ESET-i teadlased avastasid küberspionaažikampaania, mis on vähemalt alates 2023. aasta septembrist tiibetlasi ohvriks langetanud sihipärase veeaugu (tuntud ka kui strateegiline veebikompromiss) ja tarneahela kompromissi kaudu, et tarnida tiibeti keele tõlketarkvara troojalaste installijaid. Ründajate eesmärk oli juurutada Windowsi ja macOS-i jaoks pahatahtlikke allalaadijaid, et ohustada veebisaidi külastajaid MgBoti ja tagauksega, mida meie teadmiste kohaselt pole veel avalikult dokumenteeritud; andsime sellele nimeks Nightdoor.
Põhipunktid selles blogipostituses:
- Avastasime küberspionaažikampaania, mis kasutab Monlami festivali – religioosset kogunemist –, et sihikule võtta tiibetlasi mitmes riigis ja territooriumil.
- Ründajad kompromiteerisid Indias toimuva iga-aastase festivali korraldaja veebisaiti ja lisasid pahatahtliku koodi, et luua rünnak, mis on suunatud konkreetsetest võrkudest ühenduvatele kasutajatele.
- Samuti avastasime, et tarkvaraarendaja tarneahel oli ohus ning kasutajatele pakuti Windowsi ja macOS-i Trooja installijaid.
- Ründajad käivitasid operatsiooni jaoks mitu pahatahtlikku allalaadijat ja täisfunktsionaalne tagauks, sealhulgas Windowsi jaoks avalikult dokumentideta tagauks, mille oleme andnud nimeks Nightdoor.
- Me omistame selle kampaania suure kindlustundega Hiinaga seotud Evasive Panda APT grupile.
Evasive Panda profiil
Põiklev Panda (Tuntud ka PRONKSMÄRGSMAAL ja Pidakärbes) on hiina keelt kõnelev APT rühm, aktiivne vähemalt 2012. aastast. ESET Research on täheldanud, et rühm tegeleb Mandri-Hiinas, Hongkongis, Aomenis ja Nigeerias asuvate inimeste vastu suunatud küberspionaažiga. Valitsusüksused olid suunatud Kagu- ja Ida-Aasias, täpsemalt Hiinas, Aomenis, Myanmaris, Filipiinidel, Taiwanis ja Vietnamis. Sihtmärgiks olid ka teised organisatsioonid Hiinas ja Hongkongis. Avalike teadete kohaselt on rühmitus võtnud sihikule ka tundmatuid üksusi Hongkongis, Indias ja Malaisias.
Grupp kasutab oma kohandatud moodularhitektuuriga pahavara raamistikku, mis võimaldab selle tagauksel, tuntud kui MgBot, vastu võtta mooduleid, et oma ohvreid luurata ja oma võimalusi suurendada. Alates 2020. aastast oleme täheldanud ka seda, et Evasive Panda suudab oma tagauksi pakkuda keskmise vastase rünnakute kaudu. legitiimse tarkvara värskenduste kaaperdamine.
Kampaania ülevaade
2024. aasta jaanuaris avastasime küberspionaažioperatsiooni, mille käigus ründajad kompromiteerisid vähemalt kolme veebisaiti, et sooritada rünnakuid, ning tiibeti tarkvaraettevõtte tarneahela kompromissi.
Ohustatud veebisait, mida kuritarvitatakse kui vett, kuulub Indias asuvale organisatsioonile Kagyu International Monlam Trust, mis edendab Tiibeti budismi rahvusvaheliselt. Ründajad panid veebisaidile skripti, mis kontrollib potentsiaalse ohvri IP-aadressi ja kui see asub mõnes sihitud aadressivahemikus, näitab võltsitud vealehte, et meelitada kasutajat alla laadima nimelist "parandust". sertifikaat (.exe laiendiga, kui külastaja kasutab Windowsi või PKG kui macOS). See fail on pahatahtlik allalaadija, mis juurutab kompromissiahela järgmise etapi.
Koodi kontrollitavate IP-aadressi vahemike põhjal avastasime, et ründajad olid sihikule võtnud kasutajad Indias, Taiwanis, Hongkongis, Austraalias ja Ameerika Ühendriikides; Rünnaku eesmärk võis olla kasu rahvusvahelisest huvist Kagyu Monlami festivali vastu (joonis 1), mida peetakse iga aasta jaanuaris Indias Bodhgaya linnas.
Huvitav on see, et Ameerika Ühendriikide Georgia Tehnoloogiainstituudi (tuntud ka kui Georgia Tech) võrk on sihitud IP-aadressi vahemikes tuvastatud üksuste hulgas. In the past, mainiti ülikooli seoses Hiina Kommunistliku Partei mõjuga USA haridusasutustele.
2023. aasta septembri paiku tungisid ründajad ohtu Indias asuva tarkvaraarendusettevõtte veebisaidi, mis toodab tiibeti keele tõlketarkvara. Ründajad paigutasid sinna mitu troojastatud rakendust, mis juurutavad Windowsi või macOS-i jaoks pahatahtliku allalaadija.
Lisaks sellele kuritarvitasid ründajad sama veebisaiti ja Tiibeti uudiste veebisaiti nimega Tibetpost – tibetpost[.]net – majutada pahatahtlike allalaadimistega saadud koormaid, sealhulgas kaks täisfunktsionaalne tagaust Windowsi jaoks ja tundmatu arv kasulikke koormusi macOS-i jaoks.
Suure kindlustundega omistame selle kampaania Evasive Panda APT grupile, tuginedes kasutatud pahavarale: MgBot ja Nightdoor. Varem oleme näinud mõlemat tagaust koos rakendatuna sõltumatus rünnakus Taiwani usuorganisatsiooni vastu, kus nad jagasid ka sama C&C serverit. Mõlemad punktid kehtivad ka selles blogipostituses kirjeldatud kampaania kohta.
Kastmisauk
Jaanuaril 14th, 2024, tuvastasime kahtlase skripti aadressil https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Pahatahtlik ähmastatud kood lisati seaduslikule koodile jQuery JavaScripti teegi skript, nagu on näha joonisel 2.
Skript saadab HTTP päringu kohalikule hosti aadressile http://localhost:63403/?callback=handleCallback kontrollimaks, kas potentsiaalse ohvri masinas juba töötab ründaja vahepealne allalaadija (vt joonis 3). Varem ohustatud masinal vastab implantaat sõnumiga handCallback({"edu":true }) (vt joonis 4) ja skript ei tee täiendavaid toiminguid.
Kui masin ei vasta oodatud andmetega, jätkab pahatahtlik kood hankides teisesest serverist MD5 räsi https://update.devicebug[.]com/getVersion.php. Seejärel kontrollitakse räsi 74 räsiväärtuse loendiga, nagu on näha joonisel 6.
Sobivuse korral renderdab skript HTML-lehe võltsitud kokkujooksmisteatisega (joonis 7), mille eesmärk on meelitada külastavat kasutajat probleemi lahendamiseks lahenduse allalaadimiseks. Leht jäljendab tüüpilist "Ai, oi!" hoiatused alates Google Chrome.
Nupp „Kohe parandamine” käivitab skripti, mis laadib kasutaja operatsioonisüsteemi alusel alla kasuliku koormuse (joonis 8).
Räsi purustamine
Kasuliku koormuse kohaletoimetamise tingimus nõuab õige räsi hankimist serverist aadressil update.devicebug[.]com, seega on 74 räsi ründaja ohvrivaliku mehhanismi võtmeks. Kuna aga räsi arvutatakse serveri poolel, oli meie jaoks väljakutse teada saada, milliseid andmeid selle arvutamiseks kasutatakse.
Katsetasime erinevate IP-aadresside ja süsteemikonfiguratsioonidega ning kitsendasime MD5 algoritmi sisendit kasutaja IP-aadressi kolme esimese okteti valemiga. Teisisõnu, sisestades näiteks sama võrguprefiksit jagavad IP-aadressid 192.168.0.1 ja 192.168.0.50, saab C&C serverilt sama MD5 räsi.
Tundmatu tähemärkide kombinatsioon või a sool, on kaasatud kolme esimese IP-okteti stringi enne räsimist, et vältida räside triviaalset jõhkrat sundimist. Seetõttu pidime sisendvalemi kindlustamiseks jämedalt sundima soola ja alles seejärel genereerima räsi, kasutades kogu IPv4-aadresside vahemikku, et leida sobivat 74 räsi.
Mõnikord joonduvad tähed ja me saime aru, et sool oli 1qaz0okm!@#. Kõigi MD5 sisendvalemi osadega (näiteks 192.168.1.1qaz0okm!@#), tegime 74 räsi lihtsalt jõuga ja koostasime sihtmärkide loendi. Vaadake Lisa täieliku nimekirja jaoks.
Nagu on näidatud joonisel 9, on enamik sihitud IP-aadressi vahemikke Indias, millele järgnevad Taiwan, Austraalia, Ameerika Ühendriigid ja Hongkong. Pange tähele, et enamik Tiibeti diasporaa elab Indias.
Windowsi kasulik koormus
Windowsis teenindatakse ründe ohvreid pahatahtliku käivitatava failiga, mis asub aadressil https://update.devicebug[.]com/fixTools/certificate.exe. Joonis 10 näitab täitmisahelat, mis järgneb, kui kasutaja pahatahtliku paranduse alla laadib ja käivitab.
sertifikaat.exe on tilguti, mis kasutab vahepealse allalaadija laadimiseks külglaadimisketti, memmgrset.dll (sisemiselt nimega http_dy.dll). See DLL toob JSON-faili C&C serverist aadressil https://update.devicebug[.]com/assets_files/config.json, mis sisaldab teavet järgmise etapi allalaadimiseks (vt joonis 11).
Kui järgmine etapp on alla laaditud ja käivitatud, juurutab see teise külglaadimisahela, et anda Nightdoor lõpliku kasuliku koormana. Nightdoori analüüs on esitatud allpool Nightdoor sektsiooni.
macOS-i kasulik koormus
MacOS-i pahavara on sama allalaadija, milles me üksikasjalikumalt dokumenteerime Tarneahela kompromiss. Kuid see eemaldab täiendava Mach-O käivitatava faili, mis kuulab TCP-porti 63403. Selle ainus eesmärk on vastata handCallback({"edu":true }) pahatahtlikule JavaScripti koodi päringule, nii et kui kasutaja külastab vesiauku veebisaiti uuesti, ei püüa JavaScripti kood külastajat uuesti ohustada.
See allalaadija hangib serverist JSON-faili ja laadib alla järgmise etapi, nagu eelnevalt kirjeldatud Windowsi versioon.
Tarneahela kompromiss
Jaanuaril 18th, avastasime, et mitmele platvormile mõeldud tiibeti keele tõlketarkvara toote ametlik veebisait (joonis 12) majutas ZIP-pakette, mis sisaldasid Troojastatud installiprogramme legitiimse tarkvara jaoks, mis juurutas Windowsi ja macOS-i jaoks pahatahtlikke allalaadijaid.
Leidsime ühe ohvri Jaapanist, kes laadis alla ühe Windowsi paketi. Tabelis 1 on loetletud URL-id ja väljalangenud implantaadid.
Tabel 1. Ohustatud veebisaidil olevate pahatahtlike pakettide URL-id ja rikutud rakenduse kasuliku koormuse tüüp
Pahatahtliku paketi URL |
Kasuliku koormuse tüüp |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32 allalaadija |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32 allalaadija |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32 allalaadija |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS-i allalaadija |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS-i allalaadija |
Windowsi paketid
Joonis 13 illustreerib troojastatud rakenduse laadimisahelat pakendist monlam-bodyig3.zip.
Troojastatud rakendus sisaldab pahatahtlikku tilgutit nimega autorun.exe mis kasutab kahte komponenti:
- käivitatav fail nimega MonlamUpdate.exe, mis on tarkvarakomponent emulaatorist nimega C64 igavesti ja seda kuritarvitatakse DLL-i külglaadimiseks ja
- RPHost.dll, külglaaditud DLL, mis on järgmise etapi pahatahtlik allalaadija.
Kui allalaadija DLL laaditakse mällu, loob see ajastatud ülesande nimega Demovale mõeldud käivitamiseks iga kord, kui kasutaja sisse logib. Kuna aga ülesanne ei määra käivitatavat faili, ei suuda see püsivust tuvastada.
Järgmisena saab see DLL kohandatud kasutajaagendi loomiseks UUID-i ja operatsioonisüsteemi versiooni ning saadab GET-päringu https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat JSON-faili hankimiseks, mis sisaldab URL-i, et laadida alla ja käivitada kasulik koormus, mille see alla suunab % TEMP% kataloog. Meil ei õnnestunud rikutud veebisaidilt hankida JSON-objektiandmete näidist; seetõttu me ei tea, kust täpselt default_ico.exe laaditakse alla, nagu on näidatud joonisel 13.
ESET-i telemeetria kaudu märkasime, et ebaseaduslik MonlamUpdate.exe erinevatel juhtudel alla laaditud ja käivitatud protsessile vähemalt neli pahatahtlikku faili %TEMP%default_ico.exe. Tabelis 2 on loetletud need failid ja nende eesmärk.
Tabel 2. Räsi default_ico.exe allalaadija/tilgutaja, ühendust võetud C&C URL ja allalaadija kirjeldus
SHA-1 |
Ühenduse URL |
Eesmärk |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Laadib serverist alla tundmatu kasuliku koormuse. |
F0F8F60429E3316C463F |
Laadib serverist alla tundmatu kasuliku koormuse. See näidis on kirjutatud Rust keeles. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Laadib alla juhusliku nimega Nightdoori tilguti. |
BFA2136336D845184436 |
N / A |
Avatud lähtekoodiga tööriist SystemInfo, millesse ründajad integreerisid oma pahatahtliku koodi ja manustasid krüptitud blobi, mis pärast dekrüpteerimist ja käivitamist installib MgBoti. |
Lõpuks default_ico.exe allalaadija või dropper kas hangib kasuliku koormuse serverist või viskab selle maha, seejärel käivitab selle ohvri masinas, installides kas Nightdoori (vt Nightdoor jaotis) või MgBot (vaadake meie eelmine analüüs).
Ülejäänud kaks troojastatud paketti on väga sarnased, juurutades sama pahatahtliku allalaadija DLL-i, mille külglaadib seaduslik käivitatav fail.
macOS-i paketid
Ametlikust rakenduste poest alla laaditud ZIP-arhiiv sisaldab muudetud installipaketti (PKG fail), kuhu lisati Mach-O käivitatav fail ja installijärgne skript. Installimisjärgne skript kopeerib Mach-O faili $HOME/Library/Containers/CalendarFocusEXT/ ja jätkab käivitamisagendi installimisega $HOME/Library/LaunchAgents/com.Terminal.us.plist püsivuse eest. Joonis 14 näitab skripti, mis vastutab pahatahtliku käivitusagendi installimise ja käivitamise eest.
Pahatahtlik Mach-O, Monlam-bodyig_Keyboard_2017 joonisel 13 on allkirjastatud, kuid mitte notariaalselt kinnitatud, kasutades arendaja sertifikaati (mitte a sertifikaadi tüüp kasutatakse tavaliselt levitamiseks) koos nime ja meeskonna identifikaatoriga jah ni yang (2289F6V4BN). Allkirja ajatempel näitab, et see allkirjastati 7. jaanuarilth, 2024. Seda kuupäeva kasutatakse ka ZIP-arhiivi metaandmetes pahatahtlike failide muudetud ajatemplis. Tunnistus väljastati alles kolm päeva varem. Täielik sertifikaat on saadaval aadressil IoC-d osa. Meie meeskond võttis Apple'iga ühendust 25. jaanuarilth ja tunnistus tühistati samal päeval.
See esimese astme pahavara laadib alla JSON-faili, mis sisaldab järgmise etapi URL-i. Arhitektuur (ARM või Intel), macOS-i versioon ja riistvara UUID (iga Maci jaoks unikaalne identifikaator) on esitatud User-Agent HTTP päringu päises. Selle konfiguratsiooni toomiseks kasutatakse sama URL-i, mis Windowsi versioonil: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. MacOS-i versioon vaatab aga andmeid JSON-objekti mac-võtme all, mitte aga võitma võti.
Maci võtme all olev objekt peaks sisaldama järgmist:
- URL: järgmise etapi URL.
- md5: kasuliku koormuse MD5 summa.
- vernow: riistvara UUID-de loend. Kui see on olemas, installitakse kasulik koormus ainult Mac-arvutitesse, millel on üks loetletud riistvara UUID-dest. See kontroll jäetakse vahele, kui loend on tühi või puudub.
- versioon: arvväärtus, mis peab olema suurem kui varem alla laaditud teise etapi „versioon”. Kasulikku koormust muidu alla ei laadita. Praegu töötava versiooni väärtus säilib rakenduses kasutaja vaikeseaded.
Pärast seda, kui pahavara laadib faili määratud URL-ilt alla curli abil, räsitakse faili MD5 abil ja võrreldakse kuueteistkümnendsüsteemi kokkuvõttega md5 võti. Kui see ühtib, eemaldatakse selle laiendatud atribuudid (atribuudi com.apple.quarantine tühjendamiseks), fail teisaldatakse $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrowerja käivitatakse kasutades execvp argumendijooksuga.
Erinevalt Windowsi versioonist ei leidnud me macOS-i variandi hilisemaid etappe. Üks JSON-i konfiguratsioon sisaldas MD5 räsi (3C5739C25A9B85E82E0969EE94062F40), kuid URL-i väli oli tühi.
Nightdoor
Tagauks, mille oleme andnud nimeks Nightdoor (ja mida pahavara autorid on PDB teede järgi nimetanud NetMM-iks), on Evasive Panda tööriistakomplekti hiline täiendus. Meie varasemad teadmised Nightdoori kohta ulatuvad aastasse 2020, mil Evasive Panda rakendas selle Vietnamis kõrgetasemelise sihtmärgi masinasse. Tagauks suhtleb oma C&C serveriga UDP või Google Drive API kaudu. Selle kampaania Nightdoori implantaat kasutas viimast. See krüpteerib Google API-d OAuth 2.0 andmejaotises ja kasutab seda luba ründaja Google Drive'ile juurdepääsuks. Oleme taotlenud selle märgiga seotud Google'i konto eemaldamist.
Esiteks loob Nightdoor Google Drive'i kausta, mis sisaldab ohvri MAC-aadressi, mis toimib ka ohvri ID-na. See kaust sisaldab kõiki sõnumeid implantaadi ja C&C serveri vahel. Iga Nightdoori ja C&C serveri vaheline sõnum on üles ehitatud failina ning jagatud failinimedeks ja failiandmeteks, nagu on kujutatud joonisel 15.
Iga failinimi sisaldab kaheksat peamist atribuuti, mida on näidatud allolevas näites.
Näide:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: maagiline väärtus.
- 0C64C2BAEF534C8E9058797BCD783DE5: päis pbuf andmete struktuur.
- 168: sõnumiobjekti või faili suurus baitides.
- 0: failinimi, mis on alati vaikimisi 0 (null).
- 1: käsu tüüp, olenevalt näidisest kodeeritud 1-le või 0-le.
- 4116: käsu ID.
- 0: teenuse kvaliteet (QoS).
- 00-00-00-00-00-00: mõeldud sihtkoha MAC-aadressiks, kuid alati vaikimisi 00-00-00-00-00-00.
Igas failis olevad andmed esindavad kontrolleri käsku tagaukse jaoks ja selle täitmiseks vajalikke parameetreid. Joonis 16 näitab failiandmetena salvestatud C&C-serveri sõnumi näidet.
Nightdoori pöördprojekteerimise abil saime aru failis esitatud oluliste väljade tähendusest, nagu on näidatud joonisel 17.
Leidsime, et selles kampaanias kasutatud Nightdoori versioonile tehti palju olulisi muudatusi, millest üks on käsu ID-de korraldus. Varasemates versioonides määrati iga käsu ID ükshaaval töötleja funktsioonile, nagu on näidatud joonisel 18. Nummerdamisvalikud, nt alates 0x2001 et 0x2006Alates 0x2201 et 0x2203Alates 0x4001 et 0x4003Ja alates 0x7001 et 0x7005, soovitas käsud jagada sarnaste funktsioonidega rühmadesse.
Kuid selles versioonis kasutab Nightdoor haru tabelit, et korraldada kõik käsu ID-d nende vastavate töötlejatega. Käskude ID-d on kogu ulatuses pidevad ja toimivad harutabelis neile vastavate töötlejate indeksitena, nagu on näidatud joonisel 19.
Tabel 3 on C&C serveri käskude ja nende funktsioonide eelvaade. See tabel sisaldab uusi käsu ID-sid ja samaväärseid ID-sid vanematest versioonidest.
Tabel 3. Selles kampaanias kasutatud Nightdoori variantide toetatud käsud.
Käsu ID |
Eelmise käsu ID |
Kirjeldus |
|
0x1001 |
0x2001 |
Koguge süsteemiprofiili põhiteavet, näiteks: - OS-i versioon – IPv4 võrguadapterid, MAC-aadressid ja IP-aadressid - protsessori nimi - arvuti nimi – Kasutajanimi – Seadme draiverite nimed – kõik kasutajanimed alates C:Kasutajad* - Kohalik aeg – Avalik IP-aadress, kasutades ifconfig.me or ipinfo.io veebiteenus |
|
0x1007 |
0x2002 |
Koguge teavet kettadraivide kohta, näiteks: - Draivi nimi - vaba ruum ja kogupind - Failisüsteemi tüüp: NTFS, FAT32 jne. |
|
0x1004 |
0x2003 |
Koguge teavet kõigi installitud rakenduste kohta Windowsi registrivõtmete all: - HKLMTARKVARA - WOW6432SõlmMicrosoftWindows - MicrosoftWindows CurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Koguge teavet töötavate protsesside kohta, näiteks: – protsessi nimi – niitide arv – Kasutajanimi - faili asukoht kettal – kettal oleva faili kirjeldus |
|
0x1006 |
0x4001 |
Looge vastupidine kest ja hallake sisendit ja väljundit anonüümsete torude kaudu. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Isedesinstallimine. |
|
0x100C |
0x6001 |
Teisalda fail. Tee pakub C&C server. |
|
0x100B |
0x6002 |
Kustuta fail. Tee pakub C&C server. |
|
0x1016 |
0x6101 |
Hangi faili atribuudid. Tee pakub C&C server. |
Järeldus
Oleme analüüsinud Hiinaga kooskõlastatud APT Evasive Panda kampaaniat, mis oli suunatud tiibetlastele mitmes riigis ja territooriumil. Usume, et ründajad kasutasid sel ajal 2024. aasta jaanuaris ja veebruaris toimuvat Monlami festivali, et ohustada kasutajaid, kui nad festivali veebisaiti külastasid. Lisaks ohustasid ründajad tiibeti keele tõlkerakenduste tarkvaraarendaja tarneahelat.
Ründajad tõid välja mitu allalaadijat, tilgutajat ja tagauksi, sealhulgas MgBot – mida kasutab eranditult Evasive Panda – ja Nightdoor: uusim suur täiendus grupi tööriistakomplekti ja mida on kasutatud mitmete võrkude sihtimiseks Ida-Aasias.
Kompromissiindikaatorite (IoC) ja näidiste põhjaliku loendi leiate meie veebisaidilt GitHubi hoidla.
Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil ohuintel@eset.com.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 |
Faili |
Detection |
Kirjeldus |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Dropperi komponent on lisatud ametlikku installipaketti. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Vahepealne allalaadija. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Vahepealne allalaadija programmeeritud Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Nightdoori allalaadija. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Ööukse tilguti. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Vahelaadur. |
5273B45C5EABE64EDBD0 |
sertifikaat.pkg |
OSX/Agent.DJ |
MacOS-i tilguti komponent. |
5E5274C7D931C1165AA5 |
sertifikaat.exe |
Win32/Agent.AGES |
Dropperi komponent ohustatud veebisaidilt. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Nightdoor tilguti komponent. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Vahelaadur Nightdoori allalaadimiskomponendi jaoks. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Vahelaadur Nightdoorile. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trojaniseeritud installija. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Ohustatud veebisaidile on lisatud pahatahtlik JavaScript. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trojaniseeritud installija. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Troojastatud installipakett. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Troojastatud installipakett. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS-i trojaniseeritud installipakett. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS-i trojaniseeritud installipakett. |
C0575AF04850EB1911B0 |
Turvalisus~.x64 |
OSX/Agent.DJ |
MacOS-i allalaadija. |
7C3FD8EE5D660BBF43E4 |
Turva~.arm64 |
OSX/Agent.DJ |
MacOS-i allalaadija. |
FA78E89AB95A0B49BC06 |
Turvalisus.paks |
OSX/Agent.DJ |
MacOS-i allalaadija komponent. |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary ekspordifail |
OSX/Agent.DJ |
Pahatahtlik komponent macOS-i trojaniseeritud installipaketist. |
Sertifikaadid
Seerianumber |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Pöidlajälg |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Teema CN |
Apple'i arendus: ya ni yang (2289F6V4BN) |
Teema O |
jah ni yang |
Teema L |
N / A |
Teema S |
N / A |
Teema C |
US |
Kehtib alates |
2024-01-04 05:26:45 |
Kehtib kuni |
2025-01-03 05:26:44 |
Seerianumber |
6014B56E4FFF35DC4C948452B77C9AA9 |
Pöidlajälg |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Teema CN |
KP MOBIIL |
Teema O |
KP MOBIIL |
Teema L |
N / A |
Teema S |
N / A |
Teema C |
KR |
Kehtib alates |
2021-10-25 00:00:00 |
Kehtib kuni |
2022-10-25 23:59:59 |
IP |
Domeen |
Majutusteenuse pakkuja |
Esimest korda nähtud |
Detailid |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
Ohustatud veebisait. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Ohustatud veebisait. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amol Hingade |
2024-02-01 |
Nightdoori dropperi komponendi allalaadimisserver. |
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 14 MITER ATT&CK raamistikust.
Taktika |
ID |
Nimi |
Kirjeldus |
Ressursside arendamine |
Hankige infrastruktuur: server |
Evasive Panda omandas serverid Nightdoori C&C infrastruktuuri, MgBoti ja macOS-i allalaadija komponendi jaoks. |
|
Taristu hankimine: veebiteenused |
Evasive Panda kasutas Nightdoori C&C infrastruktuuri jaoks Google Drive'i veebiteenust. |
||
Kompromissi infrastruktuur: server |
Evasive Panda operaatorid ohustasid mitut serverit, et neid saaks kasutada kastmisaukudena, tarneahela rünnakuks ning kasuliku koormuse majutamiseks ja C&C serveritena kasutamiseks. |
||
Kontode loomine: pilvekontod |
Evasive Panda lõi Google Drive'i konto ja kasutas seda C&C infrastruktuurina. |
||
Võimaluste arendamine: pahavara |
Evasive Panda võttis kasutusele kohandatud implantaadid, nagu MgBot, Nightdoor ja macOS-i allalaadija komponendi. |
||
T1588.003 |
Hankige võimalused: koodi allkirjastamise sertifikaadid |
Evasive Panda hankis koodi allkirjastamise sertifikaadid. |
|
Lavavõimalused: Drive-by Target |
Evasive Panda operaatorid muutsid kõrgetasemelist veebisaiti, et lisada JavaScripti kooditükk, mis annab pahavara allalaadimiseks võltsitud teatise. |
||
Esialgne juurdepääs |
Sõidukompromiss |
Ohustatud veebisaitide külastajad võivad saada võltsitud veateate, mis meelitab neid pahavara alla laadima. |
|
Tarneahela kompromiss: tarkvara tarneahela kompromiss |
Evasive Panda troojaseris tarkvaraettevõtte ametlikud installipaketid. |
||
Täitmine |
Natiivne API |
Nightdoor, MgBot ja nende vahepealsed allalaadimiskomponendid kasutavad protsesside loomiseks Windowsi API-sid. |
|
Plaanitud ülesanne/töö: ajastatud ülesanne |
Nightdoori ja MgBoti laaduri komponendid saavad luua ajastatud ülesandeid. |
||
Püsivus |
Süsteemiprotsessi loomine või muutmine: Windowsi teenus |
Nightdoori ja MgBoti laadimiskomponendid saavad luua Windowsi teenuseid. |
|
Kaaperdamise voog: DLL-i külglaadimine |
Nightdoori ja MgBoti dropperi komponendid juurutavad seadusliku käivitatava faili, mis laadib külgmiselt pahatahtliku laadija. |
||
Kaitsest kõrvalehoidmine |
Failide või teabe deobfuskeerimine/dekodeerimine |
Nightdoori implantaadi DLL-komponendid dekrüpteeritakse mälus. |
|
Kaitske kaitsefunktsioone: keelake või muutke süsteemi tulemüüri |
Nightdoor lisab kaks Windowsi tulemüüri reeglit, et võimaldada oma HTTP-puhverserveri funktsioonide jaoks sissetulevat ja väljaminevat suhtlust. |
||
Indikaatori eemaldamine: faili kustutamine |
Nightdoor ja MgBot saavad faile kustutada. |
||
Indikaatori eemaldamine: selge püsivus |
Nightdoor ja MgBot saavad ise desinstallida. |
||
Maskeerimine: maskeerimisülesanne või -teenus |
Nightdoori laadur maskeeris oma ülesande netsvcs-ks. |
||
Maskeerimine: sobitage õiguspärane nimi või asukoht |
Nightdoori installer juurutab oma komponendid seaduslikesse süsteemikataloogidesse. |
||
Hägustatud failid või teave: manustatud kasulikud koormused |
Nightdoori dropperi komponent sisaldab manustatud pahatahtlikke faile, mis on kettale juurutatud. |
||
Protsessi sisestamine: Dynamic-link Library Injection |
Nightdoori ja MgBoti laadurite komponendid süstivad end svchost.exe-sse. |
||
Peegeldava koodi laadimine |
Nightdoori ja MgBoti laaduri komponendid süstivad end svchost.exe-sse, kust nad laadivad Nightdoori või MgBoti tagaukse. |
||
avastus |
Konto avastamine: kohalik konto |
Nightdoor ja MgBot koguvad kasutajakonto teavet ohustatud süsteemist. |
|
Failide ja kataloogide avastamine |
Nightdoor ja MgBot saavad koguda teavet kataloogidest ja failidest. |
||
Protsessi avastamine |
Nightdoor ja MgBot koguvad teavet protsesside kohta. |
||
Päring registrist |
Nightdoor ja MgBot teevad installitud tarkvara kohta teabe leidmiseks päringu Windowsi registrist. |
||
Tarkvara avastamine |
Nightdoor ja MgBot koguvad teavet installitud tarkvara ja teenuste kohta. |
||
Süsteemi omaniku/kasutaja avastamine |
Nightdoor ja MgBot koguvad kasutajakonto teavet ohustatud süsteemist. |
||
Süsteemi teabe avastamine |
Nightdoor ja MgBot koguvad ohustatud süsteemi kohta laia valikut teavet. |
||
Süsteemi võrguühenduste avastamine |
Nightdoor ja MgBot saavad koguda andmeid kõigist ohustatud masina aktiivsetest TCP- ja UDP-ühendustest. |
||
kogumine |
Arhiveeri kogutud andmed |
Nightdoor ja MgBot salvestavad kogutud andmeid krüptitud failidesse. |
|
Automatiseeritud kogumine |
Nightdoor ja MgBot koguvad automaatselt süsteemi- ja võrguteavet ohustatud masina kohta. |
||
Andmed kohalikust süsteemist |
Nightdoor ja MgBot koguvad teavet operatsioonisüsteemi ja kasutajaandmete kohta. |
||
Andmed etapiviisiliselt: Local Data Staging |
Nightdoor lavastab andmed kettale failidesse eksfiltreerimiseks. |
||
Juhtimine ja kontroll |
Rakenduskihi protokoll: veebiprotokollid |
Nightdoor suhtleb C&C serveriga HTTP abil. |
|
Mitterakenduskihi protokoll |
Nightdoor suhtleb C&C serveriga UDP abil. MgBot suhtleb C&C serveriga TCP abil. |
||
Mittestandardne port |
MgBot kasutab TCP porti 21010. |
||
Protokolli tunneldamine |
Nightdoor võib toimida HTTP-puhverserverina, tunnetades TCP-suhtlust. |
||
Veebiteenus |
Nightdoor kasutab C&C suhtlemiseks Google Drive'i. |
||
Välja filtreerimine |
Automatiseeritud eksfiltratsioon |
Nightdoor ja MgBot eemaldavad kogutud andmed automaatselt. |
|
Eksfiltreerimine veebiteenuse kaudu: pilvesalvestusse eksfiltreerimine |
Nightdoor saab oma failid Google Drive'i eksfiltreerida. |
Lisa
Sihitud IP-aadressi vahemikud on toodud järgmises tabelis.
CIDR |
ISP |
Linn |
Riik |
124.171.71.0/24 |
iiNet |
Sydney |
Austraalia |
125.209.157.0/24 |
iiNet |
Sydney |
Austraalia |
1.145.30.0/24 |
Telstra |
Sydney |
Austraalia |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Austraalia |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Austraalia |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Austraalia |
45.113.1.0/24 |
HK 92 serveri tehnoloogia |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
CloudFlare |
Ahmedabad |
India |
49.36.224.0/24 |
Reliance Jio Infocomm |
Airoli |
India |
106.196.24.0/24 |
Bharti airtel |
Bengaluru |
India |
106.196.25.0/24 |
Bharti airtel |
Bengaluru |
India |
14.98.12.0/24 |
Tata Teleteenused |
Bengaluru |
India |
172.70.237.0/24 |
CloudFlare |
Chandīgarh |
India |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
India |
103.214.118.0/24 |
Airneti lauariba |
Delhi |
India |
45.120.162.0/24 |
Ani Boardband |
Delhi |
India |
103.198.173.0/24 |
Anonet |
Delhi |
India |
103.248.94.0/24 |
Anonet |
Delhi |
India |
103.198.174.0/24 |
Anonet |
Delhi |
India |
43.247.41.0/24 |
Anonet |
Delhi |
India |
122.162.147.0/24 |
Bharti airtel |
Delhi |
India |
103.212.145.0/24 |
Excitel |
Delhi |
India |
45.248.28.0/24 |
Omkari elektroonika |
Delhi |
India |
49.36.185.0/24 |
Reliance Jio Infocomm |
Delhi |
India |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
India |
182.64.251.0/24 |
Bharti airtel |
Gāndarbal |
India |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
India |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamīrpur |
India |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
India |
27.60.20.0/24 |
Bharti airtel |
Lucknow |
India |
223.189.252.0/24 |
Bharti airtel |
Lucknow |
India |
223.188.237.0/24 |
Bharti airtel |
Meerut |
India |
162.158.235.0/24 |
CloudFlare |
Mumbai |
India |
162.158.48.0/24 |
CloudFlare |
Mumbai |
India |
162.158.191.0/24 |
CloudFlare |
Mumbai |
India |
162.158.227.0/24 |
CloudFlare |
Mumbai |
India |
172.69.87.0/24 |
CloudFlare |
Mumbai |
India |
172.70.219.0/24 |
CloudFlare |
Mumbai |
India |
172.71.198.0/24 |
CloudFlare |
Mumbai |
India |
172.68.39.0/24 |
CloudFlare |
New Delhi |
India |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Pālampur |
India |
103.195.253.0/24 |
Protoacti digitaalvõrk |
Ranchi |
India |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
India |
122.161.241.0/24 |
Bharti airtel |
Srinagar |
India |
122.161.243.0/24 |
Bharti airtel |
Srinagar |
India |
122.161.240.0/24 |
Bharti airtel |
Srinagar |
India |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
viis |
India |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
ma mõtlen |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
ma mõtlen |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
ma mõtlen |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
ma mõtlen |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
ma mõtlen |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Far EastTone'i telekommunikatsioon |
Taoyuani linn |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Taiwani mobiiltelefon |
Yilan |
Taiwan |
185.93.229.0/24 |
Sucuri turvalisus |
Ashburn |
Ühendriigid |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
Ühendriigid |
216.66.111.0/24 |
Vermonti telefon |
Wallingford |
Ühendriigid |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :on
- :on
- :mitte
- : kus
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Võimalik
- MEIST
- juurdepääs
- Vastavalt
- konto
- Kontod
- omandatud
- tegu
- meetmete
- aktiivne
- õigusaktid
- lisama
- lisatud
- lisamine
- Täiendavad lisad
- aadress
- aadressid
- Lisab
- jälle
- vastu
- Agent
- eesmärk
- algoritm
- viia
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- võimaldab
- juba
- Ka
- alati
- vahel
- an
- analüüs
- analüüsitud
- ja
- aastane
- Aastas
- anonüümne
- Teine
- vastamine
- mistahes
- API
- API-liidesed
- app
- App Store
- õun
- taotlus
- rakendused
- kehtima
- apps
- APT
- arhitektuur
- Arhiiv
- OLEME
- argument
- ARM
- Array
- AS
- Aasia
- määratud
- seotud
- At
- rünnak
- Reageerib
- katse
- atribuudid
- Austraalia
- autorid
- automaatselt
- saadaval
- tagasi
- tagauks
- Tagauksed
- sööt
- põhineb
- põhiline
- BE
- olnud
- enne
- on
- Uskuma
- kuulub
- alla
- BEST
- vahel
- mõlemad
- Filiaal
- ehitatud
- kuid
- nupp
- by
- kutsutud
- Kampaania
- CAN
- võimeid
- kapitaliseerima
- suurtähtedega
- viima
- Sajand
- sertifikaat
- tunnistused
- kett
- väljakutse
- Vaidluste lahendamine
- märki
- kontrollima
- kontrollitud
- Kontroll
- Hiina
- hiina
- valikuid
- Linn
- selge
- Cloud
- kood
- koguma
- COM
- kombinatsioon
- KOMMUNIKATSIOON
- ettevõte
- võrreldes
- täitma
- komponent
- komponendid
- terviklik
- kompromiss
- Kompromissitud
- Arvutama
- arvutatud
- arvuti
- seisund
- Juhtimine
- usaldus
- konfiguratsioon
- ühendamine
- ühendus
- Side
- kontakt
- sisaldama
- sisaldub
- sisaldab
- sisu
- pidev
- pidev
- Vestlus
- parandada
- Vastav
- võiks
- riikides
- krahh
- looma
- loodud
- loob
- krüptograafia
- Praegu
- tava
- andmed
- Andmete struktuur
- kuupäev
- Kuupäevad
- päev
- Päeva
- vaikimisi
- vaikimisi
- Kaitsemeetmed
- tarnima
- tarne
- Näidatud
- Olenevalt
- kujutatud
- juurutada
- lähetatud
- juurutamine
- juurutab
- kirjeldatud
- kirjeldus
- sihtkoht
- detail
- tuvastatud
- arendaja
- & Tarkvaraarendus
- Arendusettevõte
- seade
- erinev
- Digest
- digitaalne
- kataloogid
- kataloog
- avastasin
- avastus
- jaotus
- jagatud
- do
- dokument
- ei
- Ära
- alla
- lae alla
- allalaadimine
- allalaadimine
- ajam
- juht
- kõvakettad
- Drop
- langes
- Tilgad
- iga
- varem
- leevendada
- Ida
- Käsitöö
- kaheksa
- kumbki
- varjatud
- krüpteeritud
- lõpp
- Inseneriteadus
- suurendama
- köitev
- Kogu
- üksuste
- Samaväärne
- viga
- ESET-i uuringud
- looma
- jms
- sündmused
- Iga
- täpselt
- näide
- ainult
- täitma
- täidetud
- Täidab
- täitmine
- eksfiltreerimine
- oodatav
- eksport
- pikendatud
- laiendamine
- ei
- võlts
- Veebruar
- FESTIVAL
- väli
- Valdkonnad
- Joonis
- arvasin
- fail
- Faile
- lõplik
- leidma
- tulemüüri
- esimene
- Määrama
- voog
- Järgneb
- Järel
- järgneb
- eest
- formaat
- valem
- avastatud
- neli
- Raamistik
- tasuta
- Alates
- täis
- funktsioon
- funktsionaalsused
- funktsionaalsus
- funktsioonid
- edasi
- kogumine
- tekitama
- loodud
- Georgia
- saama
- saab
- saamine
- Goes
- Valitsus
- Valitsusüksused
- GRAAFIKA
- Grupp
- Grupi omad
- Käsitsemine
- riistvara
- hash
- räsitud
- räsimine
- Olema
- Held
- Suur
- kõrge profiiliga
- rohkem
- Auk
- Augud
- Hong
- Hong Kong
- võõrustaja
- võõrustas
- Hosting
- aga
- HTML
- http
- HTTPS
- ID
- tuvastatud
- tunnus
- IDd
- if
- illustreerib
- pilt
- oluline
- in
- Teistes
- lisatud
- Kaasa arvatud
- indeksid
- India
- näitajad
- inimesed
- mõju
- info
- Infrastruktuur
- süstima
- sisend
- sisestamine
- Päringud
- sees
- paigaldama
- paigaldatud
- paigaldamine
- selle asemel
- Instituut
- integreeritud
- Intel
- Intelligentsus
- ette nähtud
- huvi
- sisemiselt
- rahvusvaheliselt
- rahvusvaheliselt
- sisse
- IP
- IP-aadress
- IP-aadressid
- Välja antud
- IT
- ITS
- Jaanuar
- Jaapan
- JavaScript
- jio
- jQuery
- Json
- lihtsalt
- hoitakse
- Võti
- võtmed
- Teadma
- teadmised
- teatud
- Kong
- keel
- Hilja
- pärast
- hiljemalt
- algatama
- käivitatud
- käivitamine
- kiht
- kõige vähem
- õigustatud
- võimendab
- Raamatukogu
- nagu
- nimekiri
- Loetletud
- kuulab
- Nimekirjad
- Elab
- koormus
- laadur
- laadimine
- kohalik
- asub
- liising
- Vaata
- mac
- masin
- MacOS
- maagiline
- põhiline
- mandriosa
- peamine
- Enamus
- Malaisia
- pahatahtlik
- malware
- juhtima
- palju
- teesklus
- Vastama
- tikud
- sobitamine
- mai..
- MD5
- me
- tähendus
- tähendusrikas
- tähendas
- mehhanism
- Mälu
- sõnum
- kirjad
- Metaandmed
- meetod
- võib
- puuduvad
- modifitseeritud
- muutma
- modulaarne
- Moodulid
- rohkem
- kõige
- kolis
- mitmekordne
- peab
- Myanmar
- nimi
- Nimega
- vajalik
- vaja
- võrk
- võrgustikud
- Uus
- uudised
- järgmine
- Nigeeria
- ei
- meeles
- teade
- number
- objekt
- saama
- saadud
- saamine
- saab
- korda
- of
- Pakkumised
- ametlik
- Ametlik veebisait
- Vana
- vanem
- on
- kunagi
- ONE
- ainult
- peale
- tegutsevad
- operatsioonisüsteemi
- töö
- ettevõtjad
- or
- organisatsioon
- organisatsioonid
- OS
- Muu
- muidu
- meie
- välja
- väljund
- üle
- enda
- pakend
- pakette
- lehekülg
- parameetrid
- minevik
- tee
- teed
- püsivus
- Filipiinid
- tükk
- tükki
- Koht
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- võrra
- tulenevad
- potentsiaal
- esitada
- esitatud
- vältida
- Eelvaade
- eelmine
- varem
- era-
- Probleem
- tulu
- protsess
- Protsessid
- toodab
- Toode
- profiil
- programmeeritud
- edendab
- protokoll
- tingimusel
- volikiri
- avalik
- avalikult
- avaldatud
- eesmärk
- kvaliteet
- karantiin
- päringu
- valik
- vahemikud
- jõudis
- saama
- registri
- seotud
- ülejäänud
- eemaldamine
- Eemaldatud
- saagis
- sulatatud
- muudab
- vastus
- Teatatud
- Aruanded
- esindab
- taotleda
- Vajab
- teadustöö
- Teadlased
- vastutav
- tagasikäik
- eeskirjade
- jooks
- jooksmine
- Rust
- sool
- sama
- proov
- plaanitud
- käsikiri
- Teine
- kesk-
- Osa
- kindlustama
- turvalisus
- vaata
- nähtud
- valik
- saadab
- September
- serveeritud
- server
- Serverid
- teenus
- Teenused
- mitu
- jagatud
- jagamine
- Shell
- peaks
- näidatud
- Näitused
- külg
- allkiri
- allkirjastatud
- allkirjastamine
- sarnane
- alates
- SUURUS
- So
- tarkvara
- tarkvaraarenduse
- lahendus
- kagus
- Ruum
- konkreetse
- eriti
- määratletud
- Stage
- etappidel
- Stars
- väljavõte
- Ühendriigid
- salvestada
- ladustatud
- Strateegiline
- nöör
- struktuur
- struktureeritud
- edu
- selline
- varustama
- tarneahelas
- Toetatud
- kahtlane
- Lüliti
- süsteem
- tabel
- Taiwan
- võtnud
- võtab
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- Ülesanne
- ülesanded
- meeskond
- tech
- Tehnoloogia
- terminal
- territooriumide
- kui
- et
- .
- teave
- Filipiinid
- oma
- Neile
- ennast
- SIIS
- Seal.
- seetõttu
- nad
- see
- need
- oht
- kolm
- Läbi
- läbi kogu
- aeg
- ajakava
- ajatempel
- et
- kokku
- sümboolne
- tööriist
- Käsiraamat
- Summa
- Tõlge
- tõsi
- Usalda
- kaks
- tüüp
- tüüpiline
- ei suuda
- all
- mõistma
- ainulaadne
- Ühendatud
- Ühendriigid
- Ülikool
- tundmatu
- tulemas
- Uudised
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- tavaliselt
- väärtus
- Väärtused
- variant
- versioon
- versioonid
- väga
- kaudu
- Ohver
- ohvreid
- Vietnam
- visiit
- külastatud
- Külaline
- Külastajad
- Külastusi
- oli
- we
- web
- veebisait
- veebilehed
- Hästi
- olid
- M
- millal
- kas
- mis
- WHO
- lai
- Lai valik
- laius
- Wikipedia
- will
- aknad
- koos
- jooksul
- sõnad
- kirjalik
- veel
- sephyrnet
- Tõmblukk