ESET Research paljastab Evasive Panda nime all tuntud APT grupi kampaania, mis on suunatud Hiinas asuvale rahvusvahelisele valitsusvälisele organisatsioonile, mille pahavara tarnitakse populaarse Hiina tarkvara värskenduste kaudu.
ESET-i teadlased on avastanud kampaania, mille omistame Evasive Panda nime all tuntud APT grupile, mille käigus kaaperdati müstiliselt seaduslike rakenduste värskenduskanalid, et pakkuda MgBoti pahavara, Evasive Panda lipulaeva tagaukse installiprogrammi.
- Mandri-Hiina kasutajad olid suunatud Hiina ettevõtete väljatöötatud tarkvara värskenduste kaudu edastatud pahavaraga.
- Analüüsime konkureerivaid hüpoteese selle kohta, kuidas pahavara oleks võinud sihtkasutajatele edastada.
- Suure kindlustundega omistame selle tegevuse Evasive Panda APT grupile.
- Anname ülevaate Evasive Panda tagaukse signatuurist MgBot ja selle pistikprogrammide moodulite tööriistakomplektist.
Evasive Panda profiil
Põiklev Panda (Tuntud ka PRONKSMÄRGSMAAL ja Pidakärbes) on hiina keelt kõnelev APT rühm, aktiivne vähemalt 2012. aastast. ESET Research on täheldanud, et rühm tegeleb Mandri-Hiinas, Hongkongis, Aomenis ja Nigeerias asuvate inimeste vastu suunatud küberspionaažiga. Valitsusüksused olid sihitud Hiinas, Aomenis ning Kagu- ja Ida-Aasia riikides, täpsemalt Myanmaris, Filipiinidel, Taiwanis ja Vietnamis, samas kui sihikule olid võetud ka teised organisatsioonid Hiinas ja Hongkongis. Avalike teadete kohaselt on rühmitus võtnud sihikule ka tundmatuid üksusi Hongkongis, Indias ja Malaisias.
Grupp rakendab oma kohandatud moodularhitektuuriga pahavararaamistikku, mis võimaldab selle tagauksel, tuntud kui MgBot, vastu võtta mooduleid, et oma ohvreid luurata ja oma võimalusi suurendada.
Kampaania ülevaade
2022. aasta jaanuaris avastasime, et värskenduste tegemise ajal sai seaduslik Hiina rakendus Evasive Panda MgBot tagaukse installija. Uurimise käigus avastasime, et pahatahtlik tegevus ulatus tagasi 2020. aastasse.
Selle pahatahtliku tegevuse keskmes olid Hiina kasutajad, mida ESET-i telemeetria näitab alates 2020. aastast ja jätkub kogu 2021. aastal. Sihitud kasutajad asusid Gansu, Guangdongi ja Jiangsu provintsis, nagu on näidatud joonisel 1.
Suurem osa Hiina ohvritest on rahvusvahelise valitsusvälise organisatsiooni liikmed, mis tegutseb kahes eelnevalt mainitud provintsis.
Samuti avastati, et üks ohver asus Nigeeria riigis.
omistamine
Evasive Panda kasutab kohandatud tagaust, mida tuntakse kui MgBot, mis oli avalikult dokumenteeritud 2014. aastal ja sellest ajast alates on see vähe arenenud; meile teadaolevalt ei ole ükski teine grupp tagaust kasutanud. Selles pahatahtliku tegevuse klastris täheldati ohvriks langenud masinatele juurutatud ainult MgBoti pahavara koos selle pistikprogrammide tööriistakomplektiga. Seetõttu omistame selle tegevuse suure kindlusega Evasive Pandale.
Tehniline analüüs
Uurimise käigus avastasime, et automaatsete värskenduste tegemisel laadis seaduslik rakendustarkvara komponent alla MgBoti tagaukse installijad seaduslikelt URL-idelt ja IP-aadressidelt.
Tabelis 1 esitame URL-i, kust allalaadimine pärineb vastavalt ESET-i telemeetriaandmetele, sealhulgas serverite IP-aadressidele, nagu kasutaja süsteem sel ajal lahendas; seetõttu usume, et need IP-aadressid on legitiimsed. Passiivsete DNS-kirjete kohaselt vastavad kõik need IP-aadressid vaadeldud domeenidele, seetõttu usume, et need IP-aadressid on legitiimsed.
Tabel 1. Pahatahtlike allalaadimiste asukohad vastavalt ESET-i telemeetriale
URL | Esimest korda nähtud | Domeeni IP | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Kompromissi hüpoteesid
Kui analüüsisime mitme meetodi tõenäosust, mis võiksid selgitada, kuidas ründajatel õnnestus pahavara legitiimsete värskenduste kaudu edastada, jäi meile kaks stsenaariumi: tarneahela kompromiss ja vastase rünnakud. Mõlema stsenaariumi puhul võtame arvesse ka teiste hiina keelt kõnelevate APT rühmade sarnaste rünnakute eellugusid.
Tencent QQ on populaarne Hiina vestlus- ja sotsiaalmeediateenus. Järgmistes jaotistes kasutame Tencent QQ Windowsi klienditarkvara värskendajat, QQUrlMgr.exe (loetletud tabelis 1), meie näidete jaoks, arvestades, et meil on selle konkreetse komponendi allalaadimistest kõige rohkem tuvastatud.
Tarneahela kompromissi stsenaarium
Arvestades rünnete sihipärast olemust, oletame, et ründajatel oleks tulnud ohustada QQ värskendusservereid, et kehtestada mehhanism, mis tuvastaks sihitud kasutajad, et neile pahavara edastada, filtreerides välja mittesihitud kasutajad ja edastades neile õiguspäraseid värskendusi – registreerisime juhtumid, kus seaduslikud värskendused laaditi alla samade kuritarvitatud protokollide kaudu.
Kuigi see ei ole Evasive Panda juhtum, on meie aruanne seda tüüpi kompromissi suurepärane näide Operatsioon NightScout: tarneahela rünnak on suunatud võrgumängudele Aasias, kus ründajad ohustasid Hongkongis asuva tarkvaraarendaja ettevõtte värskendusservereid. Meie telemeetria andmetel oli BigNoxi tarkvara installitud enam kui 100,000 XNUMX kasutajale, kuid ainult viiele oli värskenduse kaudu edastatud pahavara. Kahtlustame, et ründajad ohustasid värskendusserveri BigNox API-t, et vastata sihitud kasutajate masinate värskendaja komponendile URL-iga serverisse, kus ründajad oma pahavara majutasid; sihtimata kasutajatele saadeti õige värskenduse URL.
Selle eelkäija põhjal illustreerime joonisel 2, kuidas tarneahela kompromissi stsenaarium oleks võinud meie telemeetria vaatluste kohaselt areneda. Siiski peame lugejat hoiatama, et see on puhtalt spekulatsioon ja põhineb meie staatilisel analüüsil, millel on väga piiratud teave. QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Samuti väärib märkimist, et meie uurimistöö käigus ei õnnestunud meil kunagi hankida XML-i „värskenduse” andmete näidist – ei seaduslikku ega pahatahtlikku XML-i näidist – serverist, millega kasutaja ühendust võttis. QQUrlMgr.exe. Värskenduste kontrolli URL on käivitatavas failis kõvakoodiga, hägustatud kujul, nagu on näidatud joonisel 3.
Deobfuskeeritud, värskenduse kontrollimise täielik URL on:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Server vastab XML-vormingus andmetega, mis on kodeeritud base64-ga ja krüpteeritud TEA-algoritmi rakendamisega, kasutades 128-bitist võtit. Need andmed sisaldavad juhiseid faili allalaadimiseks ja käivitamiseks koos muu teabega. Kuna dekrüpteerimisvõti on samuti kõvakoodiga, nagu on näidatud joonisel 4, võib see olla ründajatele teada.
QQUrlMgr.exe seejärel laadib näidatud faili krüptimata HTTP kaudu alla ja räsib selle sisu MD5 algoritmiga. Tulemust kontrollitakse värskenduse kontrolli vastuse XML-andmetes sisalduva räsiga, nagu on näha joonisel 5. Kui räsid ühtivad, QQUrlMgr.exe käivitab allalaaditud faili. See kinnitab meie hüpoteesi, et ründajad peavad kontrollima värskendusserveri XML-serveripoolset mehhanismi, et pakkuda pahavara installija õiget MD5 räsi.
Usume, et see stsenaarium selgitab meie tähelepanekuid; aga paljud küsimused jäävad vastuseta. Jõudsime Tencenti poole Turvalisuse reageerimise keskus selle täieliku URL-i õiguspärasuse kinnitamiseks, kust pahavara alla laaditi; update.browser.qq[.]com on kirjutamise ajal kättesaamatu, kuid Tencent ei suutnud kinnitada, kas täielik URL oli legitiimne.
Keskmise vastase stsenaarium
2022-06-02 avaldas Kaspersky a teadustöö aruanne hiinakeelse LuoYu APT grupi ja nende WinDealeri pahavara võimaluste kohta. Sarnaselt sellele, mida me selles Evasive Panda ohvrite klastris täheldasime, leidsid nende uurijad, et alates 2020. aastast on LuoYu ohvrid saanud WinDealeri pahavara värskenduste kaudu, mille kaudu sai seadusliku rakenduse qgametool.exe. PPTV tarkvara, mille on samuti välja töötanud Hiina ettevõte.
WinDealeril on mõistatuslik võimalus: selle asemel, et kanda nimekirja väljakujunenud C&C serveritest, millega eduka kompromissi korral ühendust võtta, genereerib see suvalised IP-aadressid 13.62.0.0/15 ja 111.120.0.0/14 ulatub China Telecom AS4134-st. Kuigi see oli väike kokkusattumus, märkasime, et sihitud Hiina kasutajate IP-aadressid olid MgBoti pahavara saamise ajal AS4134 ja AS4135 IP-aadresside vahemikes.
Võimalikud selgitused selle kohta, mis võimaldab C&C infrastruktuuri jaoks neid võimalusi kasutada, on see, et LuoYu kas juhib suurt hulka seadmeid, mis on seotud nende vahemike IP-aadressidega või on võimelised seda tegema. vastane-keskel (AitM) või ründaja pealtkuulamine selle konkreetse AS-i infrastruktuuris.
AitM-i pealtkuulamisstiilid oleksid võimalikud, kui ründajad – kas LuoYu või Evasive Panda – suudaksid ohustada haavatavaid seadmeid, nagu ruuterid või lüüsid. Eeldusena on 2019.a ESET-i teadlased avastasid et Hiina APT grupp, tuntud kui BlackTech, sooritas AitM-i rünnakuid ohustatud ASUSe ruuterite kaudu ja edastas Pleadi pahavara ASUS WebStorage'i tarkvaravärskenduste kaudu.
Juurdepääsuga Interneti-teenuse pakkuja magistratuurile – seaduslike või ebaseaduslike vahenditega – suudaks Evasive Panda HTTP kaudu tehtud värskendustaotlusi pealt kuulata ja neile vastata või pakette käigu pealt isegi muuta. 2023. aasta aprillis Symanteci teadlased teatatud teemal Evasive Panda, mis on suunatud telekommunikatsiooniorganisatsioonile Aafrikas.
Kokkuvõtval
Lõppkokkuvõttes ei saa me ilma täiendavate tõenditeta üht hüpoteesi teise kasuks tõestada ega ümber lükata, arvestades, et sellised võimalused on Hiina APT rühmade jaoks käepärast.
Tööriistakomplekt
MgBot
MgBot on Evasive Panda kasutatav esmane Windowsi tagauks, mis meie leidude kohaselt on eksisteerinud vähemalt 2012. aastast ja, nagu selles blogipostituses mainitud, oli see avalikult dokumenteeritud VirusBulletinis 2014. aastal. See töötati välja objektorienteeritud disainiga C++-s ja sellel on võimalus suhelda TCP ja UDP kaudu ning laiendada selle funktsioone pluginamoodulite kaudu.
MgBoti installer ja tagauks ning nende funktsionaalsus ei ole pärast selle esmakordset dokumenteerimist oluliselt muutunud. Selle täitmisahel on sama, mis selles kirjeldatud aru Malwarebytes alates 2020. aastast.
MgBoti pistikprogrammid
MgBoti modulaarne arhitektuur võimaldab tal laiendada oma funktsionaalsust, võttes vastu ja juurutades mooduleid ohustatud masinas. Tabelis 2 on loetletud teadaolevad pistikprogrammid ja nende funktsioonid. Oluline on märkida, et pistikprogrammidel ei ole kordumatuid sisemisi identifitseerimisnumbreid; Seetõttu tuvastame nad siin nende kettal olevate DLL-nimede järgi, mida me pole kunagi näinud.
Tabel 2. Plugina DLL-failide loend
Plugina DLL-i nimi | Ülevaade |
---|---|
Kstrcs.dll | Klahvilogija. See logib aktiivselt klahvivajutused ainult siis, kui esiplaani aken kuulub protsessi nimega QQ.exe ja akna pealkiri sobib QQEdit. Tõenäoliselt on selle sihtmärk Tencent QQ vestlusrakendus. |
sebasek.dll | Failide varastaja. Sellel on konfiguratsioonifail, mis võimaldab koguda faile erinevatest allikatest: HDD-d, USB-mälupulgad ja CD-ROM-id; samuti faili omadustel põhinevad kriteeriumid: failinimi peab sisaldama märksõna eelmääratletud loendist, faili suurus peab jääma defineeritud minimaalse ja maksimaalse suuruse vahele. |
Cbmrpa.dll | Jäädvustab lõikepuhvrisse kopeeritud teksti ja logib teabe USBSTOR-registrivõtmest. |
pRsm.dll | Jäädvustab sisend- ja väljundheli vooge. |
mailLFPpassword.dll | Mandaadi varastaja. Varastab Outlooki ja Foxmaili meiliklientide tarkvara mandaadid. |
agentpwd.dll | Mandaadi varastaja. Varastab muu hulgas Chrome'i, Opera, Firefoxi, Foxmaili, QQBrowseri, FileZilla ja WinSCP mandaate. |
qmsdp.dll | Keeruline pistikprogramm, mis on loodud kasutaja sõnumite ajalugu salvestava Tencent QQ andmebaasi sisu varastamiseks. See saavutatakse tarkvarakomponendi mälusisese lapimisega KernelUtils.dll ja võltsingu maha viskamine userenv.dll dll. |
wcdbcrk.dll | Tencent WeChati teabevarastaja. |
Gmck.dll | Küpsiste varastaja Firefoxi, Chrome'i ja Edge'i jaoks. |
Enamik pistikprogramme on mõeldud teabe varastamiseks väga populaarsetest Hiina rakendustest, nagu QQ, WeChat, QQBrowser ja Foxmail – need kõik on Tencenti välja töötatud rakendused.
Järeldus
Avastasime kampaania, mille omistame Evasive Panda APT grupile ja mis sihib Mandri-Hiina kasutajaid ja pakub neile MgBoti tagaukse tuntud Hiina ettevõtete rakenduste värskendusprotokollide kaudu. Analüüsisime ka MgBoti tagaukse pistikprogramme ja leidsime, et enamik neist on loodud Hiina tarkvara kasutajate järele luuramiseks, varastades mandaate ja teavet.
IoC-d
Faile
SHA-1 | Faili | Detection | Kirjeldus |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBoti teabevarastamise pistikprogramm. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBoti failivarguse pistikprogramm. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot Keyloggeri pistikprogramm. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBoti küpsiste varastamise pistikprogramm. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBoti teabevarastamise pistikprogramm. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBoti helihõive plugin. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBoti lõikelaua tekstihõive plugin. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | MgBoti mandaatide varastamise pistikprogramm. |
8A98A023164B50DEC5126EDA270D394E06A144FF | mailfpassword.dll | Win32/Agent.VFT | MgBoti mandaatide varastamise pistikprogramm. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBoti installija. |
võrk
IP | Provider | Esimest korda nähtud | Detailid |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | MgBot C&C server. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | MgBot C&C server. |
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 12 MITER ATT&CK raamistikust.
Taktika | ID | Nimi | Kirjeldus |
---|---|---|---|
Ressursside arendamine | T1583.004 | Hankige infrastruktuur: server | Evasive Panda omandas serverid, mida kasutatakse C&C infrastruktuuri jaoks. |
T1587.001 | Võimaluste arendamine: pahavara | Evasive Panda arendab oma kohandatud MgBoti tagaust ja pistikprogramme, sealhulgas hägustatud laadijaid. | |
Täitmine | T1059.003 | Käskude ja skriptitõlk: Windowsi käsukest | MgBoti installiprogramm käivitab teenuse BAT-failidest käsuga net start AppMgmt |
T1106 | Natiivne API | MgBoti installer kasutab CreateProcessInternalW API käivitamiseks rundll32.exe tagaukse DLL-i laadimiseks. | |
T1569.002 | Süsteemiteenused: teenuse täitmine | MgBot käivitatakse Windowsi teenusena. | |
Püsivus | T1543.003 | Süsteemiprotsessi loomine või muutmine: Windowsi teenus | MgBot asendab olemasoleva rakendushaldusteenuse DLL tee enda omaga. |
Privileegi eskaleerimine | T1548.002 | Kuritarvitamise kõrguse kontrolli mehhanism: kasutajakonto kontrollist möödaminek | MgBot teostab UAC ümbersõidu. |
Kaitsest kõrvalehoidmine | T1140 | Failide või teabe deobfuskeerimine/dekodeerimine | MgBoti installiprogramm dekrüpteerib manustatud CAB-faili, mis sisaldab tagaukse DLL-i. |
T1112 | Muuda registrit | MgBot muudab registrit püsivuse tagamiseks. | |
T1027 | Hägustatud failid või teave | MgBoti installiprogramm sisaldab manustatud pahavarafaile ja krüptitud stringe. MgBot sisaldab krüptitud stringe. MgBoti pistikprogrammid sisaldavad manustatud DLL-faile. | |
T1055.002 | Protsessi süstimine: kaasaskantav käivitatav süstimine | MgBot saab sisestada kaugprotsessidesse kaasaskantavaid käivitatavaid faile. | |
Juurdepääs mandaatidele | T1555.003 | Mandaat paroolipoodidest: mandaat veebibrauserites | MgBoti pistikprogrammi moodul agentpwd.dll varastab veebibrauseritest mandaadi. |
T1539 | Varasta veebiseansi küpsis | MgBoti pistikprogrammi moodul Gmck.dll varastab küpsiseid. | |
avastus | T1082 | Süsteemi teabe avastamine | MgBot kogub süsteemiteavet. |
T1016 | Süsteemi võrgukonfiguratsiooni avastamine | MgBot suudab võrguteavet taastada. | |
T1083 | Failide ja kataloogide avastamine | MgBotil on võimalus failide loendeid luua. | |
kogumine | T1056.001 | Sisendhõive: klahvilogimine | MgBoti pistikprogrammi moodul kstrcs.dll on klahvilogija. |
T1560.002 | Arhiveeri kogutud andmed: arhiveeri raamatukogu kaudu | MgBoti pistikprogrammi moodul sebasek.dll kasutab aPLibi eksfiltreerimiseks lavastatud failide tihendamiseks. | |
T1123 | Heli jäädvustamine | MgBoti pistikprogrammi moodul pRsm.dll jäädvustab sisend- ja väljundheli vooge. | |
T1119 | Automatiseeritud kogumine | MgBoti pistikprogrammide moodulid koguvad andmeid erinevatest allikatest. | |
T1115 | Lõikelaua andmed | MgBoti pistikprogrammi moodul Cbmrpa.dll jäädvustab lõikepuhvrisse kopeeritud teksti. | |
T1025 | Andmed irdkandjalt | MgBoti pistikprogrammi moodul sebasek.dll kogub faile irdkandjatelt. | |
T1074.001 | Andmed etapiviisiliselt: Local Data Staging | MgBoti pistikprogrammi moodulid ladestavad andmed lokaalselt kettale. | |
T1114.001 | Meilikogu: kohalik meilikogu | MgBoti pistikprogrammide moodulid on loodud mandaatide ja meiliteabe varastamiseks mitmest rakendusest. | |
T1113 | Screen Capture | MgBot suudab jäädvustada ekraanipilte. | |
Juhtimine ja kontroll | T1095 | Mitterakenduskihi protokoll | MgBot suhtleb oma C&C-ga TCP- ja UDP-protokollide kaudu. |
Välja filtreerimine | T1041 | Eksfiltratsioon C2 kanali kaudu | MgBot teostab kogutud andmete väljafiltreerimise C&C kaudu. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :on
- :on
- :mitte
- : kus
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Võimalik
- MEIST
- juurdepääs
- Vastavalt
- konto
- saavutada
- omandatud
- aktiivselt
- tegevus
- Täiendavad lisad
- aadressid
- Aafrika
- vastu
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- mööda
- Ka
- Kuigi
- vahel
- summa
- an
- analüüs
- analüüsima
- ja
- mistahes
- API
- taotlus
- rakendused
- Aprill
- APT
- arhitektuur
- Arhiiv
- OLEME
- AS
- aasia
- seotud
- At
- rünnak
- Reageerib
- heli-
- Automatiseeritud
- tagasi
- Selgroog
- tagauks
- põhineb
- PVT
- BE
- olnud
- Uskuma
- kuulub
- BEST
- vahel
- Blogi
- mõlemad
- brauseri
- brauserid
- ehitatud
- kuid
- by
- C + +
- Kampaania
- CAN
- ei saa
- võimeid
- lüüa
- lööb
- kes
- juhul
- juhtudel
- kett
- muutma
- kanalid
- kontrollima
- kontrollitud
- Hiina
- hiina
- Kroom
- klient
- Cluster
- kood
- juhus
- kogumine
- edastama
- Ettevõtted
- ettevõte
- võistlev
- täitma
- keeruline
- komponent
- kompromiss
- Kompromissitud
- Juhtimine
- usaldus
- konfiguratsioon
- Kinnitama
- kontakt
- sisaldama
- sisaldab
- sisu
- sisu
- jätkates
- kontrollida
- küpsised
- võiks
- riikides
- riik
- loomine
- MANDAAT
- volikiri
- kriteeriumid
- tava
- andmed
- andmebaas
- määratletud
- tarnima
- esitatud
- edastamine
- annab
- lähetatud
- juurutamine
- kirjeldatud
- Disain
- kavandatud
- arenenud
- arendaja
- arendab
- seadmed
- erinev
- avastasin
- DNS
- do
- Domeenid
- Ära
- lae alla
- allalaadimine
- Kukkumine
- ajal
- Ida
- serv
- kumbki
- varjatud
- võimaldab
- krüpteeritud
- suurendama
- üksuste
- ESET-i uuringud
- asutatud
- Isegi
- tõend
- evolutsioon
- näide
- näited
- täitma
- Täidab
- täitmine
- eksfiltreerimine
- olemasolevate
- Selgitama
- laiendama
- võlts
- soodustama
- Joonis
- fail
- Faile
- filtreerimine
- Firefox
- esimene
- Lipulaev
- Keskenduma
- eest
- vorm
- avastatud
- Raamistik
- Alates
- täis
- funktsionaalsus
- edasi
- mäng
- genereerib
- antud
- Valitsus
- Valitsusüksused
- Grupp
- Grupi omad
- Guangdongi
- olnud
- käsi
- hash
- Olema
- siin
- Suur
- kõrgeim
- kõrgelt
- ajalugu
- Hong
- Hong Kong
- võõrustas
- Kuidas
- aga
- http
- HTTPS
- Identifitseerimine
- identifitseerima
- identifitseerimiseks
- if
- ebaseaduslik
- täitmine
- tööriistad
- oluline
- in
- Kaasa arvatud
- India
- osutatud
- inimesed
- info
- Infrastruktuur
- sisend
- paigaldatud
- selle asemel
- juhised
- sisemine
- rahvusvaheliselt
- sisse
- kehtestama
- uurimine
- IP
- IP-aadressid
- ISP
- IT
- ITS
- Jaanuar
- Kaspersky
- Võti
- teadmised
- teatud
- Kong
- suur
- käivitab
- kiht
- Õigus
- legitiimsus
- õigustatud
- Tõenäoliselt
- piiratud
- nimekiri
- Loetletud
- Näita
- Nimekirjad
- vähe
- koormus
- kohalik
- kohapeal
- asub
- kohad
- masin
- masinad
- mandriosa
- Enamus
- Malaisia
- malware
- Malwarebytes
- juhitud
- juhtimine
- palju
- kaart
- Vastama
- max laiuse
- maksimaalne
- MD5
- vahendid
- mehhanism
- Meedia
- liikmed
- mainitud
- sõnum
- meetodid
- miinimum
- muutma
- modulaarne
- moodulid
- Moodulid
- rohkem
- Myanmar
- Nimega
- nimed
- loodus
- Vajadus
- vaja
- kumbki
- võrk
- järgmine
- Ngo
- Nigeeria
- number
- numbrid
- of
- on
- ONE
- Internetis
- online-mängude
- ainult
- Opera
- tegutseb
- or
- organisatsioon
- organisatsioonid
- pärineb
- Muu
- teised
- meie
- välja
- väljavaade
- väljund
- üle
- ülevaade
- enda
- paketid
- eriline
- passiivne
- Parool
- Lappimine
- tee
- esitades
- täidab
- püsivus
- Filipiinid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- nõuda
- plugin
- pluginad
- võrra
- populaarne
- võimalik
- post
- esitada
- varem
- esmane
- Peamine
- protsess
- Protsessid
- omadused
- protokollid
- Tõesta
- anda
- provintsidest
- avalik
- avalikult
- avaldatud
- puhtalt
- Küsimused
- juhuslik
- jõudis
- lugeja
- saama
- saadud
- vastuvõtmine
- andmed
- Taastuma
- registreeritud
- registri
- kauge
- vastus
- aru
- Aruanded
- Taotlusi
- teadustöö
- Teadlased
- lahendatud
- vastus
- kaasa
- s
- sama
- stsenaarium
- stsenaariumid
- ekraanipilte
- lõigud
- turvalisus
- nähtud
- Jada
- Serverid
- teenus
- Teenused
- istung
- mitu
- näidatud
- Näitused
- märgatavalt
- sarnane
- alates
- SUURUS
- väike
- sotsiaalmeedia
- Sotsiaalse meedia
- tarkvara
- Allikad
- eriti
- spekulatsioonid
- Stage
- algus
- Käivitus
- varastatakse
- Veel
- kauplustes
- ojad
- edukas
- selline
- süsteem
- tabel
- Taiwan
- Võtma
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- Tee
- telekommunikatsiooni
- telekommunikatsioon
- Tencent
- kui
- et
- .
- Filipiinid
- oma
- Neile
- SIIS
- seetõttu
- Need
- nad
- see
- need
- Läbi
- läbi kogu
- aeg
- Kapslid
- et
- Käsiraamat
- tüüp
- ainulaadne
- kättesaamatu
- Värskendused
- Uudised
- URL
- usb
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- eri
- väga
- kaudu
- Ohver
- ohvreid
- Vietnam
- Haavatav
- oli
- we
- web
- Veebibrauserid
- Hästi
- hästi tuntud
- olid
- M
- millal
- kas
- mis
- kuigi
- lai
- Wikipedia
- will
- aknad
- koos
- ilma
- väärt
- oleks
- kirjutamine
- XML
- sephyrnet