Computernavn – Brugernavn – Enhedsdrivernavne – Alle brugernavne fra C:Brugere* - Lokal tid – Offentlig IP-adresse ved hjælp af ifconfig.me or ipinfo.io webservice |
|
0x1007 |
0x2002 |
Indsaml oplysninger om diskdrev såsom: – Drevnavn – Frirum og total plads – Filsystemtype: NTFS, FAT32 osv. |
|
0x1004 |
0x2003 |
Indsaml oplysninger om alle installerede programmer under Windows registreringsdatabasenøgler: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Indsaml information om kørende processer, såsom: – Procesnavn – Antal tråde – Brugernavn – Filplacering på disk – Beskrivelse af fil på disk |
|
0x1006 |
0x4001 |
Opret en omvendt shell og administrer input og output via anonyme rør. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Selv afinstaller. |
|
0x100C |
0x6001 |
Flyt fil. Stien leveres af C&C-serveren. |
|
0x100B |
0x6002 |
Slet fil. Stien leveres af C&C-serveren. |
|
0x1016 |
0x6101 |
Hent filattributter. Stien leveres af C&C-serveren. |
Konklusion
Vi har analyseret en kampagne fra den Kina-tilpassede APT Evasive Panda, der var rettet mod tibetanere i flere lande og territorier. Vi mener, at angriberne på det tidspunkt udnyttede den kommende Monlam-festival i januar og februar 2024 for at kompromittere brugere, da de besøgte festivalens websted, der blev til-vandhul. Derudover kompromitterede angriberne forsyningskæden for en softwareudvikler af tibetanske oversættelsesapps.
Angriberne stillede op med adskillige downloadere, droppere og bagdøre, inklusive MgBot – som udelukkende bruges af Evasive Panda – og Nightdoor: den seneste store tilføjelse til gruppens værktøjssæt, og som er blevet brugt til at målrette adskillige netværk i Østasien.
En omfattende liste over kompromisindikatorer (IoC'er) og prøver kan findes i vores GitHub repository.
For eventuelle forespørgsler om vores forskning offentliggjort på WeLiveSecurity, bedes du kontakte os på threatintel@eset.com.
ESET Research tilbyder private APT-efterretningsrapporter og datafeeds. For eventuelle forespørgsler om denne service, besøg ESET Threat Intelligence .
IoC'er
Filer
SHA-1 |
Filnavn |
Detektion |
Beskrivelse |
0A88C3B4709287F70CA2 |
Autorun.exe |
Win32/Agent.AGFU |
Dropper-komponent tilføjet til den officielle installationspakke. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Mellemliggende downloader. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Mellem downloader programmeret i Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Nightdoor downloader. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Nightdoor dropper. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Mellemlæsser. |
5273B45C5EABE64EDBD0 |
certifikat.pkg |
OSX/Agent.DJ |
MacOS dropper komponent. |
5E5274C7D931C1165AA5 |
certifikat.exe |
Win32/Agent.AGES |
Dropper-komponent fra det kompromitterede websted. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Nightdoor dropper komponent. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Mellemlæsser til Nightdoor downloader komponent. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Mellemlæsser til Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trojaniseret installationsprogram. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Ondsindet JavaScript føjet til det kompromitterede websted. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trojaniseret installationsprogram. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Trojaniseret installationspakke. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Trojaniseret installationspakke. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS trojaniseret installationspakke. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS trojaniseret installationspakke. |
C0575AF04850EB1911B0 |
Sikkerhed~.x64 |
OSX/Agent.DJ |
MacOS downloader. |
7C3FD8EE5D660BBF43E4 |
Sikkerhed~.arm64 |
OSX/Agent.DJ |
MacOS downloader. |
FA78E89AB95A0B49BC06 |
Sikkerhed.fedt |
OSX/Agent.DJ |
MacOS downloader komponent. |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary eksportfil |
OSX/Agent.DJ |
Ondsindet komponent fra macOS trojaniseret installationspakke. |
Certifikater
Serienummer |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Tommelfingerprint |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Emne CN |
Apple-udvikling: ya ni yang (2289F6V4BN) |
Emne O |
ja ni yang |
Emne L |
N / A |
Emnet S |
N / A |
Emne C |
US |
Gældende fra |
2024-01-04 05:26:45 |
Gyldig til |
2025-01-03 05:26:44 |
Serienummer |
6014B56E4FFF35DC4C948452B77C9AA9 |
Tommelfingerprint |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Emne CN |
KP MOBIL |
Emne O |
KP MOBIL |
Emne L |
N / A |
Emnet S |
N / A |
Emne C |
KR |
Gældende fra |
2021-10-25 00:00:00 |
Gyldig til |
2022-10-25 23:59:59 |
IP |
Domæne |
Hosting udbyder |
Først set |
Detaljer |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
Kompromitteret hjemmeside. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Kompromitteret hjemmeside. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amol Hingade |
2024-02-01 |
Download server til Nightdoor dropper komponent. |
MITRE ATT&CK teknikker
Dette bord er bygget vha udgave 14 af MITER ATT&CK-rammerne.
Taktik |
ID |
Navn |
Beskrivelse |
Ressourceudvikling |
Anskaf Infrastruktur: Server |
Evasive Panda købte servere til C&C-infrastrukturen i Nightdoor, MgBot og macOS-downloader-komponenten. |
|
Anskaf Infrastruktur: Webtjenester |
Evasive Panda brugte Google Drives webservice til Nightdoors C&C-infrastruktur. |
||
Kompromis Infrastruktur: Server |
Undvigende Panda-operatører kompromitterede adskillige servere til brug som vandhuller, til et forsyningskædeangreb og til at være vært for nyttelaster og brug som C&C-servere. |
||
Opret konti: Cloud-konti |
Evasive Panda oprettede en Google Drive-konto og brugte den som C&C-infrastruktur. |
||
Udvikle muligheder: Malware |
Evasive Panda implementerede tilpassede implantater såsom MgBot, Nightdoor og en macOS downloader-komponent. |
||
T1588.003 |
Få egenskaber: Kodesigneringscertifikater |
Evasive Panda opnåede kodesigneringscertifikater. |
|
Stage-kapaciteter: Drive-by-mål |
Undvigende Panda-operatører ændrede et højt profileret websted for at tilføje et stykke JavaScript-kode, der afgiver en falsk notifikation om at downloade malware. |
||
Indledende adgang |
Drive-by-kompromis |
Besøgende på kompromitterede websteder kan modtage en falsk fejlmeddelelse, der lokker dem til at downloade malware. |
|
Supply Chain Compromise: Kompromis Software Supply Chain |
Evasive Panda trojaniserede officielle installationspakker fra et softwarefirma. |
||
Udførelse |
Native API |
Nightdoor, MgBot og deres mellemliggende downloader-komponenter bruger Windows API'er til at skabe processer. |
|
Planlagt opgave/job: Planlagt opgave |
Nightdoor og MgBots læsserkomponenter kan oprette planlagte opgaver. |
||
Vedholdenhed |
Opret eller rediger systemproces: Windows Service |
Nightdoor og MgBots loader-komponenter kan skabe Windows-tjenester. |
|
Kapringsudførelsesflow: DLL-sideindlæsning |
Nightdoor og MgBots dropper-komponenter implementerer en legitim eksekverbar fil, der sideindlæser en ondsindet loader. |
||
Forsvarsunddragelse |
Deobfuscate/Decode Files eller Information |
DLL-komponenter i Nightdoor-implantatet er dekrypteret i hukommelsen. |
|
Forringelse af forsvar: Deaktiver eller rediger systemfirewall |
Nightdoor tilføjer to Windows Firewall-regler for at tillade indgående og udgående kommunikation for sin HTTP-proxyserverfunktionalitet. |
||
Indikatorfjernelse: Filsletning |
Nightdoor og MgBot kan slette filer. |
||
Indikatorfjernelse: Klar persistens |
Nightdoor og MgBot kan afinstallere sig selv. |
||
Maskeradering: Maskeradeopgave eller -tjeneste |
Nightdoors loader forklædte sin opgave som netsvcs. |
||
Masquerading: Match legitimt navn eller sted |
Nightdoors installationsprogram implementerer dets komponenter i legitime systemmapper. |
||
Uklare filer eller oplysninger: Indlejrede nyttelaster |
Nightdoors dropper-komponent indeholder indlejrede ondsindede filer, der er installeret på disken. |
||
Process Injection: Dynamic-link Library Injection |
Nightdoor og MgBots læsserkomponenter injicerer sig selv i svchost.exe. |
||
Reflekterende kodeindlæsning |
Nightdoor og MgBots læsserkomponenter injicerer sig selv i svchost.exe, hvorfra de indlæser Nightdoor eller MgBot bagdøren. |
||
Discovery |
Kontoopdagelse: Lokal konto |
Nightdoor og MgBot indsamler brugerkontooplysninger fra det kompromitterede system. |
|
Opdagelse af filer og mapper |
Nightdoor og MgBot kan indsamle oplysninger fra mapper og filer. |
||
Procesopdagelse |
Nightdoor og MgBot indsamler information om processer. |
||
Forespørgselsregister |
Nightdoor og MgBot forespørger i Windows-registreringsdatabasen for at finde oplysninger om installeret software. |
||
Softwareopdagelse |
Nightdoor og MgBot indsamler oplysninger om installeret software og tjenester. |
||
Systemejer/brugeropdagelse |
Nightdoor og MgBot indsamler brugerkontooplysninger fra det kompromitterede system. |
||
Opdagelse af systemoplysninger |
Nightdoor og MgBot indsamler en lang række oplysninger om det kompromitterede system. |
||
Opdagelse af systemnetværksforbindelser |
Nightdoor og MgBot kan indsamle data fra alle aktive TCP- og UDP-forbindelser på den kompromitterede maskine. |
||
Samling |
Arkiver indsamlede data |
Nightdoor og MgBot gemmer indsamlede data i krypterede filer. |
|
Automatiseret indsamling |
Nightdoor og MgBot indsamler automatisk system- og netværksoplysninger om den kompromitterede maskine. |
||
Data fra lokalt system |
Nightdoor og MgBot indsamler oplysninger om operativsystemet og brugerdata. |
||
Data iscenesat: Lokal datainddeling |
Nightdoor iscenesætter data til eksfiltrering i filer på disk. |
||
Kommando og kontrol |
Application Layer Protocol: Webprotokoller |
Nightdoor kommunikerer med C&C-serveren ved hjælp af HTTP. |
|
Ikke-applikationslagsprotokol |
Nightdoor kommunikerer med C&C-serveren ved hjælp af UDP. MgBot kommunikerer med C&C-serveren ved hjælp af TCP. |
||
Ikke-standard port |
MgBot bruger TCP-port 21010. |
||
Protokol tunneling |
Nightdoor kan fungere som en HTTP-proxyserver, der tunnelerer TCP-kommunikation. |
||
Web Service |
Nightdoor bruger Google Drev til C&C-kommunikation. |
||
Eksfiltrering |
Automatiseret eksfiltrering |
Nightdoor og MgBot eksfiltrerer automatisk indsamlede data. |
|
Exfiltration Over Web Service: Exfiltration to Cloud Storage |
Nightdoor kan eksfiltrere sine filer til Google Drev. |
Tillæg
De målrettede IP-adresseområder er angivet i følgende tabel.
CIDR |
ISP |
By |
Land |
124.171.71.0/24 |
iiNet |
Sydney |
Australien |
125.209.157.0/24 |
iiNet |
Sydney |
Australien |
1.145.30.0/24 |
Telstra |
Sydney |
Australien |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australien |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australien |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australien |
45.113.1.0/24 |
HK 92server teknologi |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
CloudFlare |
Ahmedabad |
Indien |
49.36.224.0/24 |
Reliance Jio Infocomm |
Airoli |
Indien |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
Indien |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
Indien |
14.98.12.0/24 |
Tata Teleservices |
Bengaluru |
Indien |
172.70.237.0/24 |
CloudFlare |
Chandigarh |
Indien |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
Indien |
103.214.118.0/24 |
Airnet Boardband |
Delhi |
Indien |
45.120.162.0/24 |
Ani Boardband |
Delhi |
Indien |
103.198.173.0/24 |
Anonet |
Delhi |
Indien |
103.248.94.0/24 |
Anonet |
Delhi |
Indien |
103.198.174.0/24 |
Anonet |
Delhi |
Indien |
43.247.41.0/24 |
Anonet |
Delhi |
Indien |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
Indien |
103.212.145.0/24 |
Excitel |
Delhi |
Indien |
45.248.28.0/24 |
Omkar Electronics |
Delhi |
Indien |
49.36.185.0/24 |
Reliance Jio Infocomm |
Delhi |
Indien |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Indien |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Indien |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
Indien |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
Indien |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
Indien |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamīrpur |
Indien |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
Indien |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
Indien |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
Indien |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Indien |
162.158.235.0/24 |
CloudFlare |
Mumbai |
Indien |
162.158.48.0/24 |
CloudFlare |
Mumbai |
Indien |
162.158.191.0/24 |
CloudFlare |
Mumbai |
Indien |
162.158.227.0/24 |
CloudFlare |
Mumbai |
Indien |
172.69.87.0/24 |
CloudFlare |
Mumbai |
Indien |
172.70.219.0/24 |
CloudFlare |
Mumbai |
Indien |
172.71.198.0/24 |
CloudFlare |
Mumbai |
Indien |
172.68.39.0/24 |
CloudFlare |
New Delhi |
Indien |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Pālampur |
Indien |
103.195.253.0/24 |
Protoact Digital Network |
Ranchi |
Indien |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
Indien |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Indien |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Indien |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Indien |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
vej |
Indien |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
jeg tror |
taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
jeg tror |
taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
jeg tror |
taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
jeg tror |
taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
jeg tror |
taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
taiwan |
106.64.121.0/24 |
Far Eastone Telecommunications |
Taoyuan By |
taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
taiwan |
122.100.113.0/24 |
Taiwan mobil |
yilan |
taiwan |
185.93.229.0/24 |
Sucuri Sikkerhed |
Ashburn |
Forenede Stater |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
Forenede Stater |
216.66.111.0/24 |
Vermont telefon |
Wallingford |
Forenede Stater |
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :har
- :er
- :ikke
- :hvor
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15 %
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26 %
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- I stand
- Om
- adgang
- Ifølge
- Konto
- Konti
- erhvervede
- Lov
- aktioner
- aktiv
- handlinger
- tilføje
- tilføjet
- Desuden
- Yderligere
- adresse
- adresser
- Tilføjer
- igen
- mod
- Agent
- Rettet
- algoritme
- tilpasse
- Alle
- tillade
- tillader
- allerede
- også
- altid
- blandt
- an
- analyse
- analyseret
- ,
- årligt
- Årligt
- anonym
- En anden
- besvarelse
- enhver
- api
- API'er
- app
- app Store
- Apple
- Anvendelse
- applikationer
- Indløs
- apps
- APT
- arkitektur
- Arkiv
- ER
- argument
- ARM
- Array
- AS
- asia
- tildelt
- forbundet
- At
- angribe
- Angreb
- forsøg
- attributter
- Australien
- forfattere
- automatisk
- til rådighed
- tilbage
- bagdør
- Bagdøre
- lokkemad
- baseret
- grundlæggende
- BE
- været
- før
- være
- Tro
- tilhører
- jf. nedenstående
- BEDSTE
- mellem
- både
- Branch
- bygget
- men
- .
- by
- kaldet
- Kampagne
- CAN
- kapaciteter
- kapitalisere
- kapitaliserede
- bære
- Århundrede
- certifikat
- certifikater
- kæde
- udfordre
- Ændringer
- tegn
- kontrollere
- afkrydset
- Kontrol
- Kina
- kinesisk
- valg
- By
- klar
- Cloud
- kode
- indsamler
- KOM
- kombination
- Kommunikation
- selskab
- sammenlignet
- fuldføre
- komponent
- komponenter
- omfattende
- kompromis
- Kompromitteret
- Compute
- beregnet
- computer
- betingelse
- udførelse
- tillid
- Konfiguration
- Tilslutning
- tilslutning
- Tilslutninger
- kontakt
- indeholder
- indeholdt
- indeholder
- indhold
- fortsætter
- kontinuerlig
- Samtale
- korrigere
- Tilsvarende
- kunne
- lande
- Crash
- skabe
- oprettet
- skaber
- kryptografi
- For øjeblikket
- skik
- data
- Datastruktur
- Dato
- Datoer
- dag
- Dage
- Standard
- defaults
- forsvar
- levere
- levering
- demonstreret
- Afhængigt
- afbildet
- indsætte
- indsat
- implementering
- udruller
- beskrevet
- beskrivelse
- destination
- detail
- opdaget
- Udvikler
- Udvikling
- Udviklingsselskab
- enhed
- forskellige
- Fordøje
- digital
- mapper
- Vejviser
- opdaget
- opdagelse
- fordeling
- Divided
- do
- dokumentet
- gør
- Dont
- ned
- downloade
- downloading
- downloads
- køre
- driver
- drev
- Drop
- droppet
- Drops
- hver
- tidligste
- lette
- Øst
- Uddannelse
- otte
- enten
- indlejret
- krypteret
- ende
- Engineering
- forbedre
- lokkende
- Hele
- enheder
- Ækvivalent
- fejl
- ESET Research
- etablere
- etc.
- begivenheder
- Hver
- præcist nok
- eksempel
- udelukkende
- udføre
- henrettet
- Udfører
- udførelse
- eksfiltration
- forventet
- eksport
- udvidet
- udvidelse
- mislykkes
- falsk
- februar
- FESTIVAL
- felt
- Fields
- Figur
- regnede
- File (Felt)
- Filer
- endelige
- Finde
- firewall
- Fornavn
- Fix
- flow
- efterfulgt
- efter
- følger
- Til
- format
- Formula
- fundet
- fire
- Framework
- Gratis
- fra
- fuld
- funktion
- funktionaliteter
- funktionalitet
- funktioner
- yderligere
- indsamling
- generere
- genereret
- Georgien
- få
- får
- få
- Goes
- Regering
- Regeringsenheder
- Grafisk
- gruppe
- Gruppens
- Håndtering
- Hardware
- hash
- hash'et
- hashing
- Have
- Held
- Høj
- høj-profil
- højere
- Hole
- Huller
- Hong
- Hong Kong
- host
- hostede
- Hosting
- Men
- HTML
- http
- HTTPS
- ID
- identificeret
- identifikator
- id'er
- if
- illustrerer
- billede
- vigtigt
- in
- I andre
- medtaget
- Herunder
- indekser
- Indien
- Indikatorer
- enkeltpersoner
- indflydelse
- oplysninger
- Infrastruktur
- injicerbar
- indgang
- indtastning
- Forespørgsler
- indvendig
- installere
- installeret
- installation
- i stedet
- Institut
- integreret
- Intel
- Intelligens
- beregnet
- interesse
- internt
- internationalt
- internationalt
- ind
- IP
- IP-adresse
- IP-adresser
- Udstedt
- IT
- ITS
- januar
- Japan
- JavaScript
- jio
- jQuery
- json
- lige
- holdt
- Nøgle
- nøgler
- Kend
- viden
- kendt
- Kong
- Sprog
- Sent
- senere
- seneste
- lancere
- lanceret
- lancering
- lag
- mindst
- legitim
- Udnytter
- Bibliotek
- ligesom
- Liste
- Børsnoterede
- lytter
- Lister
- Lives
- belastning
- loader
- lastning
- lokale
- placeret
- placering
- Se
- mac
- maskine
- MacOS
- Magic
- Main
- fastland
- større
- Flertal
- Malaysia
- ondsindet
- malware
- administrere
- mange
- maskerade
- Match
- tændstikker
- matchende
- Kan..
- MD5
- me
- betyder
- meningsfuld
- betød
- mekanisme
- Hukommelse
- besked
- beskeder
- Metadata
- metode
- måske
- mangler
- modificeret
- ændre
- modulær
- Moduler
- mere
- mest
- flyttet
- flere
- skal
- Myanmar
- navn
- Som hedder
- nødvendig
- behov
- netværk
- net
- Ny
- nyheder
- næste
- Nigeria
- ingen
- Bemærk
- underretning
- nummer
- objekt
- opnå
- opnået
- opnå
- opnår
- lejligheder
- of
- Tilbud
- officiel
- Officiel hjemmeside
- Gammel
- ældre
- on
- engang
- ONE
- kun
- på
- drift
- operativsystem
- drift
- Operatører
- or
- organisation
- organisationer
- OS
- Andet
- Ellers
- vores
- ud
- output
- i løbet af
- egen
- pakke
- pakker
- side
- parametre
- forbi
- sti
- stier
- udholdenhed
- Filippinerne
- stykke
- stykker
- Place
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Vær venlig
- punkter
- stillet
- potentiale
- præsentere
- forelagt
- forhindre
- Eksempel
- tidligere
- tidligere
- private
- Problem
- udbytte
- behandle
- Processer
- producerer
- Produkt
- Profil
- programmerede
- fremmer
- protokol
- forudsat
- proxy
- offentlige
- offentligt
- offentliggjort
- formål
- kvalitet
- karantæne
- query
- rækkevidde
- intervaller
- nået
- modtage
- register
- relaterede
- resterende
- fjernelse
- fjernet
- udbytte
- afsmeltet
- gør
- svar
- rapporteret
- Rapporter
- repræsenterer
- anmode
- Kræver
- forskning
- forskere
- ansvarlige
- vende
- regler
- Kør
- kører
- Rust
- salt
- samme
- prøve
- planlagt
- script
- Anden
- sekundær
- Sektion
- sikker
- sikkerhed
- se
- set
- valg
- sender
- september
- serveret
- server
- Servere
- tjeneste
- Tjenester
- flere
- delt
- deling
- Shell
- bør
- vist
- Shows
- side
- signatur
- underskrevet
- signering
- lignende
- siden
- Størrelse
- So
- Software
- softwareudvikling
- løsninger
- sydøst
- Space
- specifikke
- specifikt
- specificeret
- Stage
- etaper
- Stjerner
- Statement
- Stater
- butik
- opbevaret
- Strategisk
- String
- struktur
- struktureret
- succes
- sådan
- forsyne
- forsyningskæde
- Understøttet
- mistænksom
- Kontakt
- systemet
- bord
- taiwan
- taget
- tager
- mål
- målrettet
- rettet mod
- mål
- Opgaver
- opgaver
- hold
- tech
- Teknologier
- terminal
- territorier
- end
- at
- oplysninger
- Filippinerne
- deres
- Them
- selv
- derefter
- Der.
- derfor
- de
- denne
- dem
- trussel
- tre
- Gennem
- hele
- tid
- tidslinje
- tidsstempel
- til
- sammen
- token
- værktøj
- toolkit
- I alt
- Oversættelse
- sand
- Stol
- to
- typen
- typisk
- ude af stand
- under
- forstå
- enestående
- Forenet
- Forenede Stater
- universitet
- ukendt
- kommende
- opdateringer
- URL
- us
- brug
- anvendte
- Bruger
- brugere
- bruger
- ved brug af
- sædvanligvis
- værdi
- Værdier
- Variant
- udgave
- versioner
- meget
- via
- Victim
- ofre
- Vietnam
- Besøg
- besøgte
- Visitor
- besøgende
- Besøg
- var
- we
- web
- Hjemmeside
- websites
- GODT
- var
- Hvad
- hvornår
- hvorvidt
- som
- WHO
- bred
- Bred rækkevidde
- bredde
- Wikipedia
- vilje
- vinduer
- med
- inden for
- ord
- skriftlig
- endnu
- zephyrnet
- Zip