अनमास्किंग मिररफेस: ऑपरेशन लिबरलफेस जापानी राजनीतिक संस्थाओं को लक्षित करता है

ईएसईटी के शोधकर्ताओं ने एक स्पीफिशिंग अभियान की खोज की, जो कि आने वाले हफ्तों में शुरू किया गया था जापानी हाउस ऑफ काउंसलर चुनाव जुलाई 2022 में, एपीटी समूह द्वारा जिसे ईएसईटी रिसर्च मिररफेस के रूप में ट्रैक करता है। अभियान, जिसे हमने ऑपरेशन लिबरलफेस नाम दिया है, ने जापानी राजनीतिक संस्थाओं को लक्षित किया; हमारी जांच से पता चला कि इस अभियान में एक विशिष्ट राजनीतिक दल के सदस्यों का विशेष ध्यान था। ईएसईटी रिसर्च ने इस अभियान और इसके पीछे एपीटी समूह के बारे में खुलासा किया अवार 2022 सम्मेलन इस महीने की शुरुआत में।

मिररफेस एक चीनी भाषी खतरा अभिनेता है जो जापान में स्थित कंपनियों और संगठनों को लक्षित करता है। जबकि कुछ अटकलें हैं कि यह धमकी देने वाला अभिनेता APT10 से संबंधित हो सकता है (Macnica, Kaspersky), ईएसईटी इसे किसी भी ज्ञात एपीटी समूह को श्रेय देने में असमर्थ है। इसलिए, हम इसे एक अलग इकाई के रूप में ट्रैक कर रहे हैं जिसे हमने मिररफेस नाम दिया है। विशेष रूप से, MirrorFace और LODEINFO, इसके स्वामित्व वाले मैलवेयर को विशेष रूप से जापान में लक्ष्य के विरुद्ध उपयोग किया गया है की रिपोर्ट मीडिया, रक्षा से संबंधित कंपनियों, थिंक टैंक, राजनयिक संगठनों और शैक्षणिक संस्थानों को निशाना बनाने के रूप में। मिररफेस का लक्ष्य जासूसी और रुचि की फाइलों की चोरी है।

हम ऑपरेशन लिबरलफेस को इन संकेतकों के आधार पर मिररफेस को श्रेय देते हैं:

• हमारे सर्वोत्तम ज्ञान के लिए, LODEINFO मैलवेयर विशेष रूप से MirrorFace द्वारा उपयोग किया जाता है।
• ऑपरेशन लिबरलफेस के लक्ष्य पारंपरिक मिररफेस लक्ष्यीकरण के साथ संरेखित होते हैं।
• एक दूसरे चरण के LODEINFO मैलवेयर नमूने ने एक C&C सर्वर से संपर्क किया जिसे हम मिररफेस इंफ्रास्ट्रक्चर के हिस्से के रूप में आंतरिक रूप से ट्रैक करते हैं।

ऑपरेशन लिबरलफेस में भेजे गए भाषण ईमेलों में से एक विशिष्ट जापानी राजनीतिक दल के पीआर विभाग से एक आधिकारिक संचार के रूप में सामने आया, जिसमें हाउस ऑफ काउंसिलर्स चुनावों से संबंधित अनुरोध शामिल था, और कथित रूप से एक प्रमुख राजनेता की ओर से भेजा गया था। सभी स्पीयरफ़िशिंग ईमेलों में एक दुर्भावनापूर्ण अटैचमेंट होता है जो निष्पादन पर समझौता किए गए मशीन पर LODEINFO को तैनात करता है।

इसके अतिरिक्त, हमने पाया कि मिररफेस ने अपने लक्ष्य की साख को चुराने के लिए पूर्व में बिना दस्तावेज वाले मैलवेयर का उपयोग किया है, जिसे हमने मिररस्टीलर नाम दिया है। हमारा मानना ​​है कि यह पहली बार है जब इस मैलवेयर का सार्वजनिक रूप से वर्णन किया गया है।

इस ब्लॉगपोस्ट में, हम समझौते के बाद देखी गई गतिविधियों को कवर करते हैं, जिसमें कार्रवाई करने के लिए LODEINFO को भेजे गए C&C कमांड शामिल हैं। प्रभावित मशीन पर की गई कुछ गतिविधियों के आधार पर, हमें लगता है कि मिररफेस ऑपरेटर ने मैन्युअल या सेमी-मैन्युअल तरीके से LODEINFO को आदेश जारी किए।

प्रारंभिक पहुंच

मिररफेस ने 29 जून को हमला शुरू किया^th, 2022, लक्ष्यों के प्रति दुर्भावनापूर्ण अनुलग्नक के साथ स्पीयरफ़िशिंग ईमेल वितरित करना। ईमेल का विषय था एसएनएस用動画 拡散のお願い (Google अनुवाद से अनुवाद: [महत्वपूर्ण] एसएनएस के लिए वीडियो फैलाने का अनुरोध). चित्र 1 और चित्र 2 इसकी सामग्री दिखाते हैं।

चित्रा 2. अनुवादित संस्करण

एक जापानी राजनीतिक दल के पीआर विभाग होने का दावा करते हुए, मिररफेस ने प्राप्तकर्ताओं से पार्टी के पीआर को और मजबूत करने और पार्षदों की सभा में जीत हासिल करने के लिए संलग्न वीडियो को अपने स्वयं के सोशल मीडिया प्रोफाइल (एसएनएस - सोशल नेटवर्क सर्विस) पर वितरित करने के लिए कहा। इसके अलावा, ईमेल वीडियो की प्रकाशन रणनीति पर स्पष्ट निर्देश प्रदान करता है।

चूंकि हाउस ऑफ काउंसिलर्स का चुनाव 10 जुलाई को हुआ था^th, 2022, यह ईमेल स्पष्ट रूप से इंगित करता है कि मिररफेस ने राजनीतिक संस्थाओं पर हमला करने का अवसर मांगा था। साथ ही, ईमेल में विशिष्ट सामग्री इंगित करती है कि किसी विशेष राजनीतिक दल के सदस्यों को लक्षित किया गया था।

मिररफेस ने अभियान में एक और स्पीयरफिशिंग ईमेल का भी इस्तेमाल किया, जहां अटैचमेंट का शीर्षक था 【参考】220628発・選挙管理委員会宛文書(添書分)।प्रोग्राम फ़ाइल (गूगल अनुवाद से अनुवाद: [संदर्भ] 220628 चुनाव प्रशासन समिति के मंत्रालय से दस्तावेज़ (परिशिष्ट).exe). संलग्न डिकॉय दस्तावेज़ (चित्र 3 में दिखाया गया है) पार्षदों के चुनाव की सभा को भी संदर्भित करता है।

चित्रा 3. लक्ष्य को दिखाया गया डिकॉय दस्तावेज़

दोनों ही मामलों में, ईमेल में भ्रामक नाम SNS के साथ स्व-निकालने वाले WinRAR अभिलेखागार के रूप में दुर्भावनापूर्ण अनुलग्नक शामिल थे।।प्रोग्राम फ़ाइल (गूगल अनुवाद से अनुवाद: SNS.exe के लिए वीडियो फैलाने का अनुरोध) और 【参考】220628発・選挙管理委員会宛文書(添書分)।प्रोग्राम फ़ाइल (गूगल अनुवाद से अनुवाद: [संदर्भ] 220628 चुनाव प्रशासन समिति के मंत्रालय से दस्तावेज़ (परिशिष्ट).exe) क्रमशः.

ये EXE अपनी संग्रहीत सामग्री को % TEMP% फ़ोल्डर। विशेष रूप से, चार फाइलें निकाली जाती हैं:

• K7SysMon.exe, K7 कंप्यूटिंग प्राइवेट लिमिटेड द्वारा विकसित एक सौम्य एप्लिकेशन DLL सर्च ऑर्डर हाइजैकिंग के लिए असुरक्षित है
• K7SysMn1.dll, एक दुर्भावनापूर्ण लोडर
• K7SysMon.Exe.db, एन्क्रिप्टेड LODEINFO मैलवेयर
• एक फंदा दस्तावेज

फिर, लक्ष्य को धोखा देने और सौम्य दिखने के लिए डिकॉय दस्तावेज़ खोला जाता है। अंतिम चरण के रूप में, K7SysMon.exe निष्पादित किया जाता है जो दुर्भावनापूर्ण लोडर को लोड करता है K7SysMn1.dll इसके साथ गिरा दिया। अंत में, लोडर की सामग्री को पढ़ता है K7SysMon.Exe.db, इसे डिक्रिप्ट करता है, और फिर इसे निष्पादित करता है। ध्यान दें कि यह दृष्टिकोण कास्परस्की द्वारा भी देखा गया था और उनके द्वारा वर्णित किया गया था रिपोर्ट.

टूलसेट

इस खंड में, हम ऑपरेशन लिबरलफेस में उपयोग किए गए मैलवेयर मिररफेस का वर्णन करते हैं।

लोडइन्फो

LODEINFO एक मिररफेस बैकडोर है जो निरंतर विकास के अधीन है। जेपीसीईआरटी पहले संस्करण के बारे में बताया LODEINFO (v0.1.2) का, जो दिसंबर 2019 के आसपास सामने आया; इसकी कार्यक्षमता स्क्रीनशॉट, कीलॉगिंग, हत्या प्रक्रियाओं को कैप्चर करने, फ़ाइलों को एक्सफ़िल्ट्रेट करने और अतिरिक्त फ़ाइलों और आदेशों को निष्पादित करने की अनुमति देती है। तब से, हमने इसके प्रत्येक संस्करण में कई बदलाव देखे हैं। उदाहरण के लिए, संस्करण 0.3.8 (जिसे हमने पहली बार जून 2020 में खोजा था) में फिरौती कमांड जोड़ा (जो परिभाषित फाइलों और फ़ोल्डरों को एन्क्रिप्ट करता है), और संस्करण 0.5.6 (जिसे हमने जुलाई 2021 में पाया) ने कमांड जोड़ा विन्यास, जो ऑपरेटरों को रजिस्ट्री में संग्रहीत इसके कॉन्फ़िगरेशन को संशोधित करने की अनुमति देता है। ऊपर उल्लिखित जेपीसीईआरटी रिपोर्टिंग के अलावा, इस साल के शुरू में LODEINFO पिछले दरवाजे का एक विस्तृत विश्लेषण भी प्रकाशित किया गया था। Kaspersky.

ऑपरेशन लिबरलफेस में, हमने देखा कि मिररफेस ऑपरेटर नियमित LODEINFO और जिसे हम दूसरे चरण LODEINFO मैलवेयर कहते हैं, दोनों का उपयोग करते हैं। समग्र कार्यक्षमता को देखते हुए दूसरे चरण के LODEINFO को नियमित LODEINFO से अलग किया जा सकता है। विशेष रूप से, दूसरे चरण का LODEINFO पीई बायनेरिज़ को स्वीकार करता है और क्रियान्वित आदेशों के बाहर शेलकोड चलाता है। इसके अलावा, दूसरे चरण का LODEINFO C&C कमांड को प्रोसेस कर सकता है विन्यास, लेकिन कमांड के लिए कार्यक्षमता फिरौती लापता है।

अंत में, C&C सर्वर से प्राप्त डेटा नियमित LODEINFO और दूसरे चरण के बीच भिन्न होता है। दूसरे चरण के LODEINFO के लिए, C&C सर्वर यादृच्छिक वेब पेज सामग्री को वास्तविक डेटा से जोड़ता है। प्राप्त डेटा अंतर को दर्शाते हुए चित्र 4, चित्र 5 और चित्र 6 देखें। ध्यान दें कि प्रीपेंडेड कोड स्निपेट दूसरे चरण के C&C से प्रत्येक प्राप्त डेटा स्ट्रीम के लिए भिन्न होता है।

चित्र 4. पहले चरण के LODEINFO C&C से प्राप्त डेटा

चित्रा 5. दूसरे चरण सी एंड सी से प्राप्त डेटा

चित्रा 6. दूसरे चरण सी एंड सी से प्राप्त एक और डेटा स्ट्रीम

मिररस्टीलर

मिररस्टीलर, आंतरिक रूप से नामित 31558_एन.डीएल मिररफेस द्वारा, एक क्रेडेंशियल चुराने वाला है। हमारी सर्वोत्तम जानकारी के अनुसार, इस मैलवेयर का सार्वजनिक रूप से वर्णन नहीं किया गया है। सामान्य तौर पर, मिररस्टीलर ब्राउज़र और ईमेल क्लाइंट जैसे विभिन्न अनुप्रयोगों से क्रेडेंशियल्स चुराता है। दिलचस्प बात यह है कि लक्षित अनुप्रयोगों में से एक है बेकी!, एक ईमेल क्लाइंट जो वर्तमान में केवल जापान में उपलब्ध है। चोरी किए गए सभी क्रेडेंशियल्स में संग्रहीत हैं %TEMP%31558.txt और चूंकि मिररस्टीलर में चुराए गए डेटा को एक्सफ़िलिएट करने की क्षमता नहीं है, यह ऐसा करने के लिए अन्य मैलवेयर पर निर्भर करता है।

समझौता के बाद की गतिविधियाँ

अपने शोध के दौरान, हम कुछ ऐसे आदेशों का पालन करने में सक्षम थे जो हैक किए गए कंप्यूटरों को जारी किए गए थे।

प्रारंभिक पर्यावरण अवलोकन

एक बार LODEINFO को छेड़छाड़ की गई मशीनों पर लॉन्च किया गया था और वे C&C सर्वर से सफलतापूर्वक जुड़ गए थे, एक ऑपरेटर ने कमांड जारी करना शुरू कर दिया था (चित्र 7 देखें)।

चित्र 7. LODEINFO के माध्यम से मिररफेस ऑपरेटर द्वारा प्रारंभिक पर्यावरण अवलोकन

सबसे पहले, ऑपरेटर ने LODEINFO कमांड में से एक जारी किया, छाप, हैक की गई मशीन की स्क्रीन कैप्चर करने के लिए। इसके बाद एक और आदेश आया, ls, उस वर्तमान फ़ोल्डर की सामग्री देखने के लिए जिसमें LODEINFO स्थित है (अर्थात, % TEMP%). उसके ठीक बाद, ऑपरेटर ने चलकर नेटवर्क जानकारी प्राप्त करने के लिए LODEINFO का उपयोग किया वास्तविक नज़र और शुद्ध दृश्य /डोमेन. पहला आदेश नेटवर्क से जुड़े कंप्यूटरों की सूची लौटाता है, जबकि दूसरा उपलब्ध डोमेन की सूची देता है।

क्रेडेंशियल और ब्राउज़र कुकी चोरी

इस बुनियादी जानकारी को एकत्र करने के बाद, ऑपरेटर अगले चरण में चला गया (चित्र 8 देखें)।

चित्र 8. LODEINFO को क्रेडेंशियल चोरी करने वाले को तैनात करने, क्रेडेंशियल्स और ब्राउज़र कुकीज़ एकत्र करने और उन्हें C&C सर्वर पर एक्सफिल्टर करने के लिए भेजे गए निर्देशों का प्रवाह

ऑपरेटर ने उप कमांड के साथ LODEINFO कमांड सेंड जारी किया -स्मृति पहुँचाना मिररस्टीलर समझौता मशीन के लिए मैलवेयर। उपकमांड -स्मृति इसका उपयोग LODEINFO को मिररस्टीलर को उसकी मेमोरी में रखने के लिए इंगित करने के लिए किया गया था, जिसका अर्थ है कि मिररस्टीलर बाइनरी को डिस्क पर कभी नहीं गिराया गया था। इसके बाद कमान स्मृति जारी किया गया था। इस कमांड ने LODEINFO को मिररस्टीलर लेने का निर्देश दिया, इसे स्पॉन में इंजेक्ट किया cmd.exe प्रक्रिया करें, और इसे चलाएं।

एक बार मिररस्टीलर ने क्रेडेंशियल्स एकत्र कर लिए और उन्हें स्टोर कर लिया % अस्थायी% 31558.txt, ऑपरेटर ने क्रेडेंशियल्स को छानने के लिए LODEINFO का उपयोग किया।

ऑपरेटर की रुचि पीड़ित के ब्राउज़र कुकीज़ में भी थी। हालाँकि, MirrorStealer के पास उन्हें एकत्र करने की क्षमता नहीं है। इसलिए, ऑपरेटर ने कुकीज़ को LODEINFO के माध्यम से मैन्युअल रूप से एक्सफिल्टर किया। सबसे पहले, ऑपरेटर ने LODEINFO कमांड का इस्तेमाल किया दीर फ़ोल्डरों की सामग्री को सूचीबद्ध करने के लिए %LocalAppData%GoogleChromeउपयोगकर्ता डेटा और %LocalAppData%MicrosoftEdgeउपयोगकर्ता डेटा. फिर, ऑपरेटर ने सभी पहचानी गई कुकी फ़ाइलों को % TEMP% फ़ोल्डर। इसके बाद, ऑपरेटर ने LODEINFO कमांड का उपयोग करके सभी एकत्र की गई कुकी फ़ाइलों को एक्सफिल्टर किया recv. अंत में, ऑपरेटर ने कॉपी की गई कुकी फ़ाइलों को % TEMP% निशान हटाने के प्रयास में फ़ोल्डर।

दस्तावेज़ और ईमेल चोरी

अगले चरण में, ऑपरेटर ने विभिन्न प्रकार के दस्तावेज़ों के साथ-साथ संग्रहीत ईमेल को भी एक्सफिल्टर किया (चित्र 9 देखें)।

चित्र 9. LODEINFO को रुचि की फाइलों को छानने के लिए भेजे गए निर्देशों का प्रवाह

उसके लिए, ऑपरेटर ने सबसे पहले LODEINFO का उपयोग WinRAR संग्रहकर्ता (rar.exe)। का उपयोग करते हुए rar.exe, ऑपरेटर ने फ़ोल्डर्स से 2022-01-01 के बाद संशोधित की गई रुचि की फ़ाइलों को एकत्र और संग्रहित किया %USERPROFILE% और C:$Recycle.Bin. ऑपरेटर को ऐसी सभी फाइलों में दिलचस्पी थी, जिनमें एक्सटेंशन .डॉक्टर*, .पीपीटी*, .xls*, .jtd, .eml, * एक्सपीएस, तथा . पीडीएफ.

ध्यान दें कि सामान्य दस्तावेज़ प्रकारों के अलावा, MirrorFace की रुचि उन फ़ाइलों में भी थी जिनके पास .jtd विस्तार। यह जापानी वर्ड प्रोसेसर के दस्तावेजों का प्रतिनिधित्व करता है इचितारो JustSystems द्वारा विकसित।

एक बार आर्काइव बन जाने के बाद, ऑपरेटर ने सिक्योर कॉपी प्रोटोकॉल (SCP) क्लाइंट को पुट्टी जारी रखा (pscp.exe) और उसके बाद सर्वर पर अभी-अभी बनाए गए RAR आर्काइव को एक्सफ़िल्ट्रेट करने के लिए इसका इस्तेमाल किया 45.32.13 [।] 180. यह आईपी पता पिछले मिररफेस गतिविधि में नहीं देखा गया था और किसी भी LODEINFO मैलवेयर में सी एंड सी सर्वर के रूप में इस्तेमाल नहीं किया गया था जिसे हमने देखा है। आर्काइव के एक्सफिल्ट होने के ठीक बाद, ऑपरेटर ने डिलीट कर दिया rar.exe, pscp.exe, और गतिविधि के अंशों को साफ करने के लिए RAR संग्रह।

दूसरे चरण के LODEINFO की तैनाती

हमने जो अंतिम चरण देखा, वह दूसरे चरण के LODEINFO को वितरित कर रहा था (चित्र 10 देखें)।

चित्र 10. दूसरे चरण के LODEINFO को परिनियोजित करने के लिए LODEINFO को भेजे गए निर्देशों का प्रवाह

ऑपरेटर ने निम्नलिखित बायनेरिज़ वितरित किए: जेएसईएसपीआर.डीएल, जेएसएसएचएलपी.exe, तथा वीक्रंटाइम140. डीएलएल समझौता मशीन के लिए। मूल जेएसएसएचएलपी.exe JUSTSYSTEMS CORPORATION (पहले उल्लिखित जापानी वर्ड प्रोसेसर, Ichitaro के निर्माता) द्वारा हस्ताक्षरित एक सौम्य एप्लिकेशन है। हालाँकि, इस मामले में मिररफेस ऑपरेटर ने एक ज्ञात Microsoft डिजिटल हस्ताक्षर सत्यापन का दुरुपयोग किया मुद्दा और RC4 एन्क्रिप्टेड डेटा को जेएसएसएचएलपी.exe अंगुली का हस्ताक्षर। उल्लेखित समस्या के कारण, Windows अभी भी संशोधित मानता है जेएसएसएचएलपी.exe वैध रूप से हस्ताक्षरित होना।

जेएसएसएचएलपी.exe डीएलएल साइड-लोडिंग के लिए भी अतिसंवेदनशील है। इसलिए, निष्पादन पर, लगाया जेएसईएसपीआर.डीएल लोड किया गया है (चित्र 11 देखें)।

चित्र 11. दूसरे चरण के LODEINFO का निष्पादन प्रवाह

जेएसईएसपीआर.डीएल एक दुर्भावनापूर्ण लोडर है जो संलग्न पेलोड को पढ़ता है जेएसएसएचएलपी.exe, इसे डिक्रिप्ट करता है, और इसे चलाता है। पेलोड दूसरे चरण का LODEINFO है, और एक बार चलने के बाद, ऑपरेटर दूसरे चरण के लिए दृढ़ता सेट करने के लिए नियमित LODEINFO का उपयोग करता है। विशेष रूप से, ऑपरेटर चलाया reg.exe नाम का मान जोड़ने के लिए उपयोगिता जेएसएसएचएलपी को रन पथ को पकड़े हुए रजिस्ट्री कुंजी जेएसएसएचएलपी.exe.

हालांकि, ऐसा प्रतीत होता है कि ऑपरेटर दूसरे चरण के LODEINFO को C&C सर्वर के साथ ठीक से संचार करने में सक्षम नहीं बना पाया। इसलिए, दूसरे चरण के LODEINFO का उपयोग करने वाले ऑपरेटर के आगे के कदम हमारे लिए अज्ञात रहते हैं।

दिलचस्प अवलोकन

पड़ताल के दौरान हमने कुछ दिलचस्प बातें भी कीं। उनमें से एक यह है कि LODEINFO को कमांड जारी करते समय ऑपरेटर ने कुछ त्रुटियां और टाइपिंग की त्रुटियां कीं। उदाहरण के लिए, ऑपरेटर ने स्ट्रिंग भेजी सीएमडी / सी डीआईआर "सी: उपयोग" LODEINFO के लिए, जिसकी सबसे अधिक संभावना थी सीएमडी / सी डीआईआर "सी: उपयोगकर्ता".

इससे पता चलता है कि ऑपरेटर LODEINFO को मैन्युअल या अर्ध-मैन्युअल तरीके से आदेश जारी कर रहा है।

हमारा अगला अवलोकन यह है कि भले ही ऑपरेटर ने समझौते के निशान को हटाने के लिए कुछ क्लीनअप किए, ऑपरेटर हटाना भूल गया % अस्थायी% 31558.txt - चोरी की साख वाला लॉग। इस प्रकार, कम से कम यह निशान समझौता की गई मशीन पर बना रहा और यह हमें दिखाता है कि सफाई प्रक्रिया में ऑपरेटर पूरी तरह से नहीं था।

निष्कर्ष

मिररफेस जापान में उच्च मूल्य वाले लक्ष्यों को लक्षित करना जारी रखता है। ऑपरेशन लिबरलफेस में, इसने विशेष रूप से अपने लाभ के लिए तत्कालीन आगामी हाउस ऑफ काउंसिलर्स चुनाव का उपयोग करके राजनीतिक संस्थाओं को लक्षित किया। अधिक दिलचस्प बात यह है कि हमारे निष्कर्ष बताते हैं कि मिररफेस विशेष रूप से एक विशिष्ट राजनीतिक दल के सदस्यों पर केंद्रित है।

ऑपरेशन लिबरलफेस जांच के दौरान, हम आगे मिररफेस टीटीपी को उजागर करने में कामयाब रहे, जैसे पीड़ितों से मूल्यवान डेटा एकत्र करने और निकालने के लिए अतिरिक्त मैलवेयर और उपकरणों की तैनाती और उपयोग। इसके अलावा, हमारी जांच से पता चला है कि मिररफेस ऑपरेटर कुछ हद तक लापरवाह हैं, निशान छोड़ रहे हैं और विभिन्न गलतियां कर रहे हैं।

आईओसी

फ़ाइलें

नेटवर्क

MITER ATT&CK तकनीक

यह तालिका का उपयोग करके बनाई गई थी 12 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे के.

ध्यान दें कि हालांकि यह ब्लॉगपोस्ट LODEINFO क्षमताओं का संपूर्ण अवलोकन प्रदान नहीं करता है क्योंकि यह जानकारी पहले से ही अन्य प्रकाशनों में उपलब्ध है, नीचे दी गई MITER ATT&CK तालिका में इससे जुड़ी सभी तकनीकें शामिल हैं।