ESET-tutkijat löysivät kybervakoilukampanjan, joka on ainakin syyskuusta 2023 lähtien ollut tiibetiläisten uhriksi kohdistetun vesiaukon kautta (tunnetaan myös strategisena verkkokompromissina) ja toimitusketjun kompromissi, jolla toimitetaan tiibetiläisten kielen käännösohjelmistojen troijalaisia asentajia. Hyökkääjät pyrkivät ottamaan käyttöön haitallisia latausohjelmia Windowsille ja macOS:lle vaarantaakseen verkkosivustojen vierailijat MgBotilla ja takaovella, jota parhaan tietomme mukaan ei ole vielä dokumentoitu julkisesti; olemme antaneet sille nimeksi Nightdoor.
Tämän blogikirjoituksen pääkohdat:
- Löysimme kybervakoilukampanjan, joka hyödyntää Monlam Festivalia – uskonnollista kokoontumista – kohdistaakseen tiibetiläisiin useissa maissa ja alueilla.
- Hyökkääjät vaaransivat Intiassa järjestettävän vuosittaisen festivaalin järjestäjän verkkosivuston ja lisäsivät haitallista koodia luodakseen juomareiän hyökkäyksen, joka kohdistuu tietyistä verkoista muodostaviin käyttäjiin.
- Huomasimme myös, että ohjelmistokehittäjän toimitusketju oli vaarantunut ja käyttäjille tarjottiin troijalaisia Windows- ja macOS-asennusohjelmia.
- Hyökkääjät asettivat toimintaan käyttöön useita haitallisia latausohjelmia ja täysin varusteltuja takaovia, mukaan lukien julkisesti dokumentoimaton Windows-takaovi, jonka olemme nimenneet Nightdooriksi.
- Suhtaudumme tähän kampanjaan suurella luottamuksella Kiinaan sitoutuneeseen Evasive Panda APT -ryhmään.
Evasive Panda -profiili
Välttelevä Panda (Tunnetaan myös PRONSSI YLÖKKU ja tikari) on kiinankielinen APT-ryhmä, aktiivinen ainakin vuodesta 2012 lähtien. ESET Research on havainnut ryhmän suorittavan kybervakoilua henkilöitä vastaan Manner-Kiinassa, Hongkongissa, Macaossa ja Nigeriassa. Hallituksen yksiköt olivat kohteena Kaakkois- ja Itä-Aasiassa, erityisesti Kiinassa, Macaossa, Myanmarissa, Filippiineillä, Taiwanissa ja Vietnamissa. Myös muut järjestöt Kiinassa ja Hongkongissa olivat kohteena. Julkisten raporttien mukaan ryhmä on kohdistanut kohteena myös tuntemattomia tahoja Hongkongissa, Intiassa ja Malesiassa.
Ryhmä käyttää omaa mukautettua haittaohjelmakehystä, jonka modulaarinen arkkitehtuuri mahdollistaa sen MgBot-nimisen takaoven vastaanottaa moduuleja uhrien vakoilemiseksi ja kykyjensä parantamiseksi. Vuodesta 2020 lähtien olemme myös havainneet, että Evasive Pandalla on kyky toimittaa takaovet keskelle vastustavien hyökkäyksien kautta. laillisten ohjelmistojen päivitysten kaappaaminen.
Kampanjan yleiskatsaus
Tammikuussa 2024 havaitsimme kybervakoiluoperaation, jossa hyökkääjät murtautuivat vähintään kolmelle verkkosivustolle suorittaakseen hyökkäyksiä, sekä tiibetiläisen ohjelmistoyrityksen toimitusketjun kompromissin.
Vaurastunut verkkosivusto, jota käytetään väärin juomapaikkana, kuuluu Kagyu International Monlam Trustille, Intiassa sijaitsevalle organisaatiolle, joka edistää Tiibetin buddhalaisuutta kansainvälisesti. Hyökkääjät asettivat verkkosivustolle komentosarjan, joka vahvistaa mahdollisen uhrin IP-osoitteen ja näyttää, jos se on jollakin kohdistetuista osoitealueista, väärän virhesivun houkutellakseen käyttäjän lataamaan "korjauksen" nimeltä todistus (.exe-laajennuksella, jos vierailija käyttää Windowsia tai .pkg jos macOS). Tämä tiedosto on haitallinen latausohjelma, joka ottaa käyttöön kompromissiketjun seuraavan vaiheen.
Koodin tarkistamien IP-osoitealueiden perusteella havaitsimme, että hyökkääjät kohdistuivat käyttäjiin Intiassa, Taiwanissa, Hongkongissa, Australiassa ja Yhdysvalloissa. Iskulla saattoi olla tarkoitus hyödyntää kansainvälistä kiinnostusta Kagyu Monlam -festivaaleja kohtaan (kuva 1), joka järjestetään vuosittain tammikuussa Bodhgayan kaupungissa Intiassa.
Mielenkiintoista on, että Yhdysvaltojen Georgia Institute of Technologyn (tunnetaan myös nimellä Georgia Tech) verkko on yksi tunnistetuista kokonaisuuksista kohdennetuilla IP-osoitealueilla. Aiemmin, yliopisto mainittiin Kiinan kommunistisen puolueen vaikutuksen yhteydessä Yhdysvaltojen koulutuslaitoksiin.
Syyskuun 2023 tienoilla hyökkääjät murtautuivat tiibetiläisen kielen käännösohjelmistoja valmistavan Intiassa toimivan ohjelmistokehitysyhtiön verkkosivuille. Hyökkääjät asettivat sinne useita troijalaisia sovelluksia, jotka ottavat käyttöön haitallisen latausohjelman Windowsille tai macOS:lle.
Tämän lisäksi hyökkääjät käyttivät väärin myös samaa verkkosivustoa ja tiibetiläistä uutissivustoa nimeltä Tibetpost – tibetpost[.]net – isännöidä haitallisten latausten saamia hyötykuormia, mukaan lukien kaksi täysin varusteltua takaovea Windowsille ja tuntematon määrä hyötykuormia macOS:lle.
Luottamuksellisesti annamme tämän kampanjan Evasive Panda APT -ryhmälle, joka perustuu käytettyihin haittaohjelmiin: MgBot ja Nightdoor. Aiemmin olemme nähneet molempien takaovien ottavan käyttöön yhdessä riippumattomassa hyökkäyksessä uskonnollista organisaatiota vastaan Taiwanissa, jossa he myös jakoivat saman C&C-palvelimen. Molemmat kohdat koskevat myös tässä blogikirjoituksessa kuvattua kampanjaa.
Vettyvä aukko
Tammikuussa 14th, 2024, havaitsimme epäilyttävän käsikirjoituksen osoitteessa https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Haitallinen hämärtynyt koodi liitettiin lailliseen koodiin jQuery JavaScript-kirjaston komentosarja, kuten kuvassa 2.
Skripti lähettää HTTP-pyynnön localhost-osoitteeseen http://localhost:63403/?callback=handleCallback tarkistaaksesi, onko hyökkääjän välilatausohjelma jo käynnissä mahdollisessa uhrikoneessa (katso kuva 3). Aiemmin vaarantuneessa koneessa implantti vastaa viestillä handCallback({"menestys":true }) (katso kuva 4) eikä skripti tee muita toimia.
Jos kone ei vastaa odotetuilla tiedoilla, haitallinen koodi jatkuu hankkimalla MD5-tiiviste toissijaiselta palvelimelta osoitteessa https://update.devicebug[.]com/getVersion.php. Sitten tiiviste tarkistetaan 74 hash-arvon luetteloa vastaan, kuten kuvassa 6.
Jos osuma löytyy, komentosarja näyttää HTML-sivun, jossa on väärennetty kaatumisilmoitus (kuva 7), jonka tarkoituksena on houkutella vierailevaa käyttäjää lataamaan ratkaisu ongelman korjaamiseksi. Sivu jäljittelee tyypillistä "Voi, voi!" varoitukset alkaen Google Chrome.
"Immediate Fix" -painike käynnistää komentosarjan, joka lataa käyttäjän käyttöjärjestelmään perustuvan hyötykuorman (Kuva 8).
Hashin rikkominen
Hyötykuorman toimituksen ehto edellyttää oikean tiivisteen saamista palvelimelta osoitteessa update.devicebug[.]com, joten 74 tiivistettä ovat avain hyökkääjän uhrien valintamekanismiin. Koska tiiviste lasketaan kuitenkin palvelinpuolella, meille oli haastetta tietää, mitä dataa sen laskemiseen käytetään.
Kokeilimme erilaisia IP-osoitteita ja järjestelmäkokoonpanoja ja rajasimme MD5-algoritmin syötteen käyttäjän IP-osoitteen kolmen ensimmäisen oktetin kaavaan. Toisin sanoen esimerkiksi syöttämällä IP-osoitteita, jotka jakavat saman verkkoetuliitteen 192.168.0.1 ja 192.168.0.50, vastaanottaa saman MD5-tiivisteen C&C-palvelimelta.
Kuitenkin tuntematon merkkiyhdistelmä tai a suolaa, sisältyy kolmen ensimmäisen IP-oktetin merkkijonoon ennen tiivistystä, jotta tiivisteitä ei pakotettaisi triviaalisti. Siksi meidän täytyi raa'asti pakottaa suola syöttökaavan turvaamiseksi ja vasta sitten luoda tiivisteet käyttämällä kaikkia IPv4-osoitteita löytääksemme vastaavat 74 tiivistettä.
Joskus tähdet ovat kohdakkain, ja tajusimme, että suola oli 1qaz0okm!@#. Kaikilla MD5-syöttökaavan osilla (esim. 192.168.1.1qaz0okm!@#), pakotimme 74 tiivistettä helposti ja loimme luettelon kohteista. Katso Liite täydellinen luettelo.
Kuten kuvasta 9 näkyy, suurin osa kohdistetuista IP-osoitealueista on Intiassa, jonka jälkeen tulevat Taiwan, Australia, Yhdysvallat ja Hongkong. Huomaa, että suurin osa Tiibetin diaspora asuu Intiassa.
Windowsin hyötykuorma
Windowsissa hyökkäyksen uhreille tarjotaan haitallinen suoritettava tiedosto, joka sijaitsee osoitteessa https://update.devicebug[.]com/fixTools/certificate.exe. Kuva 10 näyttää suoritusketjun, joka seuraa, kun käyttäjä lataa ja suorittaa haitallisen korjauksen.
Certificate.exe on tiputin, joka käyttää sivulatausketjua välilatauslaitteen lataamiseksi, memmgrset.dll (sisäisesti nimetty http_dy.dll). Tämä DLL hakee JSON-tiedoston C&C-palvelimelta osoitteessa https://update.devicebug[.]com/assets_files/config.json, joka sisältää tiedot seuraavan vaiheen lataamiseksi (katso kuva 11).
Kun seuraava vaihe ladataan ja suoritetaan, se ottaa käyttöön toisen sivulatausketjun toimittaakseen Nightdoorin lopullisena hyötykuormana. Nightdoorin analyysi on alla Nightdoor osiossa.
macOS-hyötykuorma
MacOS-haittaohjelma on sama latausohjelma, johon dokumentoimme tarkemmin Toimitusketjun kompromissi. Tämä jättää kuitenkin ylimääräisen Mach-O-suoritettavan tiedoston, joka kuuntelee TCP-porttia 63403. Sen ainoa tarkoitus on vastata handCallback({"menestys":true }) haitalliseen JavaScript-koodipyyntöön, joten jos käyttäjä vierailee vesiaukkosivustolla uudelleen, JavaScript-koodi ei yritä vaarantaa vierailijaa uudelleen.
Tämä latausohjelma hankkii JSON-tiedoston palvelimelta ja lataa seuraavan vaiheen, kuten aiemmin kuvattu Windows-versio.
Toimitusketjun kompromissi
Tammikuussa 18th, huomasimme, että useille alustoille tarkoitetun tiibetin kielen käännösohjelmistotuotteen virallinen verkkosivusto (kuva 12) isännöi ZIP-paketteja, jotka sisälsivät troijalaisia asennusohjelmia laillisille ohjelmistoille, jotka ottivat käyttöön haitallisia latausohjelmia Windowsille ja macOS:lle.
Löysimme yhden uhrin Japanista, joka latasi yhden Windows-paketteista. Taulukossa 1 on lueteltu URL-osoitteet ja pudonneet implantit.
Taulukko 1. Haitallisten pakettien URL-osoitteet vaarantuneessa verkkosivustossa ja hyötykuormatyyppi vaarantuneessa sovelluksessa
Haitallisen paketin URL-osoite |
Hyötykuorman tyyppi |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32 latausohjelma |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32 latausohjelma |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32 latausohjelma |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS-latausohjelma |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS-latausohjelma |
Windows-paketit
Kuva 13 havainnollistaa troijalaisen sovelluksen latausketjua paketista monlam-bodyig3.zip.
Troijalainen sovellus sisältää haitallisen dropperin nimeltä autorun.exe joka käyttää kahta komponenttia:
- suoritettava tiedosto nimeltä MonlamUpdate.exe, joka on ohjelmistokomponentti emulaattorista nimeltä C64 ikuisesti ja sitä käytetään väärin DLL-sivulataukseen ja
- RPHost.dll, sivulta ladattu DLL, joka on haitallinen latausohjelma seuraavaa vaihetta varten.
Kun latausohjelman DLL ladataan muistiin, se luo ajoitetun tehtävän nimeltä Demovale tarkoitettu suoritettavaksi aina, kun käyttäjä kirjautuu sisään. Koska tehtävä ei kuitenkaan määritä suoritettavaa tiedostoa, se ei pysty varmistamaan pysyvyyttä.
Seuraavaksi tämä DLL saa UUID:n ja käyttöjärjestelmäversion mukautetun käyttäjäagentin luomiseksi ja lähettää GET-pyynnön https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat saadaksesi JSON-tiedoston, joka sisältää URL-osoitteen, jonka avulla voit ladata ja suorittaa hyötykuorman, jonka se pudottaa % TEMP% hakemistosta. Emme voineet saada näytettä JSON-objektidatasta vaarantuneelta verkkosivustolta. siksi emme tiedä tarkalleen mistä default_ico.exe ladataan kuvan 13 mukaisesti.
ESET-telemetrian kautta huomasimme, että laiton MonlamUpdate.exe prosessi on ladattu ja suoritettu eri yhteyksissä vähintään neljään haitalliseen tiedostoon %TEMP%default_ico.exe. Taulukossa 2 on luettelo näistä tiedostoista ja niiden tarkoituksesta.
Taulukko 2. Hash of the default_ico.exe downloader/dropper, yhteydenoton C&C:n URL-osoite ja latausohjelman kuvaus
SHA-1 |
Yhteydenoton URL-osoite |
Tarkoitus |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Lataa tuntemattoman hyötykuorman palvelimelta. |
F0F8F60429E3316C463F |
Lataa tuntemattoman hyötykuorman palvelimelta. Tämä näyte on kirjoitettu ruosteella. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Lataa satunnaisesti nimetyn Nightdoor dropperin. |
BFA2136336D845184436 |
N / A |
Avoimen lähdekoodin työkalu Järjestelmän tiedot, johon hyökkääjät integroivat haitallisen koodinsa ja upotivat salatun blobin, joka asentaa MgBotin, kun se on purettu ja suoritettu. |
Lopuksi, default_ico.exe downloader tai dropper joko hankkii hyötykuorman palvelimelta tai pudottaa sen ja suorittaa sen sitten uhrikoneella asentaen joko Nightdoorin (katso Nightdoor osio) tai MgBot (katso meidän edellinen analyysi).
Kaksi jäljellä olevaa troijalaispakettia ovat hyvin samankaltaisia, ja ne käyttävät samaa haitallista latausohjelmaa DLL-tiedostoon, jonka laillinen suoritettava tiedosto lataa sivulta.
macOS-paketit
Virallisesta sovelluskaupasta ladattu ZIP-arkisto sisältää muokatun asennuspaketin (.pkg tiedosto), johon lisättiin Mach-O-suoritettava tiedosto ja asennuksen jälkeinen komentosarja. Asennuksen jälkeinen komentosarja kopioi Mach-O-tiedoston kohteeseen $HOME/Library/Containers/CalendarFocusEXT/ ja jatkaa Launch Agentin asentamista sisään $HOME/Library/LaunchAgents/com.Terminal.us.plist sinnikkyyden vuoksi. Kuva 14 näyttää komentosarjan, joka vastaa haitallisen Launch Agentin asentamisesta ja käynnistämisestä.
Haitallinen Mach-O, Monlam-bodyig_Keyboard_2017 kuvassa 13 on allekirjoitettu, mutta ei notaarin vahvistama, käyttäen kehittäjäsertifikaattia (ei a varmenteen tyyppi käytetään yleensä jakeluun) nimen ja tiimin tunnisteella joo ni yang (2289F6V4BN). Allekirjoituksen aikaleima osoittaa, että se allekirjoitettiin 7. tammikuutath, 2024. Tätä päivämäärää käytetään myös haitallisten tiedostojen muokatussa aikaleimassa ZIP-arkiston metatiedoissa. Todistus myönnettiin vasta kolme päivää aikaisemmin. Täysi sertifikaatti on saatavilla osoitteessa IoC: t osio. Tiimimme otti yhteyttä Appleen 25. tammikuutath ja todistus peruutettiin samana päivänä.
Tämä ensimmäisen vaiheen haittaohjelma lataa JSON-tiedoston, joka sisältää URL-osoitteen seuraavaan vaiheeseen. Arkkitehtuuri (ARM tai Intel), macOS-versio ja laitteiston UUID (jokaiselle Macille ainutlaatuinen tunniste) raportoidaan User-Agent HTTP-pyynnön otsikossa. Samaa URL-osoitetta kuin Windows-versiossa käytetään tämän määrityksen hakemiseen: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. MacOS-versio tarkastelee kuitenkin tietoja JSON-objektin mac-avaimen alla voittaa näppäintä.
Mac-avaimen alla olevan objektin tulee sisältää seuraavat tiedot:
- url: URL-osoite seuraavaan vaiheeseen.
- md5: MD5 hyötykuorman summa.
- vernow: Luettelo laitteiston UUID-tunnuksista. Jos sellainen on, hyötykuorma asennetaan vain Mac-tietokoneisiin, joissa on jokin luetelluista laitteiston UUID-tunnuksista. Tämä tarkistus ohitetaan, jos luettelo on tyhjä tai puuttuu.
- versio: Numeroarvo, jonka on oltava suurempi kuin aiemmin ladattu toisen vaiheen "versio". Hyötykuormaa ei muuten ladata. Käynnissä olevan version arvo säilyy sovelluksessa käyttäjän oletusasetukset.
Kun haittaohjelma lataa tiedoston määritetystä URL-osoitteesta curlilla, tiedosto tiivistetään MD5:llä ja sitä verrataan heksadesimaalikoosteeseen md5 avain. Jos se täsmää, sen laajennetut määritteet poistetaan (com.apple.quarantine-attribuutin tyhjentämiseksi), tiedosto siirretään $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, ja se käynnistetään käyttämällä execvp väittelyn kanssa.
Toisin kuin Windows-versiossa, emme löytäneet mitään macOS-version myöhempiä vaiheita. Yksi JSON-kokoonpano sisälsi MD5-tiivisteen (3C5739C25A9B85E82E0969EE94062F40), mutta URL-osoitekenttä oli tyhjä.
Nightdoor
Takaovi, jonka olemme nimenneet Nightdooriksi (ja haittaohjelmien tekijät ovat nimenneet sen NetMM:ksi PDB-polkujen mukaan), on myöhäinen lisäys Evasive Pandan työkalusarjaan. Varhaisimmat tietomme Nightdoorista juontavat juurensa vuoteen 2020, jolloin Evasive Panda otti sen käyttöön korkean profiilin kohteen koneessa Vietnamissa. Takaovi kommunikoi C&C-palvelimensa kanssa UDP:n tai Google Drive API:n kautta. Tämän kampanjan Nightdoor-implantti käytti jälkimmäistä. Se salaa Google API:n OAuth 2.0 tunnuksella tietoosiossa ja käyttää sitä päästäkseen hyökkääjän Google Driveen. Olemme pyytäneet tähän tunnukseen liittyvän Google-tilin poistamista.
Ensin Nightdoor luo Google Driveen kansion, joka sisältää uhrin MAC-osoitteen, joka toimii myös uhrin tunnuksena. Tämä kansio sisältää kaikki implantin ja C&C-palvelimen väliset viestit. Jokainen Nightdoorin ja C&C-palvelimen välinen viesti on strukturoitu tiedostoksi ja erotettu tiedostonimeksi ja tiedostodataksi, kuten kuvassa 15 on esitetty.
Kukin tiedostonimi sisältää kahdeksan päämääritettä, jotka esitetään alla olevassa esimerkissä.
Esimerkiksi:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: maaginen arvo.
- 0C64C2BAEF534C8E9058797BCD783DE5: otsikko pbuf tietorakenne.
- 168: viestiobjektin tai tiedoston koko tavuina.
- 0: tiedostonimi, joka on aina oletusarvo 0 (nolla).
- 1: komentotyyppi, kovakoodattu arvoon 1 tai 0 näytteestä riippuen.
- 4116: komentotunnus.
- 0: palvelun laatu (QoS).
- 00-00-00-00-00-00: tarkoitettu kohteen MAC-osoitteeksi, mutta oletusarvo on aina 00-00-00-00-00-00.
Jokaisen tiedoston sisällä olevat tiedot edustavat ohjaimen komentoa takaovelle ja sen suorittamiseen tarvittavia parametreja. Kuvassa 16 on esimerkki tiedostotietona tallennetusta C&C-palvelinsanomasta.
Nightdoorin käänteissuunnittelulla pystyimme ymmärtämään tiedostossa esitettyjen tärkeiden kenttien merkityksen, kuten kuvassa 17 näkyy.
Huomasimme, että tässä kampanjassa käytettyyn Nightdoor-versioon lisättiin monia merkityksellisiä muutoksia, joista yksi oli komentotunnusten järjestäminen. Aiemmissa versioissa kukin komentotunnus määritettiin käsittelijätoiminnolle yksitellen kuvan 18 mukaisesti. Numerointivaihtoehdot, kuten 0x2001 että 0x2006alkaen 0x2201 että 0x2203alkaen 0x4001 että 0x4003, ja alkaen 0x7001 että 0x7005, ehdotti, että komennot jaettiin ryhmiin, joilla on samanlaiset toiminnot.
Kuitenkin tässä versiossa Nightdoor käyttää haarataulukkoa järjestääkseen kaikki komentotunnukset niitä vastaavien käsittelijöiden kanssa. Komentotunnukset ovat jatkuvia kauttaaltaan ja toimivat indekseinä vastaaville käsittelijöilleen haarataulukossa, kuten kuvassa 19.
Taulukko 3 on esikatselu C&C-palvelimen komennoista ja niiden toiminnoista. Tämä taulukko sisältää uudet komentotunnukset sekä vastaavat tunnukset vanhemmista versioista.
Taulukko 3. Tässä kampanjassa käytettyjen Nightdoor-versioiden tukemat komennot.
Komentotunnus |
Edellinen komentotunnus |
Kuvaus |
|
0x1001 |
0x2001 |
Kerää perusjärjestelmän profiilitiedot, kuten: – Käyttöjärjestelmän versio – IPv4-verkkosovittimet, MAC-osoitteet ja IP-osoitteet - CPU:n nimi – Tietokoneen nimi – Käyttäjätunnus – Laiteohjainten nimet – Kaikki käyttäjätunnukset alkaen C:Käyttäjät* - Paikallinen aika – Julkinen IP-osoite käyttämällä ifconfig.me or ipinfo.io verkkopalvelu |
|
0x1007 |
0x2002 |
Kerää tietoja levyasemista, kuten: – Aseman nimi – Vapaa tila ja kokonaistila – Tiedostojärjestelmätyyppi: NTFS, FAT32 jne. |
|
0x1004 |
0x2003 |
Kerää tiedot kaikista asennetuista sovelluksista Windowsin rekisteriavaimiin: - HKLM-OHJELMISTO - WOW6432SolmuMicrosoftWindows - MicrosoftWindows CurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Kerää tietoa käynnissä olevista prosesseista, kuten: – Prosessin nimi – Lankojen määrä – Käyttäjätunnus – Tiedoston sijainti levyllä – Levyllä olevan tiedoston kuvaus |
|
0x1006 |
0x4001 |
Luo käänteinen kuori ja hallitse syöttöä ja tulostusta anonyymien putkien kautta. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Itse poisto. |
|
0x100C |
0x6001 |
Siirrä tiedosto. Polun tarjoaa C&C-palvelin. |
|
0x100B |
0x6002 |
Poista tiedosto. Polun tarjoaa C&C-palvelin. |
|
0x1016 |
0x6101 |
Hanki tiedoston attribuutit. Polun tarjoaa C&C-palvelin. |
Yhteenveto
Olemme analysoineet Kiinan linjan APT Evasive Pandan kampanjan, joka kohdistui tiibetiläisiin useissa maissa ja alueilla. Uskomme, että hyökkääjät hyödynsivät tuolloin tulevaa Monlam-festivaalia tammi- ja helmikuussa 2024 vaarantaakseen käyttäjiä, kun he vierailivat festivaalin verkkosivustolla, joka muuttui kastelupaikaksi. Lisäksi hyökkääjät vaaransivat tiibetin kielen käännössovellusten ohjelmistokehittäjän toimitusketjun.
Hyökkääjät ottivat käyttöön useita latausohjelmia, droppereita ja takaovia, mukaan lukien MgBot – jota käyttää yksinomaan Evasive Panda – ja Nightdoor: viimeisin merkittävä lisäys ryhmän työkalupakettiin ja jota on käytetty useisiin verkkoihin Itä-Aasiassa.
Kattava luettelo kompromissiindikaattoreista (IoC) ja näytteistä löytyy sivuiltamme GitHub-arkisto.
Jos sinulla on kysyttävää WeLiveSecurityssä julkaistusta tutkimuksestamme, ota meihin yhteyttä osoitteessa uhkaintel@eset.com.
ESET Research tarjoaa yksityisiä APT-tietoraportteja ja tietosyötteitä. Jos sinulla on kysyttävää tästä palvelusta, käy osoitteessa ESET Threat Intelligence sivu.
IoC: t
Asiakirjat
SHA-1 |
Tiedostonimi |
Detection |
Kuvaus |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Dropper-komponentti lisätty viralliseen asennuspakettiin. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Keskitason latausohjelma. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Keskitason latausohjelma, joka on ohjelmoitu Rustissa. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Nightdoor latausohjelma. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Nightdoor dropper. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Välikuormaaja. |
5273B45C5EABE64EDBD0 |
sertifikaatti.pkg |
OSX/Agent.DJ |
MacOS-pisarakomponentti. |
5E5274C7D931C1165AA5 |
Certificate.exe |
Win32/Agent.AGES |
Dropper-komponentti vaarantuneelta verkkosivustolta. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Nightdoor dropper komponentti. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Välilatauslaite Nightdoor-latauskomponentille. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Välikuormaaja Nightdoorille. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Troijalainen asennusohjelma. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Haitallinen JavaScript lisätty vaarantuneelle verkkosivustolle. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Troijalainen asennusohjelma. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Troijalainen asennuspaketti. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Troijalainen asennuspaketti. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS troijalainen asennuspaketti. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS troijalainen asennuspaketti. |
C0575AF04850EB1911B0 |
Turvallisuus~.x64 |
OSX/Agent.DJ |
MacOS-latausohjelma. |
7C3FD8EE5D660BBF43E4 |
Turvallisuus~.arm64 |
OSX/Agent.DJ |
MacOS-latausohjelma. |
FA78E89AB95A0B49BC06 |
Turvallisuus.rasva |
OSX/Agent.DJ |
MacOS-latauskomponentti. |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary vientitiedosto |
OSX/Agent.DJ |
Haitallinen komponentti macOS:n troijalaiselta asennuspaketilta. |
Sertifikaatit
Sarjanumero |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Peukalo |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Aihe CN |
Applen kehitys: ya ni yang (2289F6V4BN) |
Aihe O |
joo ni yang |
Aihe L |
N / A |
Aihe S |
N / A |
Aihe C |
US |
Voimassa |
2024-01-04 05:26:45 |
Voimassa |
2025-01-03 05:26:44 |
Sarjanumero |
6014B56E4FFF35DC4C948452B77C9AA9 |
Peukalo |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Aihe CN |
KP MOBILE |
Aihe O |
KP MOBILE |
Aihe L |
N / A |
Aihe S |
N / A |
Aihe C |
KR |
Voimassa |
2021-10-25 00:00:00 |
Voimassa |
2022-10-25 23:59:59 |
IP |
Domain |
Hosting-palveluntarjoaja |
Ensin nähty |
Lisätiedot |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
Vaarallinen verkkosivusto. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Vaarallinen verkkosivusto. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amol Hingade |
2024-02-01 |
Latauspalvelin Nightdoor dropper -komponentille. |
MITER ATT & CK -tekniikat
Tämä pöytä on rakennettu käyttämällä version 14 MITRE ATT&CK -kehyksestä.
Taktiikka |
ID |
Nimi |
Kuvaus |
Resurssien kehittäminen |
Hanki infrastruktuuri: Palvelin |
Evasive Panda osti palvelimia Nightdoorin C&C-infrastruktuurille, MgBotille ja macOS-latauskomponentille. |
|
Hanki infrastruktuuri: Web Services |
Evasive Panda käytti Google Driven verkkopalvelua Nightdoorin C&C-infrastruktuuriin. |
||
Kompromissi infrastruktuuri: Palvelin |
Evasive Panda -operaattorit vaaransivat useita palvelimia käytettäviksi kastelupaikkana, toimitusketjun hyökkäyksessä sekä hyötykuormien isännöimiseksi ja C&C-palvelimina. |
||
Luo tilit: Pilvitilit |
Evasive Panda loi Google Drive -tilin ja käytti sitä C&C-infrastruktuurina. |
||
Kehitysominaisuudet: Haittaohjelmat |
Evasive Panda otti käyttöön mukautettuja implantteja, kuten MgBotin, Nightdoorin ja macOS-latauskomponentin. |
||
T1588.003 |
Hanki ominaisuudet: koodin allekirjoitusvarmenteita |
Evasive Panda sai koodin allekirjoitussertifikaatit. |
|
Stage-ominaisuudet: Drive-by Target |
Evasive Panda -operaattorit muokkasivat korkean profiilin verkkosivustoa lisätäkseen JavaScript-koodin, joka tekee väärennetyn ilmoituksen haittaohjelmien lataamisesta. |
||
Ensimmäinen käyttöoikeus |
Drive-by-kompromissi |
Vaarallisten verkkosivustojen vierailijat voivat saada väärän virheilmoituksen, joka houkuttelee heitä lataamaan haittaohjelmia. |
|
Toimitusketjun kompromissi: Kompromissi ohjelmistojen toimitusketjua |
Evasive Panda troijasi ohjelmistoyrityksen virallisia asennuspaketteja. |
||
Teloitus |
Alkuperäinen sovellusliittymä |
Nightdoor, MgBot ja niiden välivaiheen latauskomponentit käyttävät Windows-sovellusliittymiä prosessien luomiseen. |
|
Aikataulutettu tehtävä/työ: Aikataulutettu tehtävä |
Nightdoor- ja MgBotin latauskomponentit voivat luoda ajoitettuja tehtäviä. |
||
Sitkeys |
Luo tai muokkaa järjestelmäprosessia: Windows Service |
Nightdoor ja MgBotin latauskomponentit voivat luoda Windows-palveluita. |
|
Kaappauksen suorituskulku: DLL:n sivulataus |
Nightdoorin ja MgBotin dropper-komponentit ottavat käyttöön laillisen suoritettavan tiedoston, joka sivulataa haitallisen latausohjelman. |
||
Puolustuksen kiertäminen |
Poista tiedostojen tai tietojen salaus/dekoodaus |
Nightdoor-istutteen DLL-komponenttien salaus puretaan muistissa. |
|
Heikentää suojauksia: Poista käytöstä tai muokkaa järjestelmän palomuuria |
Nightdoor lisää kaksi Windowsin palomuurisääntöä, jotka mahdollistavat saapuvan ja lähtevän tiedonsiirron HTTP-välityspalvelintoiminnalleen. |
||
Ilmaisimen poistaminen: Tiedoston poistaminen |
Nightdoor ja MgBot voivat poistaa tiedostoja. |
||
Ilmaisimen poisto: Selkeä pysyvyys |
Nightdoor ja MgBot voivat poistaa asennuksen itse. |
||
Naamiointi: Naamiointitehtävä tai -palvelu |
Nightdoorin loader naamioi tehtävänsä netsvcs:ksi. |
||
Naamiointi: vastaa oikeutettua nimeä tai sijaintia |
Nightdoorin asennusohjelma ottaa komponentit käyttöön laillisiin järjestelmähakemistoihin. |
||
Hämärtyneet tiedostot tai tiedot: upotetut hyötykuormat |
Nightdoorin dropper-komponentti sisältää upotettuja haitallisia tiedostoja, jotka on asennettu levylle. |
||
Process Injection: Dynamic-link Library Injection |
Nightdoorin ja MgBotin kuormainten komponentit ruiskuttavat itsensä svchost.exe-tiedostoon. |
||
Heijastavan koodin lataus |
Nightdoorin ja MgBotin latauskomponentit ruiskuttavat itsensä svchost.exe-tiedostoon, josta ne lataavat Nightdoorin tai MgBotin takaoven. |
||
Löytö |
Tilin löytäminen: Paikallinen tili |
Nightdoor ja MgBot keräävät käyttäjätilitietoja vaarantuneesta järjestelmästä. |
|
Tiedostojen ja hakemistojen etsintä |
Nightdoor ja MgBot voivat kerätä tietoa hakemistoista ja tiedostoista. |
||
Prosessin etsintä |
Nightdoor ja MgBot keräävät tietoa prosesseista. |
||
Kysely rekisteristä |
Nightdoor ja MgBot etsivät tietoja asennetuista ohjelmistoista Windowsin rekisteristä. |
||
Ohjelmistojen löytäminen |
Nightdoor ja MgBot keräävät tietoja asennetuista ohjelmistoista ja palveluista. |
||
Järjestelmän omistajan/käyttäjän haku |
Nightdoor ja MgBot keräävät käyttäjätilitietoja vaarantuneesta järjestelmästä. |
||
Järjestelmätietojen etsiminen |
Nightdoor ja MgBot keräävät laajan valikoiman tietoja vaarantuneesta järjestelmästä. |
||
Järjestelmän verkkoyhteyksien etsintä |
Nightdoor ja MgBot voivat kerätä tietoja kaikista aktiivisista TCP- ja UDP-yhteyksistä vaarantuneella koneella. |
||
Kokoelma |
Arkistoi kerätyt tiedot |
Nightdoor ja MgBot tallentavat kerätyt tiedot salattuihin tiedostoihin. |
|
Automaattinen kokoelma |
Nightdoor ja MgBot keräävät automaattisesti järjestelmä- ja verkkotietoja vaarantuneesta koneesta. |
||
Paikallisen järjestelmän tiedot |
Nightdoor ja MgBot keräävät tietoa käyttöjärjestelmästä ja käyttäjätiedoista. |
||
Tietojen vaiheistus: Paikallinen tietojen vaiheistus |
Nightdoor asettaa tiedot suodatusta varten levyllä oleviin tiedostoihin. |
||
Command and Control |
Sovelluskerrosprotokolla: Web -protokollat |
Nightdoor kommunikoi C&C-palvelimen kanssa HTTP:n avulla. |
|
Non-Application Layer Protocol |
Nightdoor kommunikoi C&C-palvelimen kanssa UDP:n avulla. MgBot kommunikoi C&C-palvelimen kanssa TCP:n avulla. |
||
Ei-standardi portti |
MgBot käyttää TCP-porttia 21010. |
||
Protokollatunnelointi |
Nightdoor voi toimia HTTP-välityspalvelimena, joka tunneli TCP-viestinnän. |
||
Web-palvelu |
Nightdoor käyttää Google Drivea C&C-viestintään. |
||
exfiltration |
Automaattinen suodatus |
Nightdoor ja MgBot suodattavat kerätyt tiedot automaattisesti. |
|
Suodattaminen verkkopalvelun kautta: suodatus pilvitallennustilaan |
Nightdoor voi suodata tiedostonsa Google Driveen. |
Liite
Kohdistetut IP-osoitealueet on esitetty seuraavassa taulukossa.
CIDR |
ISP |
Kaupunki |
Maa |
124.171.71.0/24 |
iiNet |
Sydney |
Australia |
125.209.157.0/24 |
iiNet |
Sydney |
Australia |
1.145.30.0/24 |
Telstra |
Sydney |
Australia |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australia |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australia |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australia |
45.113.1.0/24 |
HK 92 -palvelintekniikka |
Hongkong |
Hongkong |
172.70.191.0/24 |
CloudFlare |
Ahmedabad |
Intia |
49.36.224.0/24 |
Reliance Jio Infocomm |
Airoli |
Intia |
106.196.24.0/24 |
Bharti Airtel |
Bangalore |
Intia |
106.196.25.0/24 |
Bharti Airtel |
Bangalore |
Intia |
14.98.12.0/24 |
Tata Telepalvelut |
Bangalore |
Intia |
172.70.237.0/24 |
CloudFlare |
Chandīgarh |
Intia |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
Intia |
103.214.118.0/24 |
Airnet Boardband |
Delhi |
Intia |
45.120.162.0/24 |
Ani Boardband |
Delhi |
Intia |
103.198.173.0/24 |
Anonet |
Delhi |
Intia |
103.248.94.0/24 |
Anonet |
Delhi |
Intia |
103.198.174.0/24 |
Anonet |
Delhi |
Intia |
43.247.41.0/24 |
Anonet |
Delhi |
Intia |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
Intia |
103.212.145.0/24 |
Excitel |
Delhi |
Intia |
45.248.28.0/24 |
Omkar Electronics |
Delhi |
Intia |
49.36.185.0/24 |
Reliance Jio Infocomm |
Delhi |
Intia |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Intia |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Intia |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
Intia |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
Intia |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
Intia |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamīrpur |
Intia |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
Intia |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
Intia |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
Intia |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Intia |
162.158.235.0/24 |
CloudFlare |
Mumbai |
Intia |
162.158.48.0/24 |
CloudFlare |
Mumbai |
Intia |
162.158.191.0/24 |
CloudFlare |
Mumbai |
Intia |
162.158.227.0/24 |
CloudFlare |
Mumbai |
Intia |
172.69.87.0/24 |
CloudFlare |
Mumbai |
Intia |
172.70.219.0/24 |
CloudFlare |
Mumbai |
Intia |
172.71.198.0/24 |
CloudFlare |
Mumbai |
Intia |
172.68.39.0/24 |
CloudFlare |
New Delhi |
Intia |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Pālampur |
Intia |
103.195.253.0/24 |
Protoactin digitaalinen verkko |
Ranchi |
Intia |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
Intia |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
Intia |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
Intia |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
Intia |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
Intia |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
Intia |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Intia |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Intia |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Intia |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
tapa |
Intia |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
Tainan |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
Tainan |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
Tainan |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
Tainan |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
Tainan |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Kaukana EasTone-tietoliikenne |
Taoyuan kaupunki |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Taiwan Mobile |
yilan |
Taiwan |
185.93.229.0/24 |
Sucuri Security |
Ashburn |
Yhdysvallat |
128.61.64.0/24 |
Georgia-instituutti |
Atlanta |
Yhdysvallat |
216.66.111.0/24 |
Vermontin puhelin |
Wallingford |
Yhdysvallat |
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :on
- :On
- :ei
- :missä
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- pystyy
- Meistä
- pääsy
- Mukaan
- Tili
- Tilit
- hankittu
- Toimia
- toimet
- aktiivinen
- säädökset
- lisätä
- lisä-
- Lisäksi
- lisä-
- osoite
- osoitteet
- Lisää
- uudelleen
- vastaan
- Agentti
- jonka tarkoituksena
- algoritmi
- kohdista
- Kaikki
- sallia
- mahdollistaa
- jo
- Myös
- aina
- keskuudessa
- an
- analyysi
- analysoidaan
- ja
- vuotuinen
- Vuosittain
- anonyymi
- Toinen
- puhelinvastaaja
- Kaikki
- api
- API
- sovelluksen
- App Store
- omena
- Hakemus
- sovellukset
- käyttää
- sovellukset
- APT
- arkkitehtuuri
- Archive
- OVAT
- perustelu
- ARM
- Ryhmä
- AS
- Aasia
- osoitettu
- liittyvä
- At
- hyökkäys
- Hyökkäykset
- yritys
- attribuutteja
- Australia
- Tekijät
- automaattisesti
- saatavissa
- takaisin
- takaoven
- Takaportteja
- syötti
- perustua
- perustiedot
- BE
- ollut
- ennen
- ovat
- Uskoa
- kuuluu
- alle
- PARAS
- välillä
- sekä
- Sivuliike
- rakennettu
- mutta
- nappia
- by
- nimeltään
- Kampanja
- CAN
- kyvyt
- pääomittaa
- Aktivoitujen
- kuljettaa
- Century
- todistus
- todistukset
- ketju
- haaste
- Muutokset
- merkkejä
- tarkastaa
- tarkistettu
- Tarkastukset
- Kiina
- kiinalainen
- valintoja
- Kaupunki
- selkeä
- pilvi
- koodi
- kerätä
- KOM
- yhdistelmä
- Viestintä
- yritys
- verrattuna
- täydellinen
- komponentti
- osat
- kattava
- kompromissi
- Vaarantunut
- Laskea
- laskettu
- tietokone
- ehto
- johtavat
- luottamus
- Konfigurointi
- Kytkeminen
- liitäntä
- Liitännät
- ottaa yhteyttä
- sisältää
- sisälsi
- sisältää
- pitoisuus
- jatkuu
- jatkuva
- Keskustelu
- korjata
- vastaava
- voisi
- maahan
- Crash
- luoda
- luotu
- luo
- kryptografia
- Tällä hetkellä
- asiakassuhde
- tiedot
- Tietorakenne
- Päivämäärä
- Päivämäärät
- päivä
- päivää
- oletusarvo
- oletusarvot
- puolustukset
- toimittaa
- toimitus
- osoittivat
- Riippuen
- kuvattu
- sijoittaa
- käyttöön
- levityspinnalta
- lauennut
- on kuvattu
- kuvaus
- määränpää
- yksityiskohta
- havaittu
- Kehittäjä
- Kehitys
- Kehitysyhtiö
- laite
- eri
- Sulattaa
- digitaalinen
- hakemistot
- hakemisto
- löysi
- löytö
- jakelu
- jaettu
- do
- asiakirja
- ei
- Dont
- alas
- download
- lataaminen
- lataukset
- ajaa
- kuljettaja
- asemat
- Pudota
- putosi
- Drops
- kukin
- varhaisin
- helpottaa
- Itään
- koulutus
- kahdeksan
- myöskään
- upotettu
- salattu
- loppu
- Tekniikka
- parantaa
- viekoitteleva
- Koko
- yksiköt
- Vastaava
- virhe
- ESET-tutkimus
- perustaa
- jne.
- Tapahtumat
- Joka
- täsmälleen
- esimerkki
- yksinomaan
- suorittaa
- teloitettiin
- toteuttaja
- teloitus
- suodatus
- odotettu
- vienti
- laajennettu
- laajentaminen
- epäonnistuu
- väärennös
- helmikuu
- FESTIVAALI
- ala
- Fields
- Kuva
- kuviollinen
- filee
- Asiakirjat
- lopullinen
- Löytää
- palomuuri
- Etunimi
- Korjata
- virtaus
- seurannut
- jälkeen
- seuraa
- varten
- muoto
- kaava
- löytyi
- neljä
- Puitteet
- Ilmainen
- alkaen
- koko
- toiminto
- toiminnallisuudet
- toiminnallisuus
- tehtävät
- edelleen
- keräys
- tuottaa
- syntyy
- Georgia
- saada
- saa
- saada
- Goes
- Hallitus
- Julkisyhteisöt
- Graafinen
- Ryhmä
- Ryhmän
- Käsittely
- Tarvikkeet
- hasis
- hajautettu
- hajautusta
- Olla
- sankari
- Korkea
- korkean profiilin
- korkeampi
- Reikä
- Holes
- Hong
- Hongkong
- isäntä
- isännöi
- hotellit
- Kuitenkin
- HTML
- http
- HTTPS
- ID
- tunnistettu
- tunniste
- ids
- if
- havainnollistaa
- kuva
- tärkeä
- in
- Muilla
- mukana
- Mukaan lukien
- indeksit
- Intia
- indikaattorit
- henkilöt
- vaikutus
- tiedot
- Infrastruktuuri
- pistää
- panos
- syöttäminen
- Kyselyt
- sisällä
- asentaa
- asennetaan
- asentaminen
- sen sijaan
- Instituutti
- integroitu
- Intel
- Älykkyys
- tarkoitettu
- korko
- sisäisesti
- kansainvälisesti
- kansainvälisesti
- tulee
- IP
- IP-osoite
- IP-osoitteita
- Annettu
- IT
- SEN
- tammikuu
- Japani
- JavaScript
- jio
- jQuery
- json
- vain
- säilytetään
- avain
- avaimet
- Tietää
- tuntemus
- tunnettu
- Kong
- Kieli
- Myöhään
- myöhemmin
- uusin
- käynnistää
- käynnistettiin
- käynnistäminen
- kerros
- vähiten
- laillinen
- vipusuhteita
- Kirjasto
- pitää
- Lista
- lueteltu
- kuuntelee
- Listat
- Lives
- kuormitus
- loader
- lastaus
- paikallinen
- sijaitsevat
- sijainti
- katso
- mac
- kone
- MacOS
- taika-
- tärkein
- manner
- merkittävä
- Enemmistö
- Malesia
- ilkeä
- haittaohjelmat
- hoitaa
- monet
- naamiaiset
- ottelu
- tulitikut
- matching
- Saattaa..
- MD5
- me
- merkitys
- mielekäs
- tarkoitti
- mekanismi
- Muisti
- viesti
- viestien
- Metadata
- menetelmä
- ehkä
- puuttuva
- muokattu
- muokata
- modulaarinen
- Moduulit
- lisää
- eniten
- siirretty
- moninkertainen
- täytyy
- Myanmar
- nimi
- nimetty
- välttämätön
- tarvitaan
- verkko
- verkot
- Uusi
- uutiset
- seuraava
- Nigeria
- Nro
- huomata
- ilmoituksen
- numero
- objekti
- saada
- saatu
- saada
- hankkii
- Tilaisuudet
- of
- Tarjoukset
- virallinen
- Virallinen nettisivu
- Vanha
- vanhempi
- on
- kerran
- ONE
- vain
- päälle
- toiminta
- käyttöjärjestelmän
- toiminta
- operaattorit
- or
- organisaatio
- organisaatioiden
- OS
- Muut
- muuten
- meidän
- ulos
- ulostulo
- yli
- oma
- paketti
- paketit
- sivulla
- parametrit
- Ohi
- polku
- polut
- sitkeys
- Filippiinit
- kappale
- kappaletta
- Paikka
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Ole hyvä
- pistettä
- aiheuttamia
- mahdollinen
- esittää
- esitetty
- estää
- preview
- edellinen
- aiemmin
- yksityinen
- Ongelma
- tuotto
- prosessi
- Prosessit
- tuottaa
- Tuotteet
- Profiili
- ohjelmoitu
- edistää
- protokolla
- mikäli
- valtuutettu
- julkinen
- julkisesti
- julkaistu
- tarkoitus
- laatu
- karanteeni
- kysymys
- alue
- vaihtelee
- saavutettu
- vastaanottaa
- rekisterin
- liittyvä
- jäljellä oleva
- poistaminen
- poistettu
- tuottaa
- sulatettu
- tekee
- vastata
- raportoitu
- Raportit
- edustaa
- pyyntö
- Vaatii
- tutkimus
- Tutkijat
- vastuullinen
- käänteinen
- säännöt
- ajaa
- juoksu
- Ruoste
- suolaa
- sama
- näyte
- suunniteltu
- käsikirjoitus
- Toinen
- toissijainen
- Osa
- turvallinen
- turvallisuus
- nähdä
- nähneet
- valinta
- lähettää
- syyskuu
- palveli
- palvelin
- servers
- palvelu
- Palvelut
- useat
- yhteinen
- jakaminen
- Kuori
- shouldnt
- esitetty
- Näytä
- puoli
- allekirjoitus
- allekirjoitettu
- allekirjoittaminen
- samankaltainen
- koska
- Koko
- So
- Tuotteemme
- ohjelmistokehitys
- ratkaisu
- kaakko
- Tila
- erityinen
- erityisesti
- määritelty
- Vaihe
- vaiheissa
- Tähteä
- Lausunto
- Valtiot
- verkkokaupasta
- tallennettu
- Strateginen
- jono
- rakenne
- jäsennelty
- menestys
- niin
- toimittaa
- toimitusketju
- Tuetut
- epäilyttävä
- Vaihtaa
- järjestelmä
- taulukko
- Taiwan
- otettava
- vie
- Kohde
- kohdennettu
- kohdistaminen
- tavoitteet
- Tehtävä
- tehtävät
- joukkue-
- teknologia
- Elektroniikka
- terminaali
- alueiden
- kuin
- että
- -
- tiedot
- Filippiinit
- heidän
- Niitä
- itse
- sitten
- Siellä.
- siksi
- ne
- tätä
- ne
- uhkaus
- kolmella
- Kautta
- kauttaaltaan
- aika
- aikajana
- aikaleima
- että
- yhdessä
- symbolinen
- työkalu
- työkalupakki
- Yhteensä
- Kääntäminen
- totta
- Luottamus
- kaksi
- tyyppi
- tyypillinen
- kykenemätön
- varten
- ymmärtää
- unique
- Yhtenäinen
- Yhdysvallat
- yliopisto
- tuntematon
- tuleva
- Päivitykset
- URL
- us
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- yleensä
- arvo
- arvot
- variantti
- versio
- versiot
- hyvin
- kautta
- Uhri
- uhrit
- Vietnam
- Vierailla
- vieraili
- Vierailija
- Vierailijat
- Vierailut
- oli
- we
- verkko
- Verkkosivu
- sivustot
- HYVIN
- olivat
- Mitä
- kun
- onko
- joka
- KUKA
- leveä
- Laaja valikoima
- leveys
- wikipedia
- tulee
- ikkunat
- with
- sisällä
- sanoja
- kirjallinen
- vielä
- zephyrnet
- Postinumero