Les chercheurs d'ESET ont découvert une campagne de cyberespionnage qui, depuis au moins septembre 2023, victimise les Tibétains via un point d'eau ciblé (également connu sous le nom de compromission stratégique du Web) et une compromission de la chaîne d'approvisionnement pour fournir des installateurs troyens de logiciels de traduction en langue tibétaine. Les attaquants visaient à déployer des téléchargeurs malveillants pour Windows et macOS afin de compromettre les visiteurs du site Web avec MgBot et une porte dérobée qui, à notre connaissance, n'a pas encore été documentée publiquement ; nous l'avons nommé Nightdoor.
Points clés de cet article de blog :
- Nous avons découvert une campagne de cyberespionnage qui exploite le festival Monlam – un rassemblement religieux – pour cibler les Tibétains dans plusieurs pays et territoires.
- Les attaquants ont compromis le site Web de l'organisateur du festival annuel, qui se déroule en Inde, et ont ajouté du code malveillant pour créer une attaque de point d'eau ciblant les utilisateurs se connectant à partir de réseaux spécifiques.
- Nous avons également découvert que la chaîne d'approvisionnement d'un développeur de logiciels était compromise et que des programmes d'installation de chevaux de Troie pour Windows et macOS étaient proposés aux utilisateurs.
- Les attaquants ont utilisé un certain nombre de téléchargeurs malveillants et de portes dérobées complètes pour cette opération, notamment une porte dérobée publiquement non documentée pour Windows que nous avons baptisée Nightdoor.
- Nous attribuons cette campagne en toute confiance au groupe Evasive Panda APT, aligné sur la Chine.
Profil Panda évasif
Panda évasif (aussi connu sous le nom HAUTES-TERRES DE BRONZE ainsi que les Poignard) est un groupe APT de langue chinoise, actif depuis au moins 2012. ESET Research a observé le groupe mener du cyberespionnage contre des individus en Chine continentale, à Hong Kong, à Macao et au Nigeria. Des entités gouvernementales ont été ciblées en Asie du Sud-Est et de l’Est, en particulier en Chine, à Macao, au Myanmar, aux Philippines, à Taiwan et au Vietnam. D'autres organisations en Chine et à Hong Kong ont également été ciblées. Selon des informations publiques, le groupe aurait également ciblé des entités inconnues à Hong Kong, en Inde et en Malaisie.
Le groupe utilise son propre framework de malware personnalisé avec une architecture modulaire qui permet à sa porte dérobée, connue sous le nom de MgBot, de recevoir des modules pour espionner ses victimes et améliorer ses capacités. Depuis 2020, nous avons également observé qu'Evasive Panda a la capacité d'ouvrir ses portes dérobées via des attaques d'adversaire au milieu. détournement de mises à jour de logiciels légitimes.
Aperçu de la campagne
En janvier 2024, nous avons découvert une opération de cyberespionnage au cours de laquelle des attaquants ont compromis au moins trois sites Web pour mener des attaques de points d'eau, ainsi qu'une compromission de la chaîne d'approvisionnement d'une société de logiciels tibétaine.
Le site Web compromis, utilisé comme point d'eau, appartient au Kagyu International Monlam Trust, une organisation basée en Inde qui promeut le bouddhisme tibétain à l'échelle internationale. Les attaquants ont placé un script sur le site Web qui vérifie l'adresse IP de la victime potentielle et, si elle se trouve dans l'une des plages d'adresses ciblées, affiche une fausse page d'erreur pour inciter l'utilisateur à télécharger un « correctif » nommé certificat (avec une extension .exe si le visiteur utilise Windows ou .pkg si macOS). Ce fichier est un téléchargeur malveillant qui déploie la prochaine étape de la chaîne de compromission.
Sur la base des plages d'adresses IP recherchées par le code, nous avons découvert que les attaquants ciblaient des utilisateurs en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis ; l'attaque aurait pu viser à capitaliser sur l'intérêt international porté au festival Kagyu Monlam (Figure 1) qui a lieu chaque année en janvier dans la ville de Bodhgaya, en Inde.
Il est intéressant de noter que le réseau du Georgia Institute of Technology (également connu sous le nom de Georgia Tech) aux États-Unis fait partie des entités identifiées dans les plages d’adresses IP ciblées. Dans le passé, l'université a été mentionnée en lien avec l'influence du Parti communiste chinois sur les établissements d'enseignement aux États-Unis.
Vers septembre 2023, les attaquants ont compromis le site Web d'une société de développement de logiciels basée en Inde qui produit des logiciels de traduction en langue tibétaine. Les attaquants y ont placé plusieurs applications trojanisées qui déploient un téléchargeur malveillant pour Windows ou macOS.
En plus de cela, les attaquants ont également abusé du même site Internet et d’un site d’information tibétain appelé Tibetpost – tibetpost[.]net – pour héberger les charges utiles obtenues par les téléchargements malveillants, dont deux portes dérobées complètes pour Windows et un nombre inconnu de charges utiles pour macOS.
Nous attribuons avec une grande confiance cette campagne au groupe Evasive Panda APT, basée sur les logiciels malveillants utilisés : MgBot et Nightdoor. Dans le passé, nous avons vu les deux portes dérobées déployées ensemble, lors d’une attaque sans rapport contre une organisation religieuse à Taiwan, dans laquelle elles partageaient également le même serveur C&C. Ces deux points s’appliquent également à la campagne décrite dans cet article de blog.
Abreuvoir
Sur 14 Janvierth, 2024, nous avons détecté un script suspect à https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Un code masqué malveillant a été ajouté à un fichier légitime jQuery Script de bibliothèque JavaScript, comme le montre la figure 2.
Le script envoie une requête HTTP à l'adresse localhost http://localhost:63403/?callback=handleCallback pour vérifier si le téléchargeur intermédiaire de l'attaquant est déjà en cours d'exécution sur la machine de la victime potentielle (voir Figure 3). Sur une machine précédemment compromise, l'implant répond avec handleCallback({"succès":true }) (voir Figure 4) et aucune autre action n'est entreprise par le script.
Si la machine ne répond pas avec les données attendues, le code malveillant continue en obtenant un hachage MD5 auprès d'un serveur secondaire à https://update.devicebug[.]com/getVersion.php. Ensuite, le hachage est vérifié par rapport à une liste de 74 valeurs de hachage, comme le montre la figure 6.
S'il y a une correspondance, le script affichera une page HTML avec une fausse notification de crash (Figure 7) destinée à inciter l'utilisateur en visite à télécharger une solution pour résoudre le problème. La page imite le typique « Aw, Snap ! » avertissements de Google Chrome.
Le bouton « Correction immédiate » déclenche un script qui télécharge une charge utile basée sur le système d'exploitation de l'utilisateur (Figure 8).
Briser le hachage
La condition de livraison de la charge utile nécessite d'obtenir le hachage correct du serveur à update.devicebug[.]com, les 74 hachages sont donc la clé du mécanisme de sélection des victimes de l'attaquant. Cependant, étant donné que le hachage est calculé côté serveur, il nous a été difficile de savoir quelles données sont utilisées pour le calculer.
Nous avons expérimenté différentes adresses IP et configurations système et réduit l'entrée de l'algorithme MD5 à une formule des trois premiers octets de l'adresse IP de l'utilisateur. Autrement dit, en saisissant des adresses IP partageant le même préfixe réseau, par exemple 192.168.0.1 ainsi que les 192.168.0.50, recevra le même hachage MD5 du serveur C&C.
Cependant, une combinaison inconnue de caractères, ou un sel, est inclus avec la chaîne des trois premiers octets IP avant le hachage pour empêcher les hachages d'être forcés de manière triviale. Par conséquent, nous devions forcer brutalement le sel pour sécuriser la formule d'entrée, puis générer des hachages en utilisant toute la plage d'adresses IPv4 pour trouver les 74 hachages correspondants.
Parfois, les étoiles s'alignent et nous avons compris que le sel était 1qaz0okm !@#. Avec tous les éléments de la formule d'entrée MD5 (par exemple, 192.168.1.1qaz0okm !@#), nous avons facilement forcé les 74 hachages et généré une liste de cibles. Voir le Appendice pour une liste complète.
Comme le montre la figure 9, la majorité des plages d'adresses IP ciblées se trouvent en Inde, suivie par Taiwan, l'Australie, les États-Unis et Hong Kong. Notez que la plupart des Diaspora tibétaine vit en Inde.
Charge utile Windows
Sous Windows, les victimes de l'attaque se voient proposer un exécutable malveillant situé à l'emplacement https://update.devicebug[.]com/fixTools/certificate.exe. La figure 10 montre la chaîne d'exécution qui suit lorsque l'utilisateur télécharge et exécute le correctif malveillant.
certificat.exe est un compte-gouttes qui déploie une chaîne de chargement latéral pour charger un téléchargeur intermédiaire, memmgrset.dll (nommé en interne http_dy.dll). Cette DLL récupère un fichier JSON du serveur C&C à l'adresse https://update.devicebug[.]com/assets_files/config.json, qui contient les informations nécessaires pour télécharger l'étape suivante (voir Figure 11).
Lorsque l'étape suivante est téléchargée et exécutée, elle déploie une autre chaîne de chargement latéral pour fournir Nightdoor comme charge utile finale. Une analyse de Nightdoor est fournie ci-dessous dans le Porte de nuit .
Charge utile macOS
Le malware macOS est le même téléchargeur que nous documentons plus en détail dans Compromis de la chaîne d'approvisionnement. Cependant, celui-ci supprime un exécutable Mach-O supplémentaire, qui écoute sur le port TCP 63403. Son seul but est de répondre avec handleCallback({"succès":true }) à la demande de code JavaScript malveillant, donc si l'utilisateur visite à nouveau le site Web du point d'eau, le code JavaScript ne tentera pas de compromettre à nouveau le visiteur.
Ce téléchargeur obtient le fichier JSON du serveur et télécharge l'étape suivante, tout comme la version Windows décrite précédemment.
Compromis de la chaîne d'approvisionnement
Sur 18 Janvierth, nous avons découvert que le site Web officiel (Figure 12) d'un logiciel de traduction en langue tibétaine pour plusieurs plates-formes hébergeait des packages ZIP contenant des programmes d'installation de chevaux de Troie pour des logiciels légitimes qui déployaient des téléchargeurs malveillants pour Windows et macOS.
Nous avons trouvé une victime au Japon qui a téléchargé l'un des packages pour Windows. Le tableau 1 répertorie les URL et les implants abandonnés.
Tableau 1. URL des packages malveillants sur le site Web compromis et type de charge utile dans l'application compromise
URL du package malveillant |
Type de charge utile |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Téléchargeur Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Téléchargeur Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Téléchargeur Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
Téléchargeur macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
Téléchargeur macOS |
Paquets Windows
La figure 13 illustre la chaîne de chargement de l'application cheval de Troie à partir du package monlam-bodyig3.zip.
L'application cheval de Troie contient un compte-gouttes malveillant appelé Autorun.exe qui déploie deux composants :
- un fichier exécutable nommé MonlamUpdate.exe, qui est un composant logiciel d'un émulateur appelé C64 Pour toujours et est abusé pour le chargement latéral de DLL, et
- RPHost.dll, la DLL chargée latéralement, qui est un téléchargeur malveillant pour l'étape suivante.
Lorsque la DLL du téléchargeur est chargée en mémoire, elle crée une tâche planifiée nommée Déménagement destiné à être exécuté à chaque fois qu'un utilisateur se connecte. Cependant, comme la tâche ne spécifie pas de fichier à exécuter, elle ne parvient pas à établir la persistance.
Ensuite, cette DLL obtient un UUID et la version du système d'exploitation pour créer un agent utilisateur personnalisé et envoie une requête GET à https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat pour obtenir un fichier JSON contenant l'URL pour télécharger et exécuter une charge utile qu'il dépose dans le % TEMP% annuaire. Nous n'avons pas pu obtenir un échantillon des données de l'objet JSON du site Web compromis ; donc on ne sait pas d'où exactement default_ico.exe est téléchargé, comme illustré dans la figure 13.
Via la télémétrie ESET, nous avons remarqué que les MonlamUpdate.exe processus téléchargé et exécuté à différentes occasions au moins quatre fichiers malveillants pour %TEMP%default_ico.exe. Le tableau 2 répertorie ces fichiers et leur objectif.
Tableau 2. Hachage du default_ico.exe téléchargeur/compte-gouttes, URL C&C contactée et description du téléchargeur
SHA-1 |
URL contactée |
Objectif |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Télécharge une charge utile inconnue depuis le serveur. |
F0F8F60429E3316C463F |
Télécharge une charge utile inconnue depuis le serveur. Cet exemple a été écrit en Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Télécharge un compte-gouttes Nightdoor nommé au hasard. |
BFA2136336D845184436 |
N/D |
Outil open source Information système, dans lequel les attaquants ont intégré leur code malveillant et embarqué un blob chiffré qui, une fois déchiffré et exécuté, installe MgBot. |
Enfin, la default_ico.exe Le téléchargeur ou le dropper obtiendront la charge utile du serveur ou la déposeront, puis l'exécuteront sur la machine victime, en installant soit Nightdoor (voir le Porte de nuit section) ou MgBot (voir notre analyse précédente).
Les deux packages de chevaux de Troie restants sont très similaires, déployant la même DLL de téléchargement malveillante chargée latéralement par l'exécutable légitime.
Forfaits macOS
L'archive ZIP téléchargée depuis l'App Store officiel contient un package d'installation modifié (.pkg fichier), où un exécutable Mach-O et un script de post-installation ont été ajoutés. Le script de post-installation copie le fichier Mach-O dans $HOME/Bibliothèque/Conteneurs/CalendarFocusEXT/ et procède à l'installation d'un agent de lancement dans $HOME/Bibliothèque/LaunchAgents/com.Terminal.us.plist pour la persévérance. La figure 14 montre le script responsable de l'installation et du lancement de l'agent de lancement malveillant.
Le malveillant Mach-O, Monlam-bodyig_Keyboard_2017 dans la figure 13 est signé, mais non notarié, à l'aide d'un certificat de développeur (et non d'un Type de certificat habituellement utilisé pour la distribution) avec le nom et l'identifiant de l'équipe ouais ni yang (2289F6V4BN). L'horodatage dans la signature indique qu'elle a été signée le 7 janvier.th, 2024. Cette date est également utilisée dans l'horodatage modifié des fichiers malveillants dans les métadonnées de l'archive ZIP. Le certificat a été délivré seulement trois jours auparavant. Le certificat complet est disponible dans le IoCs section. Notre équipe a contacté Apple le 25 janvierth et le certificat a été révoqué le même jour.
Ce malware de première étape télécharge un fichier JSON contenant l’URL de l’étape suivante. L'architecture (ARM ou Intel), la version macOS et l'UUID matériel (un identifiant unique à chaque Mac) sont signalés dans l'en-tête de requête HTTP User-Agent. La même URL que la version Windows est utilisée pour récupérer cette configuration : https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Cependant, la version macOS examinera les données sous la clé mac de l'objet JSON au lieu du gagner clé.
L'objet sous la clé mac doit contenir les éléments suivants :
- url: L'URL de l'étape suivante.
- md5: Somme MD5 de la charge utile.
- vernow: Une liste des UUID matériels. Si elle est présente, la charge utile ne sera installée que sur les Mac dotés de l’un des UUID matériels répertoriés. Cette vérification est ignorée si la liste est vide ou manquante.
- version: Une valeur numérique qui doit être supérieure à la « version » du deuxième étage précédemment téléchargée. Autrement, la charge utile n'est pas téléchargée. La valeur de la version en cours d'exécution est conservée dans l'application paramètres par défaut de l'utilisateur.
Une fois que le logiciel malveillant a téléchargé le fichier à partir de l'URL spécifiée à l'aide de curl, le fichier est haché à l'aide de MD5 et comparé au résumé hexadécimal sous le md5 clé. S'il correspond, ses attributs étendus sont supprimés (pour effacer l'attribut com.apple.quarantine), le fichier est déplacé vers $HOME/Bibliothèque/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, et est lancé en utilisant vice-président exécutif avec l'argument run.
Contrairement à la version Windows, nous n’avons trouvé aucune des étapes ultérieures de la variante macOS. Une configuration JSON contenait un hachage MD5 (3C5739C25A9B85E82E0969EE94062F40), mais le champ URL était vide.
Porte de nuit
La porte dérobée que nous avons nommée Nightdoor (et est nommée NetMM par les auteurs de logiciels malveillants selon les chemins PDB) est un ajout tardif à l'ensemble d'outils d'Evasive Panda. Nos premières connaissances sur Nightdoor remontent à 2020, lorsque Evasive Panda l'a déployé sur une machine d'une cible très médiatisée au Vietnam. La porte dérobée communique avec son serveur C&C via UDP ou l'API Google Drive. L'implant Nightdoor de cette campagne utilisait ce dernier. Il crypte une API Google OAuth 2.0 jeton dans la section de données et utilise le jeton pour accéder au Google Drive de l'attaquant. Nous avons demandé la suppression du compte Google associé à ce token.
Tout d'abord, Nightdoor crée un dossier dans Google Drive contenant l'adresse MAC de la victime, qui fait également office d'identifiant de victime. Ce dossier contiendra tous les messages entre l'implant et le serveur C&C. Chaque message entre Nightdoor et le serveur C&C est structuré sous forme de fichier et séparé en nom de fichier et données de fichier, comme illustré dans la figure 15.
Chaque nom de fichier contient huit attributs principaux, comme le montre l'exemple ci-dessous.
Mise en situation :
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: valeur magique.
- 0C64C2BAEF534C8E9058797BCD783DE5: en-tête de pbuf Structure de données.
- 168: taille de l'objet message ou taille du fichier en octets.
- 0: nom de fichier, qui est toujours la valeur par défaut de 0 (null).
- 1: type de commande, codé en dur à 1 ou 0 selon l'échantillon.
- 4116: identifiant de commande.
- 0: qualité de service (QoS).
- 00-00-00-00-00-00: censé être l'adresse MAC de la destination mais la valeur par défaut est toujours 00-00-00-00-00-00.
Les données contenues dans chaque fichier représentent la commande du contrôleur pour la porte dérobée et les paramètres nécessaires pour l'exécuter. La figure 16 montre un exemple de message de serveur C&C stocké sous forme de données de fichier.
Grâce à l'ingénierie inverse Nightdoor, nous avons pu comprendre la signification des champs importants présentés dans le fichier, comme le montre la figure 17.
Nous avons constaté que de nombreux changements significatifs ont été ajoutés à la version Nightdoor utilisée dans cette campagne, l'un d'entre eux étant l'organisation des identifiants de commande. Dans les versions précédentes, chaque ID de commande était attribué un par un à une fonction de gestionnaire, comme le montre la figure 18. Les choix de numérotation, tels que de Assistance à Assistance , de Assistance à Assistance , de Assistance à Assistance , et de Assistance à Assistance , a suggéré que les commandes soient divisées en groupes ayant des fonctionnalités similaires.
Cependant, dans cette version, Nightdoor utilise une table de branchement pour organiser tous les ID de commande avec leurs gestionnaires correspondants. Les ID de commande sont continus et agissent comme des index pour leurs gestionnaires correspondants dans la table de branchement, comme le montre la figure 19.
Le tableau 3 est un aperçu des commandes du serveur C&C et de leurs fonctionnalités. Ce tableau contient les nouveaux ID de commande ainsi que les ID équivalents des anciennes versions.
Tableau 3. Commandes prises en charge par les variantes Nightdoor utilisées dans cette campagne.
ID de commande |
ID de commande précédent |
Description |
|
Assistance |
Assistance |
Collectez des informations de base sur le profil du système telles que : – Version du système d'exploitation – Adaptateurs réseau IPv4, adresses MAC et adresses IP – Nom du processeur - Nom de l'ordinateur - Nom d'utilisateur – Noms des pilotes de périphériques – Tous les noms d’utilisateur de C:Utilisateurs* - Heure locale – Adresse IP publique utilisant le ifconfig.me or ipinfo.io service Web |
|
Assistance |
Assistance |
Collectez des informations sur les lecteurs de disque tels que : – Nom du lecteur – Espace libre et espace total – Type de système de fichiers : NTFS, FAT32, etc. |
|
Assistance |
Assistance |
Collectez des informations sur toutes les applications installées sous les clés de registre Windows : - LOGICIEL HKLM - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionDésinstallation (x86) |
|
Assistance |
Assistance |
Collectez des informations sur les processus en cours d'exécution, tels que : - Nom du processus - Le nombre de fils - Nom d'utilisateur – Emplacement du fichier sur le disque – Description du fichier sur le disque |
|
Assistance |
Assistance |
Créez un shell inversé et gérez les entrées et les sorties via des canaux anonymes. |
|
Assistance |
|||
Assistance |
|||
Assistance |
N/D |
Auto-désinstallation. |
|
0x100C |
Assistance |
Déplacer le fichier. Le chemin est fourni par le serveur C&C. |
|
0x100B |
Assistance |
Supprimer le fichier. Le chemin est fourni par le serveur C&C. |
|
Assistance |
Assistance |
Obtenez les attributs du fichier. Le chemin est fourni par le serveur C&C. |
Conclusion
Nous avons analysé une campagne menée par l’APT Evasive Panda, alignée sur la Chine, qui ciblait les Tibétains dans plusieurs pays et territoires. Nous pensons que les attaquants ont profité, à l'époque, du prochain festival Monlam en janvier et février 2024 pour compromettre les utilisateurs lorsqu'ils visitaient le site Web du festival, devenu point d'eau. En outre, les attaquants ont compromis la chaîne d’approvisionnement d’un développeur de logiciels d’applications de traduction en langue tibétaine.
Les attaquants ont déployé plusieurs téléchargeurs, droppers et portes dérobées, dont MgBot – utilisé exclusivement par Evasive Panda – et Nightdoor : le dernier ajout majeur à la boîte à outils du groupe et qui a été utilisé pour cibler plusieurs réseaux en Asie de l'Est.
Une liste complète des indicateurs de compromission (IoC) et des exemples peuvent être trouvés dans notre GitHub référentiel.
Pour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à menaceintel@eset.com.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .
IoCs
Fichiers
SHA-1 |
Nom de fichier |
Détection |
Description |
0A88C3B4709287F70CA2 |
Autorun.exe |
Win32/Agent.AGFU |
Composant Dropper ajouté au package d'installation officiel. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Téléchargeur intermédiaire. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Téléchargeur intermédiaire programmé dans Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Téléchargeur Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Compte-gouttes de porte de nuit. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Chargeur intermédiaire. |
5273B45C5EABE64EDBD0 |
certificat.pkg |
OSX/Agent.DJ |
Composant compte-gouttes MacOS. |
5E5274C7D931C1165AA5 |
certificat.exe |
Win32/Agent.AGES |
Composant compte-gouttes du site Web compromis. |
59AA9BE378371183ED41 |
par défaut_ico_1.exe |
Win32/Agent.AGFO |
Composant compte-gouttes Nightdoor. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Chargeur intermédiaire pour le composant de téléchargement Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Chargeur intermédiaire pour Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Installateur cheval de Troie. |
2A96338BACCE3BB687BD |
Jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript malveillant ajouté au site Web compromis. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Installateur cheval de Troie. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Package d'installation d'un cheval de Troie. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Package d'installation d'un cheval de Troie. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-pour-mac-OS-X.zip |
OSX/Agent.DJ |
Package d'installation du cheval de Troie MacOS. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
Package d'installation du cheval de Troie MacOS. |
C0575AF04850EB1911B0 |
Sécurité~.x64 |
OSX/Agent.DJ |
Téléchargeur MacOS. |
7C3FD8EE5D660BBF43E4 |
Sécurité~.arm64 |
OSX/Agent.DJ |
Téléchargeur MacOS. |
FA78E89AB95A0B49BC06 |
Sécurité.fat |
OSX/Agent.DJ |
Composant de téléchargement MacOS. |
5748E11C87AEAB3C19D1 |
Fichier d'export Monlam_Grand_Dictionary |
OSX/Agent.DJ |
Composant malveillant du package d’installation du cheval de Troie macOS. |
Certificats
Numéro de série |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Empreinte |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Sujet NC |
Développement Apple : ya ni yang (2289F6V4BN) |
Sujet O |
ouais ni yang |
Sujet L |
N/D |
Sujets |
N/D |
Sujet C |
US |
Valide à partir de |
2024-01-04 05:26:45 |
Valable pour |
2025-01-03 05:26:44 |
Numéro de série |
6014B56E4FFF35DC4C948452B77C9AA9 |
Empreinte |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Sujet NC |
KP MOBILE |
Sujet O |
KP MOBILE |
Sujet L |
N/D |
Sujets |
N/D |
Sujet C |
KR |
Valide à partir de |
2021-10-25 00:00:00 |
Valable pour |
2022-10-25 23:59:59 |
IP |
Domaine |
Fournisseur d'hébergement |
Vu la première fois |
Détails |
N/D |
tibetpost[.]net |
N/D |
2023-11-29 |
Site Web compromis. |
N/D |
www.monlamit[.]com |
N/D |
2024-01-24 |
Site Web compromis. |
N/D |
update.devicebug[.]com |
N/D |
2024-01-14 |
DC. |
188.208.141[.]204 |
N/D |
Amol Hingade |
2024-02-01 |
Serveur de téléchargement pour le composant compte-gouttes Nightdoor. |
Techniques d'ATT&CK D'ONGLET
Ce tableau a été construit avec Version 14 du cadre MITRE ATT&CK.
Tactique |
ID |
Nom |
Description |
Développement des ressources |
Acquérir une infrastructure : serveur |
Evasive Panda a acquis des serveurs pour l'infrastructure C&C de Nightdoor, MgBot et le composant de téléchargement macOS. |
|
Acquérir une infrastructure : services Web |
Evasive Panda a utilisé le service Web de Google Drive pour l'infrastructure C&C de Nightdoor. |
||
Infrastructure de compromis : serveur |
Les opérateurs d'Evasive Panda ont compromis plusieurs serveurs pour les utiliser comme points d'eau, pour une attaque de la chaîne d'approvisionnement, et pour héberger des charges utiles et les utiliser comme serveurs C&C. |
||
Établir des comptes : comptes cloud |
Evasive Panda a créé un compte Google Drive et l'a utilisé comme infrastructure C&C. |
||
Développer des capacités : logiciels malveillants |
Evasive Panda a déployé des implants personnalisés tels que MgBot, Nightdoor et un composant de téléchargement macOS. |
||
T1588.003 |
Obtenir des capacités : certificats de signature de code |
Evasive Panda a obtenu des certificats de signature de code. |
|
Capacités de la scène : cible en voiture |
Les opérateurs d'Evasive Panda ont modifié un site Web très médiatisé pour ajouter un morceau de code JavaScript qui affiche une fausse notification pour télécharger des logiciels malveillants. |
||
Accès initial |
Compromis au volant |
Les visiteurs de sites Web compromis peuvent recevoir un faux message d'erreur les incitant à télécharger des logiciels malveillants. |
|
Compromis de la chaîne d'approvisionnement : logiciel de compromis chaîne d'approvisionnement |
Evasive Panda a troqué les packages d'installation officiels d'un éditeur de logiciels. |
||
Internationaux |
API native |
Nightdoor, MgBot et leurs composants de téléchargement intermédiaires utilisent les API Windows pour créer des processus. |
|
Tâche/Tâche planifiée : Tâche planifiée |
Les composants de chargement de Nightdoor et MgBot peuvent créer des tâches planifiées. |
||
Persistence |
Créer ou modifier un processus système : service Windows |
Les composants de chargement de Nightdoor et MgBot peuvent créer des services Windows. |
|
Flux d'exécution de piratage : chargement latéral de DLL |
Les composants dropper de Nightdoor et MgBot déploient un fichier exécutable légitime qui charge latéralement un chargeur malveillant. |
||
Évasion défensive |
Désobscurcir/décoder des fichiers ou des informations |
Les composants DLL de l'implant Nightdoor sont déchiffrés en mémoire. |
|
Altérer les défenses : désactiver ou modifier le pare-feu du système |
Nightdoor ajoute deux règles de pare-feu Windows pour autoriser les communications entrantes et sortantes pour sa fonctionnalité de serveur proxy HTTP. |
||
Suppression de l'indicateur : suppression de fichier |
Nightdoor et MgBot peuvent supprimer des fichiers. |
||
Suppression de l'indicateur : Effacer la persistance |
Nightdoor et MgBot peuvent se désinstaller eux-mêmes. |
||
Mascarade : Tâche ou service de mascarade |
Le chargeur de Nightdoor a déguisé sa tâche en netsvcs. |
||
Masquage : correspond à un nom ou à un emplacement légitime |
Le programme d'installation de Nightdoor déploie ses composants dans des répertoires système légitimes. |
||
Fichiers ou informations obscurcis : charges utiles intégrées |
Le composant dropper de Nightdoor contient des fichiers malveillants intégrés qui sont déployés sur le disque. |
||
Injection de processus : injection de bibliothèque de liens dynamiques |
Les composants des chargeurs Nightdoor et MgBot s'injectent dans svchost.exe. |
||
Chargement de code réfléchissant |
Les composants de chargement de Nightdoor et MgBot s'injectent dans svchost.exe, d'où ils chargent la porte dérobée Nightdoor ou MgBot. |
||
Découverte |
Découverte de compte : compte local |
Nightdoor et MgBot collectent des informations sur les comptes utilisateurs du système compromis. |
|
Découverte de fichiers et de répertoires |
Nightdoor et MgBot peuvent collecter des informations à partir de répertoires et de fichiers. |
||
Découverte de processus |
Nightdoor et MgBot collectent des informations sur les processus. |
||
Registre de requête |
Nightdoor et MgBot interrogent le registre Windows pour trouver des informations sur les logiciels installés. |
||
Découverte de logiciels |
Nightdoor et MgBot collectent des informations sur les logiciels et services installés. |
||
Propriétaire du système/Découverte des utilisateurs |
Nightdoor et MgBot collectent des informations sur les comptes utilisateurs du système compromis. |
||
Découverte des informations système |
Nightdoor et MgBot collectent un large éventail d'informations sur le système compromis. |
||
Découverte des connexions réseau du système |
Nightdoor et MgBot peuvent collecter les données de toutes les connexions TCP et UDP actives sur la machine compromise. |
||
Collection |
Archiver les données collectées |
Nightdoor et MgBot stockent les données collectées dans des fichiers cryptés. |
|
Collecte automatisée |
Nightdoor et MgBot collectent automatiquement des informations système et réseau sur la machine compromise. |
||
Données du système local |
Nightdoor et MgBot collectent des informations sur le système d'exploitation et les données utilisateur. |
||
Mise en scène des données : mise en place des données locales |
Nightdoor organise les données pour l'exfiltration dans des fichiers sur le disque. |
||
Commander et contrôler |
Protocole de couche d'application : protocoles Web |
Nightdoor communique avec le serveur C&C via HTTP. |
|
Protocole de couche non applicative |
Nightdoor communique avec le serveur C&C via UDP. MgBot communique avec le serveur C&C via TCP. |
||
Port non standard |
MgBot utilise le port TCP 21010. |
||
Tunnellisation de protocole |
Nightdoor peut agir comme un serveur proxy HTTP, tunnelisant la communication TCP. |
||
Service Web |
Nightdoor utilise Google Drive pour la communication C&C. |
||
exfiltration |
Exfiltration automatisée |
Nightdoor et MgBot exfiltrent automatiquement les données collectées. |
|
Exfiltration sur service Web : exfiltration vers le stockage dans le cloud |
Nightdoor peut exfiltrer ses fichiers vers Google Drive. |
Appendice
Les plages d'adresses IP ciblées sont fournies dans le tableau suivant.
CIDR |
ISP |
Ville |
Pays |
124.171.71.0/24 |
iiNet |
Sydney |
Australie |
125.209.157.0/24 |
iiNet |
Sydney |
Australie |
1.145.30.0/24 |
Telstra |
Sydney |
Australie |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australie |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australie |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australie |
45.113.1.0/24 |
Technologie du serveur HK 92 |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
Cloudflare |
Ahmedabad |
Inde |
49.36.224.0/24 |
Reliance Jio Infocomm |
Aéroli |
Inde |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
Inde |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
Inde |
14.98.12.0/24 |
Téléservices Tata |
Bengaluru |
Inde |
172.70.237.0/24 |
Cloudflare |
Chandigarh |
Inde |
117.207.51.0/24 |
Bharat Sanchar Nigam Limitée |
Dalhousie |
Inde |
103.214.118.0/24 |
Bande de conseil Airnet |
Delhi |
Inde |
45.120.162.0/24 |
Ani Boardband |
Delhi |
Inde |
103.198.173.0/24 |
Anonet |
Delhi |
Inde |
103.248.94.0/24 |
Anonet |
Delhi |
Inde |
103.198.174.0/24 |
Anonet |
Delhi |
Inde |
43.247.41.0/24 |
Anonet |
Delhi |
Inde |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
Inde |
103.212.145.0/24 |
Excite |
Delhi |
Inde |
45.248.28.0/24 |
Omkar Électronique |
Delhi |
Inde |
49.36.185.0/24 |
Reliance Jio Infocomm |
Delhi |
Inde |
59.89.176.0/24 |
Bharat Sanchar Nigam Limitée |
Dharamsala |
Inde |
117.207.57.0/24 |
Bharat Sanchar Nigam Limitée |
Dharamsala |
Inde |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
Inde |
182.64.251.0/24 |
Bharti Airtel |
Gandarbal |
Inde |
117.255.45.0/24 |
Bharat Sanchar Nigam Limitée |
Haliyal |
Inde |
117.239.1.0/24 |
Bharat Sanchar Nigam Limitée |
Hamirpur |
Inde |
59.89.161.0/24 |
Bharat Sanchar Nigam Limitée |
Jaipur |
Inde |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
Inde |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
Inde |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Inde |
162.158.235.0/24 |
Cloudflare |
Mumbai |
Inde |
162.158.48.0/24 |
Cloudflare |
Mumbai |
Inde |
162.158.191.0/24 |
Cloudflare |
Mumbai |
Inde |
162.158.227.0/24 |
Cloudflare |
Mumbai |
Inde |
172.69.87.0/24 |
Cloudflare |
Mumbai |
Inde |
172.70.219.0/24 |
Cloudflare |
Mumbai |
Inde |
172.71.198.0/24 |
Cloudflare |
Mumbai |
Inde |
172.68.39.0/24 |
Cloudflare |
New Delhi |
Inde |
59.89.177.0/24 |
Bharat Sanchar Nigam Limitée |
Palampur |
Inde |
103.195.253.0/24 |
Réseau numérique Protoact |
Ranchi |
Inde |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
Inde |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
Inde |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
Inde |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
Inde |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
Inde |
117.255.44.0/24 |
Bharat Sanchar Nigam Limitée |
Sirsi |
Inde |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Inde |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Inde |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Inde |
117.207.48.0/24 |
Bharat Sanchar Nigam Limitée |
Yol |
Inde |
175.181.134.0/24 |
InfoComm du nouveau siècle |
Hsinchu |
Taïwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taïwan |
36.237.104.0/24 |
Chunghwa Telecom |
Je pense |
Taïwan |
36.237.128.0/24 |
Chunghwa Telecom |
Je pense |
Taïwan |
36.237.189.0/24 |
Chunghwa Telecom |
Je pense |
Taïwan |
42.78.14.0/24 |
Chunghwa Telecom |
Je pense |
Taïwan |
61.216.48.0/24 |
Chunghwa Telecom |
Je pense |
Taïwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taïwan |
106.64.121.0/24 |
Télécommunications Far EasTone |
Taoyuan City |
Taïwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taïwan |
122.100.113.0/24 |
Taiwan Mobile |
Yilan |
Taïwan |
185.93.229.0/24 |
Sucuri Sécurité |
Ashburn |
États-Unis |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
États-Unis |
216.66.111.0/24 |
Téléphone du Vermont |
Wallingford |
États-Unis |
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :possède
- :est
- :ne pas
- :où
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Capable
- Qui sommes-nous
- accès
- Selon
- Compte
- hybrides
- a acquise
- Agis
- actes
- infection
- actes
- ajouter
- ajoutée
- ajout
- Supplémentaire
- propos
- adresses
- Ajoute
- encore
- à opposer à
- Agent
- Destinée
- algorithme
- aligner
- Tous
- permettre
- permet
- déjà
- aussi
- toujours
- parmi
- an
- selon une analyse de l’Université de Princeton
- analysé
- ainsi que les
- annuel
- Annuellement
- Témoignages
- Une autre
- répondre
- tous
- api
- Apis
- appli
- app store
- Apple
- Application
- applications
- Appliquer
- applications
- APT
- architecture
- Archive
- SONT
- argument
- BRAS
- tableau
- AS
- Asie
- attribué
- associé
- At
- attaquer
- Attaques
- tentative
- attributs
- Australie
- auteurs
- automatiquement
- disponibles
- RETOUR
- détourné
- Backdoors
- appât
- basé
- Essentiel
- BE
- était
- before
- va
- CROYONS
- appartient
- ci-dessous
- LES MEILLEURS
- jusqu'à XNUMX fois
- tous les deux
- Branche
- construit
- mais
- bouton (dans la fenêtre de contrôle qui apparaît maintenant)
- by
- appelé
- Campagne
- CAN
- capacités
- capitaliser
- capitalisé
- porter
- siècle
- certificat
- certificats
- chaîne
- challenge
- Modifications
- caractères
- vérifier
- vérifié
- Contrôles
- Chine
- chinois
- choix
- Ville
- clair
- le cloud
- code
- recueillir
- COM
- combinaison
- Communication
- Société
- par rapport
- complet
- composant
- composants électriques
- complet
- compromis
- Compromise
- calcul
- calculé
- ordinateur
- condition
- conduite
- confiance
- configuration
- Connecter les
- connexion
- Connexions
- contact
- contiennent
- contenu
- contient
- contenu
- continue
- continu
- Conversation
- correct
- Correspondant
- pourriez
- d'exportation
- Crash
- engendrent
- créée
- crée des
- de la cryptographie
- Lecture
- Customiser
- données
- Structure de données
- Date
- Dates
- journée
- jours
- Réglage par défaut
- par défaut
- défenses
- livrer
- page de livraison.
- démontré
- Selon
- représenté
- déployer
- déployé
- déployer
- déploie
- décrit
- la description
- destination
- détail
- détecté
- Développeur
- Développement
- Entreprise de développement
- dispositif
- différent
- Digérer
- numérique
- répertoires
- annuaire
- découvert
- découverte
- distribution
- divisé
- do
- document
- Ne pas
- down
- download
- téléchargement
- téléchargements
- motivation
- driver
- les lecteurs
- Goutte
- chuté
- Drops
- chacun
- le plus tôt
- facilité
- Est
- Éducation
- huit
- non plus
- intégré
- crypté
- fin
- ENGINEERING
- de renforcer
- alléchantes
- Tout
- entités
- Équivalent
- erreur
- Recherche ESET
- établir
- etc
- événements
- Chaque
- exactement
- exemple
- uniquement au
- exécuter
- réalisé
- Exécute
- exécution
- exfiltration
- attendu
- Exporter
- prolongé
- extension
- échoue
- faux
- Février
- FESTIVAL
- champ
- Des champs
- Figure
- figuré
- Déposez votre dernière attestation
- Fichiers
- finale
- Trouvez
- pare-feu
- Prénom
- Fixer
- flux
- suivi
- Abonnement
- suit
- Pour
- le format
- formule
- trouvé
- quatre
- Framework
- Gratuit
- de
- plein
- fonction
- fonctionnalités
- fonctions
- plus
- rassemblement
- générer
- généré
- État de la Georgie
- obtenez
- obtient
- obtention
- Goes
- Gouvernement
- Entités gouvernementales
- Graphique
- Réservation de groupe
- Groupes
- Maniabilité
- Matériel
- hachage
- haché
- Hachage
- Vous avez
- Tenue
- Haute
- haut profil
- augmentation
- Trou
- des trous
- Hong
- Hong Kong
- hôte
- organisé
- hébergement
- Cependant
- HTML
- http
- HTTPS
- ID
- identifié
- identifiant
- ids
- if
- illustre
- image
- important
- in
- Dans d'autres
- inclus
- Y compris
- index
- Inde
- Indicateurs
- individus
- influencer
- d'information
- Infrastructure
- injecter
- contribution
- entrée
- Messages
- à l'intérieur
- installer
- Installé
- installer
- plutôt ;
- Institut
- des services
- Intel
- Intelligence
- prévu
- intérêt
- intérieurement
- International
- internationalement
- développement
- IP
- IP dédiée
- adresses IP
- Publié
- IT
- SES
- Janvier
- Japon
- JavaScript
- jio
- jQuery
- json
- juste
- conservé
- ACTIVITES
- clés
- Savoir
- spécialisées
- connu
- Kong
- langue
- En retard
- plus tard
- Nouveautés
- lancer
- lancé
- lancement
- couche
- au
- légitime
- les leviers
- Bibliothèque
- comme
- Liste
- Listé
- écoute
- Liste
- Vit
- charge
- chargeur
- chargement
- locales
- situé
- emplacement
- Style
- mac
- click
- macos
- la magie
- Entrée
- continent
- majeur
- Majorité
- Malaisie
- malveillant
- malware
- gérer
- de nombreuses
- mascarade
- Match
- allumettes
- assorti
- Mai..
- MD5
- me
- sens
- significative
- signifiait
- mécanisme
- Mémoire
- message
- messages
- Métadonnées
- méthode
- pourrait
- manquant
- modifié
- modifier
- application
- Modules
- PLUS
- (en fait, presque toutes)
- déménagé
- plusieurs
- must
- Myanmar
- prénom
- Nommé
- nécessaire
- nécessaire
- réseau et
- réseaux
- Nouveauté
- nouvelles
- next
- Nigéria
- aucune
- noter
- déclaration
- nombre
- objet
- obtenir
- obtenu
- obtention
- obtient
- occasions
- of
- Offres Speciales
- officiel
- Site officiel
- Vieux
- plus
- on
- une fois
- ONE
- uniquement
- sur
- d'exploitation
- le système d'exploitation
- opération
- opérateurs
- or
- organisation
- organisations
- OS
- Autre
- autrement
- nos
- ande
- sortie
- plus de
- propre
- paquet
- Forfaits
- page
- paramètres
- passé
- chemin
- chemins
- persistance
- Philippines
- pièce
- pièces
- Place
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- veuillez cliquer
- des notes bonus
- posé
- défaillances
- représentent
- présenté
- empêcher
- Aperçu
- précédent
- précédemment
- Privé
- Problème
- produit
- processus
- les process
- produit
- Produit
- Profil
- programmé
- favorise
- protocole
- à condition de
- procuration
- public
- publiquement
- publié
- but
- qualité
- quarantaine
- question
- gamme
- gammes
- atteint
- recevoir
- enregistrement
- en relation
- restant
- enlèvement
- Supprimé
- rendement
- rendu
- rend
- répondre
- Signalé
- Rapports
- représente
- nécessaire
- a besoin
- un article
- chercheurs
- responsables
- inverser
- Courir
- pour le running
- Calme
- sel
- même
- échantillon
- prévu
- scénario
- Deuxièmement
- secondaire
- Section
- sécurisé
- sécurité
- sur le lien
- vu
- sélection
- envoie
- Septembre
- servi
- serveur
- Serveurs
- service
- Services
- plusieurs
- commun
- partage
- coquillage
- devrait
- montré
- Spectacles
- côté
- Signature
- signé
- signature
- similaires
- depuis
- Taille
- So
- Logiciels
- développement de logiciels
- sur mesure
- Sud est
- Space
- groupe de neurones
- spécifiquement
- spécifié
- Étape
- étapes
- Étoiles
- Déclaration
- États
- Boutique
- stockée
- Stratégique
- Chaîne
- structure
- structuré
- succès
- tel
- la quantité
- chaîne d'approvisionnement
- Appareils
- soupçonneux
- Interrupteur
- combustion propre
- table
- Taïwan
- tâches
- prend
- Target
- des campagnes marketing ciblées,
- ciblage
- objectifs
- Tâche
- tâches
- équipe
- technologie
- Technologie
- terminal
- territoires
- que
- qui
- Les
- les informations
- Philippines
- leur
- Les
- se
- puis
- Là.
- donc
- l'ont
- this
- ceux
- menace
- trois
- Avec
- tout au long de
- fiable
- calendrier
- horodatage
- à
- ensemble
- jeton
- outil
- Boîte à outils
- Total
- Traduction
- oui
- La confiance
- deux
- type
- débutante
- incapable
- sous
- comprendre
- expérience unique et authentique
- Uni
- États-Unis
- université
- inconnu
- prochain
- Actualités
- URL
- us
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- Usages
- en utilisant
- d'habitude
- Plus-value
- Valeurs
- Variante
- version
- versions
- très
- via
- Victime
- victimes
- Vietnam
- Visiter
- visité
- Visiteur
- visiteurs
- Visites
- était
- we
- web
- Site Web
- sites Internet
- WELL
- ont été
- Quoi
- quand
- que
- qui
- WHO
- large
- Large gamme
- largeur
- Wikipédia
- sera
- fenêtres
- comprenant
- dans les
- des mots
- code écrit
- encore
- zéphyrnet
- Zip