I ricercatori ESET hanno scoperto una campagna di cyberspionaggio che, almeno dal settembre 2023, ha perseguitato i tibetani attraverso un wateringhole mirato (noto anche come compromesso web strategico) e una compromissione della catena di fornitura per fornire installatori trojanizzati di software di traduzione in lingua tibetana. Gli aggressori miravano a distribuire downloader dannosi per Windows e macOS per compromettere i visitatori del sito Web con MgBot e una backdoor che, per quanto ne sappiamo, non è stata ancora documentata pubblicamente; l'abbiamo chiamato Nightdoor.
Punti chiave in questo post sul blog:
- Abbiamo scoperto una campagna di cyberspionaggio che sfrutta il Monlam Festival, un raduno religioso, per prendere di mira i tibetani in diversi paesi e territori.
- Gli aggressori hanno compromesso il sito web dell'organizzatore del festival annuale che si svolge in India e vi hanno aggiunto codice dannoso per creare un attacco watering-hole contro gli utenti che si collegano da reti specifiche.
- Abbiamo anche scoperto che la catena di fornitura di uno sviluppatore di software era stata compromessa e che agli utenti venivano forniti programmi di installazione contenenti trojan per Windows e macOS.
- Gli aggressori hanno messo in campo una serie di downloader dannosi e backdoor complete per l'operazione, inclusa una backdoor per Windows non documentata pubblicamente che abbiamo chiamato Nightdoor.
- Attribuiamo questa campagna con grande fiducia al gruppo Evasive Panda APT allineato alla Cina.
Profilo evasivo del Panda
Panda evasivo (conosciuto anche come ALTOPIANO DI BRONZO ed Daggerfly) è un gruppo APT di lingua cinese, attivo almeno dal 2012. ESET Research ha osservato il gruppo condurre attività di cyberspionaggio contro individui nella Cina continentale, Hong Kong, Macao e Nigeria. Gli enti governativi sono stati presi di mira nel sud-est e nell'Asia orientale, in particolare Cina, Macao, Myanmar, Filippine, Taiwan e Vietnam. Sono state prese di mira anche altre organizzazioni in Cina e a Hong Kong. Secondo resoconti pubblici, il gruppo ha preso di mira anche entità sconosciute a Hong Kong, India e Malesia.
Il gruppo utilizza il proprio framework malware personalizzato con un'architettura modulare che consente alla sua backdoor, nota come MgBot, di ricevere moduli per spiare le sue vittime e migliorare le sue capacità. Dal 2020 abbiamo anche osservato che Evasive Panda ha la capacità di fornire le sue backdoor tramite attacchi “adversary-in-the-middle” dirottamento degli aggiornamenti di software legittimo.
Panoramica della campagna
Nel gennaio 2024 abbiamo scoperto un'operazione di cyberspionaggio in cui gli aggressori hanno compromesso almeno tre siti web per effettuare attacchi watering-hole e compromettere la catena di fornitura di una società di software tibetana.
Il sito web compromesso e sfruttato come abbeveratoio appartiene al Kagyu International Monlam Trust, un'organizzazione con sede in India che promuove il buddismo tibetano a livello internazionale. Gli aggressori hanno inserito uno script nel sito Web che verifica l'indirizzo IP della potenziale vittima e, se rientra in uno degli intervalli di indirizzi presi di mira, mostra una falsa pagina di errore per invogliare l'utente a scaricare una "correzione" denominata a livello internazionale (con estensione .exe se il visitatore utilizza Windows o .pkg se macOS). Questo file è un downloader dannoso che implementa la fase successiva nella catena di compromissione.
In base agli intervalli di indirizzi IP controllati dal codice, abbiamo scoperto che gli aggressori avevano preso di mira utenti in India, Taiwan, Hong Kong, Australia e Stati Uniti; l’attacco potrebbe avere lo scopo di sfruttare l’interesse internazionale per il Kagyu Monlam Festival (Figura 1) che si tiene ogni anno a gennaio nella città di Bodhgaya, in India.
È interessante notare che la rete del Georgia Institute of Technology (noto anche come Georgia Tech) negli Stati Uniti è tra le entità identificate negli intervalli di indirizzi IP presi di mira. In passato, è stata menzionata l'università in connessione con l'influenza del Partito Comunista Cinese sugli istituti di istruzione negli Stati Uniti.
Intorno al settembre 2023, gli aggressori hanno compromesso il sito web di una società di sviluppo software con sede in India che produce software di traduzione in lingua tibetana. Gli aggressori hanno inserito lì diverse applicazioni trojanizzate che utilizzano un downloader dannoso per Windows o macOS.
Oltre a ciò, gli aggressori hanno anche abusato dello stesso sito web e di un sito di notizie tibetano chiamato Tibetpost – tibetpost[.]net – per ospitare i payload ottenuti dai download dannosi, tra cui due backdoor complete per Windows e un numero sconosciuto di payload per macOS.
Con grande fiducia attribuiamo questa campagna al gruppo Evasive Panda APT, in base al malware utilizzato: MgBot e Nightdoor. In passato, abbiamo visto entrambe le backdoor implementate insieme, in un attacco non correlato contro un'organizzazione religiosa a Taiwan, in cui condividevano anche lo stesso server C&C. Entrambi i punti si applicano anche alla campagna descritta in questo post del blog.
Abbeveratoio
Nel gennaio 14th, 2024, abbiamo rilevato uno script sospetto all'indirizzo https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Il codice offuscato dannoso è stato aggiunto a un file legittimo jQuery Script della libreria JavaScript, come mostrato nella Figura 2.
Lo script invia una richiesta HTTP all'indirizzo localhost http://localhost:63403/?callback=handleCallback per verificare se il downloader intermedio dell'aggressore è già in esecuzione sul computer della potenziale vittima (vedere Figura 3). Su una macchina precedentemente compromessa, l'impianto risponde con handleCallback({“successo”:true }) (vedi Figura 4) e lo script non intraprende ulteriori azioni.
Se la macchina non risponde con i dati attesi, il codice dannoso continua ottenendo un hash MD5 da un server secondario su https://update.devicebug[.]com/getVersion.php. Quindi l'hash viene confrontato con un elenco di 74 valori hash, come illustrato nella Figura 6.
Se esiste una corrispondenza, lo script eseguirà il rendering di una pagina HTML con una falsa notifica di arresto anomalo (Figura 7) intesa a indurre l'utente in visita a scaricare una soluzione per risolvere il problema. La pagina imita il tipico "Aw, Snap!" avvertimenti da Google Chrome.
Il pulsante "Correzione immediata" attiva uno script che scarica un payload in base al sistema operativo dell'utente (Figura 8).
Rompere l'hashish
La condizione per la consegna del payload richiede di ottenere l'hash corretto dal server su update.devicebug[.]com, quindi i 74 hash sono la chiave del meccanismo di selezione delle vittime dell'aggressore. Tuttavia, poiché l’hash viene calcolato lato server, per noi è stato difficile sapere quali dati vengono utilizzati per calcolarlo.
Abbiamo sperimentato diversi indirizzi IP e configurazioni di sistema e abbiamo ristretto l'input per l'algoritmo MD5 a una formula dei primi tre ottetti dell'indirizzo IP dell'utente. In altre parole, ad esempio inserendo indirizzi IP che condividono lo stesso prefisso di rete 192.168.0.1 ed 192.168.0.50, riceverà lo stesso hash MD5 dal server C&C.
Tuttavia, una combinazione sconosciuta di caratteri, o a sale, è incluso con la stringa dei primi tre ottetti IP prima dell'hashing per evitare che gli hash vengano forzati banalmente. Pertanto, abbiamo dovuto forzare il sale per proteggere la formula di input e solo successivamente generare hash utilizzando l'intero intervallo di indirizzi IPv4 per trovare i 74 hash corrispondenti.
A volte le stelle si allineano e abbiamo scoperto che il sale lo era 1qaz0okm!@#. Con tutti i pezzi della formula di input MD5 (ad esempio, 192.168.1.1qaz0okm!@#), abbiamo forzato facilmente i 74 hash e generato un elenco di obiettivi. Vedi il Appendice per una lista completa
Come mostrato nella Figura 9, la maggior parte degli intervalli di indirizzi IP presi di mira si trova in India, seguita da Taiwan, Australia, Stati Uniti e Hong Kong. Tieni presente che la maggior parte dei diaspora tibetana vive in India.
Carico utile di Windows
Su Windows, alle vittime dell'attacco viene servito un eseguibile dannoso situato in https://update.devicebug[.]com/fixTools/certificate.exe. La Figura 10 mostra la catena di esecuzione che segue quando l'utente scarica ed esegue la correzione dannosa.
certificato.exe è un dropper che distribuisce una catena di caricamento laterale per caricare un downloader intermedio, memmgrset.dll (denominato internamente http_dy.dll). Questa DLL recupera un file JSON dal server C&C su https://update.devicebug[.]com/assets_files/config.json, che contiene le informazioni per scaricare la fase successiva (vedi Figura 11).
Quando la fase successiva viene scaricata ed eseguita, viene implementata un'altra catena di caricamento laterale per fornire Nightdoor come carico utile finale. Un'analisi di Nightdoor è fornita di seguito nel Porta notturna .
carico utile di macOS
Il malware macOS è lo stesso downloader di cui documentiamo più dettagliatamente Compromesso nella catena di fornitura. Tuttavia, questo rilascia un eseguibile Mach-O aggiuntivo, che è in ascolto sulla porta TCP 63403. Il suo unico scopo è rispondere con handleCallback({“successo”:true }) alla richiesta di codice JavaScript dannoso, quindi se l'utente visita nuovamente il sito Web di Watering Hole, il codice JavaScript non tenterà di compromettere nuovamente il visitatore.
Questo downloader ottiene il file JSON dal server e scarica la fase successiva, proprio come la versione di Windows descritta in precedenza.
Compromesso nella catena di fornitura
Nel gennaio 18th, abbiamo scoperto che il sito web ufficiale (Figura 12) di un prodotto software di traduzione in lingua tibetana per più piattaforme ospitava pacchetti ZIP contenenti programmi di installazione contenenti trojan per software legittimo che distribuivano downloader dannosi per Windows e macOS.
Abbiamo trovato una vittima dal Giappone che ha scaricato uno dei pacchetti per Windows. La tabella 1 elenca gli URL e gli impianti rilasciati.
Tabella 1. URL dei pacchetti dannosi sul sito Web compromesso e tipo di payload nell'applicazione compromessa
URL del pacchetto dannoso |
Tipo di carico utile |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Scaricatore Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Scaricatore Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Scaricatore Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
Scaricatore di macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
Scaricatore di macOS |
Pacchetti Windows
La Figura 13 illustra la catena di caricamento dell'applicazione trojanizzata dal pacchetto monlam-bodyig3.zip.
L'applicazione trojanizzata contiene un dropper dannoso chiamato Autorun.exe che distribuisce due componenti:
- un file eseguibile denominato MonlamUpdate.exe, che è un componente software di un emulatore chiamato C64 Per sempre e viene abusato per il caricamento laterale DLL e
- RPHost.dll, la DLL caricata lateralmente, che è un downloader dannoso per la fase successiva.
Quando la DLL del downloader viene caricata in memoria, crea un'attività pianificata denominata Demovale destinato ad essere eseguito ogni volta che un utente accede. Tuttavia, poiché l'attività non specifica un file da eseguire, non riesce a stabilire la persistenza.
Successivamente, questa DLL ottiene un UUID e la versione del sistema operativo per creare un agente utente personalizzato e invia una richiesta GET a https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat per ottenere un file JSON contenente l'URL da scaricare ed eseguire un payload rilasciato nel file % TEMP% directory. Non siamo riusciti a ottenere un campione dei dati dell'oggetto JSON dal sito Web compromesso; quindi non sappiamo da dove esattamente default_ico.exe viene scaricato, come illustrato nella Figura 13.
Tramite la telemetria ESET, abbiamo notato che il file illegittimo MonlamUpdate.exe processo scaricato ed eseguito in diverse occasioni almeno quattro file dannosi %TEMP%default_ico.exe. La tabella 2 elenca tali file e il loro scopo.
Tabella 2. Hash del default_ico.exe downloader/dropper, URL C&C contattato e descrizione del downloader
SHA-1 |
URL contattato |
Scopo |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Scarica un payload sconosciuto dal server. |
F0F8F60429E3316C463F |
Scarica un payload sconosciuto dal server. Questo campione è stato scritto in Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Scarica un contagocce Nightdoor dal nome casuale. |
BFA2136336D845184436 |
N/A |
Strumento open source SystemInfo, in cui gli aggressori hanno integrato il loro codice dannoso e incorporato un blob crittografato che, una volta decrittografato ed eseguito, installa MgBot. |
Infine, il default_ico.exe il downloader o il dropper otterranno il payload dal server o lo rilasceranno, quindi lo eseguiranno sul computer della vittima, installando Nightdoor (vedi la sezione Porta notturna sezione) o MgBot (vedi ns analisi precedente).
I due rimanenti pacchetti trojanizzati sono molto simili e utilizzano la stessa DLL di downloader dannosa caricata lateralmente dall'eseguibile legittimo.
pacchetti macOS
L'archivio ZIP scaricato dall'app store ufficiale contiene un pacchetto di installazione modificato (.pkg file), dove sono stati aggiunti un eseguibile Mach-O e uno script post-installazione. Lo script post-installazione copia il file Mach-O in $HOME/Libreria/Contenitori/CalendarFocusEXT/ e procede con l'installazione di un Launch Agent in $HOME/Library/LaunchAgents/com.Terminal.us.plist per persistenza. La Figura 14 mostra lo script responsabile dell'installazione e del lancio del dannoso Launch Agent.
Il malvagio Mach-O, Monlam-bodyig_Keyboard_2017 nella Figura 13 è firmato, ma non autenticato, utilizzando un certificato per sviluppatori (non un file Tipo di certificato solitamente utilizzato per la distribuzione) con il nome e l'identificativo della squadra sì, ni yang (2289F6V4BN). Il timestamp nella firma mostra che è stata firmata il 7 gennaioth, 2024. Questa data viene utilizzata anche nel timestamp modificato dei file dannosi nei metadati dell'archivio ZIP. Il certificato è stato rilasciato solo tre giorni prima. Il certificato completo è disponibile in IOCS sezione. Il nostro team ha contattato Apple il 25 gennaioth e il certificato è stato revocato lo stesso giorno.
Questo malware della prima fase scarica un file JSON che contiene l'URL della fase successiva. L'architettura (ARM o Intel), la versione macOS e l'UUID hardware (un identificatore univoco per ciascun Mac) sono riportati nell'intestazione della richiesta HTTP User-Agent. Per recuperare tale configurazione viene utilizzato lo stesso URL della versione Windows: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Tuttavia, la versione macOS esaminerà i dati sotto la chiave mac dell'oggetto JSON invece che sotto vincere chiave.
L'oggetto sotto la chiave mac dovrebbe contenere quanto segue:
- URL: l'URL della fase successiva.
- md5: somma MD5 del carico utile.
- vernow: un elenco di UUID hardware. Se presente, il payload verrà installato solo sui Mac che dispongono di uno degli UUID hardware elencati. Questo controllo viene saltato se l'elenco è vuoto o mancante.
- versione: Un valore numerico che deve essere superiore alla “versione” del secondo stadio precedentemente scaricata. Altrimenti il payload non viene scaricato. Il valore della versione attualmente in esecuzione viene mantenuto nell'applicazione impostazioni predefinite dell'utente.
Dopo che il malware ha scaricato il file dall'URL specificato utilizzando curl, il file viene sottoposto ad hashing utilizzando MD5 e confrontato con il digest esadecimale sotto md5 chiave. Se corrisponde, i suoi attributi estesi vengono rimossi (per cancellare l'attributo com.apple.quarantine), il file viene spostato in $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrowere viene avviato utilizzando execvp con l'argomento run.
A differenza della versione Windows, non siamo riusciti a trovare nessuno degli stadi successivi della variante macOS. Una configurazione JSON conteneva un hash MD5 (3C5739C25A9B85E82E0969EE94062F40), ma il campo URL era vuoto.
Porta notturna
La backdoor che abbiamo chiamato Nightdoor (e che gli autori del malware chiamano NetMM secondo i percorsi PDB) è un'aggiunta tardiva al set di strumenti di Evasive Panda. La nostra prima conoscenza di Nightdoor risale al 2020, quando Evasive Panda lo ha implementato su una macchina di un obiettivo di alto profilo in Vietnam. La backdoor comunica con il suo server C&C tramite UDP o l'API di Google Drive. L'impianto Nightdoor di questa campagna utilizzava quest'ultimo. Crittografa un'API di Google OAuth2.0 token all'interno della sezione dati e utilizza il token per accedere al Google Drive dell'aggressore. Abbiamo richiesto che l'account Google associato a questo token venga rimosso.
Innanzitutto, Nightdoor crea una cartella su Google Drive contenente l'indirizzo MAC della vittima, che funge anche da ID della vittima. Questa cartella conterrà tutti i messaggi tra l'impianto e il server C&C. Ogni messaggio tra Nightdoor e il server C&C è strutturato come un file e separato in nome file e dati file, come illustrato nella Figura 15.
Ogni nome file contiene otto attributi principali, come dimostrato nell'esempio seguente.
Esempio:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: valore magico.
- 0C64C2BAEF534C8E9058797BCD783DE5: intestazione di pbuff struttura dati.
- 168: dimensione dell'oggetto messaggio o dimensione del file in byte.
- 0: nomefile, che è sempre il valore predefinito 0 (null).
- 1: tipo di comando, codificato su 1 o 0 a seconda del campione.
- 4116: ID del comando.
- 0: qualità del servizio (QoS).
- 00-00-00-00-00-00: destinato ad essere l'indirizzo MAC della destinazione, ma il valore predefinito è sempre questo 00-00-00-00-00-00.
I dati all'interno di ciascun file rappresentano il comando del controller per la backdoor e i parametri necessari per eseguirlo. La Figura 16 mostra un esempio di messaggio del server C&C archiviato come dati di file.
Effettuando il reverse engineering di Nightdoor, siamo riusciti a comprendere il significato dei campi importanti presentati nel file, come mostrato nella Figura 17.
Abbiamo scoperto che sono state aggiunte molte modifiche significative alla versione di Nightdoor utilizzata in questa campagna, una delle quali è l'organizzazione degli ID di comando. Nelle versioni precedenti, ogni ID comando veniva assegnato a una funzione del gestore uno per uno, come mostrato nella Figura 18. Le scelte di numerazione, come da 0x2001 a 0x2006,da 0x2201 a 0x2203,da 0x4001 a 0x4003, e da 0x7001 a 0x7005, ha suggerito che i comandi fossero divisi in gruppi con funzionalità simili.
Tuttavia, in questa versione, Nightdoor utilizza una tabella di diramazione per organizzare tutti gli ID di comando con i gestori corrispondenti. Gli ID di comando sono continui e fungono da indici per i gestori corrispondenti nella tabella di diramazione, come mostrato nella Figura 19.
La Tabella 3 è un'anteprima dei comandi del server C&C e delle loro funzionalità. Questa tabella contiene i nuovi ID di comando nonché gli ID equivalenti delle versioni precedenti.
Tabella 3. Comandi supportati dalle varianti Nightdoor utilizzate in questa campagna.
ID comando |
ID del comando precedente |
Descrizione |
|
0x1001 |
0x2001 |
Raccogliere informazioni di base sul profilo del sistema come: – Versione del sistema operativo – Adattatori di rete IPv4, indirizzi MAC e indirizzi IP – Nome della CPU - Nome del computer – Nome utente – Nomi dei driver del dispositivo – Tutti i nomi utente da C:Utenti* - Ora locale – Indirizzo IP pubblico utilizzando il file ifconfig.me or ipinfo.io servizio web |
|
0x1007 |
0x2002 |
Raccogliere informazioni sulle unità disco come: – Nome dell'unità – Spazio libero e spazio totale – Tipo di file system: NTFS, FAT32, ecc. |
|
0x1004 |
0x2003 |
Raccogli informazioni su tutte le applicazioni installate nelle chiavi di registro di Windows: - HKLMSOFTWARE - WOW6432NodoMicrosoftWindows - MicrosoftWindowsCurrentVersionDisinstalla (x86) |
|
0x1003 |
0x2004 |
Raccogliere informazioni sui processi in esecuzione, come: - Nome del processo – Numero di thread – Nome utente – Posizione del file sul disco – Descrizione del file su disco |
|
0x1006 |
0x4001 |
Crea una shell inversa e gestisci input e output tramite pipe anonime. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N/A |
Disinstallazione automatica. |
|
0x100C |
0x6001 |
Sposta file. Il percorso è fornito dal server C&C. |
|
0x100B |
0x6002 |
Cancella il file. Il percorso è fornito dal server C&C. |
|
0x1016 |
0x6101 |
Ottieni gli attributi del file. Il percorso è fornito dal server C&C. |
Conclusione
Abbiamo analizzato una campagna dell’APT Evasive Panda, allineato alla Cina, che ha preso di mira i tibetani in diversi paesi e territori. Riteniamo che gli aggressori abbiano sfruttato, all'epoca, l'imminente festival di Monlam a gennaio e febbraio 2024 per compromettere gli utenti quando visitavano il sito web del festival, diventato un abbeveratoio. Inoltre, gli aggressori hanno compromesso la catena di fornitura di uno sviluppatore di software di app di traduzione in lingua tibetana.
Gli aggressori hanno messo in campo diversi downloader, dropper e backdoor, tra cui MgBot – utilizzato esclusivamente da Evasive Panda – e Nightdoor: l'ultima importante aggiunta al toolkit del gruppo e che è stata utilizzata per prendere di mira diverse reti nell'Asia orientale.
Un elenco completo di Indicatori di Compromise (IoC) e campioni può essere trovato nel nostro Repository GitHub.
Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all'indirizzo threatintel@eset.com.
ESET Research offre report di intelligence APT privati e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .
IOCS
File
SHA-1 |
Nome del file |
rivelazione |
Descrizione |
0A88C3B4709287F70CA2 |
Autorun.exe |
Win32/Agent.AGFU |
Componente Dropper aggiunto al pacchetto di installazione ufficiale. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Downloader intermedio. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Downloader intermedio programmato in Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Downloader di Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Contagocce per la porta notturna. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Caricatore intermedio. |
5273B45C5EABE64EDBD0 |
certificato.pkg |
OSX/Agente.DJ |
Componente contagocce MacOS. |
5E5274C7D931C1165AA5 |
certificato.exe |
Win32/Agent.AGES |
Componente Dropper dal sito Web compromesso. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Componente contagocce Nightdoor. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Caricatore intermedio per il componente downloader di Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Caricatore intermedio per Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Programma di installazione con trojan. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript dannoso aggiunto al sito Web compromesso. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Programma di installazione con trojan. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agente.WSK |
Pacchetto di installazione con trojan. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Pacchetto di installazione con trojan. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dizionario-per-mac-OS-X.zip |
OSX/Agente.DJ |
Pacchetto di installazione con trojan per MacOS. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agente.DJ |
Pacchetto di installazione con trojan per MacOS. |
C0575AF04850EB1911B0 |
Sicurezza~.x64 |
OSX/Agente.DJ |
Downloader per macOS. |
7C3FD8EE5D660BBF43E4 |
Sicurezza~.arm64 |
OSX/Agente.DJ |
Downloader per macOS. |
FA78E89AB95A0B49BC06 |
Sicurezza.fat |
OSX/Agente.DJ |
Componente downloader per MacOS. |
5748E11C87AEAB3C19D1 |
File di esportazione Monlam_Grand_Dictionary |
OSX/Agente.DJ |
Componente dannoso del pacchetto di installazione con trojan di macOS. |
Certificati
Numero di serie |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Identificazione personale |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Soggetto CN |
Sviluppo Apple: ya ni yang (2289F6V4BN) |
Soggetto O |
sì, ni yang |
Soggetto l |
N/A |
Soggetti |
N/A |
Soggetto C |
US |
Valido dal |
2024-01-04 05:26:45 |
Valido per |
2025-01-03 05:26:44 |
Numero di serie |
6014B56E4FFF35DC4C948452B77C9AA9 |
Identificazione personale |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Soggetto CN |
KP MOBILE |
Soggetto O |
KP MOBILE |
Soggetto l |
N/A |
Soggetti |
N/A |
Soggetto C |
KR |
Valido dal |
2021-10-25 00:00:00 |
Valido per |
2022-10-25 23:59:59 |
IP |
Dominio |
Fornitore di hosting |
Visto per la prima volta |
Dettagli |
N/A |
tibetpost[.]net |
N/A |
2023-11-29 |
Sito web compromesso. |
N/A |
www.monlamit[.]com |
N/A |
2024-01-24 |
Sito web compromesso. |
N/A |
update.devicebug[.]com |
N/A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N/A |
Amol Hingade |
2024-02-01 |
Scarica il server per il componente dropper Nightdoor. |
Tecniche MITRE ATT&CK
Questa tabella è stata creata utilizzando Versione 14 del framework MITRE ATT&CK.
tattica |
ID |
Nome |
Descrizione |
Sviluppo delle risorse |
Acquisire infrastruttura: server |
Evasive Panda ha acquisito server per l'infrastruttura C&C di Nightdoor, MgBot e il componente downloader di macOS. |
|
Acquisire l'infrastruttura: servizi Web |
Evasive Panda ha utilizzato il servizio web di Google Drive per l'infrastruttura C&C di Nightdoor. |
||
Infrastruttura di compromesso: server |
Gli operatori evasivi di Panda hanno compromesso diversi server da utilizzare come abbeveratoi, per un attacco alla catena di approvvigionamento e per ospitare carichi utili e utilizzarli come server C&C. |
||
Stabilire account: account cloud |
Evasive Panda ha creato un account Google Drive e lo ha utilizzato come infrastruttura C&C. |
||
Capacità di sviluppo: malware |
Evasive Panda ha implementato impianti personalizzati come MgBot, Nightdoor e un componente downloader per macOS. |
||
T1588.003 |
Ottieni capacità: certificati di firma del codice |
Evasive Panda ha ottenuto i certificati di firma del codice. |
|
Capacità sceniche: target drive-by |
Gli operatori di Evasive Panda hanno modificato un sito Web di alto profilo per aggiungere un pezzo di codice JavaScript che visualizza una falsa notifica per scaricare malware. |
||
Accesso iniziale |
Compromesso drive-by |
I visitatori di siti Web compromessi potrebbero ricevere un falso messaggio di errore che li invita a scaricare malware. |
|
Compromissione della catena di fornitura: Compromissione della catena di fornitura del software |
Evasive Panda ha infettato i pacchetti di installazione ufficiali di una società di software. |
||
|
API nativa |
Nightdoor, MgBot e i relativi componenti downloader intermedi utilizzano le API di Windows per creare processi. |
|
Attività/Lavoro pianificato: attività pianificata |
I componenti di caricamento di Nightdoor e MgBot possono creare attività pianificate. |
||
Persistenza |
Crea o modifica processo di sistema: servizio Windows |
I componenti di caricamento di Nightdoor e MgBot possono creare servizi Windows. |
|
Flusso di esecuzione del dirottamento: caricamento laterale della DLL |
I componenti dropper di Nightdoor e MgBot distribuiscono un file eseguibile legittimo che carica lateralmente un caricatore dannoso. |
||
Evasione della difesa |
Deoffuscare/decodificare file o informazioni |
I componenti DLL dell'impianto Nightdoor vengono decrittografati in memoria. |
|
Compromettere le difese: disabilita o modifica il firewall di sistema |
Nightdoor aggiunge due regole di Windows Firewall per consentire la comunicazione in entrata e in uscita per la funzionalità del server proxy HTTP. |
||
Rimozione dell'indicatore: eliminazione dei file |
Nightdoor e MgBot possono eliminare file. |
||
Rimozione dell'indicatore: chiara persistenza |
Nightdoor e MgBot possono disinstallarsi da soli. |
||
Masquerade: attività o servizio in maschera |
Il caricatore di Nightdoor ha mascherato il suo compito da netsvcs. |
||
Mascheramento: corrisponde al nome o alla posizione legittimi |
Il programma di installazione di Nightdoor distribuisce i suoi componenti in directory di sistema legittime. |
||
File o informazioni offuscati: payload incorporati |
Il componente dropper di Nightdoor contiene file dannosi incorporati che vengono distribuiti su disco. |
||
Iniezione di processo: Iniezione di libreria a collegamento dinamico |
I componenti dei caricatori di Nightdoor e MgBot si inseriscono in svchost.exe. |
||
Caricamento codice riflettente |
I componenti di caricamento di Nightdoor e MgBot si inseriscono in svchost.exe, da dove caricano la backdoor di Nightdoor o MgBot. |
||
Ricerca e Sviluppo |
Scoperta dell'account: account locale |
Nightdoor e MgBot raccolgono informazioni sull'account utente dal sistema compromesso. |
|
Scoperta di file e directory |
Nightdoor e MgBot possono raccogliere informazioni da directory e file. |
||
Scoperta dei processi |
Nightdoor e MgBot raccolgono informazioni sui processi. |
||
Interrogare il Registro di sistema |
Nightdoor e MgBot interrogano il registro di Windows per trovare informazioni sul software installato. |
||
Scoperta del software |
Nightdoor e MgBot raccolgono informazioni sui software e sui servizi installati. |
||
Scoperta del proprietario/utente del sistema |
Nightdoor e MgBot raccolgono informazioni sull'account utente dal sistema compromesso. |
||
Scoperta delle informazioni di sistema |
Nightdoor e MgBot raccolgono un'ampia gamma di informazioni sul sistema compromesso. |
||
Scoperta delle connessioni di rete del sistema |
Nightdoor e MgBot possono raccogliere dati da tutte le connessioni TCP e UDP attive sulla macchina compromessa. |
||
Collezione |
Archiviare i dati raccolti |
Nightdoor e MgBot archiviano i dati raccolti in file crittografati. |
|
Raccolta automatizzata |
Nightdoor e MgBot raccolgono automaticamente informazioni di sistema e di rete sulla macchina compromessa. |
||
Dati dal sistema locale |
Nightdoor e MgBot raccolgono informazioni sul sistema operativo e sui dati dell'utente. |
||
Gestione temporanea dei dati: gestione temporanea dei dati locali |
Nightdoor mette in scena i dati per l'esfiltrazione nei file su disco. |
||
Comando e controllo |
Protocollo del livello di applicazione: protocolli Web |
Nightdoor comunica con il server C&C tramite HTTP. |
|
Protocollo di livello non applicativo |
Nightdoor comunica con il server C&C tramite UDP. MgBot comunica con il server C&C utilizzando TCP. |
||
Porto non standard |
MgBot utilizza la porta TCP 21010. |
||
Tunneling del protocollo |
Nightdoor può fungere da server proxy HTTP, tunneling della comunicazione TCP. |
||
Servizio web |
Nightdoor utilizza Google Drive per le comunicazioni C&C. |
||
exfiltration |
Esfiltrazione automatizzata |
Nightdoor e MgBot esfiltrano automaticamente i dati raccolti. |
|
Esfiltrazione su servizio Web: Esfiltrazione su Cloud Storage |
Nightdoor può esfiltrare i suoi file su Google Drive. |
Appendice
Gli intervalli di indirizzi IP di destinazione sono forniti nella tabella seguente.
CIDR |
ISP |
Città |
Paese |
124.171.71.0/24 |
iiNet |
Sydney |
Australia |
125.209.157.0/24 |
iiNet |
Sydney |
Australia |
1.145.30.0/24 |
Telstra |
Sydney |
Australia |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australia |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australia |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australia |
45.113.1.0/24 |
Tecnologia server HK 92 |
香港 |
香港 |
172.70.191.0/24 |
Cloudflare |
Ahmedabad |
India |
49.36.224.0/24 |
Affidamento Jio Infocomm |
Airoli |
India |
106.196.24.0/24 |
Bharti Airtel |
Bangalore |
India |
106.196.25.0/24 |
Bharti Airtel |
Bangalore |
India |
14.98.12.0/24 |
Tata Teleservizi |
Bangalore |
India |
172.70.237.0/24 |
Cloudflare |
Chandigarh |
India |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
India |
103.214.118.0/24 |
Fascia da surf Airnet |
Delhi |
India |
45.120.162.0/24 |
Fascia da surf Ani |
Delhi |
India |
103.198.173.0/24 |
Anonet |
Delhi |
India |
103.248.94.0/24 |
Anonet |
Delhi |
India |
103.198.174.0/24 |
Anonet |
Delhi |
India |
43.247.41.0/24 |
Anonet |
Delhi |
India |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
India |
103.212.145.0/24 |
Eccitel |
Delhi |
India |
45.248.28.0/24 |
Elettronica Omkar |
Delhi |
India |
49.36.185.0/24 |
Affidamento Jio Infocomm |
Delhi |
India |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
India |
182.64.251.0/24 |
Bharti Airtel |
Gandarbal |
India |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
India |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamirpur |
India |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
India |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
India |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
India |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
India |
162.158.235.0/24 |
Cloudflare |
Mumbai |
India |
162.158.48.0/24 |
Cloudflare |
Mumbai |
India |
162.158.191.0/24 |
Cloudflare |
Mumbai |
India |
162.158.227.0/24 |
Cloudflare |
Mumbai |
India |
172.69.87.0/24 |
Cloudflare |
Mumbai |
India |
172.70.219.0/24 |
Cloudflare |
Mumbai |
India |
172.71.198.0/24 |
Cloudflare |
Mumbai |
India |
172.68.39.0/24 |
Cloudflare |
Nuova Delhi |
India |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Palampur |
India |
103.195.253.0/24 |
Rete digitale Protoact |
Ranchi |
India |
169.149.224.0/24 |
Affidamento Jio Infocomm |
Shimla |
India |
169.149.226.0/24 |
Affidamento Jio Infocomm |
Shimla |
India |
169.149.227.0/24 |
Affidamento Jio Infocomm |
Shimla |
India |
169.149.229.0/24 |
Affidamento Jio Infocomm |
Shimla |
India |
169.149.231.0/24 |
Affidamento Jio Infocomm |
Shimla |
India |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
India |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
India |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
India |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
India |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
modo |
India |
175.181.134.0/24 |
InfoComm del Nuovo Secolo |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
Taiwan |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
Taiwan |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
Taiwan |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
Taiwan |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
Taiwan |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Telecomunicazioni di Far EasTone |
Taoyuan City |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Mobile di Taiwan |
Yilan |
Taiwan |
185.93.229.0/24 |
Sucuri Security |
Ashburn |
Stati Uniti |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
Stati Uniti |
216.66.111.0/24 |
Telefono del Vermont |
Wallingford |
Stati Uniti |
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :ha
- :È
- :non
- :Dove
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- capace
- Chi siamo
- accesso
- Secondo
- Il mio account
- conti
- acquisito
- Legge
- azioni
- attivo
- atti
- aggiungere
- aggiunto
- aggiunta
- aggiuntivo
- indirizzo
- indirizzi
- Aggiunge
- ancora
- contro
- Agente
- Mirato
- algoritmo
- allineare
- Tutti
- consentire
- consente
- già
- anche
- sempre
- tra
- an
- .
- analizzato
- ed
- annuale
- Annualmente
- Anonimo
- Un altro
- rispondere
- in qualsiasi
- api
- API
- App
- App store
- Apple
- Applicazioni
- applicazioni
- APPLICA
- applicazioni
- APT
- architettura
- Archivio
- SONO
- argomento
- ARM
- Italia
- AS
- Asia
- addetto
- associato
- At
- attacco
- attacchi
- tentativo
- gli attributi
- Australia
- gli autori
- automaticamente
- disponibile
- precedente
- porta posteriore
- Backdoor
- esca
- basato
- basic
- BE
- stato
- prima
- essendo
- CREDIAMO
- appartiene
- sotto
- MIGLIORE
- fra
- entrambi
- Branch di società
- costruito
- ma
- pulsante
- by
- detto
- Campagna
- Materiale
- funzionalità
- capitalizzare
- maiuscolo
- trasportare
- Secolo
- a livello internazionale
- certificato
- catena
- Challenge
- Modifiche
- caratteri
- dai un'occhiata
- controllato
- Controlli
- Cina
- Cinese
- scelte
- Città
- pulire campo
- Cloud
- codice
- raccogliere
- COM
- combinazione
- Comunicazione
- azienda
- rispetto
- completamento di una
- componente
- componenti
- globale
- compromesso
- Compromissione
- Calcolare
- calcolata
- computer
- condizione
- conduzione
- fiducia
- Configurazione
- Collegamento
- veloce
- Connessioni
- contatti
- contenere
- contenute
- contiene
- contenuto
- continua
- continuo
- Conversazione
- correggere
- Corrispondente
- potuto
- paesi
- Crash
- creare
- creato
- crea
- crittografia
- Attualmente
- costume
- dati
- Struttura dati
- Data
- Date
- giorno
- Giorni
- Predefinito
- defaults
- difese
- consegnare
- consegna
- dimostrato
- Dipendente
- raffigurato
- schierare
- schierato
- distribuzione
- Distribuisce
- descritta
- descrizione
- destinazione
- dettaglio
- rilevato
- Costruttori
- Mercato
- Società di sviluppo
- dispositivo
- diverso
- digerire
- digitale
- directory
- elenco
- scoperto
- scoperta
- distribuzione
- Diviso
- do
- documento
- effettua
- Dont
- giù
- scaricare
- il download
- download
- guidare
- autista
- unità
- Cadere
- caduto
- Gocce
- ogni
- più presto
- alleviare
- est
- Istruzione
- otto
- o
- incorporato
- crittografato
- fine
- Ingegneria
- accrescere
- seducente
- Intero
- entità
- Equivalente
- errore
- Ricerca ESET
- stabilire
- eccetera
- eventi
- Ogni
- di preciso
- esempio
- esclusivamente
- eseguire
- eseguito
- esegue
- esecuzione
- esfiltrazione
- previsto
- export
- estensione
- fallisce
- falso
- Febbraio
- FESTIVAL
- campo
- campi
- figura
- capito
- Compila il
- File
- finale
- Trovare
- firewall
- Nome
- Fissare
- flusso
- seguito
- i seguenti
- segue
- Nel
- formato
- formula
- essere trovato
- quattro
- Contesto
- Gratis
- da
- pieno
- function
- funzionalità
- funzionalità
- funzioni
- ulteriormente
- raccolta
- generare
- generato
- Georgia
- ottenere
- si
- ottenere
- va
- Enti Pubblici
- Enti governativi
- Grafico
- Gruppo
- Gruppo
- Manovrabilità
- Hardware
- hash
- hash
- hashing
- Avere
- Eroe
- Alta
- alto profilo
- superiore
- Foro
- Fori
- Hong
- 香港
- host
- ospitato
- di hosting
- Tuttavia
- HTML
- http
- HTTPS
- ID
- identificato
- identificatore
- ids
- if
- illustra
- Immagine
- importante
- in
- In altre
- incluso
- Compreso
- indici
- India
- individui
- influenza
- informazioni
- Infrastruttura
- iniettare
- ingresso
- inserendo
- Richieste
- interno
- install
- installato
- installazione
- invece
- Istituto
- integrato
- Intel
- Intelligence
- destinato
- interesse
- internamente
- Internazionale
- certificato
- ai miglioramenti
- IP
- Indirizzo IP
- Gli indirizzi IP
- Rilasciato
- IT
- SUO
- Gennaio
- Giappone
- JavaScript
- jio
- jQuery
- json
- ad appena
- tenere
- Le
- Tasti
- Sapere
- conoscenze
- conosciuto
- Kong
- Lingua
- In ritardo
- dopo
- con i più recenti
- lanciare
- lanciato
- lancio
- strato
- meno
- legittimo
- leveraggi
- Biblioteca
- piace
- Lista
- elencati
- ascolta
- elenchi
- Lives
- caricare
- caricatore
- Caricamento in corso
- locale
- collocato
- località
- Guarda
- Mac
- macchina
- macos
- magia
- Principale
- terraferma
- maggiore
- Maggioranza
- Malaysia
- maligno
- il malware
- gestire
- molti
- mascherata
- partita
- fiammiferi
- corrispondenza
- Maggio..
- MD5
- me
- significato
- significativo
- significava
- meccanismo
- Memorie
- messaggio
- messaggi
- Metadati
- metodo
- forza
- mancante
- modificato
- modificare
- componibile
- moduli
- Scopri di più
- maggior parte
- mosso
- multiplo
- devono obbligatoriamente:
- Myanmar
- Nome
- Detto
- necessaria
- di applicazione
- Rete
- reti
- New
- notizie
- GENERAZIONE
- Nigeria
- no
- Nota
- notifica
- numero
- oggetto
- ottenere
- ottenuto
- ottenendo
- ottiene
- occasioni
- of
- Offerte
- ufficiale
- Sito ufficiale
- Vecchio
- maggiore
- on
- una volta
- ONE
- esclusivamente
- su
- operativo
- sistema operativo
- operazione
- Operatori
- or
- organizzazione
- organizzazioni
- OS
- Altro
- altrimenti
- nostro
- su
- produzione
- ancora
- proprio
- pacchetto
- Packages
- pagina
- parametri
- passato
- sentiero
- percorsi
- persistenza
- Philippines
- pezzo
- pezzi
- posto
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- per favore
- punti
- posto
- potenziale
- presenti
- presentata
- prevenire
- Anteprima
- precedente
- in precedenza
- un bagno
- Problema
- ricavo
- processi
- i processi
- produce
- Prodotto
- Profilo
- programmato
- promuove
- protocollo
- purché
- delega
- la percezione
- pubblicamente
- pubblicato
- scopo
- qualità
- quarantena
- domanda
- gamma
- gamme
- a raggiunto
- ricevere
- registro
- relazionato
- rimanente
- rimozione
- rimosso
- cedere
- reso
- rende
- rispondere
- Segnalati
- Report
- rappresenta
- richiesta
- richiede
- riparazioni
- ricercatori
- responsabile
- invertire
- norme
- Correre
- running
- Ruggine
- sale
- stesso
- campione
- in programma
- copione
- Secondo
- secondario
- Sezione
- sicuro
- problemi di
- vedere
- visto
- prodotti
- invia
- Settembre
- servito
- server
- Server
- servizio
- Servizi
- alcuni
- condiviso
- compartecipazione
- Conchiglia
- dovrebbero
- mostrato
- Spettacoli
- lato
- firma
- firmato
- firma
- simile
- da
- Taglia
- So
- Software
- lo sviluppo del software
- soluzione
- sud-est
- lo spazio
- specifico
- in particolare
- specificato
- Stage
- tappe
- Stelle
- dichiarazione
- stati
- Tornare al suo account
- memorizzati
- Strategico
- Corda
- La struttura
- strutturato
- il successo
- tale
- fornire
- supply chain
- supportato
- sospettoso
- Interruttore
- sistema
- tavolo
- Taiwan
- preso
- prende
- Target
- mirata
- mira
- obiettivi
- Task
- task
- team
- Tech
- Tecnologia
- terminal
- territori
- di
- che
- I
- le informazioni
- Filippine
- loro
- Li
- si
- poi
- Là.
- perciò
- di
- questo
- quelli
- minaccia
- tre
- Attraverso
- per tutto
- tempo
- time line
- timestamp
- a
- insieme
- token
- toolkit
- Totale
- Traduzione
- vero
- Affidati ad
- seconda
- Digitare
- tipico
- incapace
- per
- capire
- unico
- Unito
- Stati Uniti
- Università
- Sconosciuto
- imminenti
- Aggiornamenti
- URL
- us
- uso
- utilizzato
- Utente
- utenti
- usa
- utilizzando
- generalmente
- APPREZZIAMO
- Valori
- Variante
- versione
- versioni
- molto
- via
- Vittima
- vittime
- Vietnam
- Visita
- visitato
- Visitatore
- visitatori
- Visite
- Prima
- we
- sito web
- Sito web
- siti web
- WELL
- sono stati
- Che
- quando
- se
- quale
- OMS
- largo
- Vasta gamma
- larghezza
- wikipedia
- volere
- finestre
- con
- entro
- parole
- scritto
- ancora
- zefiro
- Codice postale