חוקרי ESET ניתחו שני קמפיינים של קבוצת OilRig APT: Outer Space (2021) ו- Juicy Mix (2022). שני הקמפיינים של ריגול סייבר אלה כוונו באופן בלעדי לארגונים ישראליים, מה שעולה בקנה אחד עם ההתמקדות של הקבוצה במזרח התיכון, והשתמשו באותו ספר משחק: OilRig תחילה התפשרה על אתר לגיטימי לשימוש כשרת C&C ולאחר מכן השתמשה ב-VBS droppers כדי לספק C# /.NET דלת אחורית לקורבנותיה, תוך פריסת מגוון כלים לאחר פשרה המשמשים בעיקר לסילוק נתונים במערכות היעד.
במסע הפרסום שלהם לחלל החיצון, OilRig השתמשה בדלת אחורית פשוטה, שלא תועדה בעבר C#/.NET, שקראנו לה Solar, יחד עם הורדה חדשה, SampleCheck5000 (או SC5k), המשתמשת ב-Microsoft Office Exchange Web Services API לתקשורת C&C. עבור מסע הפרסום Juicy Mix, שחקני האיום שיפרו את Solar כדי ליצור את הדלת האחורית של מנגו, בעלת יכולות נוספות ושיטות ערפול. בנוסף לאיתור ערכת הכלים הזדונית, הודענו גם ל-CERT הישראלי על האתרים שנפגעו.
נקודות מפתח של פוסט זה בבלוג:
- ESET צפה בשני קמפיינים של OilRig שהתרחשו במהלך 2021 (החלל החיצון) ו-2022 (Juicy Mix).
- המפעילים פנו באופן בלעדי לארגונים ישראלים ופגעו באתרים ישראליים לגיטימיים לשימוש בתקשורת C&C שלהם.
- הם השתמשו בדלת אחורית חדשה, שלא תועדה בעבר, בשלב ראשון של C#/.NET בכל קמפיין: Solar in Outer Space, ולאחר מכן היורשת שלה Mango in Juicy Mix.
- שתי הדלתות האחוריות נפרסו על ידי מטפטפות VBS, ככל הנראה הופצו באמצעות דואר אלקטרוני מדגדג.
- מגוון כלים לאחר פשרה נפרסו בשני מסעות הפרסום, בעיקר הורדת ה-SC5k המשתמשת ב-Microsoft Office Exchange Web Services API לתקשורת C&C, וכמה כלים לגניבת נתוני דפדפן ואישורים מ-Windows Credential Manager.
OilRig, הידועה גם בשם APT34, Lyceum או Siamesekitten, היא קבוצת ריגול סייבר הפעילה מאז 2014 לפחות מקובל להאמין להתבסס באיראן. הקבוצה מכוונת לממשלות במזרח התיכון ולמגוון רחב של ענפים עסקיים, כולל כימיקלים, אנרגיה, פיננסים וטלקומוניקציה. OilRig ביצעה את קמפיין DNSPionage ב 2018 ו 2019, שפגע בקורבנות בלבנון ובאיחוד האמירויות. בשנים 2019 ו-2020, OilRig המשיכה בהתקפות עם HardPass מסע פרסום, שהשתמש בלינקדאין כדי למקד את קורבנות המזרח התיכון במגזרי האנרגיה והממשל. בשנת 2021, OilRig עדכנה את זה DanBot דלת אחורית והחלה לפרוס את כריש, מילאנו, ודלתות אחוריות של מרלין, המוזכרות ב גיליון T3 2021 של דוח האיומים של ESET.
בפוסט זה בבלוג, אנו מספקים ניתוח טכני של הדלת האחורית של השמש והמנגו, של הטפטפת VBS המשמשת להעברת מנגו ושל הכלים שלאחר הפשרה שנפרסו בכל קמפיין.
ייחוס
הקישור הראשוני שאיפשר לנו לחבר את מסע הפרסום של החלל החיצון ל-OilRig הוא השימוש באותו דומפר נתונים מותאם אישית של Chrome (בעקבותיו של חוקרי ESET תחת השם MKG) כמו ב- קמפיין יציאה לים. צפינו בדלת האחורית הסולרית פורסת את אותה דגימה של MKG כמו ב-Out to Sea על מערכת המטרה, יחד עם שתי גרסאות נוספות.
מלבד החפיפה בכלים ובמיקוד, ראינו גם קווי דמיון מרובים בין הדלת האחורית השמשית לדלתות האחוריות המשמשות ב-Out to Sea, בעיקר הקשורות להעלאה והורדה: גם Solar וגם Shark, עוד דלת אחורית OilRig, משתמשים ב-URI עם סכימות העלאה והורדה פשוטות לתקשר עם שרת C&C, עם "d" להורדה ו-"u" להעלאה; בנוסף, מכשיר ההורדה SC5k משתמש בספריות משנה של העלאות והורדות בדיוק כמו דלתות אחוריות אחרות של OilRig, כלומר ALMA, Shark, DanBot ומילאנו. ממצאים אלו משמשים אישור נוסף לכך שהאשם מאחורי החלל החיצון הוא אכן OilRig.
באשר לקשרים של קמפיין Juicy Mix עם OilRig, מלבד הכוונה לארגונים ישראליים - שאופייני לקבוצת ריגול זו - יש קווי דמיון בין מנגו, הדלת האחורית המשמשת בקמפיין זה, לבין Solar. יתר על כן, שתי הדלתות האחוריות נפרסו על ידי טפטפות VBS עם אותה טכניקת ערפול מיתרים. הבחירה בכלים שלאחר הפשרה שהופעלו ב- Juicy Mix משקפת גם קמפיינים קודמים של OilRig.
סקירה כללית של מסע פרסום בחלל החיצון
על שם השימוש בסכימת שמות המבוססת על אסטרונומיה בשמות הפונקציות והמשימות שלו, Outer Space הוא קמפיין OilRig משנת 2021. בקמפיין זה, הקבוצה התפשרה על אתר משאבי אנוש ישראלי והשתמשה בו לאחר מכן כשרת C&C עבור קמפיין זה בעבר. דלת אחורית של C#/.NET לא מתועדת, Solar. Solar היא דלת אחורית פשוטה עם פונקציונליות בסיסית כמו קריאה וכתיבה מדיסק ואיסוף מידע.
באמצעות Solar, הקבוצה פרסה אז הורדה חדשה SC5k, המשתמשת ב-Office Exchange Web Services API כדי להוריד כלים נוספים לביצוע, כפי שמוצג ב- REF _Ref142655526 h תרשים 1
. על מנת לחלץ נתוני דפדפן מהמערכת של הקורבן, OilRig השתמשה ב-Chrome-Data Dumper בשם MKG.
סקירת קמפיין Juicy Mix
בשנת 2022 השיקה OilRig קמפיין נוסף המכוון לארגונים ישראליים, הפעם עם ערכת כלים מעודכנת. קראנו לקמפיין Juicy Mix לשימוש בדלת אחורית חדשה של OilRig, Mango (בהתבסס על שם ההרכבה הפנימי שלו ושם הקובץ שלו, Mango.exe). בקמפיין זה פגעו שחקני האיומים על אתר אינטרנט חוקי של פורטל דרושים ישראלי לשימוש בתקשורת C&C. הכלים הזדוניים של הקבוצה נפרסו אז נגד ארגון בריאות, שבסיסו אף הוא בישראל.
הדלת האחורית בשלב ראשון של מנגו היא יורשת של Solar, שנכתבה גם היא ב-C#/.NET, עם שינויים בולטים הכוללים יכולות סינון, שימוש בממשקי API מקוריים וקוד התחמקות זיהוי נוסף.
יחד עם מנגו, זיהינו גם שני מאגרי דפדפן לא מתועדים בעבר ששימשו לגניבת קובצי Cookie, היסטוריית גלישה ואישורים מדפדפני Chrome ו-Edge, וכן גנב של Windows Credential Manager, את כל אלה אנו מייחסים ל-OilRig. כלים אלה שימשו כולם נגד אותה מטרה כמו מנגו, כמו גם בארגונים ישראליים אחרים שנפגעו במהלך 2021 ו-2022. REF _Ref125475515 h תרשים 2
מציג סקירה כללית של אופן השימוש ברכיבים השונים בקמפיין Juicy Mix.
ניתוח טכני
בחלק זה, אנו מספקים ניתוח טכני של הדלתות האחוריות של Solar ומנגו ושל הורדת ה-SC5k, כמו גם כלים אחרים שנפרסו למערכות הממוקדות בקמפיינים אלה.
טפטפות VBS
כדי לבסס דריסת רגל במערכת של היעד, נעשה שימוש ב-Visual Basic Script (VBS) מטפטפים בשני מסעות הפרסום, שככל הנראה הופצו על ידי מיילים ספייר-פישינג. הניתוח שלנו להלן מתמקד בסקריפט VBS המשמש להורדת מנגו (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); שימו לב שהטפטפת של סולאר דומה מאוד.
מטרת הטפטפת היא לספק את הדלת האחורית המשובצת של מנגו, לתזמן משימה להתמדה ולרשום את הפשרה עם שרת C&C. הדלת האחורית המוטבעת מאוחסנת כסדרה של תת-מחרוזות base64, אשר משורשרות ומפוענחות base64. כמו שמוצג ב REF _Ref125477632 h תרשים 3
, הסקריפט משתמש גם בטכניקת פירוק מחרוזת פשוטה, שבה מחרוזות מורכבות באמצעות פעולות אריתמטיות וה- Chr פונקציה.
נוסף על כך, ה-VBS dropper של Mango מוסיף סוג נוסף של ערפול מחרוזות וקוד כדי להגדיר התמדה ולהירשם בשרת C&C. כמו שמוצג ב REF _Ref125479004 h * MERGEFORMAT תרשים 4
, כדי לטשטש כמה מחרוזות, התסריט מחליף את כל התווים בסט #*+-_)(}{@$%^& עם 0, ואז מחלק את המחרוזת למספרים תלת ספרתיים שמומרים לאחר מכן לתווי ASCII באמצעות ה Chr
פוּנקצִיָה. למשל, המחרוזת 116110101109117+99111$68+77{79$68}46-50108109120115}77 מתרגם ל Msxml2.DOMDocument.
ברגע שהדלת האחורית מוטמעת במערכת, הטפטפת עוברת ליצירת משימה מתוזמנת שמבצעת את Mango (או Solar, בגרסה האחרת) כל 14 דקות. לבסוף, הסקריפט שולח שם מקודד base64 של המחשב שנפרץ באמצעות בקשת POST לרשום את הדלת האחורית עם שרת ה-C&C שלו.
דלת אחורית סולארית
שמש היא הדלת האחורית המשמשת בקמפיין החלל החיצון של OilRig. בעל פונקציונליות בסיסית, דלת אחורית זו יכולה לשמש, בין היתר, להורדה וביצוע של קבצים, ולחלץ אוטומטית של קבצים מבוימים.
בחרנו את השם Solar בהתבסס על שם הקובץ בשימוש של OilRig, Solar.exe. זה שם הולם מכיוון שהדלת האחורית משתמשת בסכימת שמות אסטרונומיה עבור שמות הפונקציות והמשימות שלה המשמשות לאורך הקובץ הבינארי (כספית, ונוס, מַאְדִים, כדור הארץ, ו צדק).
Solar מתחילה בביצוע על ידי ביצוע השלבים המוצגים ב REF _Ref98146919 h * MERGEFORMAT תרשים 5
.
הדלת האחורית יוצרת שתי משימות, כדור הארץ
ו ונוס, שרצים בזיכרון. אין פונקציית עצירה עבור אף אחת משתי המשימות, כך שהן יפעלו ללא הגבלת זמן. כדור הארץ
מתוכנן לפעול כל 30 שניות ו ונוס
מוגדר לפעול כל 40 שניות.
כדור הארץ היא המשימה העיקרית, האחראית על עיקר הפונקציות של סולאר. הוא מתקשר עם שרת C&C באמצעות הפונקציה MercuryToSun, ששולח מידע בסיסי על מערכת ותוכנות זדוניות לשרת C&C ולאחר מכן מטפל בתגובת השרת. כדור הארץ שולח את המידע הבא לשרת C&C:
- המיתר (@); כל המחרוזת מוצפנת.
- המיתר 1.0.0.0, מוצפן (אולי מספר גרסה).
- המיתר 30000, מוצפן (אולי זמן הריצה המתוכנן של כדור הארץ
הצפנה ופענוח מיושמים בפונקציות הנקראות יופיטרE
ו יופיטר ד, בהתאמה. שניהם קוראים לפונקציה בשם JupiterX, המיישמת לולאת XOR כפי שמוצג ב REF _Ref98146962 h תרשים 6
.
המפתח נגזר ממשתנה מחרוזת גלובלית מקודדת, 6sEj7*0B7#7ו שליח: במקרה זה, מחרוזת hex אקראית באורך 2-24 תווים. בעקבות הצפנת XOR, מוחל קידוד base64 סטנדרטי.
שרת האינטרנט של חברת משאבי אנוש ישראלית, ש-OilRig התפשרה עליו בשלב מסוים לפני פריסת Solar, שימש כשרת C&C:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
לפני התוספת ל-URI, אי ההצפנה מוצפן, והערך של מחרוזת השאילתה הראשונית, rt, נקבע ל d כאן, כנראה עבור "הורדה".
השלב האחרון של MercuryToSun
הפונקציה היא לעבד תגובה משרת C&C. הוא עושה זאת על ידי שליפת מחרוזת משנה של התגובה, שנמצאת בין התווים QQ@ ו @kk. תגובה זו היא שורה של הוראות מופרדות בכוכביות (*) שמעובד למערך. כדור הארץ
לאחר מכן מבצע את פקודות הדלת האחורית, הכוללות הורדת מטענים נוספים מהשרת, רישום קבצים במערכת של הקורבן והפעלת קובצי הפעלה ספציפיים.
פלט הפקודה נדחס לאחר מכן gzip באמצעות הפונקציה נפטון
ומוצפן עם אותו מפתח הצפנה ו-nonce חדש. לאחר מכן התוצאות מועלות לשרת C&C, כך:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid וה-nonce החדש מוצפן עם ה- יופיטרE
פונקציה, וכאן הערך של rt מוגדר u, כנראה עבור "העלאה".
ונוס, המשימה המתוזמנת האחרת, משמשת להוצאת נתונים אוטומטית. המשימה הקטנה הזו מעתיקה את תוכן הקבצים מספרייה (שנקראת גם ונוס) לשרת C&C. ככל הנראה קבצים אלה יוסרו לכאן על ידי כלי אחר, שטרם זוהה, OilRig. לאחר העלאת קובץ, המשימה מוחקת אותו מהדיסק.
מנגו דלת אחורית
עבור קמפיין Juicy Mix שלה, OilRig עברה מהדלת האחורית של השמש למנגו. יש לו זרימת עבודה דומה ל-Solar ויכולות חופפות, אך בכל זאת ישנם מספר שינויים בולטים:
- שימוש ב-TLS לתקשורת C&C.
- שימוש בממשקי API מקוריים, במקום ממשקי API של .NET, לביצוע קבצים ופקודות מעטפת.
- למרות שלא נעשה בו שימוש פעיל, הוכנס קוד התחמקות מזיהוי.
- תמיכה בגלישה אוטומטית (ונוס
- התמיכה במצב יומן הוסרה, ושמות הסמלים הוסרו.
בניגוד לתכנית השמות של סולאר בנושא האסטרונומיה, מנגו מערפל את שמות הסמלים שלה, כפי שניתן לראות ב REF _Ref142592880 h תרשים 7
.
מלבד ערפול שם הסמל, מנגו משתמש גם בשיטת הערימה של מחרוזות (כפי שמוצג ב REF _Ref142592892 h תרשים 8
REF _Ref141802299 h
) כדי לטשטש מחרוזות, מה שמקשה על השימוש בשיטות זיהוי פשוטות.
בדומה לסולאר, הדלת האחורית של מנגו מתחילה ביצירת משימה בזיכרון, המתוכננת לפעול ללא הגבלת זמן כל 32 שניות. משימה זו מתקשרת עם שרת C&C ומבצעת פקודות בדלת אחורית, בדומה לזו של Solar כדור הארץ
מְשִׁימָה. בעוד שמש גם יוצר ונוס, משימה להחלפה אוטומטית, פונקציונליות זו הוחלפה במנגו בפקודת דלת אחורית חדשה.
במשימה הראשית, מנגו מייצר תחילה מזהה קורבן, , לשימוש בתקשורת C&C. המזהה מחושב כ-hash MD5 של , בפורמט כמחרוזת הקסדצימלית.
כדי לבקש פקודה בדלת אחורית, מנגו שולח את המחרוזת d@ @ | לשרת C&C http://www.darush.co[.]il/ads.asp – פורטל דרושים ישראלי לגיטימי, שכנראה נפרץ על ידי OilRig לפני הקמפיין הזה. הודענו לארגון CERT הלאומי הישראלי על הפשרה.
גוף הבקשה בנוי באופן הבא:
- הנתונים שיש להעביר מוצפנים XOR באמצעות מפתח ההצפנה Q&4g, ולאחר מכן מקודד base64.
- מחרוזת פסאודורנדומית של 3-14 תווים נוצרת מהאלפבית הזה (כפי שהוא מופיע בקוד): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- הנתונים המוצפנים מוכנסים במיקום פסאודו אקראי בתוך המחרוזת שנוצרה, מוקפת בין [@ ו @] תוחמים.
כדי לתקשר עם שרת C&C שלה, מנגו משתמשת בפרוטוקול TLS (Transport Layer Security), המשמש לספק שכבת הצפנה נוספת.
באופן דומה, פקודת הדלת האחורית המתקבלת משרת C&C מוצפנת XOR, מקודדת base64, ולאחר מכן ממוקמת בין [@ ו @] בתוך גוף תגובת ה-HTTP. הפקודה עצמה היא או NCNT
(במקרה זה לא ננקטת פעולה), או מחרוזת של מספר פרמטרים המופרדים על ידי
@, כמפורט ב REF _Ref125491491 h טבלתי 1
, המפרט את פקודות הדלת האחורית של מנגו. ציין זאת אינו מופיע בטבלה, אך משמש בתגובה לשרת C&C.
טבלה 1. רשימת פקודות הדלת האחורית של מנגו
ארג1 |
ארג2 |
ארג3 |
ננקטה פעולה |
ערך החזרה |
|
1 או מחרוזת ריקה |
+sp |
N / A |
מבצע את פקודת הקובץ/המעטפת שצוינו (עם הארגומנטים האופציונליים), באמצעות ה-native צור API מיובא באמצעות DllImport. אם הטיעונים מכילים [S], הוא מוחלף ב C: WindowsSystem32. |
פלט פקודה. |
|
+נו |
N / A |
מחזירה את מחרוזת גרסת התוכנה הזדונית ואת כתובת האתר של C&C. |
|; במקרה הזה: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
מונה את התוכן של הספרייה שצוינה (או ספריית העבודה הנוכחית). |
מדריך של עבור כל ספריית משנה:
עבור כל קובץ: קוֹבֶץ במאי(ים) קבצים) |
||
+dn |
N / A |
מעלה את תוכן הקובץ לשרת C&C באמצעות בקשת HTTP POST חדשה בפורמט: u@ @ | @ @2@. |
אחד מ: · קוֹבֶץ[ ] מועלה לשרת. · הקובץ לא נמצא! · נתיב הקובץ ריק! |
||
2 |
נתונים מקודדים ב-Base64 |
שם הקובץ |
משליך את הנתונים שצוינו לקובץ בספריית העבודה. |
הקובץ הורד לנתיב[ ] |
כל פקודת דלת אחורית מטופלת בשרשור חדש, וערכי ההחזר שלהם מקודדים לאחר מכן ב-base64 ומשולבים עם מטא נתונים אחרים. לבסוף, מחרוזת זו נשלחת לשרת C&C באמצעות אותו פרוטוקול ושיטת הצפנה כפי שתואר לעיל.
טכניקת התחמקות לא בשימוש
מעניין שמצאנו מכשיר שאינו בשימוש טכניקת התחמקות מגילוי בתוך מנגו. הפונקציה האחראית על ביצוע קבצים ופקודות שהורדו משרת C&C לוקחת פרמטר שני אופציונלי - מזהה תהליך. אם מוגדר, מנגו משתמש ב- UpdateProcThreadAttribute
API כדי להגדיר את PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) תכונה עבור התהליך שצוין לערך: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), כמו שמוצג ב REF _Ref125480118 h תרשים 9
.
מטרת הטכניקה הזו היא לחסום את פתרונות האבטחה של נקודות הקצה מלטעון את כוסי הקוד שלהם במצב משתמש באמצעות DLL בתהליך זה. אמנם לא נעשה שימוש בפרמטר במדגם שניתחנו, אך ניתן היה להפעיל אותו בגרסאות עתידיות.
גרסת 1.1.1
בלי קשר לקמפיין Juicy Mix, ביולי 2023 מצאנו גרסה חדשה של הדלת האחורית של מנגו (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), שהועלה ל-VirusTotal על ידי מספר משתמשים תחת השם Menorah.exe. הגרסה הפנימית בדוגמה זו שונתה מ-1.0.0 ל-1.1.1, אך השינוי הבולט היחיד הוא השימוש בשרת C&C אחר, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
יחד עם גרסה זו, גילינו גם מסמך Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) עם מאקרו זדוני שמפיל את הדלת האחורית. REF _Ref143162004 h תרשים 10
מציג את הודעת האזהרה המזויפת, המפתה את המשתמש להפעיל פקודות מאקרו עבור המסמך, ואת תוכן הפיתוי המוצג לאחר מכן, בעוד הקוד הזדוני פועל ברקע.
איור 10. מסמך Microsoft Word עם מאקרו זדוני שמפיל Mango v1.1.1
כלים לאחר פשרה
בסעיף זה, נסקור מבחר של כלים לאחר פשרה המשמשים בקמפיינים של OilRig של Outer Space ושל Juicy Mix, שמטרתם הורדה וביצוע מטענים נוספים, וגניבת נתונים מהמערכות שנפרצו.
הורדת SampleCheck5000 (SC5k).
SampleCheck5000 (או SC5k) הוא הורדה המשמש להורדה וביצוע של כלים נוספים של OilRig, הבולטים בשימוש ב-Microsoft Office Exchange Web Services API לתקשורת C&C: התוקפים יוצרים טיוטת הודעות בחשבון הדוא"ל הזה ומסתירים את הפקודות בדלת האחורית שם. לאחר מכן, ההורדה מתחבר לאותו חשבון ומנתח את הטיוטות כדי לאחזר פקודות ומטענים לביצוע.
SC5k משתמש בערכים מוגדרים מראש - Microsoft Exchange URL, כתובת דואר אלקטרוני וסיסמה - כדי להיכנס לשרת Exchange המרוחק, אך הוא תומך גם באפשרות לעקוף ערכים אלה באמצעות קובץ תצורה בספריית העבודה הנוכחית בשם setting.key. בחרנו את השם SampleCheck5000 על סמך אחת מכתובות האימייל שבהן השתמש הכלי בקמפיין החלל החיצון.
ברגע ש-SC5k נכנס לשרת Exchange המרוחק, הוא מאחזר את כל האימיילים ב- טיוטות
ספרייה, ממיין אותם לפי העדכניים ביותר, תוך שמירה רק על הטיוטות שיש להן קבצים מצורפים. לאחר מכן הוא חוזר על כל טיוטה של הודעת עם קובץ מצורף, מחפש קבצים מצורפים של JSON המכילים "נתונים" בתוך הגוף. זה מחלץ את הערך מהמפתח נתונים בקובץ JSON, base64 מפענח ומפענח את הערך, וקורא cmd.exe כדי לבצע את מחרוזת שורת הפקודה שהתקבלה. לאחר מכן SC5k שומר את הפלט של cmd.exe
ביצוע למשתנה מקומי.
כשלב הבא בלולאה, ההורדה מדווחת על התוצאות למפעילי OilRig על ידי יצירת הודעת דואר אלקטרוני חדשה בשרת ה-Exchange ושמירתה כטיוטה (לא שולח), כפי שמוצג ב- REF _Ref98147102
h * MERGEFORMAT תרשים 11
. טכניקה דומה משמשת להוצאת קבצים מתיקיית סטייינג מקומית. כשלב האחרון בלולאה, SC5k גם רושם את פלט הפקודה בפורמט מוצפן ודחוס בדיסק.
מטחי דפדפן נתונים
אופייני למפעילי OilRig להשתמש במטפחי נתונים של דפדפן בפעילויות לאחר הפשרה שלהם. גילינו שני גנבי דפדפן חדשים בין הכלים שלאחר הפשרה שנפרסו בקמפיין Juicy Mix לצד הדלת האחורית של מנגו. הם משליכים את נתוני הדפדפן הגנובים ב- TEMP%% ספרייה לתוך קבצים בשם Cupdate
ו עדכן
(ומכאן השמות שלנו עבורם: CDumper ו-EDumper).
שני הכלים הם גונבי דפדפן C#/.NET, אוספים קובצי Cookie, היסטוריית גלישה ואישורים מדפדפני Chrome (CDumper) ו-Edge (EDumper). אנו ממקדים את הניתוח שלנו ב-CDumper, מכיוון ששני הגנבים כמעט זהים, מלבד כמה קבועים.
כאשר מופעל, CDumper יוצר רשימה של משתמשים עם Google Chrome מותקן. בביצוע, הגנב מתחבר ל-Chrome SQLite עוגיות, הִיסטוֹרִיָה
ו נתוני כניסה מסדי נתונים תחת %APPDATA%נתוני משתמש LocalGoogleChrome, ואוסף נתוני דפדפן, כולל כתובות URL שביקרו בהן וכניסות שמורות, באמצעות שאילתות SQL.
ערכי העוגיות מפוענחים לאחר מכן, וכל המידע שנאסף מתווסף לקובץ יומן בשם ג: משתמשים AppDataLocalTempCupdate, בטקסט ברור. פונקציונליות זו מיושמת בפונקציות CDumper בשם CookieGrab
(ראה REF _Ref126168131 h תרשים 12
), תפוס היסטוריה, ו Password Grab. שימו לב שאין מנגנון חילוף מיושם ב-CDumper, אבל מנגו יכול לסנן קבצים נבחרים באמצעות פקודת דלת אחורית.
גם בחלל החיצון וגם קודם לכן מחוץ לים מסע הפרסום, OilRig השתמשה ב-C/C++ Chrome Data Dumper בשם MKG. כמו CDumper ו-EDumper, גם MKG הצליחה לגנוב שמות משתמש וסיסמאות, היסטוריית גלישה וקובצי Cookie מהדפדפן. מאמפר הנתונים של Chrome נפרס בדרך כלל במיקומי הקבצים הבאים (כאשר המיקום הראשון הוא הנפוץ ביותר):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
גנב של Windows Credential Manager
מלבד כלים להטלת נתוני דפדפן, OilRig השתמשה גם בגניבת Windows Credential Manager במסע הפרסום Juicy Mix. כלי זה גונב אישורים מ-Windows Credential Manager, ובדומה ל-CDumper ו-EDumper, מאחסן אותם ב- TEMP%% ספרייה - הפעם לתוך קובץ בשם IUpdate
(ומכאן השם IDumper). שלא כמו CDumper ו-EDumper, IDumper מיושם כסקריפט PowerShell.
כמו בכלי ה-Dumper של הדפדפן, זה לא נדיר ש-OilRig אוספת אישורים מ-Windows Credential Manager. בעבר, מפעילי OilRig נצפו באמצעות VALUEVAULT, א זמין לציבור, כלי גניבת אישורים מלוקט Go (ראה את קמפיין HardPass 2019 וכן קמפיין 2020), לאותה מטרה.
סיכום
OilRig ממשיכה לחדש וליצור שתלים חדשים עם יכולות דמויות דלת אחורית תוך מציאת דרכים חדשות לביצוע פקודות במערכות מרוחקות. הקבוצה שיפרה את הדלת האחורית של C#/.NET Solar מקמפיין החלל החיצון כדי ליצור דלת אחורית חדשה בשם Mango עבור מסע הפרסום Juicy Mix. הקבוצה פורסת קבוצה של כלים מותאמים אישית לאחר פשרה המשמשים לאיסוף אישורים, קובצי Cookie והיסטוריית גלישה מדפדפנים גדולים וממנהל האישורים של Windows. למרות החידושים הללו, OilRig גם ממשיכה להסתמך על דרכים מבוססות להשיג נתוני משתמשים.
לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
קבצים
SHA-1 |
שם הקובץ |
שם זיהוי ESET |
תיאור |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
מסמך עם מאקרו זדוני שמפיל מנגו. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
טפטפת VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
דלת אחורית סולארית. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
מנגו דלת אחורית (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
מנגו דלת אחורית (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
מזבל נתונים Edge. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
דומפר נתונים של Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
דומפר של Windows Credential Manager. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – dump data Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – dump data Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – dump data Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
הורדת SC5k (גרסת 32 סיביות). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
הורדת SC5k (גרסת 64 סיביות). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
הורדת SC5k (גרסת 64 סיביות). |
רשת
IP |
תְחוּם |
ספק אירוח |
נראה לראשונה |
פרטים |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 13 של מסגרת MITER ATT & CK.
טקטיקה |
ID |
שם |
תיאור |
פיתוח משאבים |
התפשרות על תשתית: שרת |
גם בקמפיינים לחלל החיצון וגם בקמפיינים Juicy Mix, OilRig פגעה אתרים לגיטימיים כדי לביים כלים זדוניים ועבור תקשורת C&C. |
|
פיתוח יכולות: תוכנות זדוניות |
OilRig פיתחה דלתות אחוריות מותאמות אישית (סולאר ומנגו), הורדה (SC5k) ומערכת של כלים לגניבת אישורים לשימוש בפעולותיה. |
||
יכולות שלב: העלאת תוכנה זדונית |
OilRig העלתה רכיבים זדוניים לשרתי C&C שלה, ואחסנה קבצים ופקודות שנקבעו מראש ב- טיוטות ספריית דואר אלקטרוני של חשבון Office 365 עבור SC5k להורדה וביצוע. |
||
יכולות במה: כלי העלאה |
OilRig העלתה כלים זדוניים לשרתי C&C שלה, ואחסנה קבצים מאוחסנים מראש ב- טיוטות ספריית דואר אלקטרוני של חשבון Office 365 עבור SC5k להורדה וביצוע. |
||
גישה ראשונית |
פישינג: קובץ מצורף של Spearphishing |
OilRig כנראה הפיצה את מסעות הפרסום שלה בחלל החיצון ו-Juicy Mix באמצעות מיילים דיוגים עם טפטפות ה-VBS שלהם מצורפות. |
|
הוצאה לפועל |
משימה/עבודה מתוזמנת: משימה מתוזמנת |
הכלים IDumper, EDumper ו-CDumper של OilRig משתמשים במשימות מתוזמנות בשם כְּלוֹמַר, ed , ו cu להוציא את עצמם להורג בהקשר של משתמשים אחרים. Solar ומנגו משתמשים במשימה C#/.NET בטיימר כדי לבצע באופן איטרטיבי את הפונקציות העיקריות שלהם. |
|
מתורגמן פקודות וסקריפטים: PowerShell |
הכלי IDumper של OilRig משתמש ב-PowerShell לביצוע. |
||
מתורגמן פקודות ותסריטים: מעטפת הפקודות של Windows |
השימוש בסולאר, SC5k, IDumper, EDumper ו-CDumper של OilRig cmd.exe לביצוע משימות במערכת. |
||
מתורגמן פקודות וסקריפטים: Visual Basic |
OilRig משתמש ב-VBScript זדוני כדי לספק ולהתמיד בדלתות האחוריות של Solar ומנגו. |
||
ממשק API מקומי |
הדלת האחורית של מנגו של OilRig משתמשת ב צור Windows API לביצוע. |
||
התמדה |
משימה/עבודה מתוזמנת: משימה מתוזמנת |
טפטפת VBS של OilRig מתזמן משימה בשם תזכורת משימה לבסס התמדה עבור הדלת האחורית של מנגו. |
|
התחמקות הגנה |
התחזות: התאם לשם או מיקום לגיטימיים |
OilRig משתמשת בשמות קבצים לגיטימיים או תמימים עבור תוכנות זדוניות שלה כדי להסוות את עצמה מפני מגינים ותוכנות אבטחה. |
|
קבצים או מידע מעורפלים: אריזת תוכנה |
OilRig השתמש SAPIEN Script Packager ו SmartAssembly ערפול כדי לטשטש את כלי ה-IDumper שלו. |
||
קבצים או מידע מעורפלים: מטענים מוטבעים |
לטפטפות VBS של OilRig יש מטענים זדוניים המוטמעים בתוכם כסדרה של תת-מחרוזות base64. |
||
מסכות: משימה או שירות של מסיכות |
על מנת להיראות לגיטימי, ה-VBS dropper של מנגו מתזמן משימה עם התיאור התחל את פנקס הרשימות בשעה מסוימת. |
||
הסרת אינדיקטור: התמדה ברורה |
הכלים שלאחר הפשרה של OilRig מוחקים את המשימות המתוזמנות שלהם לאחר פרק זמן מסוים. |
||
בטל/פענח קבצים או מידע |
OilRig משתמשת במספר שיטות ערפול כדי להגן על המיתרים והמטענים המשובצים שלה. |
||
ערעור בקרות אמון |
SC5k משתמש ב-Office 365, בדרך כלל צד שלישי מהימן ולעיתים קרובות מתעלמים ממנו על ידי המגינים, כאתר הורדה. |
||
לפגוע בהגנה |
לדלת האחורית של Mango של OilRig יש יכולת (עדיין) לא בשימוש לחסום פתרונות אבטחה של נקודות קצה מלטעון את קוד מצב המשתמש שלהם בתהליכים ספציפיים. |
||
גישה לאישור |
אישורים מחנויות סיסמאות: אישורים מדפדפני אינטרנט |
הכלים המותאמים אישית של OilRig MKG, CDumper ו-EDumper יכולים להשיג אישורים, קובצי Cookie והיסטוריית גלישה מדפדפני Chrome ו-Edge. |
|
אישורים מחנויות סיסמאות: Windows Credential Manager |
הכלי להטלת אישורים מותאם אישית IDumper של OilRig יכול לגנוב אישורים ממנהל האישורים של Windows. |
||
גילוי פערים |
גילוי מידע מערכת |
מנגו משיג את שם המחשב שנפגע. |
|
גילוי קבצים וספריות |
למנגו יש פקודה למנות את התוכן של ספרייה שצוינה. |
||
גילוי בעל מערכת/משתמש |
מנגו משיג את שם המשתמש של הקורבן. |
||
גילוי חשבון: חשבון מקומי |
הכלים EDumper, CDumper ו-IDumper של OilRig יכולים למנות את כל חשבונות המשתמש במארח שנפרץ. |
||
גילוי מידע דפדפן |
MKG משליך את ההיסטוריה והסימניות של Chrome. |
||
פיקוד ובקרה |
פרוטוקול שכבת האפליקציות: פרוטוקולי אינטרנט |
מנגו משתמש ב-HTTP בתקשורת C&C. |
|
העברת כלי כניסה |
למנגו יש את היכולת להוריד קבצים נוספים משרת C&C לביצוע לאחר מכן. |
||
ערפול נתונים |
Solar ו-SC5k משתמשים בשיטת הצפנת XOR פשוטה יחד עם דחיסת gzip כדי לטשטש נתונים בזמן מנוחה ובמעבר. |
||
שירות אינטרנט: תקשורת דו כיוונית |
SC5k משתמש ב-Office 365 להורדת קבצים והעלאת קבצים אל טיוטות ספרייה בחשבון דוא"ל לגיטימי. |
||
קידוד נתונים: קידוד רגיל |
Solar, Mango ו-MKG base64 מפענחים נתונים לפני שליחתם לשרת C&C. |
||
ערוץ מוצפן: קריפטוגרפיה סימטרית |
מנגו משתמש בצופן XOR עם המפתח Q&4g להצפין נתונים בתקשורת C&C. |
||
ערוץ מוצפן: קריפטוגרפיה אסימטרית |
מנגו משתמשת ב-TLS לתקשורת C&C. |
||
exfiltration |
סינון מעל ערוץ C2 |
מנגו, סולאר ו-SC5k משתמשים בערוצי ה-C&C שלהם לסילוק. |
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- יכול
- אודות
- מֵעַל
- חֶשְׁבּוֹן
- חשבונות
- פעולה
- פעיל
- באופן פעיל
- פעילויות
- שחקנים
- הוסיף
- תוספת
- נוסף
- בנוסף
- כתובת
- כתובות
- מוסיף
- לאחר
- לאחר מכן
- נגד
- סוֹכֵן
- מכוון
- תעשיות
- מותר
- עלמא
- לאורך
- בַּצַד
- אלפבית
- גם
- בין
- an
- אנליזה
- מְנוּתָח
- ו
- אחר
- כל
- API
- ממשקי API
- לְהוֹפִיעַ
- מופיע
- יישומית
- APT
- ערבי
- איחוד האמירויות
- ארכיון
- ARE
- טיעונים
- מערך
- AS
- התאסף
- עצרת
- אסטרונומיה
- At
- המתקפות
- אוטומטי
- באופן אוטומטי
- דלת אחורית
- דלתות אחוריות
- רקע
- מבוסס
- בסיסי
- BE
- היה
- לפני
- החל
- מאחור
- להיות
- להלן
- מלבד
- בֵּין
- לחסום
- גוּף
- סימניות
- שניהם
- דפדפן
- דפדפנים
- דפדוף
- נבנה
- עסקים
- אבל
- by
- שיחה
- נקרא
- שיחות
- מבצע
- קמפיינים
- CAN
- יכולות
- יכולת
- נשא
- מקרה
- מסוים
- שינוי
- השתנה
- שינויים
- ערוץ
- ערוצים
- מאפיין
- תווים
- כימי
- בחירה
- בחר
- Chrome
- צופן
- ברור
- קוד
- לגבות
- איסוף
- COM
- משולב
- Common
- בדרך כלל
- להעביר
- תקשורת
- תקשורת
- של החברה
- רכיבים
- פשרה
- התפשר
- המחשב
- תְצוּרָה
- אישור
- לְחַבֵּר
- מתחבר
- צור קשר
- להכיל
- תוכן
- הקשר
- נמשך
- ממשיך
- הומר
- עוגיות
- יכול
- לִיצוֹר
- יוצר
- יוצרים
- יצירה
- תְעוּדָה
- אישורים
- נוֹכְחִי
- מנהג
- נתונים
- מאגרי מידע
- פענוח
- המגינים
- למסור
- לפרוס
- פרס
- פריסה
- פורס
- נגזר
- מְתוּאָר
- תיאור
- למרות
- מְפוֹרָט
- זוהה
- איתור
- מפותח
- אחר
- גילה
- תגלית
- מוצג
- מופץ
- מתחלק
- מסמך
- עושה
- להורדה
- הורדות
- טיוטה
- ירידה
- ירד
- נשמט
- טיפות
- שפך
- כל אחד
- מוקדם יותר
- מזרח
- מזרחי
- אדג '
- או
- אמייל
- מיילים
- מוטבע
- נסיכויות
- מוּעֳסָק
- לאפשר
- מוצפן
- הצף
- נקודת קצה
- אבטחה נקודת קצה
- אנרגיה
- מפתה
- ריגול
- להקים
- נוסד
- התחמקות
- כל
- דוגמה
- חליפין
- אך ורק
- לבצע
- יצא לפועל
- מוציאים להורג
- מבצע
- הוצאת להורג
- פילטרציה
- תמציות
- מְזוּיָף
- שלח
- קבצים
- בסופו של דבר
- כספי
- מציאת
- ממצאים
- ראשון
- הוֹלֵם
- תזרים
- להתמקד
- מתמקד
- הבא
- כדלקמן
- בעד
- פוּרמָט
- מצא
- מסגרת
- החל מ-
- מ 2021
- פונקציה
- פונקציות
- פונקציונלי
- פונקציות
- נוסף
- עתיד
- איסוף
- בדרך כלל
- נוצר
- מייצר
- גלוֹבָּלִי
- מטרה
- Google Chrome
- ממשלה
- ממשלות
- קְבוּצָה
- קבוצה
- מטפל
- שירים
- יש
- בריאות
- ומכאן
- כאן
- HEX
- הסתר
- היסטוריה
- הוקס
- המארח
- איך
- HTML
- http
- HTTPS
- בן אנוש
- משאבי אנוש
- ID
- זהה
- מזהה
- if
- תמונה
- יושם
- מיישמים
- משופר
- in
- לכלול
- כולל
- אכן
- מידע
- מידע
- תשתית
- בתחילה
- לחדש
- חידושים
- פניות
- מותקן
- במקום
- הוראות
- מוֹדִיעִין
- פנימי
- אל תוך
- הציג
- אירן
- ישראל
- IT
- שֶׁלָה
- עצמו
- עבודה
- ג'סון
- יולי
- רק
- שמירה
- מפתח
- ידוע
- אחרון
- הושק
- שכבה
- הכי פחות
- לבנון
- עזבו
- לגיטימי
- כמו
- סביר
- קו
- קשר
- לינקדין
- רשימה
- ברשימה
- רישום
- רשימות
- טוען
- מקומי
- מיקום
- מקומות
- היכנס
- ארוך
- הסתכלות
- מכונה
- מאקרו
- פקודות מאקרו
- ראשי
- גדול
- תוכנות זדוניות
- מנהל
- מרלין
- מסכות
- להתאים
- MD5
- מנגנון
- זכרון
- מוּזְכָּר
- הודעה
- הודעות
- מידע נוסף
- שיטה
- שיטות
- מיקרוסופט
- אמצע
- המזרח התיכון
- מילאן
- מילי שניות
- דקות
- לערבב
- מצב
- יתר על כן
- רוב
- בעיקר
- מהלכים
- מספר
- שם
- שם
- כלומר
- שמות
- שמות
- לאומי
- יליד
- נטו
- אף על פי כן
- חדש
- הבא
- ניסט
- לא
- יַקִיר
- בייחוד
- מספר
- מספרים
- להשיג
- משיג
- התרחשה
- of
- המיוחדות שלנו
- Office
- לעתים קרובות
- on
- ONE
- רק
- תפעול
- מפעילי
- אפשרות
- or
- להזמין
- ארגון
- ארגונים
- אחר
- שלנו
- הַחוּצָה
- חלל חיצון
- תפוקה
- יותר
- לעקוף
- סקירה
- עמוד
- פרמטר
- פרמטרים
- צד
- סיסמה
- סיסמאות
- נתיב
- ביצוע
- תקופה
- התמדה
- דיוג
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- נקודה
- נקודות
- כניסה
- עמדה
- יִתָכֵן
- הודעה
- PowerShell
- לְמַעֲשֶׂה
- קודמו
- קודם
- קוֹדֶם
- יְסוֹדִי
- פְּרָטִי
- כנראה
- תהליך
- מעובד
- תהליכים
- המוצר
- להגן
- פרוטוקול
- לספק
- לאור
- מטרה
- שאילתות
- אקראי
- במקום
- קריאה
- קיבלו
- לאחרונה
- הירשם
- קָשׁוּר
- לסמוך
- מרחוק
- הסרה
- הוסר
- החליף
- לדווח
- דוחות לדוגמא
- לבקש
- מחקר
- חוקרים
- משאבים
- בהתאמה
- תגובה
- אחראי
- REST
- וכתוצאה מכך
- תוצאות
- לַחֲזוֹר
- סקירה
- מעטה
- הפעלה
- ריצה
- s
- אותו
- שמור
- הציל
- חסכת
- ראה
- לוח זמנים
- מתוכנן
- תכנית
- תוכניות
- תסריט
- SEA
- שְׁנִיָה
- שניות
- סעיף
- מגזרים
- אבטחה
- לִרְאוֹת
- לראות
- נבחר
- מבחר
- שליחה
- שולח
- נשלח
- סדרה
- לשרת
- שרת
- שרתים
- שרות
- שירותים
- סט
- כמה
- כריש
- פָּגָז
- הראה
- הופעות
- דומה
- הדמיון
- פָּשׁוּט
- since
- אתר
- קטן
- So
- תוכנה
- סולרי
- פתרונות
- כמה
- מֶרחָב
- ספציפי
- מפורט
- התפשטות
- הערימה
- התמחות
- בימוי
- תֶקֶן
- התחלות
- גונב
- שלב
- צעדים
- גָנוּב
- עצור
- מאוחסן
- חנויות
- מחרוזת
- לאחר מכן
- כתוצאה מכך
- כזה
- תומך
- עבר
- סמל
- מערכת
- מערכות
- שולחן
- משימות
- לוקח
- יעד
- ממוקד
- מיקוד
- מטרות
- המשימות
- משימות
- טכני
- ניתוח טכני
- התקשורת
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- אלה
- הֵם
- דברים
- שְׁלִישִׁי
- זֶה
- איום
- איום שחקנים
- דוח איומים
- בכל
- כָּך
- לְסַכֵּל
- קשרים
- זמן
- כותרת
- ל
- כלי
- כלים
- חלק עליון
- מעבר
- להעביר
- סומך
- מהימן
- שתיים
- סוג
- טיפוסי
- בדרך כלל
- נדיר
- תחת
- מאוחד
- איחוד הערבים
- איחוד האמירויות הערביות
- בניגוד
- לא בשימוש
- מְעוּדכָּן
- נטען
- העלאה
- על
- כתובת האתר
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- שימושים
- באמצעות
- v1
- ערך
- ערכים
- משתנה
- מגוון
- שונים
- גרסה
- מידע על הגרסה
- גירסאות
- אנכיות
- מאוד
- באמצעות
- קרבן
- קורבנות
- לְבַקֵר
- ביקר
- אזהרה
- היה
- דרכים
- we
- אינטרנט
- שרת אינטרנט
- שירותי אינטרנט
- אתר
- אתרים
- טוֹב
- היו
- אשר
- בזמן
- כל
- רוחב
- יצטרך
- חלונות
- עם
- בתוך
- Word
- זרימת עבודה
- עובד
- כתיבה
- כתוב
- כן
- עוד
- זפירנט