ESET Research کمپین گروه APT معروف به پاندا فراری را کشف میکند که یک NGO بینالمللی در چین را با بدافزاری که از طریق بهروزرسانیهای نرمافزار محبوب چینی ارائه میشود، هدف قرار میدهد.
محققان ESET کمپینی را کشف کردهاند که ما آن را به گروه APT موسوم به Evasive Panda نسبت میدهیم، که در آن کانالهای بهروزرسانی برنامههای قانونی به طور مرموزی ربوده شدند تا نصب کننده بدافزار MgBot، درب پشتی پرچمدار Evasive Panda را تحویل دهند.
- کاربران در سرزمین اصلی چین هدف بدافزارهایی قرار گرفتند که از طریق به روز رسانی نرم افزارهای توسعه یافته توسط شرکت های چینی ارائه می شد.
- ما فرضیههای رقیب را تجزیه و تحلیل میکنیم که چگونه بدافزار میتواند به کاربران هدف تحویل داده شود.
- با اطمینان بالا، این فعالیت را به گروه APT فراری پاندا نسبت می دهیم.
- ما یک نمای کلی از MgBot در پشتی امضای Evasive Panda و جعبه ابزار آن از ماژول های افزونه ارائه می دهیم.
نمایه پاندا فراری
پاندا فراری (همچنین به عنوان شناخته شده کوهستانی برنز و خنجری) یک گروه APT چینی زبان است، حداقل از سال 2012 فعال است. ESET Research گروهی را در حال انجام جاسوسی سایبری علیه افراد در سرزمین اصلی چین، هنگ کنگ، ماکائو و نیجریه مشاهده کرده است. نهادهای دولتی در چین، ماکائو و کشورهای جنوب شرقی و شرق آسیا، به ویژه میانمار، فیلیپین، تایوان و ویتنام هدف قرار گرفتند، در حالی که سایر سازمان ها در چین و هنگ کنگ نیز هدف قرار گرفتند. بر اساس گزارش های عمومی، این گروه همچنین نهادهای ناشناس در هنگ کنگ، هند و مالزی را هدف قرار داده است.
این گروه چارچوب بدافزار سفارشی خود را با معماری ماژولار پیادهسازی میکند که به درب پشتی خود، معروف به MgBot، اجازه میدهد تا ماژولهایی را برای جاسوسی از قربانیان خود دریافت کند و قابلیتهای خود را افزایش دهد.
نمای کلی کمپین
در ژانویه 2022، متوجه شدیم که در حین انجام بهروزرسانیها، یک برنامه چینی قانونی نصبکنندهای برای درپشتی Evasive Panda MgBot دریافت کرده است. در طول تحقیقات خود، متوجه شدیم که فعالیت مخرب به سال 2020 بازمیگردد.
کاربران چینی کانون این فعالیت مخرب بودند که تله متری ESET نشان می دهد که از سال 2020 شروع شده و تا سال 2021 ادامه دارد. همانطور که در شکل 1 نشان داده شده است، کاربران هدف در استان های گانسو، گوانگدونگ و جیانگ سو قرار داشتند.
اکثر قربانیان چینی اعضای یک سازمان غیردولتی بین المللی هستند که در دو استان از استان های ذکر شده قبلی فعالیت می کنند.
یک قربانی دیگر نیز در کشور نیجریه کشف شد.
تخصیص
Evasive Panda از یک درب پشتی سفارشی به نام MgBot استفاده می کند که همینطور بود به طور عمومی مستند شده است در سال 2014 و از آن زمان تاکنون شاهد تکامل اندکی بوده است. تا جایی که ما می دانیم، درب پشتی توسط هیچ گروه دیگری استفاده نشده است. در این خوشه از فعالیت های مخرب، تنها بدافزار MgBot مشاهده شد که روی ماشین های قربانی به همراه جعبه ابزار پلاگین آن مستقر شده است. بنابراین، با اطمینان بالا، این فعالیت را به پاندا فراری نسبت می دهیم.
تجزیه و تحلیل فنی
در طول بررسی خود، متوجه شدیم که هنگام انجام بهروزرسانیهای خودکار، یک مؤلفه نرمافزار کاربردی قانونی، نصبکنندههای درپشتی MgBot را از URLها و آدرسهای IP قانونی دانلود میکند.
در جدول 1، ما نشانی اینترنتی از جایی که دانلود از آنجا شروع شده است، با توجه به داده های تله متری ESET، از جمله آدرس های IP سرورها، همانطور که در آن زمان توسط سیستم کاربر حل شده است، ارائه می دهیم. بنابراین، ما معتقدیم که این آدرس های IP قانونی هستند. با توجه به رکوردهای DNS غیرفعال، همه این آدرس های IP با دامنه های مشاهده شده مطابقت دارند، بنابراین ما معتقدیم که این آدرس های IP قانونی هستند.
جدول 1. مکان های دانلود مخرب بر اساس تله متری ESET
URL | اولین بار دیده شد | IP دامنه | ASN | دانلود |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
فرضیه های سازش
وقتی احتمال چندین روش را تجزیه و تحلیل کردیم که میتواند توضیح دهد مهاجمان چگونه بدافزار را از طریق بهروزرسانیهای قانونی ارائه میکنند، با دو سناریو باقی ماندیم: مصالحه با زنجیره تأمین و حملات دشمن در وسط. برای هر دو سناریو، ما پیشینیان حملات مشابه توسط دیگر گروههای APT چینی زبان را نیز در نظر خواهیم گرفت.
Tencent QQ یک سرویس چت و رسانه اجتماعی محبوب چینی است. در بخشهای بعدی، از بهروزرسانی نرمافزار کلاینت ویندوز Tencent QQ استفاده خواهیم کرد. QQUrlMgr.exe (فهرست شده در جدول 1)، برای مثال های ما، با توجه به اینکه ما بیشترین تعداد شناسایی را از دانلودها توسط این مؤلفه خاص داریم.
سناریوی سازش زنجیره تامین
با توجه به ماهیت هدفمند حملات، ما حدس می زنیم که مهاجمان باید سرورهای به روز رسانی QQ را به خطر بیاندازند تا مکانیزمی را برای شناسایی کاربران مورد نظر برای ارائه بدافزار به آنها، فیلتر کردن کاربران غیر هدفمند و ارائه به روز رسانی های قانونی به آنها معرفی کنند - ما ثبت نام کردیم. مواردی که بهروزرسانیهای قانونی از طریق همان پروتکلهای مورد سوءاستفاده دانلود شدهاند.
اگرچه یک مورد پاندا فراری نیست، یک مثال برجسته از این نوع مصالحه در گزارش ما آمده است عملیات NightScout: حمله زنجیره تامین بازی های آنلاین در آسیا را هدف قرار می دهد، جایی که مهاجمان سرورهای به روز رسانی یک شرکت توسعه دهنده نرم افزار مستقر در هنگ کنگ را به خطر انداختند. بر اساس تله متری ما، بیش از 100,000 کاربر نرم افزار BigNox را نصب کرده بودند، اما تنها پنج نفر دارای بدافزار از طریق به روز رسانی بودند. ما گمان میکنیم که مهاجمان BigNox API را در سرور بهروزرسانی به خطر انداختهاند تا با URL به سروری که مهاجمان بدافزار خود را در آن میزبانی میکردند، به مؤلفه بهروزرسانی در ماشینهای کاربران هدف پاسخ دهند. به کاربران غیرهدفمند نشانی اینترنتی بهروزرسانی قانونی ارسال شد.
بر اساس آن مقدمه، در شکل 2 نشان میدهیم که چگونه سناریوی مصالحه با زنجیره تامین طبق مشاهدات در تلهمتری ما آشکار میشود. با این حال، ما باید به خواننده هشدار دهیم که این صرفاً حدس و گمان است و بر اساس تحلیل ایستا ما، با اطلاعات بسیار محدود، از QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
همچنین شایان ذکر است که در طول تحقیق ما هرگز نتوانستیم نمونه ای از داده های "به روز رسانی" XML - نه یک نمونه XML قانونی و نه مخرب - را از سروری که توسط آن تماس گرفته شده است، بازیابی کنیم. QQUrlMgr.exe. همانطور که در شکل 3 نشان داده شده است، URL "بررسی به روز رسانی" به شکل مبهم، در فایل اجرایی، کدگذاری شده است.
بدون ابهام، URL بررسی کامل بهروزرسانی این است:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
سرور با داده های فرمت XML که با base64 کدگذاری شده و با اجرای الگوریتم TEA با استفاده از یک کلید 128 بیتی رمزگذاری شده است، پاسخ می دهد. این داده حاوی دستورالعمل هایی برای دانلود و اجرای یک فایل به همراه اطلاعات دیگر است. همانطور که در شکل 4 نشان داده شده است، از آنجایی که کلید رمزگشایی نیز دارای کد سخت است، مهاجمان می توانند آن را بشناسند.
QQUrlMgr.exe سپس فایل مشخص شده را بدون رمزگذاری از طریق HTTP دانلود می کند و محتویات آن را با الگوریتم MD5 هش می کند. همانطور که در شکل 5 مشاهده می شود، نتیجه با هش موجود در داده های XML بررسی به روز رسانی بررسی می شود. QQUrlMgr.exe فایل دانلود شده را اجرا می کند. این فرضیه ما را تقویت می کند که مهاجمان باید مکانیسم سمت سرور XML را در سرور به روز رسانی کنترل کنند تا بتوانند هش MD5 صحیح نصب کننده بدافزار را ارائه دهند.
ما معتقدیم که این سناریو مشاهدات ما را توضیح خواهد داد. با این حال، بسیاری از سوالات بی پاسخ مانده است. ما به Tencent's رسیدیم مرکز پاسخگویی امنیتی برای تایید مشروعیت URL کامل از جایی که بدافزار دانلود شده است؛ update.browser.qq[.]com در زمان نگارش مقاله غیرقابل دسترسی است، اما Tencent نتوانست تأیید کند که URL کامل قانونی است یا خیر.
سناریوی دشمن در وسط
در 2022/06/02، Kaspersky یک تحقیق گزارشی در مورد قابلیت های گروه چینی زبان LuoYu APT و بدافزار WinDealer آنها. مشابه آنچه که ما در این دسته از قربانیان پانداهای فراری مشاهده کردیم، محققان آنها دریافتند که از سال 2020، قربانیان LuoYu بدافزار WinDealer را از طریق به روز رسانی از طریق برنامه قانونی qgametool.exe دریافت کرده اند. PPTV نرم افزاری که توسط یک شرکت چینی نیز ساخته شده است.
WinDealer دارای یک قابلیت گیج کننده است: به جای اینکه لیستی از سرورهای C&C ایجاد شده را برای تماس در صورت توافق موفقیت آمیز حمل کند، آدرس های IP تصادفی را در 13.62.0.0/15 و 111.120.0.0/14 محدوده از China Telecom AS4134. اگرچه تصادفی کوچک بود، اما متوجه شدیم که آدرسهای IP کاربران چینی هدف در زمان دریافت بدافزار MgBot در محدوده آدرسهای IP AS4134 و AS4135 قرار دارند.
توضیحات احتمالی در مورد آنچه که این قابلیتها را برای زیرساخت C&C خود فعال میکند این است که LuoYu یا تعداد زیادی از دستگاههای مرتبط با آدرسهای IP در آن محدودهها را کنترل میکند، یا اینکه آنها قادر به انجام آن هستند. حریف در وسط (AitM) یا رهگیری مهاجم در کنار در زیرساخت آن AS خاص.
اگر مهاجمان - LuoYu یا Evasive Panda - بتوانند دستگاههای آسیبپذیر مانند روترها یا دروازهها را به خطر بیندازند، سبکهای رهگیری AitM ممکن است. به عنوان پیشین، در سال 2019 محققان ESET کشف کردند که گروه APT چینی معروف به BlackTech حملات AitM را از طریق روترهای آسیبدیده ASUS انجام میداد و بدافزار Plead را از طریق بهروزرسانیهای نرمافزار ASUS WebStorage تحویل میداد.
با دسترسی به زیرساخت اصلی ISP - از طریق راههای قانونی یا غیرقانونی - Evasive Panda میتواند درخواستهای بهروزرسانی انجامشده از طریق HTTP را رهگیری کند و به آنها پاسخ دهد یا حتی بستهها را در لحظه تغییر دهد. در آوریل 2023، محققان سیمانتک گزارش در مورد پاندا فراری که یک سازمان مخابراتی در آفریقا را هدف قرار می دهد.
خلاصه
در نهایت، بدون شواهد بیشتر، نمیتوانیم یک فرضیه را به نفع فرضیه دیگر ثابت کنیم یا کنار بگذاریم، با توجه به اینکه چنین قابلیتهایی برای گروههای APT چینی وجود دارد.
مجموعه ابزار
MgBot
MgBot درب پشتی اصلی ویندوز است که توسط Evasive Panda استفاده می شود، که طبق یافته های ما حداقل از سال 2012 وجود داشته است و همانطور که در این پست وبلاگ ذکر شد، به صورت عمومی منتشر شده است. مستند شده در VirusBulletin در سال 2014. این برنامه در C++ با طراحی شی گرا توسعه یافته است و قابلیت برقراری ارتباط از طریق TCP و UDP و گسترش عملکرد آن از طریق ماژول های پلاگین را دارد.
نصبکننده و درب پشتی MgBot و عملکرد آنها از زمانی که برای اولین بار مستند شده است، تغییر قابل توجهی نکرده است. زنجیره اجرای آن همان است که در این توضیح داده شده است گزارش توسط Malwarebytes از سال 2020.
پلاگین های MgBot
معماری ماژولار MgBot به آن اجازه می دهد تا عملکرد خود را با دریافت و استقرار ماژول ها بر روی دستگاه در معرض خطر گسترش دهد. جدول 2 افزونه های شناخته شده و عملکرد آنها را فهرست می کند. توجه به این نکته مهم است که پلاگین ها شماره شناسایی داخلی منحصر به فردی ندارند. بنابراین ما آنها را در اینجا با نام DLL آنها روی دیسک شناسایی می کنیم، که هرگز تغییری ندیده ایم.
جدول 2. فهرست فایل های DLL افزونه
نام پلاگین DLL | بررسی اجمالی |
---|---|
Kstrcs.dll | کی لاگر. فقط زمانی که پنجره پیش زمینه به فرآیندی به نام تعلق دارد، به طور فعال کلیدهای مورد نظر را ثبت می کند QQ.exe و عنوان پنجره مطابقت دارد QQEdit. احتمالاً هدف آن برنامه چت Tencent QQ است. |
sebasek.dll | دزد فایل. دارای یک فایل پیکربندی که امکان جمع آوری فایل ها از منابع مختلف را فراهم می کند: هارد دیسک ها، درایوهای کوچک USB و CD-ROM. و همچنین معیارهای مبتنی بر ویژگی های فایل: نام فایل باید حاوی یک کلمه کلیدی از یک لیست از پیش تعریف شده باشد، اندازه فایل باید بین حداقل و حداکثر اندازه تعریف شده باشد. |
Cbmrpa.dll | متن کپی شده در کلیپ بورد را می گیرد و اطلاعات را از کلید رجیستری USBSTOR ثبت می کند. |
pRsm.dll | جریان های صوتی ورودی و خروجی را ضبط می کند. |
mailLFPassword.dll | دزد مدارک اعتبارنامه ها را از نرم افزار مشتری ایمیل Outlook و Foxmail می دزدد. |
agentpwd.dll | دزد مدارک اعتبارنامه ها را از کروم، اپرا، فایرفاکس، فاکس میل، QQBrowser، FileZilla و WinSCP و غیره می دزدد. |
qmsdp.dll | یک افزونه پیچیده طراحی شده برای سرقت محتوا از پایگاه داده Tencent QQ که تاریخچه پیام کاربر را ذخیره می کند. این امر با وصله در حافظه جزء نرم افزار به دست می آید KernelUtils.dll و انداختن یک جعلی userenv.dll dll |
wcdbcrk.dll | دزد اطلاعات برای Tencent WeChat. |
Gmck.dll | دزد کوکی برای فایرفاکس، کروم و اج. |
اکثر پلاگین ها برای سرقت اطلاعات از برنامه های بسیار محبوب چینی مانند QQ، WeChat، QQBrowser و Foxmail طراحی شده اند - همه آنها برنامه های توسعه یافته توسط Tencent هستند.
نتیجه
ما کمپینی را کشف کردیم که به گروه Evasive Panda APT نسبت میدهیم، کاربرانی را در سرزمین اصلی چین هدف قرار میدهد و درب پشتی MgBot آنها را از طریق پروتکلهای بهروزرسانی برنامههای شرکتهای معروف چینی ارائه میدهد. ما همچنین افزونههای درپشتی MgBot را تجزیه و تحلیل کردیم و متوجه شدیم که اکثر آنها برای جاسوسی از کاربران نرمافزارهای چینی از طریق سرقت اطلاعات و اعتبارنامهها طراحی شدهاند.
IoC ها
فایل ها
SHA-1 | نام فایل | کشف | توضیحات: |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | افزونه سرقت اطلاعات MgBot. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | پلاگین دزد فایل MgBot. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | افزونه کی لاگر MgBot. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | پلاگین دزد کوکی MgBot. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | افزونه سرقت اطلاعات MgBot. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | پلاگین ضبط صدا MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | افزونه ضبط متن کلیپ بورد MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | پلاگین دزد اعتبار MgBot. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | پلاگین دزد اعتبار MgBot. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | نصب کننده MgBot. |
شبکه ارتباطی
IP | ارائه دهنده | اولین بار دیده شد | جزئیات |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | سرور C&C MgBot. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | سرور C&C MgBot. |
تکنیک های MITER ATT&CK
این جدول با استفاده از 12 نسخه چارچوب MITER ATT&CK.
تاکتیک | ID | نام | توضیحات: |
---|---|---|---|
توسعه منابع | T1583.004 | زیرساخت به دست آوردن: سرور | Panda فراری سرورهایی را برای استفاده برای زیرساخت C&C خریداری کرد. |
T1587.001 | توسعه قابلیت ها: بدافزار | Evasive Panda درب پشتی MgBot و افزونه های سفارشی خود را توسعه می دهد، از جمله لودرهای مبهم. | |
اعدام | T1059.003 | مترجم دستورات و اسکریپت: Windows Command Shell | نصب کننده MgBot سرویس را از فایل های BAT با دستور راه اندازی می کند شروع خالص AppMgmt |
T1106 | API بومی | نصب کننده MgBot از CreateProcessInternalW API برای اجرا rundll32.exe برای بارگذاری DLL درب پشتی. | |
T1569.002 | خدمات سیستم: اجرای خدمات | MgBot به عنوان یک سرویس ویندوز اجرا می شود. | |
اصرار | T1543.003 | ایجاد یا اصلاح فرآیند سیستم: سرویس ویندوز | MgBot مسیر DLL سرویس مدیریت برنامه موجود را با مسیر خود جایگزین می کند. |
تشدید امتیاز | T1548.002 | مکانیسم کنترل ارتفاع سوء استفاده: کنترل حساب کاربری را دور بزنید | MgBot UAC Bypass را انجام می دهد. |
فرار از دفاع | T1140 | Deobfuscate/Decode فایل ها یا اطلاعات | نصب کننده MgBot یک فایل CAB تعبیه شده را که حاوی DLL درب پشتی است رمزگشایی می کند. |
T1112 | رجیستری را اصلاح کنید | MgBot رجیستری را برای ماندگاری تغییر می دهد. | |
T1027 | فایل ها یا اطلاعات مبهم | نصب کننده MgBot حاوی فایل های بدافزار جاسازی شده و رشته های رمزگذاری شده است. MgBot شامل رشته های رمزگذاری شده است. افزونه های MgBot حاوی فایل های DLL تعبیه شده هستند. | |
T1055.002 | فرآیند تزریق: تزریق قابل حمل قابل حمل | MgBot می تواند فایل های اجرایی قابل حمل را به فرآیندهای راه دور تزریق کند. | |
دسترسی به اعتبار | T1555.003 | اعتبار از فروشگاه های رمز عبور: اعتبار از مرورگرهای وب | ماژول پلاگین MgBot agentpwd.dll اعتبار را از مرورگرهای وب می دزدد. |
T1539 | سرقت کوکی جلسه وب | ماژول پلاگین MgBot Gmck.dll کوکی ها را می دزدد | |
کشف | T1082 | کشف اطلاعات سیستم | MgBot اطلاعات سیستم را جمع آوری می کند. |
T1016 | کشف پیکربندی شبکه سیستم | MgBot قابلیت بازیابی اطلاعات شبکه را دارد. | |
T1083 | کشف فایل و دایرکتوری | MgBot قابلیت ایجاد لیست فایل ها را دارد. | |
مجموعه | T1056.001 | ضبط ورودی: Keylogging | ماژول پلاگین MgBot kstrcs.dll یک کی لاگر است. |
T1560.002 | آرشیو داده های جمع آوری شده: بایگانی از طریق کتابخانه | ماژول پلاگین MgBot sebasek.dll از aPLib برای فشردهسازی فایلهای مرحلهبندی شده برای exfiltration استفاده میکند. | |
T1123 | ضبط صدا | ماژول پلاگین MgBot pRsm.dll جریان های صوتی ورودی و خروجی را ضبط می کند. | |
T1119 | مجموعه خودکار | ماژول های پلاگین MgBot داده ها را از منابع مختلف می گیرند. | |
T1115 | داده های کلیپ بورد | ماژول پلاگین MgBot Cbmrpa.dll متن کپی شده در کلیپ بورد را می گیرد. | |
T1025 | داده ها از رسانه های قابل جابجایی | ماژول پلاگین MgBot sebasek.dll فایل ها را از رسانه های قابل جابجایی جمع آوری می کند. | |
T1074.001 | مرحله بندی داده ها: مرحله بندی داده های محلی | ماژول های پلاگین MgBot داده ها را به صورت محلی روی دیسک مرحله بندی می کنند. | |
T1114.001 | مجموعه ایمیل: مجموعه ایمیل محلی | ماژول های پلاگین MgBot برای سرقت اطلاعات کاربری و اطلاعات ایمیل از چندین برنامه طراحی شده اند. | |
T1113 | ضبط صفحه نمایش | MgBot می تواند اسکرین شات بگیرد. | |
دستور و کنترل | T1095 | پروتکل لایه غیر کاربردی | MgBot از طریق پروتکل های TCP و UDP با C&C خود ارتباط برقرار می کند. |
اکسفیلتراسیون | T1041 | خروج از کانال C2 | MgBot استخراج داده های جمع آوری شده را از طریق C&C انجام می دهد. |
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- منبع: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- : دارد
- :است
- :نه
- :جایی که
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- قادر
- درباره ما
- دسترسی
- مطابق
- حساب
- دست
- به دست آورد
- فعالانه
- فعالیت
- اضافی
- آدرس
- افریقا
- در برابر
- الگوریتم
- معرفی
- اجازه می دهد تا
- در امتداد
- همچنین
- هر چند
- در میان
- مقدار
- an
- تحلیل
- تحلیل
- و
- هر
- API
- کاربرد
- برنامه های کاربردی
- آوریل
- APT
- معماری
- بایگانی
- هستند
- AS
- آسیایی
- مرتبط است
- At
- حمله
- حمله
- سمعی
- خودکار
- به عقب
- ستون فقرات
- درپشتی
- مستقر
- BAT
- BE
- بوده
- باور
- متعلق
- بهترین
- میان
- بلاگ
- هر دو
- مرورگر
- مرورگرهای
- ساخته
- اما
- by
- ++C
- کمپین بین المللی حقوق بشر
- CAN
- نمی توان
- قابلیت های
- گرفتن
- جلب
- حمل
- مورد
- موارد
- زنجیر
- تغییر دادن
- کانال
- بررسی
- بررسی شده
- چین
- چینی
- کروم
- مشتری
- خوشه
- رمز
- تصادف
- مجموعه
- ارتباط
- شرکت
- شرکت
- رقابت
- کامل
- پیچیده
- جزء
- سازش
- در معرض خطر
- انجام
- اعتماد به نفس
- پیکر بندی
- تکرار
- تماس
- شامل
- شامل
- محتوا
- محتویات
- مداوم
- کنترل
- بیسکویت ها
- میتوانست
- کشور
- کشور
- ایجاد
- اعتبار
- مجوزها و اعتبارات
- ضوابط
- سفارشی
- داده ها
- پایگاه داده
- مشخص
- ارائه
- تحویل داده
- تحویل
- ارائه
- مستقر
- استقرار
- شرح داده شده
- طرح
- طراحی
- توسعه
- توسعه دهنده
- توسعه
- دستگاه ها
- مختلف
- کشف
- دی ان اس
- do
- حوزه
- آیا
- دانلود
- دانلود
- رها کردن
- در طی
- شرق
- لبه
- هر دو
- پست الکترونیک
- جاسازی شده
- را قادر می سازد
- رمزگذاری
- بالا بردن
- اشخاص
- تحقیقات ESET
- تاسیس
- حتی
- مدرک
- تکامل
- مثال
- مثال ها
- اجرا کردن
- اجرا می کند
- اعدام
- استخراج
- موجود
- توضیح دهید
- گسترش
- جعلی
- توجه
- شکل
- پرونده
- فایل ها
- فیلتر
- فایرفاکس
- نام خانوادگی
- کشتی دریادار
- تمرکز
- برای
- فرم
- یافت
- چارچوب
- از جانب
- کامل
- قابلیت
- بیشتر
- بازی
- تولید می کند
- داده
- دولت
- نهادهای دولتی
- گروه
- گروه ها
- گوانگدونگ
- بود
- دست
- مخلوط
- آیا
- اینجا کلیک نمایید
- زیاد
- بالاترین
- خیلی
- تاریخ
- هنگ
- هنگ کنگ
- میزبانی
- چگونه
- اما
- HTTP
- HTTPS
- شناسایی
- شناسایی
- شناسایی
- if
- غیر مجاز
- پیاده سازی
- پیاده سازی می کند
- مهم
- in
- از جمله
- هندوستان
- نشان داد
- افراد
- اطلاعات
- شالوده
- ورودی
- نصب شده
- در عوض
- دستورالعمل
- داخلی
- بین المللی
- به
- معرفی
- تحقیق
- IP
- آدرس های IP
- ISP
- IT
- ITS
- ژانویه
- کسپرسکی
- کلید
- دانش
- شناخته شده
- کنگ
- بزرگ
- راه اندازی
- لایه
- قانونی
- مشروعیت
- قانونی
- احتمالا
- محدود شده
- فهرست
- ذکر شده
- لیست
- لیست
- کوچک
- بار
- محلی
- به صورت محلی
- واقع شده
- مکان
- دستگاه
- ماشین آلات
- سرزمین اصلی
- اکثریت
- مالزی
- نرم افزارهای مخرب
- تروجان
- اداره می شود
- مدیریت
- بسیاری
- نقشه
- مسابقه
- حداکثر عرض
- بیشترین
- MD5
- به معنی
- مکانیزم
- رسانه ها
- اعضا
- ذکر شده
- پیام
- روش
- حد اقل
- تغییر
- پیمانهای
- ماژول ها
- ماژول ها
- بیش
- میانمار
- تحت عنوان
- نام
- طبیعت
- نیاز
- ضروری
- نه
- شبکه
- بعد
- نگو
- نیجریه
- عدد
- تعداد
- of
- on
- ONE
- آنلاین
- بازی های آنلاین
- فقط
- اپرا
- عمل می کند
- or
- کدام سازمان ها
- سازمان های
- نشات گرفته
- دیگر
- دیگران
- ما
- خارج
- چشم انداز
- تولید
- روی
- مروری
- خود
- بسته
- ویژه
- غیر فعال
- کلمه عبور
- پچ کردن
- مسیر
- انجام
- انجام می دهد
- اصرار
- فیلیپین
- افلاطون
- هوش داده افلاطون
- PlatoData
- لابه کردن
- پلاگین
- پلاگین ها
- نقطه
- محبوب
- ممکن
- پست
- در حال حاضر
- قبلا
- اصلی
- نخستین
- روند
- فرآیندهای
- املاک
- پروتکل
- ثابت كردن
- ارائه
- استان ها
- عمومی
- عمومی
- منتشر شده
- صرفا
- سوالات
- تصادفی
- رسیده
- خواننده
- گرفتن
- اخذ شده
- دریافت
- سوابق
- بهبود یافتن
- ثبت نام
- رجیستری
- دور
- پاسخ
- گزارش
- گزارش ها
- درخواست
- تحقیق
- محققان
- مصمم
- پاسخ
- نتیجه
- s
- همان
- سناریو
- سناریوها
- تصاویر
- بخش
- تیم امنیت لاتاری
- مشاهده گردید
- دنباله
- سرور
- سرویس
- خدمات
- جلسه
- چند
- نشان داده شده
- نشان می دهد
- به طور قابل توجهی
- مشابه
- پس از
- اندازه
- کوچک
- آگاهی
- رسانه های اجتماعی
- نرم افزار
- منابع
- به طور خاص
- حدس و گمان
- صحنه
- شروع
- راه افتادن
- سرقت می کند
- هنوز
- پرده
- جریان
- موفق
- چنین
- سیستم
- جدول
- تایوان
- گرفتن
- هدف
- هدف قرار
- هدف گذاری
- اهداف
- چای
- مخابراتی
- ارتباط از راه دور
- Tencent به
- نسبت به
- که
- La
- فیلیپین
- شان
- آنها
- سپس
- از این رو
- اینها
- آنها
- این
- کسانی که
- از طریق
- سراسر
- زمان
- عنوان
- به
- ابزار
- نوع
- منحصر به فرد
- غیر قابل دسترسی
- بروزرسانی
- به روز رسانی
- URL
- USB
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- مختلف
- بسیار
- از طريق
- قربانی
- قربانیان
- ویتنام
- آسیب پذیر
- بود
- we
- وب
- مرورگرهای وب
- خوب
- معروف
- بود
- چی
- چه زمانی
- چه
- که
- در حین
- وسیع
- ویکیپدیا
- اراده
- پنجره
- با
- بدون
- با ارزش
- خواهد بود
- نوشته
- XML
- زفیرنت