ESET-Forscher haben zwei Kampagnen der OilRig APT-Gruppe analysiert: Outer Space (2021) und Juicy Mix (2022). Beide Cyberspionagekampagnen richteten sich ausschließlich gegen israelische Organisationen, was mit der Fokussierung der Gruppe auf den Nahen Osten übereinstimmt, und nutzten das gleiche Spielbuch: OilRig manipulierte zunächst eine legitime Website, um sie als C&C-Server zu verwenden, und nutzte dann VBS-Dropper, um ein C#-Protokoll bereitzustellen. /.NET-Hintertür für seine Opfer und setzt gleichzeitig eine Vielzahl von Post-Compromise-Tools ein, die hauptsächlich für die Datenexfiltration auf den Zielsystemen verwendet werden.
In ihrer Outer Space-Kampagne nutzte OilRig eine einfache, bisher undokumentierte C#/.NET-Hintertür, die wir Solar nannten, zusammen mit einem neuen Downloader, SampleCheck5000 (oder SC5k), der die Microsoft Office Exchange Web Services API für die C&C-Kommunikation nutzt. Für die Juicy Mix-Kampagne haben die Bedrohungsakteure Solar verbessert, um die Mango-Hintertür zu erstellen, die über zusätzliche Funktionen und Verschleierungsmethoden verfügt. Zusätzlich zur Erkennung des bösartigen Toolsets haben wir auch das israelische CERT über die kompromittierten Websites informiert.
Kernpunkte dieses Blogposts:
- ESET beobachtete zwei OilRig-Kampagnen, die in den Jahren 2021 (Outer Space) und 2022 (Juicy Mix) stattfanden.
- Die Betreiber nahmen ausschließlich israelische Organisationen ins Visier und manipulierten legitime israelische Websites zur Verwendung in ihrer C&C-Kommunikation.
- Sie verwendeten in jeder Kampagne eine neue, bisher nicht dokumentierte C#/.NET-Hintertür der ersten Stufe: Solar in Outer Space, dann dessen Nachfolger Mango in Juicy Mix.
- Beide Hintertüren wurden von VBS-Droppern eingesetzt und vermutlich über Spearphishing-E-Mails verbreitet.
- In beiden Kampagnen wurden verschiedene Post-Compromise-Tools eingesetzt, insbesondere der SC5k-Downloader, der die Microsoft Office Exchange Web Services API für die C&C-Kommunikation verwendet, sowie mehrere Tools zum Diebstahl von Browserdaten und Anmeldeinformationen aus dem Windows Credential Manager.
OilRig, auch bekannt als APT34, Lyceum oder Siamesekitten, ist eine Cyberspionagegruppe, die seit mindestens 2014 aktiv ist wird allgemein angenommen im Iran ansässig sein. Die Gruppe zielt auf Regierungen im Nahen Osten und eine Vielzahl von Branchen ab, darunter Chemie, Energie, Finanzen und Telekommunikation. OilRig führte die DNSpionage-Kampagne durch 2018 und 2019, die sich gegen Opfer im Libanon und in den Vereinigten Arabischen Emiraten richtete. In den Jahren 2019 und 2020 setzte OilRig seine Angriffe fort HardPass Kampagne, die LinkedIn nutzte, um Opfer im Nahen Osten im Energie- und Regierungssektor anzusprechen. Im Jahr 2021 hat OilRig seine aktualisiert DanBot Hintertür und begann mit der Bereitstellung der Hai, Mailand, und Marlin-Hintertüren, erwähnt im Ausgabe T3 2021 des ESET-Bedrohungsberichts.
In diesem Blogbeitrag bieten wir eine technische Analyse der Solar- und Mango-Hintertüren, des VBS-Droppers, der zur Bereitstellung von Mango verwendet wird, und der Post-Compromise-Tools, die in jeder Kampagne eingesetzt werden.
Anrechnung
Der erste Link, der es uns ermöglichte, die Outer Space-Kampagne mit OilRig zu verbinden, ist die Verwendung desselben benutzerdefinierten Chrome-Daten-Dumpers (von ESET-Forschern unter dem Namen MKG verfolgt) wie in der Out to Sea-Kampagne. Wir haben beobachtet, wie die Solar-Hintertür neben zwei weiteren Varianten genau die gleiche MKG-Probe wie in „Out to Sea“ auf dem System des Ziels einsetzte.
Neben der Überschneidung bei Tools und Targeting haben wir auch mehrere Ähnlichkeiten zwischen der Solar-Hintertür und den in Out to Sea verwendeten Hintertüren festgestellt, die sich hauptsächlich auf Upload und Download beziehen: Sowohl Solar als auch Shark, eine weitere OilRig-Hintertür, verwenden URIs mit einfachen Upload- und Download-Schemata zur Kommunikation mit dem C&C-Server, mit einem „d“ für Download und einem „u“ für Upload; Darüber hinaus verwendet der Downloader SC5k wie andere OilRig-Hintertüren, nämlich ALMA, Shark, DanBot und Milan, Unterverzeichnisse für Uploads und Downloads. Diese Erkenntnisse dienen als weitere Bestätigung dafür, dass der Übeltäter hinter dem Weltraum tatsächlich OilRig ist.
Was die Verbindungen der Juicy-Mix-Kampagne zu OilRig betrifft, gibt es neben der für diese Spionagegruppe typischen Ausrichtung auf israelische Organisationen auch Code-Ähnlichkeiten zwischen Mango, der in dieser Kampagne verwendeten Hintertür, und Solar. Darüber hinaus wurden beide Hintertüren von VBS-Droppern mit derselben String-Verschleierungstechnik eingesetzt. Die Wahl der in Juicy Mix eingesetzten Post-Compromise-Tools spiegelt auch frühere OilRig-Kampagnen wider.
Übersicht über die Weltraumkampagne
Benannt nach der Verwendung eines astronomiebasierten Namensschemas in seinen Funktionsnamen und Aufgaben, ist Outer Space eine OilRig-Kampagne aus dem Jahr 2021. Bei dieser Kampagne kompromittiert die Gruppe eine israelische Personalwebsite und nutzt sie anschließend als C&C-Server für ihre früheren undokumentierte C#/.NET-Hintertür, Solar. Solar ist eine einfache Hintertür mit grundlegenden Funktionen wie Lesen und Schreiben von Datenträgern sowie dem Sammeln von Informationen.
Über Solar stellte die Gruppe dann einen neuen Downloader SC5k bereit, der die Office Exchange Web Services API nutzt, um zusätzliche Tools zur Ausführung herunterzuladen, wie in gezeigt REF _Ref142655526 h Abbildung 1
. Um Browserdaten aus dem System des Opfers zu extrahieren, nutzte OilRig einen Chrome-Daten-Dumper namens MKG.
Übersicht über die Juicy Mix-Kampagne
Im Jahr 2022 startete OilRig eine weitere Kampagne, die sich an israelische Organisationen richtete, dieses Mal mit einem aktualisierten Toolset. Wir haben die Kampagne „Juicy Mix“ genannt, weil sie eine neue OilRig-Hintertür namens „Mango“ verwendet (basierend auf dem internen Assemblynamen und dem Dateinamen „Mango“). Mango.exe). Im Rahmen dieser Kampagne manipulierten die Bedrohungsakteure eine legitime israelische Jobportal-Website zur Verwendung in C&C-Kommunikationen. Die bösartigen Tools der Gruppe wurden dann gegen eine ebenfalls in Israel ansässige Gesundheitsorganisation eingesetzt.
Die Mango-Hintertür der ersten Stufe ist ein Nachfolger von Solar, ebenfalls in C#/.NET geschrieben, mit bemerkenswerten Änderungen, zu denen Exfiltrationsfunktionen, die Verwendung nativer APIs und zusätzlicher Erkennungs-Umgehungscode gehören.
Neben Mango haben wir auch zwei zuvor nicht dokumentierte Browser-Daten-Dumper entdeckt, die zum Diebstahl von Cookies, Browserverlauf und Anmeldeinformationen aus den Browsern Chrome und Edge verwendet wurden, sowie einen Windows Credential Manager-Stealer, die wir allesamt OilRig zuschreiben. Diese Tools wurden alle in den Jahren 2021 und 2022 gegen dasselbe Ziel wie Mango sowie gegen andere kompromittierte israelische Organisationen eingesetzt. REF _Ref125475515 h Abbildung 2
zeigt einen Überblick über den Einsatz der verschiedenen Komponenten in der Juicy-Mix-Kampagne.
Technische Analyse
In diesem Abschnitt bieten wir eine technische Analyse der Solar- und Mango-Backdoors und des SC5k-Downloaders sowie anderer Tools, die in diesen Kampagnen auf den Zielsystemen eingesetzt wurden.
VBS-Tropfer
Um auf dem System der Zielperson Fuß zu fassen, wurden in beiden Kampagnen Visual Basic Script (VBS)-Dropper eingesetzt, die höchstwahrscheinlich durch Spearphishing-E-Mails verbreitet wurden. Unsere Analyse unten konzentriert sich auf das VBS-Skript, das zum Löschen von Mango verwendet wird (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); Beachten Sie, dass der Dropper von Solar sehr ähnlich ist.
Der Zweck des Droppers besteht darin, die eingebettete Mango-Hintertür bereitzustellen, eine Aufgabe für die Persistenz zu planen und die Kompromittierung beim C&C-Server zu registrieren. Die eingebettete Hintertür wird als eine Reihe von Base64-Teilzeichenfolgen gespeichert, die verkettet und Base64-dekodiert werden. Wie gezeigt in REF _Ref125477632 h Abbildung 3
, verwendet das Skript auch eine einfache String-Deobfuscation-Technik, bei der Strings mithilfe arithmetischer Operationen zusammengesetzt werden und die Chr Funktion.
Darüber hinaus fügt der VBS-Dropper von Mango eine weitere Art der String-Verschleierung und Code zum Einrichten der Persistenz und zur Registrierung beim C&C-Server hinzu. Wie gezeigt in REF _Ref125479004 h * MERGEFORMAT Abbildung 4
Um einige Zeichenfolgen zu entschlüsseln, ersetzt das Skript alle Zeichen im Satz #*+-_)(}{@$%^& mit 0, teilt die Zeichenfolge dann in dreistellige Zahlen auf, die dann mithilfe von in ASCII-Zeichen umgewandelt werden Chr
Funktion. Zum Beispiel die Zeichenfolge 116110101109117+99111$68+77{79$68}46-50108109120115}77 wird übersetzt in Msxml2.DOMDocument.
Sobald die Hintertür in das System eingebettet ist, erstellt der Dropper eine geplante Aufgabe, die Mango (oder Solar in der anderen Version) alle 14 Minuten ausführt. Schließlich sendet das Skript über eine POST-Anfrage einen Base64-codierten Namen des kompromittierten Computers, um die Hintertür bei ihrem C&C-Server zu registrieren.
Solare Hintertür
Solar ist die Hintertür, die in der Weltraumkampagne von OilRig verwendet wird. Diese Hintertür verfügt über grundlegende Funktionalitäten und kann unter anderem zum Herunterladen und Ausführen von Dateien sowie zum automatischen Exfiltrieren bereitgestellter Dateien verwendet werden.
Wir haben den Namen Solar basierend auf dem von OilRig verwendeten Dateinamen gewählt. Solar.exe. Es ist ein passender Name, da die Hintertür ein astronomisches Benennungsschema für ihre Funktionsnamen und Aufgaben verwendet, die in der gesamten Binärdatei verwendet werden (Merkur, Venus, Mars, Die Erde und Jupiter).
Solar beginnt mit der Ausführung, indem es die in gezeigten Schritte ausführt REF _Ref98146919 h * MERGEFORMAT Abbildung 5
.
Die Hintertür erstellt zwei Aufgaben: Die Erde
und Venus, die im Speicher laufen. Für beide Aufgaben gibt es keine Stoppfunktion, sodass sie auf unbestimmte Zeit ausgeführt werden. Die Erde
soll alle 30 Sekunden ausgeführt werden und Venus
ist so eingestellt, dass es alle 40 Sekunden ausgeführt wird.
Die Erde ist die Hauptaufgabe, die für den Großteil der Funktionen von Solar verantwortlich ist. Über die Funktion kommuniziert es mit dem C&C-Server MerkurZuSonne, das grundlegende System- und Malware-Versionsinformationen an den C&C-Server sendet und dann die Antwort des Servers verarbeitet. Die Erde sendet die folgenden Informationen an den C&C-Server:
- Die Zeichenfolge (@); Die gesamte Zeichenfolge ist verschlüsselt.
- Die Zeichenfolge 1.0.0.0, verschlüsselt (möglicherweise eine Versionsnummer).
- Die Zeichenfolge 30000, verschlüsselt (möglicherweise die geplante Laufzeit von Die Erde
Verschlüsselung und Entschlüsselung werden in den genannten Funktionen implementiert JupiterE
und JupiterD, jeweils. Beide rufen eine Funktion mit dem Namen auf JupiterX, das eine XOR-Schleife implementiert, wie in gezeigt REF _Ref98146962 h Abbildung 6
.
Der Schlüssel wird von einer fest codierten globalen Zeichenfolgenvariablen abgeleitet. 6sEj7*0B7#7Und eine Nuntius: In diesem Fall eine zufällige Hex-Zeichenfolge mit einer Länge von 2–24 Zeichen. Im Anschluss an die XOR-Verschlüsselung wird die standardmäßige Base64-Verschlüsselung angewendet.
Als C&C-Server wurde der Webserver eines israelischen Personalunternehmens verwendet, den OilRig irgendwann vor der Bereitstellung von Solar kompromittiert hatte:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Vor dem Anhängen an den URI wird die Verschlüsselungs-Nonce verschlüsselt und der Wert der anfänglichen Abfragezeichenfolge, rt, ist eingestellt auf d hier, wahrscheinlich zum „Download“.
Der letzte Schritt der MerkurZuSonne
Die Funktion besteht darin, eine Antwort vom C&C-Server zu verarbeiten. Dies geschieht durch den Abruf einer Teilzeichenfolge der Antwort, die sich zwischen den Zeichen befindet QQ@ und @kk. Diese Antwort ist eine durch Sternchen getrennte Folge von Anweisungen (*), die in ein Array verarbeitet wird. Die Erde
Anschließend führt er die Backdoor-Befehle aus, zu denen das Herunterladen zusätzlicher Nutzlasten vom Server, das Auflisten von Dateien auf dem System des Opfers und das Ausführen bestimmter ausführbarer Dateien gehört.
Die Befehlsausgabe wird dann mithilfe der Funktion gzip-komprimiert Neptun
und mit demselben Verschlüsselungsschlüssel und einer neuen Nonce verschlüsselt. Anschließend werden die Ergebnisse auf den C&C-Server hochgeladen, also:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid und die neue Nonce werden mit dem verschlüsselt JupiterE
Funktion, und hier der Wert von rt eingestellt ist u, wahrscheinlich für „Hochladen“.
Venus, die andere geplante Aufgabe, wird für die automatisierte Datenexfiltration verwendet. Diese kleine Aufgabe kopiert den Inhalt von Dateien aus einem Verzeichnis (auch benannt). Venus) an den C&C-Server. Diese Dateien wurden wahrscheinlich von einem anderen, noch nicht identifizierten OilRig-Tool hier abgelegt. Nach dem Hochladen einer Datei löscht die Aufgabe diese von der Festplatte.
Mango-Hintertür
Für seine Juicy Mix-Kampagne wechselte OilRig von der Solar-Hintertür zu Mango. Es verfügt über einen ähnlichen Arbeitsablauf wie Solar und überlappende Funktionen, es gibt jedoch dennoch einige bemerkenswerte Änderungen:
- Verwendung von TLS für die C&C-Kommunikation.
- Verwendung nativer APIs anstelle von .NET-APIs zum Ausführen von Dateien und Shell-Befehlen.
- Obwohl nicht aktiv genutzt, wurde ein Erkennungs-Umgehungscode eingeführt.
- Unterstützung für automatisierte Exfiltration (Venus
- Die Unterstützung für den Protokollmodus wurde entfernt und Symbolnamen wurden verschleiert.
Im Gegensatz zu Solars astronomischem Namensschema verschleiert Mango seine Symbolnamen, wie in zu sehen ist REF _Ref142592880 h Abbildung 7
.
Neben der Verschleierung von Symbolnamen verwendet Mango auch die String-Stacking-Methode (wie in gezeigt). REF _Ref142592892 h Abbildung 8
REF _Ref141802299 h
), um Zeichenfolgen zu verschleiern, was die Verwendung einfacher Erkennungsmethoden erschwert.
Ähnlich wie bei Solar erstellt die Mango-Backdoor zunächst eine In-Memory-Aufgabe, die alle 32 Sekunden auf unbestimmte Zeit ausgeführt werden soll. Diese Aufgabe kommuniziert mit dem C&C-Server und führt Backdoor-Befehle aus, ähnlich wie bei Solar Die Erde
Aufgabe. Während Solar auch schafft Venus, einer Aufgabe zur automatisierten Exfiltration, wurde diese Funktionalität in Mango durch einen neuen Backdoor-Befehl ersetzt.
In der Hauptaufgabe generiert Mango zunächst eine Opfer-ID, , zur Verwendung in der C&C-Kommunikation. Die ID wird als MD5-Hash von berechnet , formatiert als hexadezimale Zeichenfolge.
Um einen Backdoor-Befehl anzufordern, sendet Mango dann die Zeichenfolge D@ @ | an den C&C-Server http://www.darush.co[.]il/ads.asp – ein legitimes israelisches Jobportal, das wahrscheinlich vor dieser Kampagne von OilRig kompromittiert wurde. Wir haben die israelische nationale CERT-Organisation über den Kompromiss informiert.
Der Anfragetext ist wie folgt aufgebaut:
- Die zu übertragenden Daten werden mit dem Verschlüsselungsschlüssel XOR-verschlüsselt Fragen und 4g, dann Base64-codiert.
- Aus diesem Alphabet (wie es im Code erscheint) wird eine pseudozufällige Zeichenfolge von 3–14 Zeichen generiert: i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Die verschlüsselten Daten werden an einer pseudozufälligen Position innerhalb der generierten Zeichenfolge eingefügt und dazwischen eingeschlossen [@ und @] Trennzeichen.
Für die Kommunikation mit seinem C&C-Server nutzt Mango das TLS-Protokoll (Transport Layer Security), das als zusätzliche Verschlüsselungsebene dient.
Ebenso wird der vom C&C-Server empfangene Backdoor-Befehl XOR-verschlüsselt, Base64-codiert und dann dazwischen eingeschlossen [@ und @] innerhalb des HTTP-Antworttextes. Der Befehl selbst ist entweder NCNT
(in diesem Fall wird keine Aktion ausgeführt) oder eine Zeichenfolge aus mehreren Parametern, die durch getrennt sind
@, wie ausführlich in REF _Ref125491491 h Tisch 1
, das die Backdoor-Befehle von Mango auflistet. Beachten Sie, dass ist nicht in der Tabelle aufgeführt, wird aber in der Antwort an den C&C-Server verwendet.
Tabelle 1. Liste der Backdoor-Befehle von Mango
arg1 |
arg2 |
arg3 |
Maßnahme ergriffen |
Rückgabewert |
|
1 oder leere Zeichenfolge |
+sp |
N / A |
Führt den angegebenen Datei-/Shell-Befehl (mit den optionalen Argumenten) unter Verwendung des nativen Befehls aus CreateProcess API importiert über DllImport. Wenn die Argumente enthalten [S], es wird ersetzt durch C: WindowsSystem32. |
Befehlsausgabe. |
|
+nu |
N / A |
Gibt die Malware-Versionszeichenfolge und die C&C-URL zurück. |
|; in diesem Fall: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Listet den Inhalt des angegebenen Verzeichnisses (oder des aktuellen Arbeitsverzeichnisses) auf. |
Verzeichnis von Für jedes Unterverzeichnis:
Für jede Datei: DATEI Dir(en) Datei(en) |
||
+dn |
N / A |
Lädt den Dateiinhalt über eine neue HTTP-POST-Anfrage im folgenden Format auf den C&C-Server hoch. u@ @ | @ @2@. |
Einer von: · Datei[ ] wird auf den Server hochgeladen. · Datei nicht gefunden! · Dateipfad leer! |
||
2 |
Base64-kodierte Daten |
Dateiname |
Speichert die angegebenen Daten in einer Datei im Arbeitsverzeichnis. |
Datei heruntergeladen in Pfad[ ] |
Jeder Backdoor-Befehl wird in einem neuen Thread verarbeitet und seine Rückgabewerte werden dann Base64-codiert und mit anderen Metadaten kombiniert. Schließlich wird diese Zeichenfolge mit demselben Protokoll und derselben Verschlüsselungsmethode wie oben beschrieben an den C&C-Server gesendet.
Unbenutzte Technik zur Umgehung der Entdeckung
Interessanterweise haben wir ein unbenutztes gefunden Entdeckungs-Umgehungstechnik innerhalb von Mango. Die Funktion, die für die Ausführung der vom C&C-Server heruntergeladenen Dateien und Befehle verantwortlich ist, benötigt einen optionalen zweiten Parameter – eine Prozess-ID. Wenn festgelegt, verwendet Mango dann das UpdateProcThreadAttribute
API zum Festlegen der PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) Attribut für den angegebenen Prozess zum Wert: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), wie in gezeigt REF _Ref125480118 h Abbildung 9
.
Ziel dieser Technik ist es, Endpoint-Sicherheitslösungen daran zu hindern, in diesem Prozess ihre Benutzermodus-Code-Hooks über eine DLL zu laden. Während der Parameter in dem von uns analysierten Beispiel nicht verwendet wurde, könnte er in zukünftigen Versionen aktiviert werden.
Version 1.1.1
Unabhängig von der Juicy-Mix-Kampagne fanden wir im Juli 2023 eine neue Version der Mango-Backdoor (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), von mehreren Benutzern unter diesem Namen auf VirusTotal hochgeladen Menorah.exe. Die interne Version in diesem Beispiel wurde von 1.0.0 auf 1.1.1 geändert, aber die einzige bemerkenswerte Änderung ist die Verwendung eines anderen C&C-Servers. http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Zusammen mit dieser Version haben wir auch ein Microsoft Word-Dokument entdeckt (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) mit einem bösartigen Makro, das die Hintertür öffnet. REF _Ref143162004 h Abbildung 10
zeigt die gefälschte Warnmeldung an, die den Benutzer dazu verleitet, Makros für das Dokument zu aktivieren, sowie den Täuschungsinhalt, der anschließend angezeigt wird, während der Schadcode im Hintergrund ausgeführt wird.
Abbildung 10. Microsoft Word-Dokument mit einem schädlichen Makro, das Mango v1.1.1 ablegt
Post-Kompromiss-Tools
In diesem Abschnitt besprechen wir eine Auswahl von Post-Compromise-Tools, die in den Outer Space- und Juicy Mix-Kampagnen von OilRig verwendet werden und darauf abzielen, zusätzliche Payloads herunterzuladen und auszuführen sowie Daten von den kompromittierten Systemen zu stehlen.
Downloader für SampleCheck5000 (SC5k).
SampleCheck5000 (oder SC5k) ist ein Downloader zum Herunterladen und Ausführen zusätzlicher OilRig-Tools, der sich durch die Verwendung der Microsoft Office Exchange Web Services API für die C&C-Kommunikation auszeichnet: Die Angreifer erstellen Nachrichtenentwürfe in diesem E-Mail-Konto und verstecken die Backdoor-Befehle darin. Anschließend meldet sich der Downloader bei demselben Konto an und analysiert die Entwürfe, um Befehle und Nutzdaten zur Ausführung abzurufen.
SC5k verwendet vordefinierte Werte – Microsoft Exchange-URL, E-Mail-Adresse und Passwort –, um sich beim Remote-Exchange-Server anzumelden, unterstützt aber auch die Option, diese Werte mithilfe einer Konfigurationsdatei im aktuellen Arbeitsverzeichnis mit dem Namen zu überschreiben Einstellungstaste. Wir haben den Namen SampleCheck5000 basierend auf einer der E-Mail-Adressen gewählt, die das Tool in der Outer Space-Kampagne verwendet hat.
Sobald sich SC5k beim Remote-Exchange-Server anmeldet, ruft es alle E-Mails im ab Dame
Verzeichnis, sortiert sie nach der neuesten Version und behält nur die Entwürfe mit Anhängen bei. Anschließend durchläuft es jeden Nachrichtenentwurf mit einem Anhang und sucht nach JSON-Anhängen, die enthalten "Daten" im Körper. Es extrahiert den Wert aus dem Schlüssel technische Daten In der JSON-Datei dekodiert und entschlüsselt Base64 den Wert und ruft auf cmd.exe um die resultierende Befehlszeilenzeichenfolge auszuführen. SC5k speichert dann die Ausgabe des cmd.exe
Ausführung auf eine lokale Variable.
Als nächsten Schritt in der Schleife meldet der Downloader die Ergebnisse den OilRig-Betreibern, indem er eine neue E-Mail-Nachricht auf dem Exchange-Server erstellt und diese als Entwurf speichert (nicht sendet), wie in gezeigt REF _Ref98147102
h * MERGEFORMAT Abbildung 11
. Eine ähnliche Technik wird verwendet, um Dateien aus einem lokalen Staging-Ordner zu exfiltrieren. Als letzten Schritt in der Schleife protokolliert SC5k auch die Befehlsausgabe in einem verschlüsselten und komprimierten Format auf der Festplatte.
Browser-Daten-Dumper
Es ist charakteristisch für OilRig-Betreiber, bei ihren Post-Compromise-Aktivitäten Browser-Daten-Dumper zu verwenden. Unter den Post-Compromise-Tools, die in der Juicy-Mix-Kampagne neben der Mango-Backdoor eingesetzt wurden, haben wir zwei neue Browser-Datendiebstahler entdeckt. Sie legen die gestohlenen Browserdaten im ab % TEMP% Verzeichnis in Dateien mit dem Namen Pokaldatum
und Euaktualisieren
(daher unsere Namen für sie: CDumper und EDumper).
Bei beiden Tools handelt es sich um C#/.NET-Browser-Datendiebstahler, die Cookies, den Browserverlauf und Anmeldeinformationen von den Browsern Chrome (CDumper) und Edge (EDumper) sammeln. Wir konzentrieren unsere Analyse auf CDumper, da beide Stealer bis auf einige Konstanten praktisch identisch sind.
Bei der Ausführung erstellt CDumper eine Liste von Benutzern, auf denen Google Chrome installiert ist. Bei der Ausführung stellt der Stealer eine Verbindung zum Chrome SQLite her Cookies, Geschichte
und Anmeldedaten Datenbanken unter %APPDATA%LocalGoogleChromeBenutzerdatenund sammelt mithilfe von SQL-Abfragen Browserdaten, einschließlich besuchter URLs und gespeicherter Anmeldungen.
Die Cookie-Werte werden dann entschlüsselt und alle gesammelten Informationen werden einer Protokolldatei mit dem Namen hinzugefügt C:Benutzer AppDataLocalTempCupdate, im Klartext. Diese Funktionalität ist in den genannten CDumper-Funktionen implementiert CookieGrab
(sehen REF _Ref126168131 h Abbildung 12
), HistoryGrab, und PasswordGrab. Beachten Sie, dass in CDumper kein Exfiltrationsmechanismus implementiert ist, Mango jedoch ausgewählte Dateien über einen Backdoor-Befehl exfiltrieren kann.
Sowohl im Weltraum als auch früher Raus in die See In der Kampagne nutzte OilRig einen C/C++ Chrome-Daten-Dumper namens MKG. Wie CDumper und EDumper war auch MKG in der Lage, Benutzernamen und Passwörter, den Browserverlauf und Cookies aus dem Browser zu stehlen. Dieser Chrome-Datendumper wird normalerweise an den folgenden Dateispeicherorten bereitgestellt (wobei der erste Speicherort am häufigsten vorkommt):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Credential Manager-Stealer
Neben Browser-Daten-Dump-Tools nutzte OilRig in der Juicy Mix-Kampagne auch einen Windows Credential Manager-Stealer. Dieses Tool stiehlt Anmeldeinformationen aus dem Windows Credential Manager und speichert sie ähnlich wie CDumper und EDumper im % TEMP% Verzeichnis – dieses Mal in eine Datei mit dem Namen IAktualisieren
(daher der Name IDumper). Im Gegensatz zu CDumper und EDumper ist IDumper als PowerShell-Skript implementiert.
Wie bei den Browser-Dumper-Tools ist es nicht ungewöhnlich, dass OilRig Anmeldeinformationen vom Windows Credential Manager sammelt. Zuvor wurden die Betreiber von OilRig mit VALUEVAULT beobachtet, a Öffentlich verfügbar, Von Go kompiliertes Tool zum Diebstahl von Anmeldeinformationen (siehe HardPass-Kampagne 2019 und einem 2020 Kampagne), zum gleichen Zweck.
Zusammenfassung
OilRig entwickelt weiterhin Innovationen und entwickelt neue Implantate mit Backdoor-ähnlichen Funktionen und findet gleichzeitig neue Wege, Befehle auf Remote-Systemen auszuführen. Die Gruppe verbesserte ihre C#/.NET Solar-Backdoor aus der Outer Space-Kampagne, um eine neue Backdoor namens Mango für die Juicy Mix-Kampagne zu erstellen. Die Gruppe stellt eine Reihe benutzerdefinierter Post-Compromise-Tools bereit, mit denen Anmeldeinformationen, Cookies und der Browserverlauf von gängigen Browsern und vom Windows Credential Manager erfasst werden. Trotz dieser Neuerungen setzt OilRig auch weiterhin auf etablierte Methoden zur Gewinnung von Benutzerdaten.
Bei Fragen zu unseren auf WeLiveSecurity veröffentlichten Forschungsergebnissen kontaktieren Sie uns bitte unter Bedrohungintel@eset.com.
ESET Research bietet private APT-Intelligence-Berichte und Daten-Feeds. Bei Fragen zu diesem Service besuchen Sie bitte die ESET Threat Intelligence
IoCs
Mappen
SHA-1 |
Dateiname |
ESET-Erkennungsname |
Beschreibung |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
Mein Lebenslauf.doc |
VBA/OilRig.C |
Dokument mit bösartigem Makro, das Mango ablegt. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS-Tropfer. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Solare Hintertür. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Mango-Hintertür (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
Mango-Hintertür (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Edge-Daten-Dumper. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
Chrome-Daten-Dumper. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Dumper des Windows-Anmeldeinformationsmanagers. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome-Daten-Dumper. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome-Daten-Dumper. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome-Daten-Dumper. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k-Downloader (32-Bit-Version). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k-Downloader (64-Bit-Version). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
SC5k-Downloader (64-Bit-Version). |
Netzwerk
IP |
Domain |
Hosting-Anbieter |
Zum ersten Mal gesehen |
Details |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
MITRE ATT&CK-Techniken
Diese Tabelle wurde mit erstellt Version 13 des MITRE ATT&CK-Frameworks.
Taktik |
ID |
Name und Vorname |
Beschreibung |
Ressourcenentwicklung |
Infrastruktur gefährden: Server |
Sowohl in den Outer Space- als auch in den Juicy Mix-Kampagnen hat OilRig legitime Websites kompromittiert, um bösartige Tools zu installieren und C&C-Kommunikationen zu ermöglichen. |
|
Entwicklungsfähigkeiten: Malware |
OilRig hat für seinen Betrieb benutzerdefinierte Hintertüren (Solar und Mango), einen Downloader (SC5k) und eine Reihe von Tools zum Diebstahl von Anmeldedaten entwickelt. |
||
Stage-Fähigkeiten: Hochladen von Malware |
OilRig hat schädliche Komponenten auf seine C&C-Server hochgeladen und dort vorab bereitgestellte Dateien und Befehle gespeichert Dame E-Mail-Verzeichnis eines Office 365-Kontos für SC5k zum Herunterladen und Ausführen. |
||
Bühnenfunktionen: Upload-Tool |
OilRig hat schädliche Tools auf seine C&C-Server hochgeladen und dort vorab bereitgestellte Dateien gespeichert Dame E-Mail-Verzeichnis eines Office 365-Kontos für SC5k zum Herunterladen und Ausführen. |
||
Erster Zugriff |
Phishing: Spearphishing-Anhang |
OilRig verbreitete seine Outer Space- und Juicy Mix-Kampagnen wahrscheinlich über Phishing-E-Mails mit angehängten VBS-Droppern. |
|
ausführung |
Geplanter Task/Job: Geplanter Task |
Die IDumper-, EDumper- und CDumper-Tools von OilRig verwenden geplante Aufgaben namens dh, Hrsg , und cu um sich im Kontext anderer Benutzer auszuführen. Solar und Mango verwenden eine C#/.NET-Aufgabe auf einem Timer, um ihre Hauptfunktionen iterativ auszuführen. |
|
Befehls- und Skriptinterpreter: PowerShell |
Das IDumper-Tool von OilRig verwendet PowerShell zur Ausführung. |
||
Befehls- und Skriptinterpreter: Windows-Befehlsshell |
OilRigs Solar-, SC5k-, IDumper-, EDumper- und CDumper-Nutzung cmd.exe um Aufgaben auf dem System auszuführen. |
||
Befehls- und Skriptinterpreter: Visual Basic |
OilRig verwendet ein bösartiges VBScript, um seine Solar- und Mango-Hintertüren bereitzustellen und beizubehalten. |
||
Native API |
Die Mango-Hintertür von OilRig verwendet die CreateProcess Windows-API zur Ausführung. |
||
Beharrlichkeit |
Geplanter Task/Job: Geplanter Task |
Der VBS-Dropper von OilRig plant eine Aufgabe mit dem Namen Erinnerungsaufgabe um Persistenz für die Mango-Hintertür herzustellen. |
|
Verteidigungsflucht |
Maskierung: Übereinstimmung mit legitimem Namen oder Ort |
OilRig verwendet legitime oder harmlose Dateinamen für seine Malware, um sich vor Verteidigern und Sicherheitssoftware zu tarnen. |
|
Verschleierte Dateien oder Informationen: Softwarepakete |
OilRig hat verwendet SAPIEN-Skriptpaketer und SmartAssembly-Verschleierer um sein IDumper-Tool zu verschleiern. |
||
Verschleierte Dateien oder Informationen: Eingebettete Payloads |
In den VBS-Droppern von OilRig sind schädliche Payloads als eine Reihe von Base64-Teilzeichenfolgen eingebettet. |
||
Maskerade: Aufgabe oder Dienst der Maskerade |
Um legitim zu wirken, plant der VBS-Dropper von Mango eine Aufgabe mit der Beschreibung Starten Sie den Notizblock zu einem bestimmten Zeitpunkt. |
||
Entfernung des Indikators: Persistenz löschen |
Die Post-Compromise-Tools von OilRig löschen ihre geplanten Aufgaben nach einer bestimmten Zeitspanne. |
||
Enthüllen/Dekodieren von Dateien oder Informationen |
OilRig verwendet mehrere Verschleierungsmethoden, um seine Strings und eingebetteten Nutzlasten zu schützen. |
||
Vertrauenskontrollen untergraben |
SC5k nutzt Office 365 als Download-Site, im Allgemeinen ein vertrauenswürdiger Drittanbieter, der von Verteidigern oft übersehen wird. |
||
Abwehrkräfte beeinträchtigen |
Die Mango-Backdoor von OilRig verfügt über eine (noch) ungenutzte Fähigkeit, Endpunkt-Sicherheitslösungen daran zu hindern, ihren Benutzermoduscode in bestimmte Prozesse zu laden. |
||
Zugang zu Anmeldeinformationen |
Anmeldeinformationen aus Kennwortspeichern: Anmeldeinformationen aus Webbrowsern |
Die benutzerdefinierten Tools MKG, CDumper und EDumper von OilRig können Anmeldeinformationen, Cookies und den Browserverlauf von Chrome- und Edge-Browsern abrufen. |
|
Anmeldeinformationen aus Kennwortspeichern: Windows-Anmeldeinformations-Manager |
Das benutzerdefinierte Tool zum Dumpen von Anmeldeinformationen, IDumper, von OilRig kann Anmeldeinformationen aus dem Windows-Anmeldeinformationsmanager stehlen. |
||
Angewandte F&E |
Systeminformationserkennung |
Mango erhält den Namen des kompromittierten Computers. |
|
Datei- und Verzeichniserkennung |
Mango verfügt über einen Befehl zum Aufzählen des Inhalts eines angegebenen Verzeichnisses. |
||
Erkennung des Systembesitzers/Benutzers |
Mango erhält den Benutzernamen des Opfers. |
||
Kontoerkennung: Lokales Konto |
Die Tools EDumper, CDumper und IDumper von OilRig können alle Benutzerkonten auf dem kompromittierten Host auflisten. |
||
Erkennung von Browserinformationen |
MKG speichert den Chrome-Verlauf und die Lesezeichen. |
||
Command and Control |
Application Layer Protocol: Webprotokolle |
Mango verwendet HTTP in der C&C-Kommunikation. |
|
Ingress-Tool-Übertragung |
Mango bietet die Möglichkeit, zusätzliche Dateien vom C&C-Server zur späteren Ausführung herunterzuladen. |
||
Datenverschleierung |
Solar und SC5k verwenden eine einfache XOR-Verschlüsselungsmethode zusammen mit der GZIP-Komprimierung, um ruhende und übertragene Daten zu verschleiern. |
||
Webdienst: Bidirektionale Kommunikation |
SC5k verwendet Office 365 zum Herunterladen und Hochladen von Dateien Dame Verzeichnis in einem legitimen E-Mail-Konto. |
||
Datenkodierung: Standardkodierung |
Solar, Mango und MKG base64 dekodieren Daten, bevor sie an den C&C-Server gesendet werden. |
||
Verschlüsselter Kanal: Symmetrische Kryptographie |
Mango verwendet eine XOR-Verschlüsselung mit dem Schlüssel Fragen und 4g zum Verschlüsseln von Daten in der C&C-Kommunikation. |
||
Verschlüsselter Kanal: Asymmetrische Kryptografie |
Mango verwendet TLS für die C&C-Kommunikation. |
||
Exfiltration |
Exfiltration über C2-Kanal |
Mango, Solar und SC5k nutzen ihre C&C-Kanäle zur Exfiltration. |
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Fähig
- Über Uns
- oben
- Konto
- Trading Konten
- Action
- aktiv
- aktiv
- Aktivitäten
- Akteure
- hinzugefügt
- Zusatz
- Zusätzliche
- zusätzlich
- Adresse
- Adressen
- Fügt
- Nach der
- danach
- gegen
- Makler
- gezielt
- Alle
- erlaubt
- ALMA
- entlang
- neben
- Alphabet
- ebenfalls
- unter
- an
- Analyse
- analysiert
- und
- Ein anderer
- jedem
- Bienen
- APIs
- erscheinen
- erscheint
- angewandt
- APT
- Araber
- Arabische Emirate
- Archiv
- SIND
- Argumente
- Feld
- AS
- montiert
- Versammlung
- Astronomie
- At
- Anschläge
- Automatisiert
- Im Prinzip so, wie Sie es von Google Maps kennen.
- Hintertür-
- Backdoors
- Hintergrund
- basierend
- basic
- BE
- war
- Bevor
- begann
- hinter
- Sein
- unten
- neben
- zwischen
- Blockieren
- Körper
- bookmarks
- beide
- Browser
- Browsern
- Browsing
- erbaut
- Geschäft
- aber
- by
- rufen Sie uns an!
- namens
- Aufrufe
- Kampagnen (Campaign)
- Kampagnen
- CAN
- Fähigkeiten
- capability
- durchgeführt
- Häuser
- sicher
- Übernehmen
- geändert
- Änderungen
- Kanal
- Kanäle
- Merkmal
- Zeichen
- chemisch
- Wahl
- wählten
- Chrome
- Chiffre
- klar
- Code
- sammeln
- Das Sammeln
- COM
- kombiniert
- gemeinsam
- häufig
- mit uns kommunizieren,
- Kommunikation
- Kommunikation
- Unternehmen
- Komponenten
- Kompromiss
- Kompromittiert
- Computer
- Konfiguration
- Bestätigung
- Vernetz Dich
- Connects
- Kontakt
- enthalten
- Inhalt
- Kontext
- weiter
- weiter
- umgewandelt
- Cookies
- könnte
- erstellen
- schafft
- Erstellen
- Schaffung
- KREDENTIAL
- Referenzen
- Strom
- Original
- technische Daten
- Datenbanken
- Entschlüsseln
- Defenders
- Übergeben
- einsetzen
- Einsatz
- Bereitstellen
- setzt ein
- Abgeleitet
- beschrieben
- Beschreibung
- Trotz
- detailliert
- erkannt
- Entdeckung
- entwickelt
- anders
- entdeckt
- Entdeckung
- angezeigt
- verteilt
- teilt
- Dokument
- die
- herunterladen
- Downloads
- Lüftung
- Drop
- fallen gelassen
- Abwurf
- Drops
- abladen
- jeder
- Früher
- Osten
- östlich
- Edge
- entweder
- E-Mails
- eingebettet
- emirates
- beschäftigt
- ermöglichen
- verschlüsselt
- Verschlüsselung
- Endpunkt
- Endpoint-Sicherheit
- Energie
- verlockend
- Spionage
- etablieren
- etablierten
- Ausweichen
- Jedes
- Beispiel
- Austausch-
- ausschließlich
- ausführen
- ausgeführt
- Führt aus
- Ausführung
- Ausführung
- Exfiltration
- KONZENTRAT
- Fälschung
- Reichen Sie das
- Mappen
- Endlich
- Revolution
- Suche nach
- Befund
- Vorname
- passend zu
- Fluss
- Setzen Sie mit Achtsamkeit
- konzentriert
- Folgende
- folgt
- Aussichten für
- Format
- gefunden
- Unser Ansatz
- für
- von 2021
- Funktion
- Funktionsumfang
- Funktionalität
- Funktionen
- weiter
- Zukunft
- Sammlung
- allgemein
- erzeugt
- erzeugt
- Global
- Kundenziele
- Google Chrome
- der Regierung
- Regierungen
- Gruppe an
- Gruppen
- Griffe
- Hash-
- Haben
- Gesundheitswesen
- daher
- hier
- HEX
- Verbergen
- Geschichte
- Haken
- Gastgeber
- Ultraschall
- HTML
- http
- HTTPS
- human
- Human Resources
- ID
- identisch
- Kennzeichnung
- if
- Image
- umgesetzt
- implementiert
- verbessert
- in
- das
- Einschließlich
- in der Tat
- Info
- Information
- Infrastruktur
- Anfangs-
- wir innovieren
- Innovationen
- Anfragen
- installiert
- beantragen müssen
- Anleitung
- Intelligenz
- intern
- in
- eingeführt
- Iran
- Israel
- IT
- SEINE
- selbst
- Job
- JSON
- Juli
- nur
- Aufbewahrung
- Wesentliche
- bekannt
- Nachname
- ins Leben gerufen
- Schicht
- am wenigsten
- Libanon
- links
- legitim
- Gefällt mir
- wahrscheinlich
- Line
- LINK
- Liste
- Gelistet
- listing
- Listen
- Laden
- aus einer regionalen
- Standorte
- Standorte
- Log
- Lang
- suchen
- Maschine
- Makro
- Makros
- Main
- Dur
- Malware
- Manager
- Marlin
- Maskerade
- Spiel
- MD5
- Mechanismus
- Memory
- erwähnt
- Nachricht
- Nachrichten
- Metadaten
- Methode
- Methoden
- Microsoft
- Mitte
- Mittlerer Osten
- MILAN
- Millisekunden
- Minuten
- mischen
- Model
- Zudem zeigt
- vor allem warme
- meist
- bewegt sich
- mehrere
- Name
- Namens
- nämlich
- Namen
- Benennung
- National
- nativen
- Netto-
- dennoch
- Neu
- weiter
- nist
- nicht
- bemerkenswert
- vor allem
- Anzahl
- Zahlen
- erhalten
- erhält
- aufgetreten
- of
- Angebote
- Office
- vorgenommen,
- on
- EINEM
- einzige
- Einkauf & Prozesse
- Betreiber
- Option
- or
- Auftrag
- Organisation
- Organisationen
- Andere
- UNSERE
- Weltraum
- Möglichkeiten für das Ausgangssignal:
- übrig
- Override
- Überblick
- Seite
- Parameter
- Parameter
- Party
- Passwort
- Passwörter
- Weg
- Durchführung
- Zeit
- Beharrlichkeit
- Phishing
- Plato
- Datenintelligenz von Plato
- PlatoData
- Bitte
- Points
- Punkte
- Portal
- Position
- gegebenenfalls
- Post
- Powershell
- praktisch
- Vorgänger
- früher
- vorher
- primär
- privat
- wahrscheinlich
- Prozessdefinierung
- Verarbeitet
- anpassen
- Produkt
- Risiken zu minimieren
- Protokoll
- die
- veröffentlicht
- Zweck
- Abfragen
- zufällig
- lieber
- Lesebrillen
- Received
- kürzlich
- Registrieren
- bezogene
- verlassen
- entfernt
- Entfernung
- Entfernt
- ersetzt
- berichten
- Meldungen
- Anforderung
- Forschungsprojekte
- Forscher
- Downloads
- beziehungsweise
- Antwort
- für ihren Verlust verantwortlich.
- REST
- was zu
- Die Ergebnisse
- Rückkehr
- Überprüfen
- Takelage
- Führen Sie
- Laufen
- s
- gleich
- Speichern
- Gerettet
- Einsparung
- sah
- Zeitplan
- vorgesehen
- Schema
- Regelungen
- Skript
- WASSER
- Zweite
- Sekunden
- Abschnitt
- Sektoren
- Sicherheitdienst
- sehen
- gesehen
- ausgewählt
- Auswahl
- Sendung
- sendet
- geschickt
- Modellreihe
- brauchen
- Server
- Fertige Server
- Lösungen
- kompensieren
- mehrere
- Hai
- Schale
- gezeigt
- Konzerte
- ähnlich
- Ähnlichkeiten
- Einfacher
- da
- am Standort
- klein
- So
- Software
- Solar-
- Lösungen
- einige
- Raumfahrt
- spezifisch
- angegeben
- Verbreitung
- Stapeln
- Stufe
- Aufführung
- Standard
- beginnt
- Stiehlt
- Schritt
- Shritte
- gestohlen
- Stoppen
- gelagert
- Läden
- Schnur
- Folge
- Anschließend
- so
- Unterstützt
- schaltet
- Symbol
- System
- Systeme und Techniken
- Tabelle
- gemacht
- nimmt
- Target
- gezielt
- Targeting
- Ziele
- Aufgabe
- und Aufgaben
- Technische
- Technische Analyse
- Telekommunikation
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- sich
- dann
- Dort.
- Diese
- vom Nutzer definierten
- Dritte
- fehlen uns die Worte.
- Bedrohung
- Bedrohungsakteure
- Bedrohungsbericht
- während
- So
- vereiteln
- Krawatten
- Zeit
- Titel
- zu
- Werkzeug
- Werkzeuge
- Top
- Transit
- Transportwesen
- Vertrauen
- vertraut
- XNUMX
- tippe
- typisch
- typisch
- Ungewöhnlich
- für
- Vereinigt
- Vereinigte Arabische
- Vereinte Arabische Emirate
- nicht wie
- ungenutzt
- aktualisiert
- hochgeladen
- Uploading
- auf
- URL
- us
- -
- benutzt
- Mitglied
- Nutzer
- verwendet
- Verwendung von
- v1
- Wert
- Werte
- Variable
- Vielfalt
- verschiedene
- Version
- Versionsinformation
- Versionen
- Vertikalen
- sehr
- Opfer
- Opfer
- Besuchen Sie
- besucht
- Warnung
- wurde
- Wege
- we
- Netz
- Web-Server
- Web-Services
- Webseite
- Webseiten
- GUT
- waren
- welche
- während
- ganze
- Breite
- werden wir
- Fenster
- mit
- .
- Word
- Arbeitsablauf.
- arbeiten,
- Schreiben
- geschrieben
- ja
- noch
- Zephyrnet