Οι ερευνητές της ESET ανακάλυψαν μια εκστρατεία κυβερνοκατασκοπείας που, τουλάχιστον από τον Σεπτέμβριο του 2023, θυματοποιεί τους Θιβετιανούς μέσω μιας στοχευμένης τρύπας (γνωστή και ως στρατηγικός συμβιβασμός ιστού) και έναν συμβιβασμό για την αλυσίδα εφοδιασμού για την παροχή τρωανοποιημένων εγκαταστάσεων λογισμικού μετάφρασης στη Θιβετιανή γλώσσα. Οι εισβολείς είχαν στόχο να αναπτύξουν κακόβουλα προγράμματα λήψης για Windows και macOS για να παραβιάσουν τους επισκέπτες του ιστότοπου με το MgBot και μια κερκόπορτα που, εξ όσων γνωρίζουμε, δεν έχει τεκμηριωθεί ακόμη δημόσια. το ονομάσαμε Nightdoor.
Βασικά σημεία σε αυτό το blogpost:
- Ανακαλύψαμε μια εκστρατεία κυβερνοκατασκοπείας που αξιοποιεί το Φεστιβάλ Monlam – μια θρησκευτική συγκέντρωση – για να στοχεύσει Θιβετιανούς σε πολλές χώρες και εδάφη.
- Οι επιτιθέμενοι παραβίασαν τον ιστότοπο του διοργανωτή του ετήσιου φεστιβάλ, που λαμβάνει χώρα στην Ινδία, και πρόσθεσαν κακόβουλο κώδικα για να δημιουργήσουν μια επίθεση που στοχεύει χρήστες που συνδέονται από συγκεκριμένα δίκτυα.
- Ανακαλύψαμε επίσης ότι η αλυσίδα εφοδιασμού ενός προγραμματιστή λογισμικού είχε παραβιαστεί και προγράμματα εγκατάστασης για Windows και macOS με trojanized προβλήθηκαν στους χρήστες.
- Οι επιτιθέμενοι χρησιμοποίησαν έναν αριθμό κακόβουλων προγραμμάτων λήψης και πλήρεις δυνατότητες κερκόπορτας για τη λειτουργία, συμπεριλαμβανομένης μιας δημόσιας μη τεκμηριωμένης κερκόπορτας για Windows που έχουμε ονομάσει Nightdoor.
- Αποδίδουμε αυτήν την καμπάνια με μεγάλη εμπιστοσύνη στον όμιλο Evasive Panda APT που είναι ευθυγραμμισμένος με την Κίνα.
Προσφυγικό προφίλ Panda
Υπεκφυγές Panda (Επίσης γνωστή ως BRONZE HIGHLAND και Ντάγκερμύγα) είναι μια κινεζόφωνη ομάδα APT, ενεργό τουλάχιστον από το 2012. Η ESET Research παρατήρησε την ομάδα να διεξάγει κυβερνοκατασκοπεία κατά ατόμων στην ηπειρωτική Κίνα, το Χονγκ Κονγκ, το Μακάο και τη Νιγηρία. Οι κυβερνητικές οντότητες στοχοποιήθηκαν στη Νοτιοανατολική και Ανατολική Ασία, συγκεκριμένα στην Κίνα, το Μακάο, τη Μιανμάρ, τις Φιλιππίνες, την Ταϊβάν και το Βιετνάμ. Στο στόχαστρο βρέθηκαν και άλλοι οργανισμοί στην Κίνα και το Χονγκ Κονγκ. Σύμφωνα με δημόσιες αναφορές, η ομάδα έχει επίσης στοχεύσει άγνωστες οντότητες στο Χονγκ Κονγκ, την Ινδία και τη Μαλαισία.
Η ομάδα χρησιμοποιεί το δικό της προσαρμοσμένο πλαίσιο κακόβουλου λογισμικού με μια αρθρωτή αρχιτεκτονική που επιτρέπει στην κερκόπορτα της, γνωστή ως MgBot, να λαμβάνει ενότητες για να κατασκοπεύει τα θύματά της και να βελτιώνει τις δυνατότητές της. Από το 2020 έχουμε επίσης παρατηρήσει ότι το Evasive Panda έχει δυνατότητες να προσφέρει τις κερκόπορτες του μέσω επιθέσεων αντιπάλου στη μέση πειρατεία ενημερώσεων νόμιμου λογισμικού.
Επισκόπηση καμπάνιας
Τον Ιανουάριο του 2024, ανακαλύψαμε μια επιχείρηση κατασκοπείας στον κυβερνοχώρο κατά την οποία οι επιτιθέμενοι παραβίασαν τουλάχιστον τρεις ιστοτόπους για να πραγματοποιήσουν επιθέσεις, καθώς και έναν συμβιβασμό στην αλυσίδα εφοδιασμού μιας θιβετιανής εταιρείας λογισμικού.
Ο παραβιασμένος ιστότοπος που καταχράστηκε ως λάκκο ανήκει στο Kagyu International Monlam Trust, έναν οργανισμό με έδρα την Ινδία που προωθεί τον θιβετιανό βουδισμό διεθνώς. Οι εισβολείς τοποθέτησαν ένα σενάριο στον ιστότοπο που επαληθεύει τη διεύθυνση IP του πιθανού θύματος και εάν βρίσκεται εντός ενός από τα στοχευμένα εύρη διευθύνσεων, εμφανίζει μια ψεύτικη σελίδα σφάλματος για να δελεάσει τον χρήστη να κατεβάσει μια «διόρθωση» με το όνομα πιστοποιητικό (με επέκταση .exe εάν ο επισκέπτης χρησιμοποιεί Windows ή .pkg εάν macOS). Αυτό το αρχείο είναι ένα κακόβουλο πρόγραμμα λήψης που αναπτύσσει το επόμενο στάδιο στην αλυσίδα συμβιβασμού.
Με βάση τα εύρη διευθύνσεων IP για τα οποία ελέγχει ο κώδικας, ανακαλύψαμε ότι οι εισβολείς στόχευαν χρήστες στην Ινδία, την Ταϊβάν, το Χονγκ Κονγκ, την Αυστραλία και τις Ηνωμένες Πολιτείες. Η επίθεση μπορεί να είχε ως στόχο να αξιοποιήσει το διεθνές ενδιαφέρον για το Φεστιβάλ Kagyu Monlam (Εικόνα 1) που πραγματοποιείται κάθε χρόνο τον Ιανουάριο στην πόλη Bodhgaya της Ινδίας.
Είναι ενδιαφέρον ότι το δίκτυο του Ινστιτούτου Τεχνολογίας της Τζόρτζια (γνωστό και ως Georgia Tech) στις Ηνωμένες Πολιτείες είναι μεταξύ των οντοτήτων που προσδιορίζονται στα στοχευμένα εύρη διευθύνσεων IP. Κατά το παρελθόν, αναφέρθηκε το πανεπιστήμιο σε σχέση με την επιρροή του Κινεζικού Κομμουνιστικού Κόμματος στα εκπαιδευτικά ιδρύματα στις ΗΠΑ.
Γύρω στον Σεπτέμβριο του 2023, οι επιτιθέμενοι παραβίασαν τον ιστότοπο μιας εταιρείας ανάπτυξης λογισμικού με έδρα την Ινδία, η οποία παράγει λογισμικό μετάφρασης στη θιβετιανή γλώσσα. Οι επιτιθέμενοι τοποθέτησαν εκεί αρκετές trojanized εφαρμογές που αναπτύσσουν ένα κακόβουλο πρόγραμμα λήψης για Windows ή macOS.
Επιπλέον, οι επιτιθέμενοι έκαναν κατάχρηση του ίδιου ιστότοπου και ενός θιβετιανού ειδησεογραφικού ιστότοπου που ονομάζεται Tibetpost – tibetpost[.]net – για να φιλοξενήσει τα ωφέλιμα φορτία που αποκτήθηκαν από τις κακόβουλες λήψεις, συμπεριλαμβανομένων δύο κερκόπορτων με πλήρεις δυνατότητες για Windows και άγνωστου αριθμού ωφέλιμων φορτίων για το macOS.
Με μεγάλη εμπιστοσύνη αποδίδουμε αυτήν την καμπάνια στην ομάδα Evasive Panda APT, με βάση το κακόβουλο λογισμικό που χρησιμοποιήθηκε: MgBot και Nightdoor. Στο παρελθόν, έχουμε δει και τα δύο backdoors να αναπτύσσονται μαζί, σε μια άσχετη επίθεση εναντίον μιας θρησκευτικής οργάνωσης στην Ταϊβάν, στην οποία μοιράζονταν επίσης τον ίδιο διακομιστή C&C. Και τα δύο σημεία ισχύουν επίσης για την καμπάνια που περιγράφεται σε αυτό το blogpost.
Πότισμα
Τον Ιανουάριο 14th, 2024, εντοπίσαμε ένα ύποπτο σενάριο στο https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Ο κακόβουλος συγκεχυμένος κώδικας προστέθηκε σε ένα νόμιμο jQuery Σενάριο βιβλιοθήκης JavaScript, όπως φαίνεται στην Εικόνα 2.
Το σενάριο στέλνει ένα αίτημα HTTP στη διεύθυνση localhost http://localhost:63403/?callback=handleCallback για να ελέγξετε εάν το ενδιάμεσο πρόγραμμα λήψης του εισβολέα εκτελείται ήδη στο μηχάνημα πιθανού θύματος (βλ. Εικόνα 3). Σε ένα μηχάνημα που είχε προηγουμένως παραβιαστεί, το εμφύτευμα απαντά με handleCallback ({“επιτυχία”:true }) (βλ. Εικόνα 4) και δεν γίνονται περαιτέρω ενέργειες από το σενάριο.
Εάν το μηχάνημα δεν απαντήσει με τα αναμενόμενα δεδομένα, ο κακόβουλος κώδικας συνεχίζεται λαμβάνοντας ένα κατακερματισμό MD5 από έναν δευτερεύοντα διακομιστή στο https://update.devicebug[.]com/getVersion.php. Στη συνέχεια, ο κατακερματισμός ελέγχεται σε μια λίστα με 74 τιμές κατακερματισμού, όπως φαίνεται στο Σχήμα 6.
Εάν υπάρχει αντιστοιχία, το σενάριο θα αποδώσει μια σελίδα HTML με μια ψεύτικη ειδοποίηση σφαλμάτων (Εικόνα 7) που προορίζεται να δολώσει τον επισκέπτη χρήστη στη λήψη μιας λύσης για την επίλυση του προβλήματος. Η σελίδα μιμείται το τυπικό "Ωχ, κουμπώνει!" προειδοποιήσεις από Google Chrome.
Το κουμπί "Άμεση επιδιόρθωση" ενεργοποιεί μια δέσμη ενεργειών που κατεβάζει ένα ωφέλιμο φορτίο με βάση το λειτουργικό σύστημα του χρήστη (Εικόνα 8).
Σπάζοντας το χασίς
Η προϋπόθεση για την παράδοση ωφέλιμου φορτίου απαιτεί τη λήψη του σωστού κατακερματισμού από τον διακομιστή στο update.devicebug[.]com, επομένως τα 74 hashes είναι το κλειδί για τον μηχανισμό επιλογής θυμάτων του εισβολέα. Ωστόσο, δεδομένου ότι ο κατακερματισμός υπολογίζεται από την πλευρά του διακομιστή, μας αποτελούσε πρόκληση να γνωρίζουμε ποια δεδομένα χρησιμοποιούνται για τον υπολογισμό του.
Πειραματιστήκαμε με διαφορετικές διευθύνσεις IP και διαμορφώσεις συστήματος και περιορίσαμε την είσοδο για τον αλγόριθμο MD5 σε έναν τύπο των τριών πρώτων οκτάδων της διεύθυνσης IP του χρήστη. Με άλλα λόγια, εισάγοντας διευθύνσεις IP που μοιράζονται το ίδιο πρόθεμα δικτύου, για παράδειγμα 192.168.0.1 και 192.168.0.50, θα λάβει τον ίδιο κατακερματισμό MD5 από τον διακομιστή C&C.
Ωστόσο, ένας άγνωστος συνδυασμός χαρακτήρων, ή α αλάτι, περιλαμβάνεται με τη συμβολοσειρά των τριών πρώτων οκτάδων IP πριν από τον κατακερματισμό για να αποτρέψει την ασήμαντη ωμή επιβολή των κατακερματισμών. Ως εκ τούτου, χρειαζόμασταν να εξαναγκάσουμε το αλάτι για να ασφαλίσουμε τον τύπο εισόδου και μόνο τότε να δημιουργήσουμε κατακερματισμούς χρησιμοποιώντας ολόκληρο το εύρος διευθύνσεων IPv4 για να βρούμε τους αντίστοιχους 74 κατακερματισμούς.
Μερικές φορές τα αστέρια ευθυγραμμίζονται, και καταλάβαμε ότι το αλάτι ήταν 1qaz0km!@#. Με όλα τα κομμάτια του τύπου εισόδου MD5 (για παράδειγμα, 192.168.1.1qaz0km!@#), αναγκάσαμε τα 74 hashes με ευκολία και δημιουργήσαμε μια λίστα στόχων. Δείτε το Παράρτημα για μια πλήρη λίστα.
Όπως φαίνεται στο Σχήμα 9, η πλειονότητα των στοχευμένων σειρών διευθύνσεων IP βρίσκεται στην Ινδία, ακολουθούμενη από την Ταϊβάν, την Αυστραλία, τις Ηνωμένες Πολιτείες και το Χονγκ Κονγκ. Σημειώστε ότι τα περισσότερα από τα Θιβετιανή διασπορά ζει στην Ινδία.
ωφέλιμο φορτίο των Windows
Στα Windows, τα θύματα της επίθεσης εξυπηρετούνται με ένα κακόβουλο εκτελέσιμο αρχείο που βρίσκεται στο https://update.devicebug[.]com/fixTools/certificate.exe. Το σχήμα 10 δείχνει την αλυσίδα εκτέλεσης που ακολουθεί όταν ο χρήστης πραγματοποιεί λήψη και εκτέλεση της κακόβουλης ενημέρωσης κώδικα.
Certificate.exe είναι ένα σταγονόμετρο που αναπτύσσει μια αλυσίδα πλευρικής φόρτωσης για να φορτώσει ένα ενδιάμεσο πρόγραμμα λήψης, memmgrset.dll (εσωτερική ονομασία http_dy.dll). Αυτό το DLL ανακτά ένα αρχείο JSON από τον διακομιστή C&C στο https://update.devicebug[.]com/assets_files/config.json, το οποίο περιέχει τις πληροφορίες για τη λήψη του επόμενου σταδίου (βλ. Εικόνα 11).
Όταν γίνει λήψη και εκτέλεση του επόμενου σταδίου, αναπτύσσει μια άλλη αλυσίδα πλευρικής φόρτωσης για να παραδώσει το Nightdoor ως το τελικό ωφέλιμο φορτίο. Μια ανάλυση του Nightdoor παρέχεται παρακάτω στο Νυχτερινή πόρτα τμήμα.
ωφέλιμο φορτίο macOS
Το κακόβουλο λογισμικό macOS είναι το ίδιο πρόγραμμα λήψης που τεκμηριώνουμε με περισσότερες λεπτομέρειες Συμβιβασμός για την εφοδιαστική αλυσίδα. Ωστόσο, αυτό ρίχνει ένα επιπλέον εκτελέσιμο Mach-O, το οποίο ακούει στη θύρα TCP 63403. Ο μόνος σκοπός του είναι να απαντήσει με handleCallback ({“επιτυχία”:true }) στο αίτημα για κακόβουλο κώδικα JavaScript, επομένως εάν ο χρήστης επισκεφτεί ξανά τον ιστότοπο του watering-hole, ο κώδικας JavaScript δεν θα επιχειρήσει να υπονομεύσει εκ νέου τον επισκέπτη.
Αυτό το πρόγραμμα λήψης λαμβάνει το αρχείο JSON από τον διακομιστή και πραγματοποιεί λήψη του επόμενου σταδίου, ακριβώς όπως η έκδοση των Windows που περιγράφηκε προηγουμένως.
Συμβιβασμός για την εφοδιαστική αλυσίδα
Τον Ιανουάριο 18th, ανακαλύψαμε ότι ο επίσημος ιστότοπος (Εικόνα 12) ενός προϊόντος λογισμικού μετάφρασης Θιβετιανής γλώσσας για πολλαπλές πλατφόρμες φιλοξενούσε πακέτα ZIP που περιείχαν προγράμματα εγκατάστασης trojanized για νόμιμο λογισμικό που ανέπτυξε κακόβουλα προγράμματα λήψης για Windows και macOS.
Βρήκαμε ένα θύμα από την Ιαπωνία που κατέβασε ένα από τα πακέτα για Windows. Ο Πίνακας 1 παραθέτει τις διευθύνσεις URL και τα εμφυτεύματα που έπεσαν.
Πίνακας 1. URL των κακόβουλων πακέτων στον παραβιασμένο ιστότοπο και τύπος ωφέλιμου φορτίου στην παραβιασμένη εφαρμογή
URL κακόβουλου πακέτου |
Τύπος ωφέλιμου φορτίου |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Πρόγραμμα λήψης Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Πρόγραμμα λήψης Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Πρόγραμμα λήψης Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
πρόγραμμα λήψης macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
πρόγραμμα λήψης macOS |
Πακέτα Windows
Το σχήμα 13 απεικονίζει την αλυσίδα φόρτωσης της trojanized εφαρμογής από τη συσκευασία monlam-bodyig3.zip.
Η trojanized εφαρμογή περιέχει ένα κακόβουλο dropper που ονομάζεται autorun.exe που αναπτύσσει δύο στοιχεία:
- ένα εκτελέσιμο αρχείο με όνομα MonlamUpdate.exe, το οποίο είναι ένα στοιχείο λογισμικού από έναν εξομοιωτή που ονομάζεται C64 Για πάντα και γίνεται κατάχρηση για πλευρική φόρτωση DLL, και
- RPHost.dll, το πλευρικά φορτωμένο DLL, το οποίο είναι ένα κακόβουλο πρόγραμμα λήψης για το επόμενο στάδιο.
Όταν το πρόγραμμα λήψης DLL φορτώνεται στη μνήμη, δημιουργεί μια προγραμματισμένη εργασία με το όνομα Demovale προορίζεται να εκτελείται κάθε φορά που ένας χρήστης συνδέεται. Ωστόσο, δεδομένου ότι η εργασία δεν καθορίζει ένα αρχείο προς εκτέλεση, αποτυγχάνει να δημιουργήσει επιμονή.
Στη συνέχεια, αυτό το DLL λαμβάνει ένα UUID και την έκδοση του λειτουργικού συστήματος για να δημιουργήσει έναν προσαρμοσμένο παράγοντα χρήστη και στέλνει ένα αίτημα GET στο https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat για να αποκτήσετε ένα αρχείο JSON που περιέχει τη διεύθυνση URL για λήψη και εκτέλεση ενός ωφέλιμου φορτίου που απορρίπτει στο % TEMP% Ευρετήριο. Δεν μπορέσαμε να λάβουμε δείγμα των δεδομένων αντικειμένου JSON από τον παραβιασμένο ιστότοπο. επομένως δεν ξέρουμε από πού ακριβώς default_ico.exe γίνεται λήψη, όπως φαίνεται στην Εικόνα 13.
Μέσω τηλεμετρίας ESET, παρατηρήσαμε ότι το παράνομο MonlamUpdate.exe διαδικασία λήψης και εκτέλεσης σε διαφορετικές περιπτώσεις σε τουλάχιστον τέσσερα κακόβουλα αρχεία %TEMP%default_ico.exe. Ο Πίνακας 2 παραθέτει αυτά τα αρχεία και τον σκοπό τους.
Πίνακας 2. Κατακερματισμός του default_ico.exe πρόγραμμα λήψης/ dropper, διεύθυνση URL επικοινωνίας C&C και περιγραφή του προγράμματος λήψης
SHA-1 |
Διεύθυνση URL επικοινωνίας |
Σκοπός |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Πραγματοποιεί λήψη ενός άγνωστου ωφέλιμου φορτίου από τον διακομιστή. |
F0F8F60429E3316C463F |
Πραγματοποιεί λήψη ενός άγνωστου ωφέλιμου φορτίου από τον διακομιστή. Αυτό το δείγμα γράφτηκε σε Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Κατεβάζει ένα σταγονόμετρο με τυχαία όνομα Nightdoor. |
BFA2136336D845184436 |
N / A |
Εργαλείο ανοιχτού κώδικα Πληροφορίες συστήματος, στο οποίο οι εισβολείς ενσωμάτωσαν τον κακόβουλο κώδικά τους και ενσωμάτωσαν ένα κρυπτογραφημένο blob το οποίο, μόλις αποκρυπτογραφηθεί και εκτελεστεί, εγκαθιστά το MgBot. |
Τέλος, η default_ico.exe το πρόγραμμα λήψης ή το dropper είτε θα λάβει το ωφέλιμο φορτίο από τον διακομιστή είτε θα το αφήσει και, στη συνέχεια, θα το εκτελέσει στο μηχάνημα του θύματος, εγκαθιστώντας είτε το Nightdoor (βλ. Νυχτερινή πόρτα ενότητα) ή MgBot (δείτε μας προηγούμενη ανάλυση).
Τα δύο εναπομείναντα πακέτα trojanized είναι πολύ παρόμοια, αναπτύσσοντας το ίδιο κακόβουλο πρόγραμμα λήψης DLL που φορτώνεται πλευρικά από το νόμιμο εκτελέσιμο αρχείο.
πακέτα macOS
Το αρχείο ZIP που λήφθηκε από το επίσημο κατάστημα εφαρμογών περιέχει ένα τροποποιημένο πακέτο προγράμματος εγκατάστασης (.pkg αρχείο), όπου προστέθηκαν ένα εκτελέσιμο Mach-O και ένα σενάριο μετά την εγκατάσταση. Το σενάριο μετά την εγκατάσταση αντιγράφει το αρχείο Mach-O στο $HOME/Βιβλιοθήκη/Κοντέινερ/CalendarFocusEXT/ και προχωρά στην εγκατάσταση ενός Launch Agent στο $HOME/Library/LaunchAgents/com.Terminal.us.plist για επιμονή. Το σχήμα 14 δείχνει το σενάριο που είναι υπεύθυνο για την εγκατάσταση και την εκκίνηση του κακόβουλου παράγοντα εκκίνησης.
Το κακόβουλο Mach-O, Monlam-bodyig_Keyboard_2017 στο Σχήμα 13 είναι υπογεγραμμένο, αλλά όχι συμβολαιογραφικό, χρησιμοποιώντας πιστοποιητικό προγραμματιστή (όχι α τύπος πιστοποιητικού συνήθως χρησιμοποιείται για διανομή) με το όνομα και το αναγνωριστικό ομάδας για νι γιανγκ (2289F6V4BN). Η χρονική σήμανση στην υπογραφή δείχνει ότι υπογράφηκε στις 7 Ιανουαρίουth, 2024. Αυτή η ημερομηνία χρησιμοποιείται επίσης στην τροποποιημένη χρονική σήμανση των κακόβουλων αρχείων στα μεταδεδομένα του αρχείου ZIP. Το πιστοποιητικό εκδόθηκε μόλις τρεις ημέρες πριν. Το πλήρες πιστοποιητικό είναι διαθέσιμο στο IoC Ενότητα. Η ομάδα μας επικοινώνησε με την Apple στις 25 Ιανουαρίουth και το πιστοποιητικό ανακλήθηκε την ίδια μέρα.
Αυτό το κακόβουλο λογισμικό πρώτου σταδίου κατεβάζει ένα αρχείο JSON που περιέχει τη διεύθυνση URL στο επόμενο στάδιο. Η αρχιτεκτονική (ARM ή Intel), η έκδοση macOS και το UUID υλικού (ένα αναγνωριστικό μοναδικό για κάθε Mac) αναφέρονται στην κεφαλίδα αιτήματος User-Agent HTTP. Η ίδια διεύθυνση URL με την έκδοση των Windows χρησιμοποιείται για την ανάκτηση αυτής της διαμόρφωσης: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Ωστόσο, η έκδοση macOS θα εξετάσει τα δεδομένα κάτω από το κλειδί mac του αντικειμένου JSON αντί για το νίκη κλειδί.
Το αντικείμενο κάτω από το κλειδί mac πρέπει να περιέχει τα εξής:
- url: Η διεύθυνση URL για το επόμενο στάδιο.
- md5: άθροισμα MD5 του ωφέλιμου φορτίου.
- vernow: Μια λίστα UUID υλικού. Εάν υπάρχει, το ωφέλιμο φορτίο θα εγκατασταθεί μόνο σε Mac που διαθέτουν ένα από τα αναφερόμενα UUID υλικού. Αυτός ο έλεγχος παραλείπεται εάν η λίστα είναι κενή ή λείπει.
- εκδοχή: Μια αριθμητική τιμή που πρέπει να είναι υψηλότερη από την προηγούμενη λήψη του δεύτερου σταδίου «έκδοση». Δεν γίνεται λήψη του ωφέλιμου φορτίου διαφορετικά. Η τιμή της τρέχουσας έκδοσης διατηρείται στην εφαρμογή προεπιλογές χρήστη.
Αφού το κακόβουλο λογισμικό πραγματοποιήσει λήψη του αρχείου από την καθορισμένη διεύθυνση URL χρησιμοποιώντας curl, το αρχείο κατακερματίζεται χρησιμοποιώντας MD5 και συγκρίνεται με τη δεκαεξαδική σύνοψη κάτω από το md5 κλειδί. Εάν ταιριάζει, τα εκτεταμένα χαρακτηριστικά του καταργούνται (για εκκαθάριση του χαρακτηριστικού com.apple.quarantine), το αρχείο μετακινείται στο $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, και εκκινείται με χρήση execvp με το όρισμα τρέχει.
Σε αντίθεση με την έκδοση των Windows, δεν μπορέσαμε να βρούμε κανένα από τα μεταγενέστερα στάδια της παραλλαγής macOS. Μία διαμόρφωση JSON περιείχε έναν κατακερματισμό MD5 (3C5739C25A9B85E82E0969EE94062F40), αλλά το πεδίο URL ήταν κενό.
Νυχτερινή πόρτα
Το backdoor που ονομάσαμε Nightdoor (και ονομάζεται NetMM από τους δημιουργούς κακόβουλου λογισμικού σύμφωνα με τις διαδρομές PDB) είναι μια πρόσφατη προσθήκη στο σύνολο εργαλείων του Evasive Panda. Οι πρώτες μας γνώσεις για το Nightdoor χρονολογούνται από το 2020, όταν το Evasive Panda το ανέπτυξε σε μια μηχανή ενός στόχου υψηλού προφίλ στο Βιετνάμ. Το backdoor επικοινωνεί με τον διακομιστή C&C μέσω UDP ή του Google Drive API. Το εμφύτευμα Nightdoor από αυτήν την καμπάνια χρησιμοποίησε το τελευταίο. Κρυπτογραφεί ένα Google API OAuth 2.0 διακριτικό εντός της ενότητας δεδομένων και χρησιμοποιεί το διακριτικό για πρόσβαση στο Google Drive του εισβολέα. Ζητήσαμε να αφαιρεθεί ο λογαριασμός Google που σχετίζεται με αυτό το διακριτικό.
Αρχικά, το Nightdoor δημιουργεί έναν φάκελο στο Google Drive που περιέχει τη διεύθυνση MAC του θύματος, η οποία λειτουργεί επίσης ως αναγνωριστικό θύματος. Αυτός ο φάκελος θα περιέχει όλα τα μηνύματα μεταξύ του εμφυτεύματος και του διακομιστή C&C. Κάθε μήνυμα μεταξύ του Nightdoor και του διακομιστή C&C είναι δομημένο ως αρχείο και χωρίζεται σε όνομα αρχείου και δεδομένα αρχείου, όπως απεικονίζεται στην Εικόνα 15.
Κάθε όνομα αρχείου περιέχει οκτώ κύρια χαρακτηριστικά, τα οποία παρουσιάζονται στο παρακάτω παράδειγμα.
Παράδειγμα:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: μαγική αξία.
- 0C64C2BAEF534C8E9058797BCD783DE5: κεφαλίδα του pbuf δομή δεδομένων.
- 168: μέγεθος του αντικειμένου του μηνύματος ή το μέγεθος αρχείου σε byte.
- 0: όνομα αρχείου, το οποίο είναι πάντα η προεπιλογή του 0 (null).
- 1: τύπος εντολής, κωδικοποιημένος σε 1 ή 0 ανάλογα με το δείγμα.
- 4116: αναγνωριστικό εντολής.
- 0: ποιότητα υπηρεσιών (QoS).
- 00-00-00-00-00-00: προορίζεται να είναι η διεύθυνση MAC του προορισμού αλλά πάντα είναι προεπιλεγμένη 00-00-00-00-00-00.
Τα δεδομένα μέσα σε κάθε αρχείο αντιπροσωπεύουν την εντολή του ελεγκτή για το backdoor και τις απαραίτητες παραμέτρους για την εκτέλεσή του. Το σχήμα 16 δείχνει ένα παράδειγμα ενός μηνύματος διακομιστή C&C που είναι αποθηκευμένο ως δεδομένα αρχείου.
Με την αντίστροφη μηχανική του Nightdoor, μπορέσαμε να κατανοήσουμε τη σημασία των σημαντικών πεδίων που παρουσιάζονται στο αρχείο, όπως φαίνεται στην Εικόνα 17.
Διαπιστώσαμε ότι προστέθηκαν πολλές σημαντικές αλλαγές στην έκδοση Nightdoor που χρησιμοποιήθηκε σε αυτήν την καμπάνια, μία από αυτές είναι η οργάνωση των αναγνωριστικών εντολών. Σε προηγούμενες εκδόσεις, κάθε αναγνωριστικό εντολής είχε εκχωρηθεί σε μια συνάρτηση χειριστή μία προς μία, όπως φαίνεται στο Σχήμα 18. Οι επιλογές αρίθμησης, όπως από 0x2001 προς την 0x2006, από την 0x2201 προς την 0x2203, από την 0x4001 προς την 0x4003, Και από 0x7001 προς την 0x7005, πρότεινε ότι οι εντολές χωρίστηκαν σε ομάδες με παρόμοιες λειτουργίες.
Ωστόσο, σε αυτήν την έκδοση, το Nightdoor χρησιμοποιεί έναν πίνακα διακλάδωσης για να οργανώσει όλα τα αναγνωριστικά εντολών με τους αντίστοιχους χειριστές τους. Τα αναγνωριστικά εντολών είναι συνεχή και λειτουργούν ως ευρετήρια στους αντίστοιχους χειριστές τους στον πίνακα διακλάδωσης, όπως φαίνεται στο Σχήμα 19.
Ο Πίνακας 3 είναι μια προεπισκόπηση των εντολών του διακομιστή C&C και των λειτουργιών τους. Αυτός ο πίνακας περιέχει τα νέα αναγνωριστικά εντολών καθώς και τα ισοδύναμα αναγνωριστικά από παλαιότερες εκδόσεις.
Πίνακας 3. Εντολές που υποστηρίζονται από τις παραλλαγές Nightdoor που χρησιμοποιούνται σε αυτήν την καμπάνια.
Αναγνωριστικό εντολής |
Προηγούμενο αναγνωριστικό εντολής |
Περιγραφή |
|
0x1001 |
0x2001 |
Συλλέξτε βασικές πληροφορίες προφίλ συστήματος όπως: – Έκδοση λειτουργικού συστήματος – Προσαρμογείς δικτύου IPv4, διευθύνσεις MAC και διευθύνσεις IP – Όνομα CPU – Όνομα υπολογιστή – Όνομα χρήστη – Ονόματα προγραμμάτων οδήγησης συσκευών – Όλα τα ονόματα χρήστη από Γ:Χρήστες* - Τοπική ώρα – Δημόσια διεύθυνση IP χρησιμοποιώντας το ifconfig.me or ipinfo.io διαδικτυακή υπηρεσία |
|
0x1007 |
0x2002 |
Συλλέξτε πληροφορίες σχετικά με μονάδες δίσκου όπως: – Όνομα μονάδας δίσκου – Ελεύθερος χώρος και συνολικός χώρος – Τύπος συστήματος αρχείων: NTFS, FAT32, κ.λπ. |
|
0x1004 |
0x2003 |
Συλλέξτε πληροφορίες για όλες τις εγκατεστημένες εφαρμογές κάτω από τα κλειδιά μητρώου των Windows: - HKLMS ΛΟΓΙΣΜΙΚΟ - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Συλλέξτε πληροφορίες σχετικά με διεργασίες που εκτελούνται, όπως: – Όνομα διεργασίας – Αριθμός νημάτων – Όνομα χρήστη – Θέση αρχείου στο δίσκο – Περιγραφή αρχείου στο δίσκο |
|
0x1006 |
0x4001 |
Δημιουργήστε ένα αντίστροφο κέλυφος και διαχειριστείτε την είσοδο και την έξοδο μέσω ανώνυμων σωλήνων. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Αυτόματη απεγκατάσταση. |
|
0x100C |
0x6001 |
Μετακίνηση αρχείου. Η διαδρομή παρέχεται από τον διακομιστή C&C. |
|
0x100B |
0x6002 |
Διαγραφή φακέλου. Η διαδρομή παρέχεται από τον διακομιστή C&C. |
|
0x1016 |
0x6101 |
Λάβετε χαρακτηριστικά αρχείου. Η διαδρομή παρέχεται από τον διακομιστή C&C. |
Συμπέρασμα
Αναλύσαμε μια εκστρατεία του APT Evasive Panda που είναι ευθυγραμμισμένη με την Κίνα που στόχευε Θιβετιανούς σε διάφορες χώρες και εδάφη. Πιστεύουμε ότι οι επιτιθέμενοι εκμεταλλεύτηκαν, εκείνη την εποχή, το επερχόμενο φεστιβάλ Monlam τον Ιανουάριο και τον Φεβρουάριο του 2024 για να παραβιάσουν τους χρήστες όταν επισκέφτηκαν τον ιστότοπο του φεστιβάλ. Επιπλέον, οι επιτιθέμενοι παραβίασαν την αλυσίδα εφοδιασμού ενός προγραμματιστή λογισμικού εφαρμογών μετάφρασης θιβετιανής γλώσσας.
Οι επιτιθέμενοι έδωσαν πολλά προγράμματα λήψης, droppers και backdoors, συμπεριλαμβανομένου του MgBot – το οποίο χρησιμοποιείται αποκλειστικά από το Evasive Panda – και του Nightdoor: η πιο πρόσφατη σημαντική προσθήκη στην εργαλειοθήκη του ομίλου και η οποία έχει χρησιμοποιηθεί για τη στόχευση πολλών δικτύων στην Ανατολική Ασία.
Μια ολοκληρωμένη λίστα δεικτών συμβιβασμού (IoC) και δειγμάτων μπορείτε να βρείτε στο μας Αποθετήριο GitHub.
Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Αρχεία
SHA-1 |
Όνομα |
Ανίχνευση |
Περιγραφή |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Το στοιχείο Dropper προστέθηκε στο επίσημο πακέτο εγκατάστασης. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Ενδιάμεσο πρόγραμμα λήψης. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Ενδιάμεσο πρόγραμμα λήψης προγραμματισμένο σε Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Nightdoor downloader. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Νυχτερινό σταγονόμετρο. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Ενδιάμεσος φορτωτής. |
5273B45C5EABE64EDBD0 |
πιστοποιητικό.pkg |
OSX/Agent.DJ |
Στοιχείο σταγονόμετρου MacOS. |
5E5274C7D931C1165AA5 |
Certificate.exe |
Win32/Agent.AGES |
Στοιχείο Dropper από τον παραβιασμένο ιστότοπο. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Εξάρτημα σταγονόμετρο νυχτερινής πόρτας. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Ενδιάμεσος φορτωτής για στοιχείο Nightdoor downloader. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Ενδιάμεσος φορτωτής για Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trojanized πρόγραμμα εγκατάστασης. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Προστέθηκε κακόβουλη JavaScript στον παραβιασμένο ιστότοπο. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trojanized πρόγραμμα εγκατάστασης. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Trojanized πακέτο εγκατάστασης. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Trojanized πακέτο εγκατάστασης. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS trojanized πακέτο εγκατάστασης. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS trojanized πακέτο εγκατάστασης. |
C0575AF04850EB1911B0 |
Ασφάλεια~.x64 |
OSX/Agent.DJ |
Πρόγραμμα λήψης MacOS. |
7C3FD8EE5D660BBF43E4 |
Ασφάλεια~.arm64 |
OSX/Agent.DJ |
Πρόγραμμα λήψης MacOS. |
FA78E89AB95A0B49BC06 |
Ασφάλεια.λίπος |
OSX/Agent.DJ |
Στοιχείο λήψης MacOS. |
5748E11C87AEAB3C19D1 |
Αρχείο εξαγωγής Monlam_Grand_Dictionary |
OSX/Agent.DJ |
Κακόβουλο στοιχείο από το πακέτο εγκατάστασης με trojanized macOS. |
Πιστοποιητικά
Σειριακός αριθμός |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Αποτύπωση |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Θέμα ΣΟ |
Ανάπτυξη Apple: ya ni yang (2289F6V4BN) |
Θέμα Ο |
για νι γιανγκ |
Θέμα Λ |
N / A |
Μαθήματα |
N / A |
Θέμα Γ |
US |
Ισχύει από |
2024-01-04 05:26:45 |
Εγκυρο για |
2025-01-03 05:26:44 |
Σειριακός αριθμός |
6014B56E4FFF35DC4C948452B77C9AA9 |
Αποτύπωση |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Θέμα ΣΟ |
KP MOBILE |
Θέμα Ο |
KP MOBILE |
Θέμα Λ |
N / A |
Μαθήματα |
N / A |
Θέμα Γ |
KR |
Ισχύει από |
2021-10-25 00:00:00 |
Εγκυρο για |
2022-10-25 23:59:59 |
IP |
Domain |
Πάροχος φιλοξενίας |
Εμφανίστηκε για πρώτη φορά |
Περιγραφή |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
Παραβιασμένος ιστότοπος. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Παραβιασμένος ιστότοπος. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amol Hingade |
2024-02-01 |
Διακομιστής λήψης για το στοιχείο σταγονόμετρου Nightdoor. |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 14 του πλαισίου MITER ATT & CK.
Τακτική |
ID |
Όνομα |
Περιγραφή |
Ανάπτυξη πόρων |
Αποκτήστε υποδομή: Διακομιστής |
Το Evasive Panda απέκτησε διακομιστές για την υποδομή C&C του Nightdoor, του MgBot και του στοιχείου λήψης macOS. |
|
Αποκτήστε υποδομή: Υπηρεσίες Ιστού |
Το Evasive Panda χρησιμοποίησε την υπηρεσία web του Google Drive για την υποδομή C&C του Nightdoor. |
||
Συμβιβαστική υποδομή: Διακομιστής |
Οι χειριστές Evasive Panda παραβίασαν αρκετούς διακομιστές για να τους χρησιμοποιήσουν ως τρύπες νερού, για επίθεση στην αλυσίδα εφοδιασμού και για να φιλοξενήσουν ωφέλιμα φορτία και να τους χρησιμοποιήσουν ως διακομιστές C&C. |
||
Δημιουργία λογαριασμών: Λογαριασμοί Cloud |
Το Evasive Panda δημιούργησε έναν λογαριασμό Google Drive και τον χρησιμοποίησε ως υποδομή C&C. |
||
Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό |
Το Evasive Panda ανέπτυξε προσαρμοσμένα εμφυτεύματα όπως το MgBot, το Nightdoor και ένα στοιχείο λήψης macOS. |
||
T1588.003 |
Λήψη Δυνατοτήτων: Πιστοποιητικά υπογραφής κώδικα |
Το Evasive Panda απέκτησε πιστοποιητικά υπογραφής κώδικα. |
|
Δυνατότητες σκηνής: Drive-by Target |
Οι χειριστές Evasive Panda τροποποίησαν έναν ιστότοπο υψηλού προφίλ για να προσθέσουν ένα κομμάτι κώδικα JavaScript που αποδίδει μια ψεύτικη ειδοποίηση για λήψη κακόβουλου λογισμικού. |
||
Αρχική πρόσβαση |
Συμβιβασμός οδήγησης |
Οι επισκέπτες σε παραβιασμένους ιστότοπους ενδέχεται να λάβουν ένα ψεύτικο μήνυμα σφάλματος που τους δελεάζει να κατεβάσουν κακόβουλο λογισμικό. |
|
Συμβιβασμός Supply Chain: Συμβιβασμός Εφοδιαστικής Αλυσίδας Λογισμικού |
Το Evasive Panda τρωάνισε επίσημα πακέτα εγκατάστασης από μια εταιρεία λογισμικού. |
||
Εκτέλεση |
Το εγγενές API |
Το Nightdoor, το MgBot και τα ενδιάμεσα στοιχεία του προγράμματος λήψης χρησιμοποιούν τα Windows API για τη δημιουργία διεργασιών. |
|
Προγραμματισμένη εργασία/Εργασία: Προγραμματισμένη εργασία |
Τα στοιχεία Nightdoor και loader του MgBot μπορούν να δημιουργήσουν προγραμματισμένες εργασίες. |
||
Επιμονή |
Δημιουργία ή τροποποίηση διαδικασίας συστήματος: Υπηρεσία Windows |
Τα στοιχεία Nightdoor και loader του MgBot μπορούν να δημιουργήσουν υπηρεσίες Windows. |
|
Ροή εκτέλεσης Hijack: Πλαϊνή φόρτωση DLL |
Τα στοιχεία Nightdoor και dropper του MgBot αναπτύσσουν ένα νόμιμο εκτελέσιμο αρχείο που φορτώνει πλευρικά έναν κακόβουλο φορτωτή. |
||
Αμυντική υπεκφυγή |
Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών |
Τα στοιχεία DLL του εμφυτεύματος Nightdoor αποκρυπτογραφούνται στη μνήμη. |
|
Βλάβη άμυνας: Απενεργοποιήστε ή τροποποιήστε το τείχος προστασίας συστήματος |
Το Nightdoor προσθέτει δύο κανόνες του τείχους προστασίας των Windows για να επιτρέπει την εισερχόμενη και εξερχόμενη επικοινωνία για τη λειτουργικότητα του διακομιστή μεσολάβησης HTTP. |
||
Αφαίρεση δείκτη: Διαγραφή αρχείου |
Το Nightdoor και το MgBot μπορούν να διαγράψουν αρχεία. |
||
Αφαίρεση δείκτη: Καθαρή επιμονή |
Το Nightdoor και το MgBot μπορούν να απεγκαταστήσουν μόνοι τους. |
||
Μεταμφίεση: Εργασία ή υπηρεσία μεταμφίεσης |
Ο φορτωτής του Nightdoor έκρυψε την αποστολή του ως netsvcs. |
||
Μεταμφίεση: Αντιστοίχιση νόμιμου ονόματος ή τοποθεσίας |
Το πρόγραμμα εγκατάστασης του Nightdoor αναπτύσσει τα στοιχεία του σε νόμιμους καταλόγους συστήματος. |
||
Συγκεκριμένα αρχεία ή πληροφορίες: Ενσωματωμένα ωφέλιμα φορτία |
Το σταγονόμετρο του Nightdoor περιέχει ενσωματωμένα κακόβουλα αρχεία που αναπτύσσονται στο δίσκο. |
||
Έγχυση διαδικασίας: Έγχυση βιβλιοθήκης δυναμικής σύνδεσης |
Τα στοιχεία Nightdoor και loaders του MgBot εγχέονται στο svchost.exe. |
||
Φόρτωση ανακλαστικού κώδικα |
Τα στοιχεία Nightdoor και loader του MgBot εγχέονται στο svchost.exe, από όπου φορτώνουν την κερκόπορτα Nightdoor ή MgBot. |
||
Ανακάλυψη |
Ανακάλυψη λογαριασμού: Τοπικός λογαριασμός |
Το Nightdoor και το MgBot συλλέγουν πληροφορίες λογαριασμού χρήστη από το παραβιασμένο σύστημα. |
|
Ανακάλυψη αρχείων και καταλόγου |
Το Nightdoor και το MgBot μπορούν να συλλέγουν πληροφορίες από καταλόγους και αρχεία. |
||
Διαδικασία Ανακάλυψης |
Το Nightdoor και το MgBot συλλέγουν πληροφορίες σχετικά με τις διαδικασίες. |
||
Μητρώο ερωτημάτων |
Το Nightdoor και το MgBot ρωτούν το μητρώο των Windows για να βρουν πληροφορίες σχετικά με το εγκατεστημένο λογισμικό. |
||
Ανακάλυψη λογισμικού |
Το Nightdoor και το MgBot συλλέγουν πληροφορίες σχετικά με το εγκατεστημένο λογισμικό και υπηρεσίες. |
||
Ανακάλυψη κατόχου/χρήστη συστήματος |
Το Nightdoor και το MgBot συλλέγουν πληροφορίες λογαριασμού χρήστη από το παραβιασμένο σύστημα. |
||
Ανακάλυψη πληροφοριών συστήματος |
Το Nightdoor και το MgBot συλλέγουν ένα ευρύ φάσμα πληροφοριών σχετικά με το παραβιασμένο σύστημα. |
||
Ανακάλυψη συνδέσεων δικτύου συστήματος |
Το Nightdoor και το MgBot μπορούν να συλλέξουν δεδομένα από όλες τις ενεργές συνδέσεις TCP και UDP στο παραβιασμένο μηχάνημα. |
||
Συλλογή |
Αρχειοθέτηση συλλεγόμενων δεδομένων |
Το Nightdoor και το MgBot αποθηκεύουν δεδομένα που συλλέγονται σε κρυπτογραφημένα αρχεία. |
|
Αυτοματοποιημένη Συλλογή |
Το Nightdoor και το MgBot συλλέγουν αυτόματα πληροφορίες συστήματος και δικτύου σχετικά με το μηχάνημα που έχει παραβιαστεί. |
||
Δεδομένα από το Τοπικό Σύστημα |
Το Nightdoor και το MgBot συλλέγουν πληροφορίες σχετικά με το λειτουργικό σύστημα και τα δεδομένα χρήστη. |
||
Στάδιο δεδομένων: Τοποθέτηση τοπικών δεδομένων |
Το Nightdoor σκηνοθετεί δεδομένα για διήθηση σε αρχεία στο δίσκο. |
||
Διοίκησης και Ελέγχου |
Πρωτόκολλο επιπέδου εφαρμογής: Πρωτόκολλα Ιστού |
Το Nightdoor επικοινωνεί με τον διακομιστή C&C χρησιμοποιώντας HTTP. |
|
Πρωτόκολλο μη επιπέδων εφαρμογής |
Το Nightdoor επικοινωνεί με τον διακομιστή C&C χρησιμοποιώντας UDP. Το MgBot επικοινωνεί με τον διακομιστή C&C χρησιμοποιώντας TCP. |
||
Μη Τυπικό Λιμάνι |
Το MgBot χρησιμοποιεί τη θύρα TCP 21010. |
||
Πρωτόκολλο Tunneling |
Το Nightdoor μπορεί να λειτουργήσει ως διακομιστής μεσολάβησης HTTP, διοχετεύοντας την επικοινωνία TCP. |
||
Υπηρεσία Ιστού |
Το Nightdoor χρησιμοποιεί το Google Drive για επικοινωνία C&C. |
||
εκδιήθησης |
Αυτοματοποιημένη Διήθηση |
Το Nightdoor και το MgBot εκμεταλλεύονται αυτόματα τα δεδομένα που συλλέγονται. |
|
Exfiltration Over Web Service: Exfiltration σε Cloud Storage |
Το Nightdoor μπορεί να διευρύνει τα αρχεία του στο Google Drive. |
Παράρτημα
Οι στοχευμένες περιοχές διευθύνσεων IP παρέχονται στον παρακάτω πίνακα.
CIDR |
ISP |
Πόλη |
Χώρα |
124.171.71.0/24 |
iiNet |
Σίδνεϊ |
Australia |
125.209.157.0/24 |
iiNet |
Σίδνεϊ |
Australia |
1.145.30.0/24 |
Telstra |
Σίδνεϊ |
Australia |
193.119.100.0/24 |
TPG Telecom |
Σίδνεϊ |
Australia |
14.202.220.0/24 |
TPG Telecom |
Σίδνεϊ |
Australia |
123.243.114.0/24 |
TPG Telecom |
Σίδνεϊ |
Australia |
45.113.1.0/24 |
Τεχνολογία διακομιστή HK 92 |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
Cloudflare |
Αχμενταμπάντ |
India |
49.36.224.0/24 |
Reliance Jio Infocomm |
Αϊρόλι |
India |
106.196.24.0/24 |
Bharti Airtel |
Μπανγκαλόρου |
India |
106.196.25.0/24 |
Bharti Airtel |
Μπανγκαλόρου |
India |
14.98.12.0/24 |
Tata Teleservices |
Μπανγκαλόρου |
India |
172.70.237.0/24 |
Cloudflare |
Chandīgarh |
India |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
India |
103.214.118.0/24 |
Airnet Boardband |
Δελχί |
India |
45.120.162.0/24 |
Ani Boardband |
Δελχί |
India |
103.198.173.0/24 |
Anonet |
Δελχί |
India |
103.248.94.0/24 |
Anonet |
Δελχί |
India |
103.198.174.0/24 |
Anonet |
Δελχί |
India |
43.247.41.0/24 |
Anonet |
Δελχί |
India |
122.162.147.0/24 |
Bharti Airtel |
Δελχί |
India |
103.212.145.0/24 |
Excitel |
Δελχί |
India |
45.248.28.0/24 |
Omkar Electronics |
Δελχί |
India |
49.36.185.0/24 |
Reliance Jio Infocomm |
Δελχί |
India |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Νταραμσάλα |
India |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Νταραμσάλα |
India |
103.210.33.0/24 |
Vayudoot |
Νταραμσάλα |
India |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
India |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
India |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Χαμιρπούρ |
India |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
India |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
India |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
India |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
India |
162.158.235.0/24 |
Cloudflare |
Βομβάη |
India |
162.158.48.0/24 |
Cloudflare |
Βομβάη |
India |
162.158.191.0/24 |
Cloudflare |
Βομβάη |
India |
162.158.227.0/24 |
Cloudflare |
Βομβάη |
India |
172.69.87.0/24 |
Cloudflare |
Βομβάη |
India |
172.70.219.0/24 |
Cloudflare |
Βομβάη |
India |
172.71.198.0/24 |
Cloudflare |
Βομβάη |
India |
172.68.39.0/24 |
Cloudflare |
Νέο Δελχί |
India |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Παλαμπούρ |
India |
103.195.253.0/24 |
Ψηφιακό Δίκτυο Protoact |
Ράντσι |
India |
169.149.224.0/24 |
Reliance Jio Infocomm |
Σίμλα |
India |
169.149.226.0/24 |
Reliance Jio Infocomm |
Σίμλα |
India |
169.149.227.0/24 |
Reliance Jio Infocomm |
Σίμλα |
India |
169.149.229.0/24 |
Reliance Jio Infocomm |
Σίμλα |
India |
169.149.231.0/24 |
Reliance Jio Infocomm |
Σίμλα |
India |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Σέρσι |
India |
122.161.241.0/24 |
Bharti Airtel |
Σριναγκάρ |
India |
122.161.243.0/24 |
Bharti Airtel |
Σριναγκάρ |
India |
122.161.240.0/24 |
Bharti Airtel |
Σριναγκάρ |
India |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
τρόπος |
India |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Ταϊβάν |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Ταϊβάν |
36.237.104.0/24 |
Chunghwa Telecom |
Ταϊνάν |
Ταϊβάν |
36.237.128.0/24 |
Chunghwa Telecom |
Ταϊνάν |
Ταϊβάν |
36.237.189.0/24 |
Chunghwa Telecom |
Ταϊνάν |
Ταϊβάν |
42.78.14.0/24 |
Chunghwa Telecom |
Ταϊνάν |
Ταϊβάν |
61.216.48.0/24 |
Chunghwa Telecom |
Ταϊνάν |
Ταϊβάν |
36.230.119.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
114.43.219.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
114.44.214.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
114.45.2.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
118.163.73.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
118.167.21.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
220.129.70.0/24 |
Chunghwa Telecom |
Ταϊπέι |
Ταϊβάν |
106.64.121.0/24 |
Τηλεπικοινωνίες Far EastTone |
Taoyuan Πόλη |
Ταϊβάν |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Ταϊβάν |
122.100.113.0/24 |
Κινητό της Ταϊβάν |
Γιλάν |
Ταϊβάν |
185.93.229.0/24 |
Ασφάλεια Sucuri |
Ashburn |
United States |
128.61.64.0/24 |
Georgia Institute of Technology |
Ατλάντα |
United States |
216.66.111.0/24 |
Τηλέφωνο του Βερμόντ |
Wallingford |
United States |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :έχει
- :είναι
- :δεν
- :που
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Ικανός
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- Λογαριασμοί
- αποκτήθηκαν
- Πράξη
- ενεργειών
- ενεργός
- πράξεις
- προσθέτω
- προστιθέμενη
- Επιπλέον
- Πρόσθετος
- διεύθυνση
- διευθύνσεις
- Προσθέτει
- πάλι
- κατά
- Πράκτορας
- Απευθύνεται
- αλγόριθμος
- ευθυγράμμιση
- Όλα
- επιτρέπουν
- επιτρέπει
- ήδη
- Επίσης
- πάντοτε
- μεταξύ των
- an
- ανάλυση
- αναλύθηκε
- και
- ετήσιος
- Ετησίως
- ανώνυμος
- Άλλος
- απάντηση
- κάθε
- api
- APIs
- app
- app κατάστημα
- Apple
- Εφαρμογή
- εφαρμογές
- Εφαρμογή
- εφαρμογές
- APT
- αρχιτεκτονική
- Αρχείο
- ΕΙΝΑΙ
- επιχείρημα
- ARM
- Παράταξη
- AS
- Ασία
- ανατεθεί
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- απόπειρα
- γνωρίσματα
- Australia
- συγγραφείς
- αυτομάτως
- διαθέσιμος
- πίσω
- κερκόπορτα
- Κερκόπορτες
- δόλωμα
- βασίζονται
- βασικός
- BE
- ήταν
- πριν
- είναι
- Πιστεύω
- ανήκει
- παρακάτω
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- και οι δύο
- Υποκατάστημα
- χτισμένο
- αλλά
- κουμπί
- by
- που ονομάζεται
- Εκστρατεία
- CAN
- δυνατότητες
- κεφαλοποιώ
- κεφαλαιοποιούνται
- κουβαλάω
- Αιώνας
- πιστοποιητικό
- πιστοποιητικά
- αλυσίδα
- πρόκληση
- Αλλαγές
- χαρακτήρες
- έλεγχος
- τετραγωνισμένος
- έλεγχοι
- Κίνα
- κινέζικο
- επιλογές
- Πόλη
- καθαρός
- Backup
- κωδικός
- συλλέγουν
- COM
- συνδυασμός
- Επικοινωνία
- εταίρα
- σύγκριση
- πλήρης
- συστατικό
- εξαρτήματα
- περιεκτικός
- συμβιβασμός
- Συμβιβασμένος
- Υπολογίστε
- υπολογίζεται
- υπολογιστή
- κατάσταση
- Διεξαγωγή
- εμπιστοσύνη
- διαμόρφωση
- Συνδετικός
- σύνδεση
- Διασυνδέσεις
- επικοινωνήστε μαζί μας
- περιέχουν
- που περιέχονται
- Περιέχει
- περιεχόμενο
- συνεχίζεται
- συνεχής
- Συνομιλία
- διορθώσει
- Αντίστοιχος
- θα μπορούσε να
- χώρες
- Crash
- δημιουργία
- δημιουργήθηκε
- δημιουργεί
- κρυπτογράφηση
- Τη στιγμή
- έθιμο
- ημερομηνία
- Δομή δεδομένων
- Ημερομηνία
- Ημερομηνίες
- ημέρα
- Ημ.
- Προεπιλογή
- προεπιλογές
- Άμυνες
- παραδώσει
- διανομή
- κατέδειξε
- Σε συνάρτηση
- απεικονίζεται
- παρατάσσω
- αναπτυχθεί
- ανάπτυξη
- αναπτύσσεται
- περιγράφεται
- περιγραφή
- προορισμός
- λεπτομέρεια
- εντοπιστεί
- Εργολάβος
- Ανάπτυξη
- Αναπτυξιακή Εταιρεία
- συσκευή
- διαφορετικές
- Σύνοψη
- ψηφιακό
- Κατάλογοι
- κατάλογο
- ανακάλυψαν
- ανακάλυψη
- διανομή
- διαιρούμενο
- do
- έγγραφο
- κάνει
- Μην
- κάτω
- κατεβάσετε
- κατέβασμα
- λήψεις
- αυτοκίνητο
- οδηγός
- δίσκους
- Πτώση
- έπεσε
- Σταγόνες
- κάθε
- νωρίτερα
- ευκολία
- Ανατολή
- Εκπαίδευση
- οκτώ
- είτε
- ενσωματωμένο
- κρυπτογραφημένα
- τέλος
- Μηχανική
- ενίσχυση
- δελεαστικός
- Ολόκληρος
- οντότητες
- Ισοδύναμος
- σφάλμα
- Έρευνα ESET
- εγκαθιδρύω
- κ.λπ.
- εκδηλώσεις
- Κάθε
- ακριβώς
- παράδειγμα
- αποκλειστικά
- εκτελέσει
- εκτελέστηκε
- Εκτελεί
- εκτέλεση
- διήθηση
- αναμένεται
- εξαγωγή
- επεκτάθηκε
- επέκταση
- αποτυγχάνει
- απομίμηση
- Φεβρουάριος
- ΦΕΣΤΙΒΑΛ
- πεδίο
- Πεδία
- Εικόνα
- σχηματικός
- Αρχεία
- Αρχεία
- τελικός
- Εύρεση
- firewall
- Όνομα
- σταθερός
- ροή
- ακολουθείται
- Εξής
- εξής
- Για
- μορφή
- τύπος
- Βρέθηκαν
- τέσσερα
- Πλαίσιο
- Δωρεάν
- από
- πλήρη
- λειτουργία
- λειτουργίες
- λειτουργικότητα
- λειτουργίες
- περαιτέρω
- συγκέντρωση
- παράγουν
- παράγεται
- Γεωργία
- παίρνω
- παίρνει
- να πάρει
- πηγαίνει
- Κυβέρνηση
- Κυβερνητικοί φορείς
- Γραφιστικές
- Group
- Ομάδα
- Χειρισμός
- υλικού
- χασίσι
- κατακερματισμός
- κατακερματισμός
- Έχω
- Ήρωας
- Ψηλά
- υψηλό προφίλ
- υψηλότερο
- Τρύπα
- Τρύπες
- Χονγκ
- Hong Kong
- οικοδεσπότης
- φιλοξενείται
- φιλοξενία
- Ωστόσο
- HTML
- http
- HTTPS
- ID
- προσδιορίζονται
- αναγνωριστικό
- ids
- if
- απεικονίζει
- εικόνα
- σημαντικό
- in
- Σε άλλες
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- δείκτες
- Ινδία
- δείκτες
- άτομα
- επιρροή
- πληροφορίες
- Υποδομή
- κάνω ένεση
- εισαγωγή
- εισαγωγή
- Ερωτήσεις
- μέσα
- εγκαθιστώ
- εγκατασταθεί
- εγκατάσταση
- αντί
- Ινστιτούτο
- ενσωματωθεί
- Intel
- Νοημοσύνη
- προορίζονται
- τόκος
- εσωτερικώς
- International
- διεθνώς
- σε
- IP
- Διεύθυνση IP
- Διευθύνσεις IP
- Εκδόθηκε
- IT
- ΤΟΥ
- Ιανουάριος
- Ιαπωνία
- το JavaScript
- jio
- jQuery
- json
- μόλις
- διατηρούνται
- Κλειδί
- πλήκτρα
- Ξέρω
- γνώση
- γνωστός
- Κονγκ
- Γλώσσα
- Αργά
- αργότερα
- αργότερο
- ξεκινήσει
- ξεκίνησε
- δρομολόγηση
- στρώμα
- ελάχιστα
- νόμιμος
- μόχλευσης
- Βιβλιοθήκη
- Μου αρέσει
- Λιστα
- Εισηγμένες
- ακούει
- Λίστες
- ζωές
- φορτίο
- φορτωτής
- φόρτωση
- τοπικός
- που βρίσκεται
- τοποθεσία
- ματιά
- mac
- μηχανή
- MacOS
- μαγεία
- Κυρίως
- ηπειρωτική χώρα
- μεγάλες
- Η πλειοψηφία
- Malaysia
- κακόβουλο
- malware
- διαχείριση
- πολοί
- μεταμφίεση
- Ταίριασμα
- σπίρτα
- ταιριάζουν
- Ενδέχεται..
- MD5
- me
- νόημα
- νόημα
- σήμαινε
- μηχανισμός
- Μνήμη
- μήνυμα
- μηνύματα
- Μεταδεδομένα
- μέθοδος
- ενδέχεται να
- Λείπει
- τροποποιημένο
- τροποποιήσει
- σπονδυλωτή
- ενότητες
- περισσότερο
- πλέον
- μετακινηθεί
- πολλαπλούς
- πρέπει
- Μιανμάρ
- όνομα
- Ονομάστηκε
- απαραίτητος
- που απαιτούνται
- δίκτυο
- δίκτυα
- Νέα
- νέα
- επόμενη
- Νιγηρία
- Όχι.
- σημείωση
- κοινοποίηση
- αριθμός
- αντικείμενο
- αποκτήσει
- λαμβάνεται
- την απόκτηση
- λαμβάνει
- περιπτώσεις
- of
- προσφορές
- επίσημος ανώτερος υπάλληλος
- Επίσημη ιστοσελίδα
- Παλιά
- ηλικιωμένων
- on
- μια φορά
- ONE
- αποκλειστικά
- επάνω σε
- λειτουργίας
- το λειτουργικό σύστημα
- λειτουργία
- φορείς
- or
- επιχειρήσεις
- οργανώσεις
- OS
- ΑΛΛΑ
- αλλιώς
- δικός μας
- έξω
- παραγωγή
- επί
- δική
- πακέτο
- Packages
- σελίδα
- παράμετροι
- Το παρελθόν
- μονοπάτι
- μονοπάτια
- επιμονή
- Philippines
- κομμάτι
- κομμάτια
- Μέρος
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- σημεία
- θέτει
- δυναμικού
- παρόν
- παρουσιάζονται
- πρόληψη
- Προβολή
- προηγούμενος
- προηγουμένως
- ιδιωτικός
- Πρόβλημα
- πρόσοδοι
- διαδικασια μας
- Διεργασίες
- παράγει
- Προϊόν
- Προφίλ ⬇️
- προγραμματισμένος
- προωθεί
- πρωτόκολλο
- παρέχεται
- πληρεξούσιο
- δημόσιο
- δημοσίως
- δημοσιεύθηκε
- σκοπός
- ποιότητα
- καραντίνα
- απορία
- σειρά
- σειρές
- φθάσει
- λαμβάνω
- μητρώου
- σχετίζεται με
- υπόλοιπα
- αφαίρεση
- Καταργήθηκε
- αποδώσει
- αποδίδεται
- καθιστά
- απάντηση
- αναφέρθηκαν
- Εκθέσεις
- αντιπροσωπεύει
- ζητήσει
- Απαιτεί
- έρευνα
- ερευνητές
- υπεύθυνος
- αντιστρέψει
- κανόνες
- τρέξιμο
- τρέξιμο
- Σκωρία
- αλάτι
- ίδιο
- δείγμα
- προγραμματιστεί
- γραφή
- Δεύτερος
- δευτερεύων
- Τμήμα
- προστατευμένο περιβάλλον
- ασφάλεια
- δείτε
- δει
- επιλογή
- αποστέλλει
- Σεπτέμβριος
- σερβίρεται
- διακομιστής
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- διάφοροι
- Shared
- μοιράζονται
- κέλυφος
- θα πρέπει να
- παρουσιάζεται
- Δείχνει
- πλευρά
- υπογραφή
- υπογραφεί
- υπογραφή
- παρόμοιες
- αφού
- Μέγεθος
- So
- λογισμικό
- ανάπτυξη λογισμικού
- λύση
- νοτιοανατολικός άνεμος
- Χώρος
- συγκεκριμένες
- ειδικά
- καθορίζεται
- Στάδιο
- στάδια
- Ηθοποιοί
- Δήλωση
- Μελών
- κατάστημα
- αποθηκεύονται
- Στρατηγική
- Σπάγγος
- δομή
- δομημένος
- επιτυχία
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- υποστηριζόνται!
- ύποπτος
- διακόπτης
- σύστημα
- τραπέζι
- Ταϊβάν
- λαμβάνεται
- παίρνει
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Έργο
- εργασίες
- tech
- Τεχνολογία
- τερματικό
- εδάφη
- από
- ότι
- Η
- οι πληροφορίες
- Οι Φιλιππίνες
- τους
- Τους
- τους
- τότε
- Εκεί.
- επομένως
- αυτοί
- αυτό
- εκείνοι
- απειλή
- τρία
- Μέσω
- παντού
- ώρα
- χρονοδιάγραμμα
- timestamp
- προς την
- μαζι
- ένδειξη
- εργαλείο
- εργαλειοθήκη
- Σύνολο
- Μετάφραση
- αληθής
- Εμπιστευθείτε
- δύο
- τύπος
- τυπικός
- ανίκανος
- υπό
- καταλαβαίνω
- μοναδικός
- Ενωμένος
- United States
- πανεπιστήμιο
- άγνωστος
- ανερχόμενος
- ενημερώσεις
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- συνήθως
- αξία
- Αξίες
- Παραλλαγή
- εκδοχή
- εκδόσεις
- πολύ
- μέσω
- Θύμα
- θύματα
- Vietnam
- Επίσκεψη
- επισκέφθηκε
- Επισκέπτης
- επισκέπτες
- Επισκέψεις
- ήταν
- we
- ιστός
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- ΛΟΙΠΌΝ
- ήταν
- Τι
- πότε
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- ευρύς
- Ευρύ φάσμα
- πλάτος
- Wikipedia
- θα
- παράθυρα
- με
- εντός
- λόγια
- γραπτή
- ακόμη
- zephyrnet
- Zip