ESET Research deckt eine Kampagne der APT-Gruppe namens Evasive Panda auf, die eine internationale NGO in China mit Malware ins Visier nimmt, die über Updates beliebter chinesischer Software verbreitet wird
ESET-Forscher haben eine Kampagne entdeckt, die wir der APT-Gruppe namens Evasive Panda zuschreiben, bei der Update-Kanäle legitimer Anwendungen auf mysteriöse Weise gekapert wurden, um das Installationsprogramm für die MgBot-Malware, die Flaggschiff-Hintertür von Evasive Panda, bereitzustellen.
- Benutzer auf dem chinesischen Festland wurden mit Malware ins Visier genommen, die über Updates für von chinesischen Unternehmen entwickelte Software verbreitet wurde.
- Wir analysieren die konkurrierenden Hypothesen darüber, wie die Malware an gezielte Benutzer hätte übertragen werden können.
- Mit großer Zuversicht führen wir diese Aktivität der Evasive Panda APT-Gruppe zu.
- Wir bieten einen Überblick über Evasive Pandas charakteristische Backdoor MgBot und sein Toolkit an Plugin-Modulen.
Ausweichendes Panda-Profil
Ausweichender Panda (auch bekannt als BRONZE-HIGHLAND und Dolchfliege) ist eine chinesischsprachige APT-Gruppe, aktiv seit mindestens 2012. ESET Research hat beobachtet, wie die Gruppe Cyberspionage gegen Einzelpersonen auf dem chinesischen Festland, in Hongkong, Macau und Nigeria durchführt. Regierungsstellen wurden in China, Macau sowie in südost- und ostasiatischen Ländern, insbesondere in Myanmar, den Philippinen, Taiwan und Vietnam, ins Visier genommen, während auch andere Organisationen in China und Hongkong ins Visier genommen wurden. Öffentlichen Berichten zufolge hat die Gruppe auch unbekannte Unternehmen in Hongkong, Indien und Malaysia ins Visier genommen.
Die Gruppe implementiert ihr eigenes benutzerdefiniertes Malware-Framework mit einer modularen Architektur, die es ihrer Hintertür, bekannt als MgBot, ermöglicht, Module zu empfangen, um ihre Opfer auszuspionieren und ihre Fähigkeiten zu verbessern.
Kampagnenübersicht
Im Januar 2022 stellten wir fest, dass eine legitime chinesische Anwendung während der Durchführung von Updates ein Installationsprogramm für die Evasive Panda MgBot-Hintertür erhalten hatte. Bei unserer Untersuchung haben wir festgestellt, dass die böswilligen Aktivitäten bis ins Jahr 2020 zurückreichen.
Chinesische Benutzer standen im Mittelpunkt dieser böswilligen Aktivität, die laut ESET-Telemetrie im Jahr 2020 begann und das ganze Jahr 2021 andauerte. Die Zielbenutzer befanden sich in den Provinzen Gansu, Guangdong und Jiangsu, wie in Abbildung 1 dargestellt.
Die Mehrheit der chinesischen Opfer sind Mitglieder einer internationalen NGO, die in zwei der zuvor genannten Provinzen tätig ist.
Ein weiteres Opfer wurde ebenfalls im Land Nigeria entdeckt.
Anrechnung
Evasive Panda verwendet eine benutzerdefinierte Hintertür namens MgBot öffentlich dokumentiert im Jahr 2014 und hat sich seitdem kaum verändert; Nach unserem besten Wissen wurde die Hintertür von keiner anderen Gruppe genutzt. In dieser Gruppe bösartiger Aktivitäten wurde nur die MgBot-Malware zusammen mit ihrem Plugin-Toolkit auf den betroffenen Rechnern eingesetzt. Daher führen wir diese Aktivität mit großer Zuversicht Evasive Panda zu.
Technische Analyse
Bei unserer Untersuchung haben wir herausgefunden, dass bei der Durchführung automatisierter Updates eine legitime Anwendungssoftwarekomponente MgBot-Backdoor-Installationsprogramme von legitimen URLs und IP-Adressen heruntergeladen hat.
In Tabelle 1 geben wir die URL an, von der der Download stammt, gemäß ESET-Telemetriedaten, einschließlich der IP-Adressen der Server, wie sie zu diesem Zeitpunkt vom System des Benutzers aufgelöst wurden; Daher glauben wir, dass diese IP-Adressen legitim sind. Den passiven DNS-Einträgen zufolge stimmen alle diese IP-Adressen mit den beobachteten Domänen überein. Daher gehen wir davon aus, dass diese IP-Adressen legitim sind.
Tabelle 1. Schädliche Download-Standorte laut ESET-Telemetrie
URL | Zum ersten Mal gesehen | Domain-IP | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Kompromisshypothesen
Als wir die Wahrscheinlichkeit verschiedener Methoden analysierten, die erklären könnten, wie es den Angreifern gelang, Malware über legitime Updates zu verbreiten, blieben uns zwei Szenarien: Kompromittierung der Lieferkette und Adversary-in-the-Middle-Angriffe. Für beide Szenarien werden wir auch Vorgeschichte ähnlicher Angriffe durch andere chinesischsprachige APT-Gruppen berücksichtigen.
Tencent QQ ist ein beliebter chinesischer Chat- und Social-Media-Dienst. In den nächsten Abschnitten verwenden wir den Tencent QQ Windows-Client-Software-Updater. QQUrlMgr.exe (in Tabelle 1 aufgeführt) für unsere Beispiele, da wir die höchste Anzahl an Erkennungen durch Downloads dieser bestimmten Komponente haben.
Szenario einer Kompromittierung der Lieferkette
Angesichts der gezielten Natur der Angriffe gehen wir davon aus, dass die Angreifer die QQ-Update-Server hätten kompromittieren müssen, um einen Mechanismus zur Identifizierung der anvisierten Benutzer einzuführen, um ihnen die Malware zu übermitteln, nicht anvisierte Benutzer herauszufiltern und ihnen legitime Updates bereitzustellen – das haben wir registriert Fälle, in denen legitime Updates über dieselben missbrauchten Protokolle heruntergeladen wurden.
Obwohl es sich nicht um einen Fall von Evasive Panda handelt, finden Sie in unserem Bericht ein Paradebeispiel für diese Art von Kompromiss Operation NightScout: Supply-Chain-Angriff zielt auf Online-Gaming in Asien ab, bei dem Angreifer die Update-Server eines in Hongkong ansässigen Softwareentwicklerunternehmens kompromittiert haben. Laut unserer Telemetrie hatten mehr als 100,000 Benutzer die BigNox-Software installiert, aber nur fünf erhielten über ein Update Malware. Wir vermuten, dass die Angreifer die BigNox-API auf dem Update-Server manipuliert haben, um der Updater-Komponente auf den Computern der Zielbenutzer mit einer URL zu einem Server zu antworten, auf dem die Angreifer ihre Malware gehostet haben. Nicht angesprochene Benutzer erhielten die legitime Update-URL.
Basierend auf dieser Vorgeschichte veranschaulichen wir in Abbildung 2, wie sich das Szenario einer Kompromittierung der Lieferkette gemäß den Beobachtungen in unserer Telemetrie hätte entwickeln können. Dennoch müssen wir den Leser warnen, dass dies reine Spekulation ist und auf unserer statischen Analyse mit sehr begrenzten Informationen basiert QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Es ist auch erwähnenswert, dass es uns im Rahmen unserer Recherche nie gelungen ist, ein Beispiel der XML-„Update“-Daten – weder ein legitimes noch ein bösartiges XML-Beispiel – von dem von uns kontaktierten Server abzurufen QQUrlMgr.exe. Die „Update-Check“-URL ist in der ausführbaren Datei in verschleierter Form fest codiert, wie in Abbildung 3 dargestellt.
Entschleiert lautet die vollständige Update-Überprüfungs-URL:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Der Server antwortet mit XML-formatierten Daten, die mit Base64 kodiert und mit einer Implementierung des TEA-Algorithmus unter Verwendung eines 128-Bit-Schlüssels verschlüsselt sind. Diese Daten enthalten Anweisungen zum Herunterladen und Ausführen einer Datei sowie andere Informationen. Da der Entschlüsselungsschlüssel ebenfalls fest codiert ist, wie in Abbildung 4 dargestellt, könnte er den Angreifern bekannt sein.
QQUrlMgr.exe lädt dann die angegebene Datei unverschlüsselt über HTTP herunter und hasht ihren Inhalt mit dem MD5-Algorithmus. Das Ergebnis wird mit einem Hash verglichen, der in den XML-Daten der Update-Check-Antwort vorhanden ist, wie in Abbildung 5 dargestellt. Wenn die Hashes übereinstimmen, QQUrlMgr.exe führt die heruntergeladene Datei aus. Dies bestärkt unsere Hypothese, dass die Angreifer den serverseitigen XML-Mechanismus im Update-Server kontrollieren müssten, um den korrekten MD5-Hash des Malware-Installationsprogramms bereitstellen zu können.
Wir glauben, dass dieses Szenario unsere Beobachtungen erklären würde; Allerdings bleiben viele Fragen unbeantwortet. Wir haben uns an Tencent's gewandt Sicherheitsreaktionszentrum um die Legitimität der vollständigen URL zu bestätigen, von der die Malware heruntergeladen wurde; update.browser.qq[.]com ist zum Zeitpunkt des Verfassens dieses Artikels nicht erreichbar, Tencent konnte jedoch nicht bestätigen, ob die vollständige URL legitim war.
Adversary-in-the-Middle-Szenario
Am 2022 veröffentlichte Kaspersky a Forschungsprojekte berichten über die Fähigkeiten der chinesischsprachigen LuoYu APT-Gruppe und ihrer WinDealer-Malware. Ähnlich wie wir bei dieser Gruppe von Opfern von Evasive Panda beobachteten, stellten ihre Forscher fest, dass Opfer von LuoYu seit 2020 die WinDealer-Malware durch Updates über die legitime Anwendung qgametool.exe von erhalten hatten PPTV Software, ebenfalls von einem chinesischen Unternehmen entwickelt.
WinDealer verfügt über eine rätselhafte Fähigkeit: Anstatt eine Liste etablierter C&C-Server zu führen, die im Falle einer erfolgreichen Kompromittierung kontaktiert werden sollen, generiert es zufällige IP-Adressen im 13.62.0.0/15 und 111.120.0.0/14 reicht von China Telecom AS4134. Obwohl es sich um einen kleinen Zufall handelte, stellten wir fest, dass die IP-Adressen der chinesischen Zielbenutzer zum Zeitpunkt des Erhalts der MgBot-Malware in den IP-Adressbereichen AS4134 und AS4135 lagen.
Mögliche Erklärungen dafür, was diese Funktionen für seine C&C-Infrastruktur ermöglicht, sind, dass LuoYu entweder eine große Anzahl von Geräten kontrolliert, die mit den IP-Adressen in diesen Bereichen verknüpft sind, oder dass sie dazu in der Lage sind Gegner-in-der-Mitte (AitM) oder das Abfangen der Infrastruktur dieses bestimmten AS durch einen Angreifer.
AitM-Abhörarten wären möglich, wenn die Angreifer – entweder LuoYu oder Evasive Panda – in der Lage wären, anfällige Geräte wie Router oder Gateways zu kompromittieren. Als Vorgeschichte im Jahr 2019 ESET-Forscher haben es herausgefunden dass die chinesische APT-Gruppe namens BlackTech AitM-Angriffe über kompromittierte ASUS-Router durchführte und die Plead-Malware über ASUS WebStorage-Softwareupdates verbreitete.
Mit Zugriff auf die ISP-Backbone-Infrastruktur – über legale oder illegale Mittel – wäre Evasive Panda in der Lage, die über HTTP durchgeführten Aktualisierungsanfragen abzufangen und zu beantworten oder sogar Pakete im laufenden Betrieb zu ändern. Im April 2023 haben Symantec-Forscher berichtet über Evasive Panda im Visier einer Telekommunikationsorganisation in Afrika.
Wrap-up
Letztendlich können wir ohne weitere Beweise nicht eine Hypothese beweisen oder zugunsten der anderen verwerfen, da chinesische APT-Gruppen über solche Fähigkeiten verfügen.
Werkzeugsatz
MgBot
MgBot ist die primäre von Evasive Panda verwendete Windows-Hintertür, die unseren Erkenntnissen zufolge seit mindestens 2012 existiert und, wie in diesem Blogbeitrag erwähnt, öffentlich war dokumentiert bei VirusBulletin im Jahr 2014. Es wurde in C++ mit einem objektorientierten Design entwickelt und verfügt über die Fähigkeit, über TCP und UDP zu kommunizieren und seine Funktionalität über Plugin-Module zu erweitern.
Das Installationsprogramm und die Hintertür von MgBot sowie deren Funktionalität haben sich seit der ersten Dokumentation nicht wesentlich geändert. Die Ausführungskette ist dieselbe wie hier beschrieben berichten von Malwarebytes aus dem Jahr 2020.
MgBot-Plugins
Die modulare Architektur von MgBot ermöglicht die Erweiterung seiner Funktionalität durch den Empfang und die Bereitstellung von Modulen auf dem kompromittierten Computer. Tabelle 2 listet die bekannten Plugins und ihre Funktionalität auf. Es ist wichtig zu beachten, dass die Plugins keine eindeutigen internen Identifikationsnummern haben; Deshalb identifizieren wir sie hier anhand ihrer DLL-Namen auf der Festplatte, die sich unserer Meinung nach nie geändert haben.
Tabelle 2. Liste der Plugin-DLL-Dateien
Name der Plugin-DLL | Über uns |
---|---|
Kstrcs.dll | Keylogger Tastatureingaben werden nur dann aktiv protokolliert, wenn das Vordergrundfenster zu einem benannten Prozess gehört QQ.exe und der Fenstertitel stimmt überein QQEdit. Das wahrscheinliche Ziel ist die Tencent QQ-Chat-Anwendung. |
sebasek.dll | Dateidiebstahl. Verfügt über eine Konfigurationsdatei, die das Sammeln von Dateien aus verschiedenen Quellen ermöglicht: Festplatten, USB-Sticks und CD-ROMs; sowie Kriterien basierend auf den Dateieigenschaften: Der Dateiname muss ein Schlüsselwort aus einer vordefinierten Liste enthalten, die Dateigröße muss zwischen einer definierten Mindest- und Höchstgröße liegen. |
Cbmrpa.dll | Erfasst in die Zwischenablage kopierten Text und protokolliert Informationen aus dem USBSTOR-Registrierungsschlüssel. |
pRsm.dll | Erfasst Eingangs- und Ausgangs-Audiostreams. |
mailLFPassword.dll | Zugangsdaten-Stealer. Stiehlt Anmeldeinformationen aus der E-Mail-Client-Software Outlook und Foxmail. |
agentpwd.dll | Zugangsdaten-Stealer. Stiehlt Anmeldeinformationen unter anderem von Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla und WinSCP. |
qmsdp.dll | Ein komplexes Plugin, das darauf ausgelegt ist, den Inhalt aus der Tencent QQ-Datenbank zu stehlen, die den Nachrichtenverlauf des Benutzers speichert. Dies wird durch In-Memory-Patching der Softwarekomponente erreicht KernelUtils.dll und eine Fälschung fallen lassen userenv.dll DLL. |
wcdbcrk.dll | Informationsdiebstahl für Tencent WeChat. |
Gmck.dll | Cookies-Stealer für Firefox, Chrome und Edge. |
Die meisten Plugins sind darauf ausgelegt, Informationen aus sehr beliebten chinesischen Anwendungen wie QQ, WeChat, QQBrowser und Foxmail zu stehlen – allesamt von Tencent entwickelte Anwendungen.
Zusammenfassung
Wir haben eine Kampagne entdeckt, die wir der Evasive Panda APT-Gruppe zuschreiben und die sich an Benutzer auf dem chinesischen Festland richtet und ihre MgBot-Hintertür über Aktualisierungsprotokolle von Anwendungen bekannter chinesischer Unternehmen bereitstellt. Wir haben auch die Plugins der MgBot-Hintertür analysiert und festgestellt, dass die meisten davon darauf ausgelegt sind, Benutzer chinesischer Software auszuspionieren, indem sie Anmeldeinformationen und Informationen stehlen.
IoCs
Mappen
SHA-1 | Dateiname | Entdeckung | Beschreibung |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBot-Plugin zum Informationsdiebstahl. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBot-File-Stealer-Plugin. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot-Keylogger-Plugin. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBot Cookie-Stealer-Plugin. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBot-Plugin zum Informationsdiebstahl. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBot-Audioaufnahme-Plugin. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBot-Plugin zur Texterfassung in der Zwischenablage. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | MgBot-Plugin zum Stehlen von Anmeldeinformationen. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | MgBot-Plugin zum Stehlen von Anmeldeinformationen. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot-Installationsprogramm. |
Netzwerk
IP | Provider | Zum ersten Mal gesehen | Details |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | MgBot C&C-Server. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | MgBot C&C-Server. |
MITRE ATT&CK-Techniken
Diese Tabelle wurde mit erstellt Version 12 des MITRE ATT&CK-Frameworks.
Taktik | ID | Name und Vorname | Beschreibung |
---|---|---|---|
Ressourcenentwicklung | T1583.004 | Infrastruktur erwerben: Server | Evasive Panda erwarb Server zur Nutzung für die C&C-Infrastruktur. |
T1587.001 | Entwicklungsfähigkeiten: Malware | Evasive Panda entwickelt seine benutzerdefinierte MgBot-Backdoor und Plugins, einschließlich verschleierter Loader. | |
ausführung | T1059.003 | Befehls- und Skriptinterpreter: Windows-Befehlsshell | Das Installationsprogramm von MgBot startet den Dienst aus BAT-Dateien mit dem Befehl net start AppMgmt |
T1106 | Native API | Das Installationsprogramm von MgBot verwendet die CreateProcessInternalW API zur Ausführung rundll32.exe um die Backdoor-DLL zu laden. | |
T1569.002 | Systemdienste: Dienstausführung | MgBot wird als Windows-Dienst ausgeführt. | |
Beharrlichkeit | T1543.003 | Systemprozess erstellen oder ändern: Windows-Dienst | MgBot ersetzt den Pfad der vorhandenen Anwendungsverwaltungsdienst-DLL durch einen eigenen. |
Privilegien Eskalation | T1548.002 | Missbrauchs-Elevationskontrollmechanismus: Umgehung der Benutzerkontensteuerung | MgBot führt eine UAC-Umgehung durch. |
Verteidigungsflucht | T1140 | Enthüllen/Dekodieren von Dateien oder Informationen | Das Installationsprogramm von MgBot entschlüsselt eine eingebettete CAB-Datei, die die Backdoor-DLL enthält. |
T1112 | Registry ändern | MgBot ändert die Registrierung für Persistenz. | |
T1027 | Verschleierte Dateien oder Informationen | Das Installationsprogramm von MgBot enthält eingebettete Malware-Dateien und verschlüsselte Zeichenfolgen. MgBot enthält verschlüsselte Zeichenfolgen. MgBot-Plugins enthalten eingebettete DLL-Dateien. | |
T1055.002 | Prozessinjektion: Portable Executable Injection | MgBot kann tragbare ausführbare Dateien in Remote-Prozesse einfügen. | |
Zugang zu Anmeldeinformationen | T1555.003 | Anmeldeinformationen aus Kennwortspeichern: Anmeldeinformationen aus Webbrowsern | MgBot-Plugin-Modul agentpwd.dll stiehlt Anmeldeinformationen von Webbrowsern. |
T1539 | Web-Session-Cookie stehlen | MgBot-Plugin-Modul Gmck.dll stiehlt Kekse. | |
Angewandte F&E | T1082 | Systeminformationserkennung | MgBot sammelt Systeminformationen. |
T1016 | Ermittlung der Systemnetzwerkkonfiguration | MgBot ist in der Lage, Netzwerkinformationen wiederherzustellen. | |
T1083 | Datei- und Verzeichniserkennung | MgBot bietet die Möglichkeit, Dateilisten zu erstellen. | |
Sammlung | T1056.001 | Eingabeerfassung: Keylogging | MgBot-Plugin-Modul kstrcs.dll ist ein Keylogger. |
T1560.002 | Gesammelte Daten archivieren: Archiv über Bibliothek | Das Plugin-Modul von MgBot sebasek.dll verwendet aPLib, um für die Exfiltration bereitgestellte Dateien zu komprimieren. | |
T1123 | Audio-Capture | Das Plugin-Modul von MgBot pRsm.dll Erfasst Eingangs- und Ausgangs-Audioströme. | |
T1119 | Automatisierte Sammlung | Die Plugin-Module von MgBot erfassen Daten aus verschiedenen Quellen. | |
T1115 | Daten aus der Zwischenablage | Das Plugin-Modul von MgBot Cbmrpa.dll Erfasst den in die Zwischenablage kopierten Text. | |
T1025 | Daten von Wechselmedien | Das Plugin-Modul von MgBot sebasek.dll Sammelt Dateien von Wechselmedien. | |
T1074.001 | Datenbereitstellung: Lokale Datenbereitstellung | Die Plugin-Module von MgBot stellen Daten lokal auf der Festplatte bereit. | |
T1114.001 | E-Mail-Sammlung: Lokale E-Mail-Sammlung | Die Plugin-Module von MgBot sind darauf ausgelegt, Anmeldeinformationen und E-Mail-Informationen aus mehreren Anwendungen zu stehlen. | |
T1113 | Screen Capture | MgBot kann Screenshots aufnehmen. | |
Command and Control | T1095 | Non-Application-Layer-Protokoll | MgBot kommuniziert mit seinem C&C über TCP- und UDP-Protokolle. |
Exfiltration | T1041 | Exfiltration über C2-Kanal | MgBot führt eine Exfiltration der gesammelten Daten über C&C durch. |
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Quelle: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :hast
- :Ist
- :nicht
- :Wo
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Fähig
- LiveBuzz
- Zugang
- Nach
- Konto
- erreicht
- erworben
- aktiv
- Aktivität
- Zusätzliche
- Adressen
- Afrika
- gegen
- Algorithmus
- Alle
- erlaubt
- entlang
- ebenfalls
- Obwohl
- unter
- Betrag
- an
- Analyse
- analysieren
- und
- jedem
- Bienen
- Anwendung
- Anwendungen
- April
- APT
- Architektur
- Archiv
- SIND
- AS
- asiatisch
- damit verbundenen
- At
- Attacke
- Anschläge
- Audio-
- Automatisiert
- Zurück
- Backbone (Rückgrat)
- Hintertür-
- basierend
- BAT
- BE
- war
- Glauben
- gehört
- BESTE
- zwischen
- Blog
- beide
- Browser
- Browsern
- erbaut
- aber
- by
- C + +
- Kampagnen (Campaign)
- CAN
- kann keine
- Fähigkeiten
- Erfassung
- Captures
- Tragen
- Häuser
- Fälle
- Kette
- Übernehmen
- Kanäle
- aus der Ferne überprüfen
- geprüft
- China
- chinesisch
- Chrome
- Auftraggeber
- Cluster
- Code
- Zufall
- Sammlung
- mit uns kommunizieren,
- Unternehmen
- Unternehmen
- konkurrierenden
- abschließen
- Komplex
- Komponente
- Kompromiss
- Kompromittiert
- Leitung
- Vertrauen
- Konfiguration
- Schichtannahme
- Kontakt
- enthalten
- enthält
- Inhalt
- Inhalt
- fortgesetzt
- Smartgeräte App
- Cookies
- könnte
- Ländern
- Land
- Erstellen
- KREDENTIAL
- Referenzen
- Kriterien
- Original
- technische Daten
- Datenbase
- definiert
- Übergeben
- geliefert
- liefern
- liefert
- Einsatz
- Bereitstellen
- beschrieben
- Design
- entworfen
- entwickelt
- Entwickler:in / Unternehmen
- entwickelt
- Geräte
- anders
- entdeckt
- dns
- do
- Domains
- Nicht
- herunterladen
- Downloads
- Abwurf
- im
- Osten
- Edge
- entweder
- eingebettet
- ermöglicht
- verschlüsselt
- zu steigern,
- Entitäten
- ESET-Forschung
- etablierten
- Sogar
- Beweis
- Evolution
- Beispiel
- Beispiele
- ausführen
- Führt aus
- Ausführung
- Exfiltration
- vorhandenen
- Erklären
- erweitern
- Fälschung
- Favor
- Abbildung
- Reichen Sie das
- Mappen
- Filterung
- Firefox
- Vorname
- Flaggschiff
- Setzen Sie mit Achtsamkeit
- Aussichten für
- unten stehende Formular
- gefunden
- Unser Ansatz
- für
- voller
- Funktionalität
- weiter
- Gaming
- erzeugt
- gegeben
- der Regierung
- Regierungsstellen
- Gruppe an
- Gruppen
- Guangdong
- hätten
- Pflege
- Hash-
- Haben
- hier
- GUTE
- höchste
- hoch
- Geschichte
- Hong
- Hongkong
- gehostet
- Ultraschall
- aber
- http
- HTTPS
- Login
- identifizieren
- Identifizierung
- if
- illegal
- Implementierung
- implementiert
- wichtig
- in
- Einschließlich
- Indien
- angegeben
- Einzelpersonen
- Information
- Infrastruktur
- Varianten des Eingangssignals:
- installiert
- beantragen müssen
- Anleitung
- intern
- International
- in
- einführen
- Untersuchung
- IP
- IP-Adressen
- ISP
- IT
- SEINE
- Januar
- Kaspersky
- Wesentliche
- Wissen
- bekannt
- Kong
- grosse
- startet
- Schicht
- Rechtlich
- Legitimität
- legitim
- wahrscheinlich
- Limitiert
- Liste
- Gelistet
- Liste
- Listen
- wenig
- Belastung
- aus einer regionalen
- örtlich
- located
- Standorte
- Maschine
- Maschinen
- Festland
- Mehrheit
- Malaysia
- Malware
- Malwarebytes
- verwaltet
- Management
- viele
- Karte
- Spiel
- max-width
- maximal
- MD5
- Mittel
- Mechanismus
- Medien
- Mitglieder
- erwähnt
- Nachricht
- Methoden
- Minimum
- ändern
- modulare
- Modul
- Module
- mehr
- Myanmar
- Namens
- Namen
- Natur
- Need
- erforderlich
- Weder
- Netzwerk
- weiter
- Ngo
- Nigeria
- Anzahl
- Zahlen
- of
- on
- EINEM
- Online
- online Spielen
- einzige
- Opera
- arbeitet
- or
- Organisation
- Organisationen
- entstand
- Andere
- Anders
- UNSERE
- Outlook
- Möglichkeiten für das Ausgangssignal:
- übrig
- Überblick
- besitzen
- Pakete
- besondere
- Passiv
- Passwort
- Patchen
- Weg
- Durchführung
- führt
- Beharrlichkeit
- Philippinen
- Plato
- Datenintelligenz von Plato
- PlatoData
- plädieren
- Plugin
- Plugins
- Punkte
- Beliebt
- möglich
- Post
- Gegenwart
- vorher
- primär
- Prime
- Prozessdefinierung
- anpassen
- immobilien
- Protokolle
- Belegen
- die
- Provinzen
- Öffentlichkeit
- öffentlich
- veröffentlicht
- rein
- Fragen
- zufällig
- erreicht
- Leser
- erhalten
- Received
- Empfang
- Aufzeichnungen
- Entspannung
- eingetragen
- Registratur
- entfernt
- antworten
- berichten
- Meldungen
- Zugriffe
- Forschungsprojekte
- Forscher
- entschlossen
- Antwort
- Folge
- s
- gleich
- Szenario
- Szenarien
- Screenshots
- Abschnitte
- Sicherheitdienst
- gesehen
- Reihenfolge
- Fertige Server
- Lösungen
- Sitzung
- mehrere
- gezeigt
- Konzerte
- bedeutend
- ähnlich
- da
- Größe
- klein
- Social Media
- Social Media
- Software
- Quellen
- speziell
- Spekulation
- Stufe
- Anfang
- Beginnen Sie
- Stiehlt
- Immer noch
- Läden
- Ströme
- erfolgreich
- so
- System
- Tabelle
- Taiwan
- Nehmen
- Target
- gezielt
- Targeting
- Ziele
- Tee
- Telekom
- Telekommunikation
- Tencent
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Philippinen
- ihr
- Sie
- dann
- deswegen
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diejenigen
- Durch
- während
- Zeit
- Titel
- zu
- Toolkit
- tippe
- einzigartiges
- nicht erreichbar
- Aktualisierung
- Updates
- URL
- USB
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- verschiedene
- sehr
- Opfer
- Opfer
- Vietnam
- Verwundbar
- wurde
- we
- Netz
- Internetbrowser
- GUT
- bekannt
- waren
- Was
- wann
- ob
- welche
- während
- breit
- Wikipedia
- werden wir
- Fenster
- mit
- ohne
- wert
- würde
- Schreiben
- XML
- Zephyrnet