Οι ομοιότητες με το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό Linux που χρησιμοποιείται στην Operation DreamJob επιβεβαιώνουν τη θεωρία ότι η διαβόητη ομάδα ευθυγραμμισμένη με τη Βόρεια Κορέα βρίσκεται πίσω από την επίθεση της εφοδιαστικής αλυσίδας 3CX
Οι ερευνητές της ESET ανακάλυψαν μια νέα καμπάνια Lazarus Operation DreamJob που στοχεύει χρήστες Linux. Operation DreamJob είναι το όνομα για μια σειρά εκστρατειών όπου η ομάδα χρησιμοποιεί τεχνικές κοινωνικής μηχανικής για να συμβιβάσει τους στόχους της, με ψεύτικες προσφορές εργασίας ως δέλεαρ. Σε αυτήν την περίπτωση, μπορέσαμε να ανακατασκευάσουμε την πλήρη αλυσίδα, από το αρχείο ZIP που παρέχει μια ψεύτικη προσφορά εργασίας HSBC ως δόλωμα, μέχρι το τελικό ωφέλιμο φορτίο: η κερκόπορτα SimplexTea Linux που διανέμεται μέσω OpenDrive λογαριασμό αποθήκευσης cloud. Από όσο γνωρίζουμε, αυτή είναι η πρώτη δημόσια αναφορά αυτού του σημαντικού παράγοντα απειλής ευθυγραμμισμένη με τη Βόρεια Κορέα που χρησιμοποιεί κακόβουλο λογισμικό Linux ως μέρος αυτής της επιχείρησης.
Επιπλέον, αυτή η ανακάλυψη μας βοήθησε να επιβεβαιώσουμε με υψηλό επίπεδο σιγουριάς ότι η πρόσφατη επίθεση στην εφοδιαστική αλυσίδα 3CX διεξήχθη στην πραγματικότητα από τον Lazarus – ένας σύνδεσμος που ήταν ύποπτος από την αρχή και αποδείχθηκε από πολλούς ερευνητές ασφαλείας έκτοτε. Σε αυτό το blogpost, επιβεβαιώνουμε αυτά τα ευρήματα και παρέχουμε πρόσθετα στοιχεία σχετικά με τη σύνδεση μεταξύ του Lazarus και της επίθεσης της εφοδιαστικής αλυσίδας 3CX.
Η επίθεση της εφοδιαστικής αλυσίδας 3CX
Η 3CX είναι ένας διεθνής προγραμματιστής και διανομέας λογισμικού VoIP που παρέχει υπηρεσίες τηλεφωνικών συστημάτων σε πολλούς οργανισμούς. Σύμφωνα με την ιστοσελίδα της, η 3CX έχει περισσότερους από 600,000 πελάτες και 12,000,000 χρήστες σε διάφορους τομείς, όπως η αεροδιαστημική, η υγειονομική περίθαλψη και η φιλοξενία. Παρέχει λογισμικό πελάτη για χρήση των συστημάτων του μέσω ενός προγράμματος περιήγησης ιστού, μιας εφαρμογής για κινητά ή μιας εφαρμογής επιτραπέζιου υπολογιστή. Στα τέλη Μαρτίου 2023, ανακαλύφθηκε ότι η εφαρμογή επιτραπέζιου υπολογιστή τόσο για Windows όσο και για macOS περιείχε κακόβουλο κώδικα που επέτρεπε σε μια ομάδα εισβολέων να κατεβάσουν και να εκτελέσουν αυθαίρετο κώδικα σε όλα τα μηχανήματα όπου ήταν εγκατεστημένη η εφαρμογή. Γρήγορα, διαπιστώθηκε ότι αυτός ο κακόβουλος κώδικας δεν ήταν κάτι που προσέθεσε η ίδια η 3CX, αλλά ότι η 3CX είχε παραβιαστεί και ότι το λογισμικό της χρησιμοποιήθηκε σε επίθεση εφοδιαστικής αλυσίδας από εξωτερικούς παράγοντες απειλών για τη διανομή πρόσθετου κακόβουλου λογισμικού σε συγκεκριμένους πελάτες της 3CX.
Αυτό το περιστατικό στον κυβερνοχώρο έχει γίνει πρωτοσέλιδο τις τελευταίες ημέρες. Αρχικά αναφέρθηκε στις 29 Μαρτίουth, 2023 σε α Reddit νήμα από έναν μηχανικό του CrowdStrike, ακολουθούμενο από επίσημη αναφορά από CrowdStrike, δηλώνοντας με μεγάλη σιγουριά ότι το LABIRINTH CHOLLIMA, η κωδική ονομασία της εταιρείας για τον Lazarus, βρισκόταν πίσω από την επίθεση (αλλά παραλείποντας οποιοδήποτε στοιχείο που να υποστηρίζει τον ισχυρισμό). Λόγω της σοβαρότητας του συμβάντος, πολλές εταιρείες ασφαλείας άρχισαν να συνεισφέρουν τις περιλήψεις των γεγονότων, συγκεκριμένα Sophos, Check Point, Broadcom, Trend Micro, Και πολλά άλλα.
Περαιτέρω, το μέρος της επίθεσης που επηρεάζει συστήματα που εκτελούν macOS καλύφθηκε λεπτομερώς στο α Twitter νήμα και α ανάρτηση από τον Patrick Wardle.
Χρονοδιάγραμμα γεγονότων
Το χρονοδιάγραμμα δείχνει ότι οι δράστες είχαν σχεδιάσει τις επιθέσεις πολύ πριν από την εκτέλεση. ήδη από τον Δεκέμβριο του 2022. Αυτό υποδηλώνει ότι είχαν ήδη μια θέση στο δίκτυο της 3CX στα τέλη του περασμένου έτους.
Ενώ η trojanized εφαρμογή macOS 3CX δείχνει ότι υπογράφηκε στα τέλη Ιανουαρίου, δεν είδαμε την κακή εφαρμογή στην τηλεμετρία μας μέχρι τις 14 Φεβρουαρίουth, 2023. Δεν είναι σαφές εάν η κακόβουλη ενημέρωση για το macOS διανεμήθηκε πριν από αυτήν την ημερομηνία.
Παρόλο που η τηλεμετρία της ESET δείχνει την ύπαρξη του ωφέλιμου φορτίου δεύτερου σταδίου macOS ήδη από τον Φεβρουάριο, δεν είχαμε το ίδιο το δείγμα, ούτε μεταδεδομένα που να μας ενημερώνουν για την κακοήθεια του. Συμπεριλαμβάνουμε αυτές τις πληροφορίες για να βοηθήσουμε τους αμυνόμενους να προσδιορίσουν πόσο πολύ μπορεί να έχουν παραβιαστεί τα συστήματα πίσω.
Αρκετές μέρες πριν αποκαλυφθεί δημόσια η επίθεση, ένα μυστηριώδες πρόγραμμα λήψης Linux υποβλήθηκε στο VirusTotal. Κατεβάζει ένα νέο κακόβουλο ωφέλιμο φορτίο Lazarus για Linux και εξηγούμε τη σχέση του με την επίθεση αργότερα στο κείμενο.
Απόδοση της επίθεσης της εφοδιαστικής αλυσίδας 3CX στον Lazarus
Αυτό που έχει ήδη δημοσιευτεί
Υπάρχει ένας τομέας που παίζει σημαντικό ρόλο στη συλλογιστική απόδοσης: journalide[.]org. Αναφέρεται σε ορισμένες από τις αναφορές προμηθευτών που συνδέονται παραπάνω, αλλά η παρουσία του δεν εξηγείται ποτέ. Είναι ενδιαφέρον, άρθρα από Sentinel One και ΣτόχοςΒλ μην αναφέρετε αυτόν τον τομέα. Ούτε μια ανάρτηση ιστολογίου από Βολές, η οποία μάλιστα απέφυγε να παράσχει απόδοση, αναφέροντας "Το Volexity δεν μπορεί επί του παρόντος να χαρτογραφήσει την αποκαλυπτόμενη δραστηριότητα σε οποιονδήποτε παράγοντα απειλής". Οι αναλυτές του ήταν από τους πρώτους που ερεύνησαν την επίθεση σε βάθος και δημιούργησαν ένα εργαλείο για την εξαγωγή μιας λίστας διακομιστών C&C από κρυπτογραφημένα εικονίδια στο GitHub. Αυτό το εργαλείο είναι χρήσιμο, καθώς οι εισβολείς δεν ενσωμάτωσαν τους διακομιστές C&C απευθείας στα ενδιάμεσα στάδια, αλλά αντίθετα χρησιμοποίησαν το GitHub ως λύση νεκρής πτώσης. Τα ενδιάμεσα στάδια είναι προγράμματα λήψης για Windows και macOS που χαρακτηρίζουμε ως IconicLoaders και τα ωφέλιμα φορτία που λαμβάνουν ως IconicStealer και UpdateAgent, αντίστοιχα.
Τον Μάρτιο 30th, Joe Desimone, ερευνητής ασφάλειας από Ελαστική ασφάλεια, ήταν από τους πρώτους που παρείχαν, σε α Twitter νήμα, σημαντικές ενδείξεις ότι οι συμβιβασμοί που βασίζονται στο 3CX πιθανώς συνδέονται με τον Lazarus. Παρατήρησε ότι ένα στέλεχος κώδικα κελύφους προσαρτήθηκε στο ωφέλιμο φορτίο από d3dcompiler_47.dll είναι παρόμοια με τα στελέχη φορτωτή AppleJeus που αποδίδονται στον Lazarus από έλαμψε πίσω τον Απρίλιο 2021.
Τον Μάρτιο 31st ήταν είναι αναφερθεί ότι η 3CX είχε διατηρήσει τη Mandiant για να παρέχει υπηρεσίες αντιμετώπισης περιστατικών που σχετίζονται με την επίθεση στην αλυσίδα εφοδιασμού.
Στις 3 Απρίλιοrd, Kaspersky, μέσω της τηλεμετρίας του, έδειξε μια άμεση σχέση μεταξύ των θυμάτων της εφοδιαστικής αλυσίδας 3CX και της ανάπτυξης μιας κερκόπορτας που ονομάστηκε Gopuram, και τα δύο περιλαμβάνουν ωφέλιμα φορτία με κοινό όνομα, guard64.dll. Τα δεδομένα της Kaspersky δείχνουν ότι το Gopuram είναι συνδεδεμένο με τον Lazarus επειδή συνυπήρχε σε μηχανές θυμάτων παράλληλα AppleJeus, κακόβουλο λογισμικό που είχε ήδη αποδοθεί στον Lazarus. Τόσο η Gopuram όσο και η AppleJeus παρατηρήθηκαν σε επιθέσεις εναντίον μιας εταιρείας κρυπτονομισμάτων.
Στη συνέχεια, στις 11 Απριλίουth, το CISO του 3CX συνόψισε τα ενδιάμεσα ευρήματα της Mandiant σε α ανάρτηση. Σύμφωνα με αυτήν την αναφορά, δύο δείγματα κακόβουλου λογισμικού των Windows, ένα πρόγραμμα φόρτωσης κωδίκων κελύφους που ονομάζεται TAXHAUL και ένα σύνθετο πρόγραμμα λήψης με το όνομα COLDCAT, συμμετείχαν στον συμβιβασμό του 3CX. Δεν δόθηκαν κατακερματισμοί, αλλά ο κανόνας YARA της Mandiant, που ονομάζεται TAXHAUL, ενεργοποιείται επίσης σε άλλα δείγματα ήδη στο VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Τα ονόματα αρχείων, αλλά όχι τα MD5, αυτών των δειγμάτων συμπίπτουν με αυτά από το blogpost της Kaspersky. Ωστόσο, το 3CX δηλώνει ρητά ότι το COLDCAT διαφέρει από το Gopuram.
Η επόμενη ενότητα περιέχει μια τεχνική περιγραφή του νέου κακόβουλου ωφέλιμου φορτίου του Lazarus στο Linux που αναλύσαμε πρόσφατα, καθώς και πώς μας βοήθησε να ενισχύσουμε την υπάρχουσα σύνδεση μεταξύ του Lazarus και του συμβιβασμού 3CX.
Λειτουργία DreamJob με ωφέλιμο φορτίο Linux
Το Operation DreamJob του ομίλου Lazarus περιλαμβάνει την προσέγγιση στόχων μέσω του LinkedIn και τον πειρασμό τους με προσφορές εργασίας από ηγέτες του κλάδου. Το όνομα επινοήθηκε από τον ClearSky σε α χαρτί που δημοσιεύθηκε τον Αύγουστο του 2020. Αυτό το έγγραφο περιγράφει μια εκστρατεία κυβερνοκατασκοπείας Lazarus που στοχεύει αμυντικές και αεροδιαστημικές εταιρείες. Η δραστηριότητα επικαλύπτεται με αυτό που ονομάζουμε Operation In(ter)ception, μια σειρά από επιθέσεις κυβερνοκατασκοπείας που συνεχίζονται τουλάχιστον από τότε Σεπτέμβριος 2019. Στοχεύει αεροδιαστημικές, στρατιωτικές και αμυντικές εταιρείες και χρησιμοποιεί συγκεκριμένα κακόβουλα εργαλεία, αρχικά μόνο για Windows. Τον Ιούλιο και τον Αύγουστο του 2022, βρήκαμε δύο περιπτώσεις Operation In(ter)ception που στόχευαν το macOS. Υποβλήθηκε ένα δείγμα κακόβουλου λογισμικού στο VirusTotal από τη Βραζιλία και μια άλλη επίθεση είχε στόχο έναν χρήστη της ESET στην Αργεντινή. Πριν από μερικές εβδομάδες, βρέθηκε ένα εγγενές ωφέλιμο φορτίο Linux στο VirusTotal με ένα δέλεαρ PDF με θέμα την HSBC. Αυτό ολοκληρώνει την ικανότητα του Lazarus να στοχεύει όλα τα μεγάλα λειτουργικά συστήματα επιτραπέζιων υπολογιστών.
Τον Μάρτιο 20th, ένας χρήστης στη χώρα της Γεωργίας υπέβαλε στο VirusTotal ένα αρχείο ZIP που κάλεσε Προσφορά εργασίας HSBC.pdf.zip. Δεδομένων άλλων καμπανιών DreamJob από τον Lazarus, αυτό το ωφέλιμο φορτίο πιθανότατα διανεμήθηκε μέσω ψαρέματος (spearphishing) ή απευθείας μηνυμάτων στο LinkedIn. Το αρχείο περιέχει ένα μόνο αρχείο: ένα εγγενές δυαδικό 64-bit Intel Linux γραμμένο στο Go και με όνομα Προσφορά εργασίας HSBC.pdf.
Είναι ενδιαφέρον ότι η επέκταση αρχείου δεν είναι . Pdf. Αυτό συμβαίνει επειδή ο εμφανής χαρακτήρας κουκκίδας στο όνομα αρχείου είναι a ηγέτης τελεία αντιπροσωπεύεται από τον χαρακτήρα U+2024 Unicode. Η χρήση της κύριας κουκκίδας στο όνομα αρχείου ήταν πιθανώς μια προσπάθεια εξαπάτησης του διαχειριστή αρχείων ώστε να αντιμετωπίσει το αρχείο ως εκτελέσιμο αντί για PDF. Αυτό θα μπορούσε να προκαλέσει την εκτέλεση του αρχείου όταν κάνετε διπλό κλικ αντί να το ανοίξετε με πρόγραμμα προβολής PDF. Κατά την εκτέλεση, εμφανίζεται στον χρήστη που χρησιμοποιεί ένα decoy PDF xdg-open, το οποίο θα ανοίξει το έγγραφο χρησιμοποιώντας το πρόγραμμα προβολής PDF που προτιμά ο χρήστης (βλ. Εικόνα 3). Αποφασίσαμε να ονομάσουμε αυτό το πρόγραμμα λήψης ELF OdicLoader, καθώς έχει παρόμοιο ρόλο με το IconicLoader σε άλλες πλατφόρμες και το ωφέλιμο φορτίο λαμβάνεται από το OpenDrive.
Το OdicLoader ρίχνει ένα έγγραφο PDF decoy, το εμφανίζει χρησιμοποιώντας το προεπιλεγμένο πρόγραμμα προβολής PDF του συστήματος (βλ. Εικόνα 2) και στη συνέχεια κατεβάζει μια κερκόπορτα δεύτερου σταδίου από το OpenDrive υπηρεσία cloud. Το ληφθέν αρχείο αποθηκεύεται στο ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Αυτό το κερκόπορτο δεύτερου σταδίου το ονομάζουμε SimplexTea.
Ως τελευταίο βήμα της εκτέλεσής του, το OdicLoader τροποποιεί ~ / .bash_profile, έτσι το SimplexTea εκκινείται με το Bash και η έξοδος του είναι σε σίγαση (~/.config/guiconfigd >/dev/null 2>&1).
Το SimplexTea είναι μια κερκόπορτα Linux γραμμένη σε C++. Όπως επισημαίνεται στον Πίνακα 1, τα ονόματα των κλάσεων του είναι πολύ παρόμοια με τα ονόματα συναρτήσεων που βρίσκονται σε ένα δείγμα, με όνομα αρχείου sysnetd, που υποβλήθηκε στο VirusTotal από τη Ρουμανία (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Λόγω των ομοιοτήτων στα ονόματα κλάσεων και ονομάτων συναρτήσεων μεταξύ SimplexTea και sysnetd, πιστεύουμε ότι το SimplexTea είναι μια ενημερωμένη έκδοση, που έχει ξαναγραφτεί από C σε C++.
Πίνακας 1. Σύγκριση των αρχικών ονομάτων συμβόλων από δύο κερκόπορτες Linux που υποβλήθηκαν στο VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Έναρξη (κενό) | MSG_Cmd |
CMsgΑΣΦΑΛΕΙΑDel::Έναρξη (κενό) | MSG_Del |
CMsgDir::Έναρξη (κενό) | MSG_Σκην |
CMsgDown::Έναρξη (κενό) | MSG_Down |
CMsgExit::Έναρξη (κενό) | MSG_Exit |
CMsgReadConfig::Έναρξη (κενό) | MSG_ReadConfig |
CMsgRun::Έναρξη (κενό) | MSG_Run |
CMsgSetPath::Έναρξη (κενό) | MSG_SetPath |
CMsgSleep::Έναρξη (κενό) | MSG_Sleep |
CMsgTest::Έναρξη (κενό) | MSG_Test |
CMsgUp::Έναρξη (κενό) | MSG_Up |
CMsgWriteConfig::Έναρξη (κενό) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::Αποστολή μηνύματος(_MSG_STRUCT *) | Αποστολή μηνύματος |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Πως είναι sysnetd σχετίζεται με τον Λάζαρο; Η παρακάτω ενότητα δείχνει ομοιότητες με την κερκόπορτα των Windows του Lazarus που ονομάζεται BADCALL.
BADCALL για Linux
Αποδίδουμε sysnetd στον Λάζαρο λόγω των ομοιοτήτων του με τα ακόλουθα δύο αρχεία (και πιστεύουμε ότι sysnetd είναι μια παραλλαγή Linux του backdoor της ομάδας για Windows που ονομάζεται BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), το οποίο δείχνει ομοιότητες κώδικα με sysnetd με τη μορφή τομέων που χρησιμοποιούνται ως πρόσοψη για ψεύτικη σύνδεση TLS (βλ. Εικόνα 4). Αποδόθηκε στον Λάζαρο από την CISA το Δεκέμβριος 2017. Από Σεπτέμβριος 2019, η CISA άρχισε να καλεί νεότερες εκδόσεις αυτού του κακόβουλου λογισμικού BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), το οποίο δείχνει ομοιότητες κώδικα με sysnetd (βλ. Εικόνα 5). Αποδόθηκε στον Λάζαρο από έλαμψε τον Φεβρουάριο του 2021. Σημειώστε επίσης ότι το SIMPLESEA, μια κερκόπορτα macOS που βρέθηκε κατά την απόκριση περιστατικού 3CX, υλοποιεί το A5 / 1 κρυπτογράφηση ροής.
Αυτή η έκδοση Linux του backdoor BADCALL, sysnetd, φορτώνει τη διαμόρφωσή του από ένα αρχείο με το όνομα /tmp/vgauthsvclog. Δεδομένου ότι οι χειριστές Lazarus είχαν στο παρελθόν συγκαλύψουν τα ωφέλιμα φορτία τους, η χρήση αυτού του ονόματος, που χρησιμοποιείται από την υπηρεσία VMware Guest Authentication, υποδηλώνει ότι το στοχευμένο σύστημα μπορεί να είναι μια εικονική μηχανή Linux VMware. Είναι ενδιαφέρον ότι το κλειδί XOR σε αυτήν την περίπτωση είναι το ίδιο με αυτό που χρησιμοποιείται στο SIMPLESEA από την έρευνα 3CX.
Ρίχνοντας μια ματιά στους τρεις ακέραιους 32-bit, 0xC2B45678, 0x90ABCDEF, να 0xFE268455 από το Σχήμα 5, το οποίο αντιπροσωπεύει ένα κλειδί για μια προσαρμοσμένη εφαρμογή του κρυπτογράφησης A5/1, συνειδητοποιήσαμε ότι ο ίδιος αλγόριθμος και τα ίδια κλειδιά χρησιμοποιήθηκαν σε κακόβουλο λογισμικό των Windows που χρονολογείται από τα τέλη του 2014 και εμπλέκεται σε ένα από τα πιο Διαβόητες υποθέσεις Lazarus: το κυβερνοσαμποτάζ της Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Πρόσθετα σημεία δεδομένων απόδοσης
Για να ανακεφαλαιώσουμε όσα έχουμε καλύψει μέχρι τώρα, αποδίδουμε την επίθεση της εφοδιαστικής αλυσίδας 3CX στον όμιλο Lazarus με υψηλό επίπεδο εμπιστοσύνης. Αυτό βασίζεται στους ακόλουθους παράγοντες:
- Κακόβουλο λογισμικό (το σύνολο εισβολής):
- The IconicLoader (samcli.dll) χρησιμοποιεί τον ίδιο τύπο ισχυρής κρυπτογράφησης – AES-GCM – με το SimplexTea (η απόδοση του οποίου στον Lazarus καθιερώθηκε μέσω της ομοιότητας με το BALLCALL για Linux). μόνο τα κλειδιά και τα διανύσματα αρχικοποίησης διαφέρουν.
- Με βάση τις κεφαλίδες PE Rich, και τα δύο IconicLoader (samcli.dll) και IconicStealer (sechost.dll) είναι έργα παρόμοιου μεγέθους και μεταγλωττίζονται στο ίδιο περιβάλλον του Visual Studio με τα εκτελέσιμα iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Και iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) που αναφέρθηκε στις καμπάνιες κρυπτονομισμάτων Lazarus από Βολές και Microsoft. Συμπεριλαμβάνουμε παρακάτω τον κανόνα YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, το οποίο επισημαίνει όλα αυτά τα δείγματα και κανένα άσχετο κακόβουλο ή καθαρό αρχείο, όπως έχει δοκιμαστεί στις τρέχουσες βάσεις δεδομένων της ESET και στις πρόσφατες υποβολές του VirusTotal.
- Το ωφέλιμο φορτίο SimplexTea φορτώνει τη διαμόρφωσή του με παρόμοιο τρόπο με το κακόβουλο λογισμικό SIMPLESEA από την επίσημη απόκριση περιστατικού 3CX. Το κλειδί XOR διαφέρει (0x5E έναντι 0x7E), αλλά η διαμόρφωση φέρει το ίδιο όνομα: apdl.cf (βλέπε σχήμα 8).
- Υποδομή:
- Υπάρχει κοινόχρηστη υποδομή δικτύου με το SimplexTea, όπως χρησιμοποιεί https://journalide[.]org/djour.php όπως C&C, του οποίου ο τομέας αναφέρεται στο επίσημα αποτελέσματα της απάντησης περιστατικού του συμβιβασμού 3CX από τη Mandiant.
Συμπέρασμα
Ο συμβιβασμός 3CX έχει κερδίσει μεγάλη προσοχή από την κοινότητα ασφαλείας από την αποκάλυψή του στις 29 Μαρτίουth. Αυτό το παραβιασμένο λογισμικό, που αναπτύσσεται σε διάφορες υποδομές πληροφορικής, το οποίο επιτρέπει τη λήψη και την εκτέλεση κάθε είδους ωφέλιμου φορτίου, μπορεί να έχει καταστροφικές επιπτώσεις. Δυστυχώς, κανένας εκδότης λογισμικού δεν έχει ανοσία στο να παραβιαστεί και να διανείμει ακούσια trojanized εκδόσεις των εφαρμογών του.
Η μυστικότητα μιας επίθεσης στην αλυσίδα εφοδιασμού κάνει αυτή τη μέθοδο διανομής κακόβουλου λογισμικού πολύ ελκυστική από την οπτική γωνία του εισβολέα. Ο Λάζαρος έχει ήδη χρησιμοποιήσει αυτή την τεχνική Στο παρελθόν, στοχεύοντας σε Νοτιοκορεάτες χρήστες του λογισμικού WIZVERA VeraPort το 2020. Οι ομοιότητες με υπάρχον κακόβουλο λογισμικό από το σύνολο εργαλείων Lazarus και με τις τυπικές τεχνικές της ομάδας υποδηλώνουν έντονα ότι ο πρόσφατος συμβιβασμός 3CX είναι επίσης έργο του Lazarus.
Είναι επίσης ενδιαφέρον να σημειωθεί ότι ο Lazarus μπορεί να παράγει και να χρησιμοποιεί κακόβουλο λογισμικό για όλα τα μεγάλα λειτουργικά συστήματα επιτραπέζιων υπολογιστών: Windows, macOS και Linux. Τόσο τα συστήματα Windows όσο και τα συστήματα macOS στοχοποιήθηκαν κατά τη διάρκεια του περιστατικού 3CX, με το λογισμικό VoIP της 3CX και για τα δύο λειτουργικά συστήματα να έχει τρωανοποιηθεί ώστε να περιλαμβάνει κακόβουλο κώδικα για τη λήψη αυθαίρετων ωφέλιμων φορτίων. Στην περίπτωση του 3CX, υπάρχουν εκδόσεις κακόβουλου λογισμικού δεύτερου σταδίου για Windows και macOS. Αυτό το άρθρο καταδεικνύει την ύπαρξη μιας κερκόπορτας Linux που πιθανώς αντιστοιχεί στο κακόβουλο λογισμικό SIMPLESEA macOS που εμφανίζεται στο περιστατικό 3CX. Ονομάσαμε αυτό το στοιχείο Linux SimplexTea και δείξαμε ότι είναι μέρος της Operation DreamJob, της ναυαρχίδας της καμπάνιας του Lazarus που χρησιμοποιεί προσφορές εργασίας για να δελεάσει και να συμβιβάσει ανυποψίαστα θύματα.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Αρχεία
SHA-1 | Όνομα | Όνομα ανίχνευσης ESET | Περιγραφή |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea για Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, ένα πρόγραμμα λήψης 64-bit για Linux, γραμμένο σε Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Ένα αρχείο ZIP με ωφέλιμο φορτίο Linux, από το VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL για Linux. |
Πρωτοεμφανίστηκε | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Όνομα | guiconfigd |
Περιγραφή | SimplexTea για Linux. |
C&C | https://journalide[.]org/djour.php |
κατεβάσει από | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Ανίχνευση | Linux/NukeSped.E |
Χρονική σήμανση συλλογής PE | N / A |
Πρωτοεμφανίστηκε | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Όνομα | HSBC_job_offer․pdf |
Περιγραφή | OdicLoader, ένα πρόγραμμα λήψης 64-bit για Linux, στο Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
κατεβάσει από | N / A |
Ανίχνευση | Linux/NukeSped.E |
Χρονική σήμανση συλλογής PE | N / A |
Πρωτοεμφανίστηκε | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Όνομα | HSBC_job_offer.pdf.zip |
Περιγραφή | Ένα αρχείο ZIP με ωφέλιμο φορτίο Linux, από το VirusTotal. |
C&C | N / A |
κατεβάσει από | N / A |
Ανίχνευση | Linux/NukeSped.E |
Χρονική σήμανση συλλογής PE | N / A |
Πρωτοεμφανίστηκε | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Όνομα | sysnetd |
Περιγραφή | BADCALL για Linux. |
C&C | tcp://23.254.211[.]230 |
κατεβάσει από | N / A |
Ανίχνευση | Linux/NukeSped.G |
Χρονική σήμανση συλλογής PE | N / A |
Δίκτυο
διεύθυνση IP | Domain | Πάροχος φιλοξενίας | Πρωτοεμφανίστηκε | Περιγραφή |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | Διακομιστής C&C για BADCALL για Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Απομακρυσμένη αποθήκευση OpenDrive που περιέχει SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Διακομιστής C&C για SimplexTea (/djour.php) |
Τεχνικές MITER ATT & CK
Τακτική | ID | Όνομα | Περιγραφή |
---|---|---|---|
Αναγνώριση | T1593.001 | Αναζήτηση Ανοιχτών ιστοσελίδων/τομέων: Μέσα κοινωνικής δικτύωσης | Οι επιτιθέμενοι του Lazarus πιθανότατα πλησίασαν έναν στόχο με μια ψεύτικη προσφορά εργασίας με θέμα την HSBC που θα ταίριαζε στα ενδιαφέροντα του στόχου. Αυτό είχε γίνει κυρίως μέσω LinkedIn στο παρελθόν. |
Ανάπτυξη πόρων | T1584.001 | Αποκτήστε υποδομή: Τομείς | Σε αντίθεση με πολλές προηγούμενες περιπτώσεις παραβιασμένων C&C που χρησιμοποιήθηκαν στο Operation DreamJob, οι χειριστές Lazarus κατοχύρωσαν τον δικό τους τομέα για τον στόχο Linux. |
T1587.001 | Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό | Τα προσαρμοσμένα εργαλεία από την επίθεση είναι πολύ πιθανό να αναπτυχθούν από τους εισβολείς. | |
T1585.003 | Δημιουργία λογαριασμών: Λογαριασμοί Cloud | Οι εισβολείς φιλοξένησαν το τελικό στάδιο στην υπηρεσία cloud OpenDrive. | |
T1608.001 | Δυνατότητες σκηνής: Ανεβάστε κακόβουλο λογισμικό | Οι εισβολείς φιλοξένησαν το τελικό στάδιο στην υπηρεσία cloud OpenDrive. | |
Εκτέλεση | T1204.002 | Εκτέλεση χρήστη: Κακόβουλο αρχείο | Το OdicLoader μεταμφιέζεται σε αρχείο PDF για να ξεγελάσει τον στόχο. |
Αρχική πρόσβαση | T1566.002 | Phishing: Σύνδεσμος ψαρέματος | Ο στόχος πιθανότατα έλαβε έναν σύνδεσμο προς απομακρυσμένο χώρο αποθήκευσης τρίτου μέρους με ένα κακόβουλο αρχείο ZIP, το οποίο αργότερα υποβλήθηκε στο VirusTotal. |
Επιμονή | T1546.004 | Εκτέλεση ενεργοποίησης συμβάντος: Τροποποίηση διαμόρφωσης κελύφους Unix | Το OdicLoader τροποποιεί το προφίλ Bash του θύματος, έτσι ώστε το SimplexTea να εκκινείται κάθε φορά που κοιτάζετε το Bash και γίνεται σίγαση της εξόδου του. |
Αμυντική υπεκφυγή | T1134.002 | Access Token Manipulation: Δημιουργία διαδικασίας με Token | Το SimplexTea μπορεί να δημιουργήσει μια νέα διαδικασία, εάν ζητηθεί από τον διακομιστή C&C. |
T1140 | Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών | Το SimplexTea αποθηκεύει τη διαμόρφωσή του σε κρυπτογραφημένη apdl.cf. | |
T1027.009 | Συγκεκριμένα αρχεία ή πληροφορίες: Ενσωματωμένα ωφέλιμα φορτία | Τα droppers όλων των κακόβουλων αλυσίδων περιέχουν έναν ενσωματωμένο πίνακα δεδομένων με ένα επιπλέον στάδιο. | |
T1562.003 | Impair Defenses: Impair Command History Logging | Το OdicLoader τροποποιεί το προφίλ Bash του θύματος, έτσι ώστε τα μηνύματα εξόδου και σφάλματος από το SimplexTea να τίθενται σε σίγαση. Το SimplexTea εκτελεί νέες διεργασίες με την ίδια τεχνική. | |
T1070.004 | Αφαίρεση δείκτη: Διαγραφή αρχείου | Το SimplexTea έχει τη δυνατότητα να διαγράφει αρχεία με ασφάλεια. | |
T1497.003 | Virtualization/Sandbox Evasion: Time Based Evasion | Το SimplexTea εφαρμόζει πολλαπλές προσαρμοσμένες καθυστερήσεις ύπνου στην εκτέλεσή του. | |
Ανακάλυψη | T1083 | Ανακάλυψη αρχείων και καταλόγου | Το SimplexTea μπορεί να παραθέσει το περιεχόμενο του καταλόγου μαζί με τα ονόματα, τα μεγέθη και τις χρονικές σημάνσεις τους (μιμούμενος ls -la εντολή). |
Διοίκησης και Ελέγχου | T1071.001 | Πρωτόκολλο επιπέδου εφαρμογής: Πρωτόκολλα Ιστού | Το SimplexTea μπορεί να χρησιμοποιήσει HTTP και HTTPS για επικοινωνία με τον διακομιστή C&C του, χρησιμοποιώντας μια στατικά συνδεδεμένη βιβλιοθήκη Curl. |
T1573.001 | Κρυπτογραφημένο κανάλι: Συμμετρική κρυπτογραφία | Το SimplexTea κρυπτογραφεί την κυκλοφορία C&C χρησιμοποιώντας τον αλγόριθμο AES-GCM. | |
T1132.001 | Κωδικοποίηση δεδομένων: Τυπική κωδικοποίηση | Το SimplexTea κωδικοποιεί την κυκλοφορία C&C χρησιμοποιώντας το base64. | |
T1090 | πληρεξούσιο | Το SimplexTea μπορεί να χρησιμοποιήσει έναν διακομιστή μεσολάβησης για επικοινωνίες. | |
εκδιήθησης | T1041 | Διήθηση πάνω από το κανάλι C2 | Το SimplexTea μπορεί να εξάγει δεδομένα ως αρχεία ZIP στον διακομιστή C&C του. |
Παράρτημα
Αυτός ο κανόνας YARA επισημαίνει το σύμπλεγμα που περιέχει τόσο το IconicLoader όσο και το IconicStealer, καθώς και τα ωφέλιμα φορτία που αναπτύσσονται στις καμπάνιες κρυπτονομισμάτων από τον Δεκέμβριο του 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :έχει
- :είναι
- :δεν
- $UP
- 000
- 000 Πελάτες
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- ικανότητα
- Ικανός
- Σχετικα
- πάνω από
- Σύμφωνα με
- Λογαριασμός
- Λογαριασμοί
- δραστηριότητα
- φορείς
- προστιθέμενη
- Πρόσθετος
- Αεροδιαστημική
- συγκινητικός
- κατά
- αλγόριθμος
- Όλα
- επιτρέπει
- κατά μήκος της πλευράς
- ήδη
- Επίσης
- μεταξύ των
- an
- Αναλυτές
- και
- Άλλος
- κάθε
- app
- εμφανής
- ελκυστική
- Εφαρμογή
- εφαρμογές
- προσεγγίζοντας
- Απρίλιος
- APT
- Αρχείο
- ΕΙΝΑΙ
- Αργεντίνη
- Παράταξη
- άρθρο
- εμπορεύματα
- AS
- At
- επίθεση
- Επιθέσεις
- προσοχή
- Αύγουστος
- Πιστοποίηση
- συγγραφέας
- πίσω
- κερκόπορτα
- Κερκόπορτες
- υποστήριξη
- Κακός
- βασίζονται
- βίαιο χτύπημα
- BE
- Αρκούδες
- επειδή
- ήταν
- πριν
- Αρχή
- πίσω
- είναι
- Πιστεύω
- παρακάτω
- μεταξύ
- και οι δύο
- Βραζιλία
- πρόγραμμα περιήγησης
- by
- C + +
- κλήση
- που ονομάζεται
- Εκστρατεία
- Καμπάνιες
- CAN
- δεν μπορώ
- δυνατότητες
- περίπτωση
- περιπτώσεις
- Αιτία
- αλυσίδα
- αλυσίδες
- Κανάλι
- χαρακτήρας
- κρυπτογράφημα
- CISO
- ισχυρισμός
- τάξη
- πελάτης
- Backup
- αποθήκευσης σύννεφο
- συστάδα
- κωδικός
- εφευρέθηκε
- COM
- Κοινός
- Επικοινωνία
- Διαβιβάσεις
- κοινότητα
- Εταιρείες
- εταίρα
- Εταιρεία
- σύγκριση
- Ολοκληρώνει
- συγκρότημα
- συστατικό
- συμβιβασμός
- Συμβιβασμένος
- κατάσταση
- διενεργούνται
- εμπιστοσύνη
- διαμόρφωση
- Επιβεβαιώνω
- συνδεδεμένος
- σύνδεση
- επικοινωνήστε μαζί μας
- περιέχουν
- Περιέχει
- περιεχόμενο
- συμβάλλει
- αντιστοιχεί
- ενισχύω
- θα μπορούσε να
- χώρα
- καλύπτονται
- κάλυμμα
- δημιουργία
- δημιουργήθηκε
- cryptocurrency
- Ρεύμα
- Τη στιγμή
- έθιμο
- Πελάτες
- ημερομηνία
- βάσεις δεδομένων
- Ημερομηνία
- Ημερομηνίες
- Ημ.
- νεκρός
- Δεκέμβριος
- αποφάσισε
- Προεπιλογή
- Υπερασπιστές
- Άμυνα
- καθυστερήσεις
- παραδίδει
- κατέδειξε
- καταδεικνύει
- αναπτυχθεί
- ανάπτυξη
- βάθος
- περιγραφή
- επιφάνεια εργασίας
- λεπτομέρεια
- Ανίχνευση
- Προσδιορίστε
- αποφασισμένος
- καταστροφικές
- αναπτύχθηκε
- Εργολάβος
- DID
- διαφέρω
- κατευθύνει
- κατευθείαν
- αποκάλυψη
- ανακάλυψαν
- ανακάλυψη
- οθόνες
- διανέμω
- διανέμονται
- διανομή
- διανομή
- έγγραφο
- τομέα
- domains
- DOT
- κατεβάσετε
- λήψεις
- οδηγείται
- Πτώση
- Σταγόνες
- μεταγλωττισμένο
- κατά την διάρκεια
- κάθε
- Νωρίς
- ενσωματωμένο
- ενεργοποιημένη
- κρυπτογραφημένα
- κρυπτογράφηση
- μηχανικός
- Μηχανική
- Ψυχαγωγία
- Περιβάλλον
- σφάλμα
- Έρευνα ESET
- εγκατεστημένος
- Even
- εκδηλώσεις
- απόδειξη
- Εκτελεί
- εκτέλεση
- υφιστάμενα
- Εξηγήστε
- εξήγησε
- επέκταση
- εξωτερικός
- εκχύλισμα
- παράγοντες
- απομίμηση
- Φεβρουάριος
- Ανακτήθηκε
- λίγοι
- Εικόνα
- Αρχεία
- Αρχεία
- τελικός
- Όνομα
- ταιριάζουν
- σημαίες
- ναυαρχίδα
- ακολουθείται
- Εξής
- Για
- μορφή
- μορφή
- Βρέθηκαν
- από
- εμπρός
- πλήρη
- λειτουργία
- Γεωργία
- παίρνω
- GitHub
- δεδομένου
- Go
- Group
- Ομάδα
- Επισκέπτης
- χασίσι
- Έχω
- he
- κεφαλίδες
- Τίτλοι
- υγειονομική περίθαλψη
- βοήθεια
- βοήθησε
- Κρύβω
- Ψηλά
- Τόνισε
- ιστορία
- φιλοξενία
- φιλοξενείται
- Πως
- Ωστόσο
- HSBC
- HTML
- http
- HTTPS
- identiques
- Επιπτώσεις
- εκτέλεση
- υλοποιεί
- εισαγωγή
- in
- περιστατικό
- απάντηση περιστατικού
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- βιομηχανία
- κακόφημος
- πληροφορίες
- Υποδομή
- υποδομή
- αρχικά
- Ερωτήσεις
- εγκατασταθεί
- αντί
- Intel
- Νοημοσύνη
- τόκος
- ενδιαφέρον
- International
- σε
- διερευνήσει
- έρευνα
- συμμετέχουν
- IT
- ΤΟΥ
- εαυτό
- Ιανουάριος
- Δουλειά
- JOE
- Ιούλιος
- Kaspersky
- Κλειδί
- πλήκτρα
- Είδος
- γνώση
- Κορεάτικα
- Επίθετο
- Πέρυσι
- Αργά
- ξεκίνησε
- στρώμα
- Λάζαρος
- Ομάδα Λαζάρου
- ηγέτης
- ηγέτες
- Επίπεδο
- Βιβλιοθήκη
- Πιθανός
- LINK
- συνδέονται
- ΣΥΝΔΕΣΜΟΙ
- linux
- Λιστα
- LLC
- φορτωτής
- φόρτωση
- φορτία
- Μακριά
- ματιά
- Παρτίδα
- μηχανή
- μηχανήματα
- MacOS
- που
- μεγάλες
- ΚΑΝΕΙ
- malware
- διευθυντής
- Χειρισμός
- πολοί
- χάρτη
- Μάρτιος
- max-width
- Ενδέχεται..
- που αναφέρθηκαν
- μηνύματα
- Meta
- Μεταδεδομένα
- μέθοδος
- Microsoft
- ενδέχεται να
- Στρατιωτικός
- Κινητό
- εφαρμογή για κινητά
- περισσότερο
- πλέον
- πολλαπλούς
- μυστηριώδης
- όνομα
- Ονομάστηκε
- και συγκεκριμένα
- ονόματα
- ντόπιος
- κανενα απο τα δυο
- δίκτυο
- Νέα
- επόμενη
- Βόρειος
- διαβόητος
- of
- προσφορά
- προσφορές
- επίσημος ανώτερος υπάλληλος
- on
- ONE
- συνεχή
- αποκλειστικά
- ανοίξτε
- άνοιγμα
- λειτουργίας
- λειτουργικά συστήματα
- λειτουργία
- φορείς
- or
- τάξη
- οργανώσεις
- πρωτότυπο
- ΑΛΛΑ
- δικός μας
- παραγωγή
- επί
- δική
- P&E
- σελίδα
- Χαρτί
- μέρος
- Το παρελθόν
- προοπτική
- τηλέφωνο
- Εικόνες
- προγραμματίζονται
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- προτιμάται
- παρουσία
- προηγούμενος
- προηγουμένως
- Πριν
- ιδιωτικός
- πιθανώς
- διαδικασια μας
- Διεργασίες
- παράγει
- Προφίλ ⬇️
- έργα
- πρωτόκολλο
- παρέχουν
- παρέχεται
- παρέχει
- χορήγηση
- πληρεξούσιο
- δημόσιο
- δημοσίως
- δημοσιεύθηκε
- εκδότης
- ταχέως
- μάλλον
- συνειδητοποίησα
- ανακεφαλαιώσουμε
- έλαβε
- πρόσφατος
- πρόσφατα
- καταχωρηθεί
- σχετίζεται με
- σχέση
- μακρινός
- αφαίρεση
- αναφέρουν
- αναφέρθηκαν
- Εκθέσεις
- εκπροσωπώ
- εκπροσωπούνται
- έρευνα
- ερευνητής
- ερευνητές
- απάντησης
- Αποκαλυφθε'ντα
- Πλούσιος
- Ρόλος
- Ρουμανία
- Άρθρο
- τρέξιμο
- τρέξιμο
- ίδιο
- δευτερόλεπτα
- Τμήμα
- Τομείς
- ασφαλώς
- ασφάλεια
- Σειρές
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- σειρά
- διάφοροι
- Shared
- κέλυφος
- Δείχνει
- υπογραφεί
- σημαντικός
- παρόμοιες
- ομοιότητες
- αφού
- ενιαίας
- Μέγεθος
- μεγέθη
- ύπνος
- So
- μέχρι τώρα
- Μ.Κ.Δ
- Κοινωνική μηχανική
- λογισμικό
- μερικοί
- κάτι
- Sony
- Νότος
- Νοτιοκορεάτης
- συγκεκριμένες
- Στάδιο
- στάδια
- πρότυπο
- ξεκίνησε
- Μελών
- Βήμα
- χώρος στο δίσκο
- αποθηκεύονται
- καταστήματα
- μετάδοση
- Ενισχύω
- Ενισχύει
- ισχυρός
- δυνατά
- στούντιο
- Υποβολές
- υποβάλλονται
- ουσιώδης
- Προτείνει
- προμήθεια
- αλυσίδας εφοδιασμού
- σύμβολο
- σύνταξη
- σύστημα
- συστήματα
- τραπέζι
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Τεχνικός
- τεχνικές
- Τεχνολογίες
- από
- ότι
- Η
- τους
- Τους
- τους
- Αυτοί
- τρίτους
- αυτό
- απειλή
- απειλή
- τρία
- Μέσω
- ώρα
- χρονοδιάγραμμα
- τύπος
- προς την
- μαζι
- ένδειξη
- εργαλείο
- εργαλεία
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- θεραπεία
- ενεργοποιήθηκε
- τυπικός
- τυπογραφία
- unix
- Ενημέρωση
- ενημερώθηκε
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώ
- Παραλλαγή
- διάφορα
- πάροχος υπηρεσιών
- εκδοχή
- μέσω
- Θύμα
- θύματα
- Πραγματικός
- εικονική μηχανή
- Επίσκεψη
- vmware
- vs
- Wardle
- ήταν
- Τρόπος..
- we
- ιστός
- πρόγραμμα περιήγησης στο Web
- Ιστοσελίδα : www.example.gr
- Εβδ.
- ΛΟΙΠΌΝ
- ήταν
- Τι
- αν
- Ποιό
- ευρύς
- Wikipedia
- θα
- παράθυρα
- με
- Εργασία
- θα
- τυλίξτε
- γραπτή
- έτος
- zephyrnet
- Zip