חוקרי ESET גילו מסע פרסום של ריגול סייבר שמאז ספטמבר 2023 לפחות פוגע בטיבטים באמצעות בור השקיה ממוקד (הידוע גם כפשרה אסטרטגית באינטרנט), ופשרה בשרשרת האספקה כדי לספק מתקינים טרויאניים של תוכנת תרגום לשפה טיבטית. התוקפים נועדו לפרוס הורדות זדוניות עבור Windows ו-macOS כדי לסכן מבקרים באתר עם MgBot ודלת אחורית שלמיטב ידיעתנו עדיין לא תועדה בפומבי; קראנו לזה Nightdoor.
נקודות מפתח בפוסט זה בבלוג:
- גילינו קמפיין ריגול סייבר שממנף את פסטיבל מונלאם - מפגש דתי - כדי להתמקד בטיבטים במספר מדינות וטריטוריות.
- התוקפים התפשרו על אתר האינטרנט של מארגן הפסטיבל השנתי, שמתקיים בהודו, והוסיפו קוד זדוני כדי ליצור מתקפת בור מים המכוונת למשתמשים המתחברים מרשתות ספציפיות.
- גילינו גם ששרשרת האספקה של מפתח תוכנה נפגעה ומתקינות טרויאניות עבור Windows ו-macOS הוגשו למשתמשים.
- התוקפים הציגו מספר הורדות זדוניות ודלתות אחוריות מלאות עבור הפעולה, כולל דלת אחורית לא מתועדת בפומבי עבור Windows שקראנו לה Nightdoor.
- אנו מייחסים את הקמפיין הזה בביטחון רב לקבוצת Evasive Panda APT המיישרת את סין.
פרופיל פנדה מתחמק
פנדה מתחמקת (ידוע גם כ ברונזה היילנד ו פגיון) היא קבוצת APT דוברת סינית, פעיל מאז 2012 לפחות. ESET Research צפה בקבוצה המנהלת ריגול סייבר נגד אנשים ביבשת סין, הונג קונג, מקאו וניגריה. ישויות ממשלתיות היו ממוקדות בדרום מזרח ובמזרח אסיה, במיוחד בסין, מקאו, מיאנמר, הפיליפינים, טייוואן וויאטנם. גם ארגונים אחרים בסין ובהונג קונג היו ממוקדים. על פי דיווחים פומביים, הקבוצה פנתה גם לגורמים לא ידועים בהונג קונג, הודו ומלזיה.
הקבוצה משתמשת במסגרת תוכנה זדונית מותאמת אישית משלה עם ארכיטקטורה מודולרית המאפשרת לדלת האחורית שלה, הידועה בשם MgBot, לקבל מודולים כדי לרגל אחר קורבנותיה ולשפר את היכולות שלה. מאז 2020 ראינו גם שלאסיב פנדה יש יכולות לספק את הדלת האחורית שלה באמצעות התקפות יריב-באמצע חטיפת עדכונים של תוכנות לגיטימיות.
סקירת מסע פרסום
בינואר 2024, גילינו מבצע ריגול סייבר שבו התוקפים פרצו לפחות שלושה אתרי אינטרנט כדי לבצע התקפות בורות מים וכן פשרה בשרשרת האספקה של חברת תוכנה טיבטית.
האתר שנפגע כבור מים שייך לארגון Kagyu International Monlam Trust, ארגון שבסיסו בהודו המקדם את הבודהיזם הטיבטי בעולם. התוקפים הציבו סקריפט באתר המאמת את כתובת ה-IP של הקורבן הפוטנציאלי ואם היא באחד מטווחי הכתובות הממוקדים, מציג דף שגיאה מזויף כדי לפתות את המשתמש להוריד "תיקון" בשם תעודה (עם סיומת .exe אם המבקר משתמש ב-Windows או .pkg אם macOS). קובץ זה הוא הורדה זדוני שפורס את השלב הבא בשרשרת הפשרה.
בהתבסס על טווחי כתובות ה-IP שהקוד בודק, גילינו שהתוקפים תקפו משתמשים בהודו, טייוואן, הונג קונג, אוסטרליה וארצות הברית; ייתכן שהמתקפה נועדה לנצל את ההתעניינות הבינלאומית בפסטיבל Kagyu Monlam (איור 1) שמתקיים מדי שנה בינואר בעיר בודהגאיה, הודו.
מעניין לציין שהרשת של המכון הטכנולוגי של ג'ורג'יה (הידוע גם בשם Georgia Tech) בארצות הברית היא בין הישויות המזוהות בטווחי כתובות ה-IP הממוקדות. בעבר, האוניברסיטה הוזכרה בקשר להשפעת המפלגה הקומוניסטית הסינית על מכוני חינוך בארה"ב.
בסביבות ספטמבר 2023, התוקפים התפשרו על אתר האינטרנט של חברת פיתוח תוכנה שבסיסה בהודו שמייצרת תוכנת תרגום לשפה טיבטית. התוקפים הציבו שם כמה יישומים טרויאניים שפורסים הורדה זדונית עבור Windows או macOS.
בנוסף לכך, התוקפים גם התעללו באותו אתר ובאתר חדשות טיבטי בשם Tibetpost - tibetpost[.]net - לארח את המטענים המתקבלים על ידי ההורדות הזדוניות, כולל שתי דלתות אחוריות עם תכונות מלאות עבור Windows ומספר לא ידוע של מטענים עבור macOS.
בביטחון רב אנו מייחסים את הקמפיין הזה לקבוצת Evasive Panda APT, בהתבסס על התוכנה הזדונית שבה נעשה שימוש: MgBot ו-Nightdoor. בעבר ראינו את שתי הדלתות האחוריות פרוסות יחד, במתקפה לא קשורה נגד ארגון דתי בטייוואן, שבה הם גם חלקו את אותו שרת C&C. שתי הנקודות חלות גם על הקמפיין המתואר בפוסט זה בבלוג.
בור השקיה
בינואר 14th, 2024, זיהינו תסריט חשוד ב https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
קוד מעורפל זדוני צורף לקוד לגיטימי jQuery סקריפט ספריית JavaScript, כפי שניתן לראות באיור 2.
הסקריפט שולח בקשת HTTP לכתובת המארח המקומי http://localhost:63403/?callback=handleCallback כדי לבדוק אם הורדת הביניים של התוקף כבר פועלת במחשב הקורבן הפוטנציאלי (ראה איור 3). במכונה שנפגעה בעבר, השתל עונה עם handleCallback({“success”:true }) (ראה איור 4) ולא ננקטות פעולות נוספות על ידי הסקריפט.
אם המכשיר לא עונה עם הנתונים הצפויים, הקוד הזדוני ממשיך על ידי קבלת hash MD5 משרת משני בכתובת https://update.devicebug[.]com/getVersion.php. לאחר מכן ה-hash נבדק מול רשימה של 74 ערכי hash, כפי שניתן לראות באיור 6.
אם יש התאמה, הסקריפט יציג דף HTML עם הודעת קריסה מזויפת (איור 7) שנועדה לפתות את המשתמש המבקר להוריד פתרון לתיקון הבעיה. הדף מחקה "אוי, רגע!" אזהרות מ Google Chrome.
הלחצן "תיקון מיידי" מפעיל סקריפט שמוריד עומס המבוסס על מערכת ההפעלה של המשתמש (איור 8).
שוברים את ה-hash
התנאי לאספקת מטען מחייב קבלת ה-hash הנכון מהשרת ב- update.devicebug[.]com, כך ש-74 ה-hashs הם המפתח למנגנון בחירת הקורבן של התוקף. עם זאת, מכיוון שה-hash מחושב בצד השרת, זה היווה אתגר עבורנו לדעת באילו נתונים משתמשים כדי לחשב אותו.
ניסינו עם כתובות IP ותצורות מערכת שונות וצמצמנו את הקלט עבור אלגוריתם MD5 לנוסחה של שלושת האוקטטים הראשונים של כתובת ה-IP של המשתמש. במילים אחרות, על ידי הזנת כתובות IP החולקות את אותה קידומת רשת, למשל 192.168.0.1 ו 192.168.0.50, יקבל את אותו hash MD5 משרת C&C.
עם זאת, שילוב לא ידוע של תווים, או א מלח, נכלל במחרוזת של שלוש אוקטטות ה-IP הראשונות לפני הגיבוב כדי למנוע מה-hashים להיות בכוח טריוויאלי. לכן, היינו צריכים להפעיל בכוח את המלח כדי לאבטח את נוסחת הקלט ורק לאחר מכן ליצור גיבובים באמצעות כל טווח כתובות ה-IPv4 כדי למצוא את 74 ה-hash התואמים.
לפעמים הכוכבים כן מתיישרים, והבנו שהמלח כן 1qaz0okm!@#. עם כל החלקים של נוסחת הקלט MD5 (לדוגמה, 192.168.1.1qaz0okm!@#), אילפנו את 74 ה-hash בקלות ויצרנו רשימה של מטרות. ראה את נספח לרשימה מלאה.
כפי שמוצג באיור 9, רוב טווחי כתובות ה-IP הממוקדים נמצאים בהודו, ואחריהם טייוואן, אוסטרליה, ארצות הברית והונג קונג. שימו לב שרוב ה הפזורה הטיבטית חי בהודו.
מטען חלונות
ב-Windows, קורבנות המתקפה מקבלים קובץ הפעלה זדוני שנמצא בכתובת https://update.devicebug[.]com/fixTools/certificate.exe. איור 10 מציג את שרשרת הביצוע שאחריה כאשר המשתמש מוריד ומבצע את התיקון הזדוני.
certificate.exe הוא טפטפת שפורסת שרשרת טעינה צדדית לטעינת הורדת ביניים, memmgrset.dll (שם פנימי http_dy.dll). DLL זה מביא קובץ JSON משרת C&C בכתובת https://update.devicebug[.]com/assets_files/config.json, המכיל את המידע להורדת השלב הבא (ראה איור 11).
כאשר השלב הבא מוריד ומבוצע, הוא פורס שרשרת טעינה צדדית נוספת כדי לספק את Nightdoor כמטען הסופי. ניתוח של Nightdoor מסופק להלן ב- דלת לילה סָעִיף.
מטען macOS
התוכנה הזדונית של macOS היא אותו הורדה שאנו מתעדים בו ביתר פירוט פשרה בשרשרת האספקה. עם זאת, זה מפיל קובץ הפעלה נוסף של Mach-O, שמאזין ביציאת TCP 63403. המטרה היחידה שלו היא להשיב עם handleCallback({“success”:true }) לבקשת קוד ה-JavaScript הזדוני, כך שאם המשתמש מבקר שוב באתר בור המים, קוד ה-JavaScript לא ינסה לסכן מחדש את המבקר.
הורדה זה משיג את קובץ ה-JSON מהשרת ומוריד את השלב הבא, בדיוק כמו גרסת Windows שתוארה קודם לכן.
פשרה בשרשרת האספקה
בינואר 18th, גילינו שהאתר הרשמי (איור 12) של מוצר תוכנת תרגום לשפה טיבטית עבור פלטפורמות מרובות מארח חבילות ZIP המכילות מתקינים טרויאניים עבור תוכנות לגיטימיות שפרסו הורדות זדוניות עבור Windows ו-macOS.
מצאנו קורבן אחד מיפן שהוריד את אחת החבילות עבור Windows. טבלה 1 מפרטת את כתובות האתרים והשתלים שנפלו.
טבלה 1. כתובות אתרים של החבילות הזדוניות באתר שנפרץ וסוג המטען באפליקציה שנפרצה
כתובת URL של חבילה זדונית |
סוג מטען |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
הורדת Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
הורדת Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
הורדת Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
הורדת macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
הורדת macOS |
חבילות של Windows
איור 13 ממחיש את שרשרת הטעינה של היישום הטרויאני מהחבילה monlam-bodyig3.zip.
היישום הטרויאני מכיל טפטפת זדונית בשם autorun.exe שפורס שני מרכיבים:
- קובץ הפעלה בשם MonlamUpdate.exe, שהוא רכיב תוכנה מאמולטור הנקרא C64 לנצח מנוצל לרעה עבור טעינת DLL בצד, ו
- RPHost.dll, ה-DLL שנטען בצד, שהוא תוכנת הורדה זדונית לשלב הבא.
כאשר ה-DLL של ההורדה נטען בזיכרון, הוא יוצר משימה מתוזמנת בשם פירוק מיועד לביצוע בכל פעם שמשתמש נכנס. עם זאת, מכיוון שהמשימה אינה מציינת קובץ לביצוע, היא לא מצליחה לבסס התמדה.
לאחר מכן, DLL זה מקבל UUID ואת גרסת מערכת ההפעלה ליצירת User-Agent מותאם אישית ושולח בקשת GET אל https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat כדי להשיג קובץ JSON המכיל את כתובת ה-URL להורדה וביצוע מטען שהוא יורד אל TEMP%% מַדרִיך. לא הצלחנו להשיג דגימה של נתוני אובייקט JSON מהאתר שנפרץ; לכן אנחנו לא יודעים מאיפה בדיוק default_ico.exe מוריד, כפי שמוצג באיור 13.
באמצעות טלמטריית ESET, שמנו לב שהדבר לא לגיטימי MonlamUpdate.exe תהליך הורדה ובוצע בהזדמנויות שונות לפחות ארבעה קבצים זדוניים %TEMP%default_ico.exe. טבלה 2 מפרטת את אותם קבצים ומטרתם.
טבלה 2. Hash של ה default_ico.exe הורדה/מטפטף, כתובת URL ליצירת קשר עם C&C ותיאור של ההורדה
SHA-1 |
כתובת אתר ליצירת קשר |
מטרה |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
מוריד מטען לא ידוע מהשרת. |
F0F8F60429E3316C463F |
מוריד מטען לא ידוע מהשרת. מדגם זה נכתב ב- Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
מוריד טפטפת Nightdoor בשם אקראי. |
BFA2136336D845184436 |
N / A |
כלי קוד פתוח מערכת אינפו, שלתוכו שילבו התוקפים את הקוד הזדוני שלהם והטמיעו בלוק מוצפן שלאחר פענוח וביצוע, מתקין MgBot. |
לבסוף, default_ico.exe ההורדה או ה-droper ישיגו את המטען מהשרת או יפילו אותו, ואז יבצעו אותו במחשב הקורבן, תוך התקנת Nightdoor (ראה את דלת לילה סעיף) או MgBot (ראה שלנו - ניתוח קודם).
שתי החבילות הטרויאניות הנותרות דומות מאוד, ופורסות את אותו DLL הורדה זדוני שנטען בצד על ידי קובץ ההפעלה הלגיטימי.
חבילות macOS
ארכיון ה-ZIP שהורד מחנות האפליקציות הרשמית מכיל חבילת התקנה שונה (.pkg קובץ), שבו נוספו קובץ הפעלה של Mach-O וסקריפט לאחר ההתקנה. הסקריפט שלאחר ההתקנה מעתיק את קובץ Mach-O אל $HOME/Library/Containers/CalendarFocusEXT/ וממשיך להתקין סוכן השקה ב $HOME/Library/LaunchAgents/com.Terminal.us.plist להתמדה. איור 14 מציג את הסקריפט שאחראי על התקנה והשקה של סוכן ההפעלה הזדוני.
המאך-או הזדוני, Monlam-bodyig_Keyboard_2017 באיור 13 חתום, אך לא נוטריוני, באמצעות אישור מפתח (לא א סוג אישור משמש בדרך כלל להפצה) עם השם ומזהה הצוות יא ני יאנג (2289F6V4BN). חותמת הזמן בחתימה מראה שהיא נחתמה ב-7 בינוארth, 2024. תאריך זה משמש גם בחותמת הזמן ששונתה של הקבצים הזדוניים במטא נתונים של ארכיון ה-ZIP. התעודה הונפקה רק שלושה ימים לפני כן. התעודה המלאה זמינה ב- IoCs סָעִיף. הצוות שלנו פנה לאפל ב-25 בינוארth והאישור בוטל עוד באותו היום.
תוכנה זדונית בשלב ראשון מורידה קובץ JSON המכיל את כתובת האתר לשלב הבא. הארכיטקטורה (ARM או Intel), גרסת macOS ו-UUID של החומרה (מזהה ייחודי לכל Mac) מדווחים בכותרת בקשת HTTP של User-Agent. כתובת האתר זהה לגרסת Windows משמשת לאחזור תצורה זו: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. עם זאת, גרסת macOS תסתכל על הנתונים מתחת למפתח ה-mac של אובייקט JSON במקום ה- לנצח מַפְתֵחַ.
האובייקט מתחת למפתח ה-mac צריך להכיל את הדברים הבאים:
- כתובת אתר: כתובת האתר לשלב הבא.
- md5: סכום MD5 של המטען.
- vernow: רשימה של מזהי UUID של חומרה. אם קיים, המטען יותקן רק במחשבי Mac שיש להם אחד מ-UUID החומרה המפורטים. בדיקה זו דולגת אם הרשימה ריקה או חסרה.
- גרסה: ערך מספרי שחייב להיות גבוה יותר מ"גרסת השלב השני" שהורדה קודם לכן. המטען אינו מוריד אחרת. הערך של הגרסה הפועלת כעת נשמר באפליקציה ברירת המחדל של המשתמש.
לאחר שהתוכנה הזדונית מורידה את הקובץ מכתובת האתר שצוינה באמצעות curl, הקובץ עובר גיבוב באמצעות MD5 ומשווה לתקציר ההקסדצימלי תחת md5 מַפְתֵחַ. אם הוא תואם, התכונות המורחבות שלו יוסרו (כדי לנקות את התכונה com.apple.quarantine), הקובץ מועבר אל $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, ומופעל באמצעות execvp עם הפעלת הטיעון.
שלא כמו גרסת Windows, לא הצלחנו למצוא אף אחד מהשלבים המאוחרים יותר של גרסת macOS. תצורת JSON אחת הכילה hash MD5 (3C5739C25A9B85E82E0969EE94062F40), אך שדה כתובת האתר היה ריק.
דלת לילה
הדלת האחורית שקראנו לה Nightdoor (ונקראת NetMM על ידי מחברי התוכנה הזדונית לפי נתיבים PDB) היא תוספת מאוחרת לערכת הכלים של Evasive Panda. הידע המוקדם ביותר שלנו על Nightdoor חוזר לשנת 2020, כאשר Evasive Panda פרסה אותו על מכונה של יעד בעל פרופיל גבוה בווייטנאם. הדלת האחורית מתקשרת עם שרת C&C שלה באמצעות UDP או Google Drive API. שתל Nightdoor מקמפיין זה השתמש באחרון. הוא מצפין ממשק API של גוגל OAuth 2.0 אסימון בתוך קטע הנתונים ומשתמש באסימון כדי לגשת ל-Google Drive של התוקף. ביקשנו להסיר את חשבון Google המשויך לאסימון זה.
ראשית, Nightdoor יוצרת תיקיה בגוגל דרייב המכילה את כתובת ה-MAC של הקורבן, המשמשת גם כמזהה קורבן. תיקיה זו תכיל את כל ההודעות בין השתל לשרת C&C. כל הודעה בין Nightdoor לשרת C&C בנויה כקובץ ומופרדת לשם קובץ ונתוני קובץ, כפי שמתואר באיור 15.
כל שם קובץ מכיל שמונה תכונות עיקריות, אשר מודגמות בדוגמה למטה.
דוגמא:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: ערך קסם.
- 0C64C2BAEF534C8E9058797BCD783DE5: כותרת של pbuf מבנה נתונים.
- 168: גודל אובייקט ההודעה או גודל הקובץ בבתים.
- 0: שם הקובץ, שהוא תמיד ברירת המחדל של 0 (null).
- 1: סוג פקודה, מקודד ל-1 או 0 בהתאם לדוגמא.
- 4116: מזהה פקודה.
- 0: איכות השירות (QoS).
- 00-00-00-00-00-00: מיועדת להיות כתובת ה-MAC של היעד, אך תמיד ברירת המחדל היא 00-00-00-00-00-00.
הנתונים בתוך כל קובץ מייצגים את הפקודה של הבקר עבור הדלת האחורית ואת הפרמטרים הדרושים לביצועה. איור 16 מציג דוגמה של הודעת שרת C&C המאוחסנת כנתוני קובץ.
באמצעות הנדסה לאחור של Nightdoor, הצלחנו להבין את המשמעות של השדות החשובים המוצגים בקובץ, כפי שמוצג באיור 17.
מצאנו שנוספו שינויים רבים ומשמעותיים לגרסת Nightdoor המשמשת בקמפיין זה, אחד מהם הוא ארגון מזהי פקודה. בגרסאות קודמות, כל מזהה פקודה הוקצה לפונקציית מטפל בזה אחר זה, כפי שמוצג באיור 18. אפשרויות המספור, כגון מ- 0x2001 ל 0x2006, מ 0x2201 ל 0x2203, מ 0x4001 ל 0x4003, ומ 0x7001 ל 0x7005, הציע שהפקודות מחולקות לקבוצות עם פונקציות דומות.
עם זאת, בגרסה זו, Nightdoor משתמשת בטבלת סניפים כדי לארגן את כל מזהי הפקודות עם המטפלים המתאימים להם. מזהי הפקודות הם רציפים לאורך כל הדרך ופועלים כאינדקסים למטפלים המקבילים שלהם בטבלת הענפים, כפי שמוצג באיור 19.
טבלה 3 היא תצוגה מקדימה של פקודות שרת C&C והפונקציונליות שלהן. טבלה זו מכילה את מזהי הפקודות החדשים וכן את המזהים המקבילים מגרסאות ישנות יותר.
טבלה 3. פקודות הנתמכות על ידי גרסאות Nightdoor המשמשות בקמפיין זה.
מזהה פקודה |
מזהה פקודה קודמת |
תיאור |
|
0x1001 |
0x2001 |
אסוף מידע בסיסי על פרופיל המערכת כגון: - גרסת מערכת ההפעלה - מתאמי רשת IPv4, כתובות MAC וכתובות IP - שם המעבד - שם המחשב - שם משתמש – שמות מנהלי התקנים – כל שמות המשתמש מ C:משתמשים* - זמן מקומי - כתובת IP ציבורית באמצעות ifconfig.me or ipinfo.io שירות רשת |
|
0x1007 |
0x2002 |
אסוף מידע על כונני דיסקים כגון: - שם הכונן – מקום פנוי ושטח כולל - סוג מערכת קבצים: NTFS, FAT32 וכו'. |
|
0x1004 |
0x2003 |
אסוף מידע על כל היישומים המותקנים תחת מפתחות הרישום של Windows: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - הסרת התקנה של MicrosoftWindowsCurrentVersion (x86) |
|
0x1003 |
0x2004 |
איסוף מידע על תהליכים פועלים, כגון: - שם התהליך - מספר חוטים - שם משתמש - מיקום הקובץ בדיסק – תיאור הקובץ בדיסק |
|
0x1006 |
0x4001 |
צור מעטפת הפוכה ונהל קלט ופלט באמצעות צינורות אנונימיים. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
הסרה עצמית. |
|
0x100C |
0x6001 |
העבר קובץ. הנתיב מסופק על ידי שרת C&C. |
|
0x100B |
0x6002 |
מחק קובץ. הנתיב מסופק על ידי שרת C&C. |
|
0x1016 |
0x6101 |
קבל תכונות קובץ. הנתיב מסופק על ידי שרת C&C. |
סיכום
ניתחנו קמפיין של ה-APT Evasive Panda המיושר לסין, שכוון לטיבטים במספר מדינות וטריטוריות. אנו מאמינים שהתוקפים ניצלו בזמנו את פסטיבל מונלאם הקרוב בינואר ופברואר 2024 כדי לפגוע במשתמשים כאשר הם ביקרו באתר האינטרנט של הפסטיבל שהפך לחור השקיה. בנוסף, התוקפים פגעו בשרשרת האספקה של מפתח תוכנה של אפליקציות תרגום לשפה טיבטית.
התוקפים הציגו כמה הורדות, מטילות ודלתות אחוריות, כולל MgBot - המשמש באופן בלעדי על ידי Evasive Panda - ו-Nightdoor: התוספת הגדולה האחרונה לערכת הכלים של הקבוצה ואשר שימשה למטרת מספר רשתות במזרח אסיה.
רשימה מקיפה של אינדיקטורים של פשרה (IoCs) ודוגמאות ניתן למצוא ב- מאגר GitHub.
לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
קבצים
SHA-1 |
שם הקובץ |
איתור |
תיאור |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
רכיב Dropper נוסף לחבילת ההתקנה הרשמית. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
הורדת ביניים. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
הורדת ביניים מתוכנת ב- Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
הורדת Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
טפטפת דלת לילה. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
מעמיס ביניים. |
5273B45C5EABE64EDBD0 |
certificate.pkg |
OSX/Agent.DJ |
רכיב הטפטפת של MacOS. |
5E5274C7D931C1165AA5 |
certificate.exe |
Win32/Agent.AGES |
רכיב טפטוף מהאתר שנפגע. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
רכיב טפטפת דלת לילה. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
מעמיס ביניים עבור רכיב הורדת Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
מעמיס ביניים ל-Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
מתקין טרויאני. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript זדוני נוסף לאתר שנפרץ. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
מתקין טרויאני. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
חבילת התקנה טרויאנית. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
חבילת התקנה טרויאנית. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
חבילת התקנה טרויאנית של MacOS. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
חבילת התקנה טרויאנית של MacOS. |
C0575AF04850EB1911B0 |
אבטחה~.x64 |
OSX/Agent.DJ |
הורדת MacOS. |
7C3FD8EE5D660BBF43E4 |
אבטחה~.arm64 |
OSX/Agent.DJ |
הורדת MacOS. |
FA78E89AB95A0B49BC06 |
אבטחה.שומן |
OSX/Agent.DJ |
רכיב הורדת MacOS. |
5748E11C87AEAB3C19D1 |
קובץ ייצוא Monlam_Grand_Dictionary |
OSX/Agent.DJ |
רכיב זדוני מחבילת ההתקנה הטרויאנית של macOS. |
תעודות
מספר סידורי |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
טביעת אצבע |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
נושא CN |
פיתוח אפל: ya ni yang (2289F6V4BN) |
נושא O |
יא ני יאנג |
נושא ל |
N / A |
נושא ש |
N / A |
נושא ג |
US |
בתוקף מ |
2024-01-04 05:26:45 |
תקף ל |
2025-01-03 05:26:44 |
מספר סידורי |
6014B56E4FFF35DC4C948452B77C9AA9 |
טביעת אצבע |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
נושא CN |
KP נייד |
נושא O |
KP נייד |
נושא ל |
N / A |
נושא ש |
N / A |
נושא ג |
KR |
בתוקף מ |
2021-10-25 00:00:00 |
תקף ל |
2022-10-25 23:59:59 |
IP |
תְחוּם |
ספק אירוח |
נראה לראשונה |
פרטים |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
אתר שנפגע. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
אתר שנפגע. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
זֶרֶם יָשָׁר. |
188.208.141[.]204 |
N / A |
אמול הינגדה |
2024-02-01 |
הורד שרת עבור רכיב הטפטפת Nightdoor. |
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 14 של מסגרת MITER ATT & CK.
טקטיקה |
ID |
שם |
תיאור |
פיתוח משאבים |
רכישת תשתית: שרת |
Evasive Panda רכשה שרתים עבור תשתית C&C של Nightdoor, MgBot ורכיב הורדת macOS. |
|
רכישת תשתית: שירותי אינטרנט |
Evasive Panda השתמשה בשירות האינטרנט של Google Drive עבור תשתית C&C של Nightdoor. |
||
התפשרות על תשתית: שרת |
מפעילי פנדה מתחמקים התפשרו על מספר שרתים כדי להשתמש בהם כשורי השקיה, להתקפת שרשרת אספקה, ולארח מטענים ושימוש כשרתי C&C. |
||
הקמת חשבונות: חשבונות ענן |
Evasive Panda יצרה חשבון Google Drive והשתמשה בו כתשתית C&C. |
||
פיתוח יכולות: תוכנות זדוניות |
Evasive Panda פרסה שתלים מותאמים אישית כגון MgBot, Nightdoor ורכיב הורדת macOS. |
||
T1588.003 |
השג יכולות: תעודות חתימת קוד |
חמקמק פנדה השיג אישורי חתימת קוד. |
|
יכולות שלב: יעד נסיעה |
מפעילי פנדה מתחמקים שינו אתר בעל פרופיל גבוה כדי להוסיף פיסת קוד JavaScript הנותנת הודעה מזויפת להורדת תוכנות זדוניות. |
||
גישה ראשונית |
Drive-by פשרה |
מבקרים באתרי אינטרנט שנפגעו עשויים לקבל הודעת שגיאה מזויפת המפתה אותם להוריד תוכנות זדוניות. |
|
פשרה על שרשרת האספקה: פשרה על שרשרת האספקה של תוכנה |
Evasive Panda סידרה חבילות התקנה רשמיות של חברת תוכנה. |
||
הוצאה לפועל |
ממשק API מקומי |
Nightdoor, MgBot ורכיבי ההורדה הביניים שלהם משתמשים בממשקי Windows API ליצירת תהליכים. |
|
משימה/עבודה מתוזמנת: משימה מתוזמנת |
רכיבי הטעינה של Nightdoor ו-MgBot יכולים ליצור משימות מתוזמנות. |
||
התמדה |
צור או שנה תהליך מערכת: שירות Windows |
רכיבי הטעינה של Nightdoor ו-MgBot יכולים ליצור שירותי Windows. |
|
זרימת ביצוע חטיפה: טעינת DLL בצד |
רכיבי הטפטוף של Nightdoor ו-MgBot פורסים קובץ הפעלה לגיטימי שמטעין צד מטעין זדוני. |
||
התחמקות הגנה |
בטל/פענח קבצים או מידע |
רכיבי DLL של שתל Nightdoor מפוענחים בזיכרון. |
|
פגיעה בהגנה: השבת או שנה את חומת האש של המערכת |
Nightdoor מוסיפה שני כללים של חומת האש של Windows כדי לאפשר תקשורת נכנסת ויוצאת עבור פונקציונליות שרת ה-HTTP שלה. |
||
הסרת אינדיקטור: מחיקת קובץ |
Nightdoor ו-MgBot יכולים למחוק קבצים. |
||
הסרת אינדיקטור: התמדה ברורה |
Nightdoor ו-MgBot יכולים להסיר את עצמם. |
||
מסכות: משימה או שירות של מסיכות |
המעמיס של Nightdoor הסווה את המשימה שלו ל-netsvcs. |
||
התחזות: התאם לשם או מיקום לגיטימיים |
המתקין של Nightdoor פורס את הרכיבים שלו לתוך ספריות מערכת לגיטימיות. |
||
קבצים או מידע מעורפלים: מטענים מוטבעים |
רכיב הטפטוף של Nightdoor מכיל קבצים זדוניים מוטבעים שנפרסים בדיסק. |
||
הזרקת תהליך: הזרקת ספריית קישור דינמי |
רכיבי המעמיסים של Nightdoor ו-MgBot מחדירים את עצמם לתוך svchost.exe. |
||
טעינת קוד רפלקטיבי |
רכיבי הטעינה של Nightdoor ו-MgBot מחדירים את עצמם לתוך svchost.exe, משם הם מטעין את הדלת האחורית של Nightdoor או MgBot. |
||
גילוי פערים |
גילוי חשבון: חשבון מקומי |
Nightdoor ו-MgBot אוספות מידע על חשבון משתמש מהמערכת שנפרצה. |
|
גילוי קבצים וספריות |
Nightdoor ו-MgBot יכולים לאסוף מידע מספריות וקבצים. |
||
תהליך גילוי |
Nightdoor ו-MgBot אוספים מידע על תהליכים. |
||
רישום שאילתות |
Nightdoor ו-MgBot בודקים את הרישום של Windows כדי למצוא מידע על תוכנות מותקנות. |
||
גילוי תוכנה |
Nightdoor ו-MgBot אוספות מידע על תוכנות ושירותים מותקנות. |
||
גילוי בעל מערכת/משתמש |
Nightdoor ו-MgBot אוספות מידע על חשבון משתמש מהמערכת שנפרצה. |
||
גילוי מידע מערכת |
Nightdoor ו-MgBot אוספים מגוון רחב של מידע על המערכת שנפרצה. |
||
גילוי חיבורי רשת מערכת |
Nightdoor ו-MgBot יכולים לאסוף נתונים מכל חיבורי ה-TCP וה-UDP הפעילים במחשב שנפרץ. |
||
אוספים |
ארכיון נתונים שנאספו |
Nightdoor ו-MgBot מאחסנים נתונים שנאספו בקבצים מוצפנים. |
|
איסוף אוטומטי |
Nightdoor ו-MgBot אוספים אוטומטית מידע מערכת ורשת על המכונה שנפרצה. |
||
נתונים מהמערכת המקומית |
Nightdoor ו-MgBot אוספות מידע על מערכת ההפעלה ונתוני המשתמש. |
||
נתונים מבוימים: בימוי נתונים מקומיים |
Nightdoor מביים נתונים להחלפה בקבצים בדיסק. |
||
פיקוד ובקרה |
פרוטוקול שכבת האפליקציות: פרוטוקולי אינטרנט |
Nightdoor מתקשר עם שרת C&C באמצעות HTTP. |
|
פרוטוקול Non-Applic Layer Protocol |
Nightdoor מתקשר עם שרת C&C באמצעות UDP. MgBot מתקשר עם שרת C&C באמצעות TCP. |
||
נמל לא סטנדרטי |
MgBot משתמש ביציאת TCP 21010. |
||
מנהור פרוטוקול |
Nightdoor יכול לשמש כשרת פרוקסי HTTP, המנהור תקשורת TCP. |
||
שירות רשת |
Nightdoor משתמש ב-Google Drive לתקשורת C&C. |
||
exfiltration |
Exfiltration אוטומטי |
Nightdoor ו-MgBot מסננים אוטומטית נתונים שנאספו. |
|
Exfiltration Over Web Service: Exfiltration to Cloud Storage |
Nightdoor יכולה לסנן את הקבצים שלה ל-Google Drive. |
נספח
טווחי כתובות ה-IP הממוקדות מסופקים בטבלה הבאה.
CIDR |
ספק שירותי אינטרנט |
עִיר |
מדינה |
124.171.71.0/24 |
iiNet |
סידני |
אוסטרליה |
125.209.157.0/24 |
iiNet |
סידני |
אוסטרליה |
1.145.30.0/24 |
Telstra |
סידני |
אוסטרליה |
193.119.100.0/24 |
TPG טלקום |
סידני |
אוסטרליה |
14.202.220.0/24 |
TPG טלקום |
סידני |
אוסטרליה |
123.243.114.0/24 |
TPG טלקום |
סידני |
אוסטרליה |
45.113.1.0/24 |
טכנולוגיית שרת HK 92 |
הונג קונג |
הונג קונג |
172.70.191.0/24 |
Cloudflare |
אחמדאבאד |
הודו |
49.36.224.0/24 |
הסתמכות Jio Infocomm |
איירולי |
הודו |
106.196.24.0/24 |
בהארטי איירטל |
בנגלור |
הודו |
106.196.25.0/24 |
בהארטי איירטל |
בנגלור |
הודו |
14.98.12.0/24 |
Tata Teleservices |
בנגלור |
הודו |
172.70.237.0/24 |
Cloudflare |
צ'אנדיגאר |
הודו |
117.207.51.0/24 |
Bharat Sanchar Nigam מוגבלת |
דלהאוזי |
הודו |
103.214.118.0/24 |
Airnet Boardband |
דלהי |
הודו |
45.120.162.0/24 |
אני בורדבנד |
דלהי |
הודו |
103.198.173.0/24 |
אנונט |
דלהי |
הודו |
103.248.94.0/24 |
אנונט |
דלהי |
הודו |
103.198.174.0/24 |
אנונט |
דלהי |
הודו |
43.247.41.0/24 |
אנונט |
דלהי |
הודו |
122.162.147.0/24 |
בהארטי איירטל |
דלהי |
הודו |
103.212.145.0/24 |
אקסיטל |
דלהי |
הודו |
45.248.28.0/24 |
אומקר אלקטרוניקה |
דלהי |
הודו |
49.36.185.0/24 |
הסתמכות Jio Infocomm |
דלהי |
הודו |
59.89.176.0/24 |
Bharat Sanchar Nigam מוגבלת |
דרמסלה |
הודו |
117.207.57.0/24 |
Bharat Sanchar Nigam מוגבלת |
דרמסלה |
הודו |
103.210.33.0/24 |
ויודות |
דרמסלה |
הודו |
182.64.251.0/24 |
בהארטי איירטל |
גנדרבל |
הודו |
117.255.45.0/24 |
Bharat Sanchar Nigam מוגבלת |
האליאל |
הודו |
117.239.1.0/24 |
Bharat Sanchar Nigam מוגבלת |
המירפור |
הודו |
59.89.161.0/24 |
Bharat Sanchar Nigam מוגבלת |
ג'איפור |
הודו |
27.60.20.0/24 |
בהארטי איירטל |
לאקנאו |
הודו |
223.189.252.0/24 |
בהארטי איירטל |
לאקנאו |
הודו |
223.188.237.0/24 |
בהארטי איירטל |
Meerut |
הודו |
162.158.235.0/24 |
Cloudflare |
מומבאי |
הודו |
162.158.48.0/24 |
Cloudflare |
מומבאי |
הודו |
162.158.191.0/24 |
Cloudflare |
מומבאי |
הודו |
162.158.227.0/24 |
Cloudflare |
מומבאי |
הודו |
172.69.87.0/24 |
Cloudflare |
מומבאי |
הודו |
172.70.219.0/24 |
Cloudflare |
מומבאי |
הודו |
172.71.198.0/24 |
Cloudflare |
מומבאי |
הודו |
172.68.39.0/24 |
Cloudflare |
ניו דלהי |
הודו |
59.89.177.0/24 |
Bharat Sanchar Nigam מוגבלת |
פלמפור |
הודו |
103.195.253.0/24 |
Protoact Digital Network |
רנצ'י |
הודו |
169.149.224.0/24 |
הסתמכות Jio Infocomm |
שימלה |
הודו |
169.149.226.0/24 |
הסתמכות Jio Infocomm |
שימלה |
הודו |
169.149.227.0/24 |
הסתמכות Jio Infocomm |
שימלה |
הודו |
169.149.229.0/24 |
הסתמכות Jio Infocomm |
שימלה |
הודו |
169.149.231.0/24 |
הסתמכות Jio Infocomm |
שימלה |
הודו |
117.255.44.0/24 |
Bharat Sanchar Nigam מוגבלת |
סירסי |
הודו |
122.161.241.0/24 |
בהארטי איירטל |
סרינגאר |
הודו |
122.161.243.0/24 |
בהארטי איירטל |
סרינגאר |
הודו |
122.161.240.0/24 |
בהארטי איירטל |
סרינגאר |
הודו |
117.207.48.0/24 |
Bharat Sanchar Nigam מוגבלת |
בדרך |
הודו |
175.181.134.0/24 |
New Century InfoComm |
הסינצ'ו |
טייוואן |
36.238.185.0/24 |
צ 'ונגווה טלקום |
Kaohsiung |
טייוואן |
36.237.104.0/24 |
צ 'ונגווה טלקום |
טאינן |
טייוואן |
36.237.128.0/24 |
צ 'ונגווה טלקום |
טאינן |
טייוואן |
36.237.189.0/24 |
צ 'ונגווה טלקום |
טאינן |
טייוואן |
42.78.14.0/24 |
צ 'ונגווה טלקום |
טאינן |
טייוואן |
61.216.48.0/24 |
צ 'ונגווה טלקום |
טאינן |
טייוואן |
36.230.119.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
114.43.219.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
114.44.214.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
114.45.2.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
118.163.73.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
118.167.21.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
220.129.70.0/24 |
צ 'ונגווה טלקום |
טייפה |
טייוואן |
106.64.121.0/24 |
Far Eastone Telecommunications |
עיר טאויואן |
טייוואן |
1.169.65.0/24 |
צ 'ונגווה טלקום |
Xizhi |
טייוואן |
122.100.113.0/24 |
טייוואן מובייל |
יילן |
טייוואן |
185.93.229.0/24 |
אבטחה של Sucuri |
אשבורן |
ארצות הברית |
128.61.64.0/24 |
מכון טכנולוגי של ג'ורג'יה |
אטלנטה |
ארצות הברית |
216.66.111.0/24 |
טלפון ורמונט |
וולינגפורד |
ארצות הברית |
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :יש ל
- :הוא
- :לֹא
- :איפה
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- יכול
- אודות
- גישה
- פי
- חֶשְׁבּוֹן
- חשבונות
- נרכש
- לפעול
- פעולות
- פעיל
- מעשים
- להוסיף
- הוסיף
- תוספת
- נוסף
- כתובת
- כתובות
- מוסיף
- שוב
- נגד
- סוֹכֵן
- מכוון
- אַלגוֹרִיתְם
- ליישר
- תעשיות
- להתיר
- מאפשר
- כְּבָר
- גם
- תמיד
- בין
- an
- אנליזה
- מְנוּתָח
- ו
- שנתי
- מדי שנה
- אנונימי
- אחר
- מענה
- כל
- API
- ממשקי API
- האפליקציה
- חנות האפליקציות
- תפוח עץ
- בקשה
- יישומים
- החל
- אפליקציות
- APT
- ארכיטקטורה
- ארכיון
- ARE
- טענה
- זרוע
- מערך
- AS
- אסיה
- שהוקצה
- המשויך
- At
- לתקוף
- המתקפות
- ניסיון
- תכונות
- אוסטרליה
- מחברים
- באופן אוטומטי
- זמין
- בחזרה
- דלת אחורית
- דלתות אחוריות
- פְּתָיוֹן
- מבוסס
- בסיסי
- BE
- היה
- לפני
- להיות
- תאמינו
- שייך
- להלן
- הטוב ביותר
- בֵּין
- שניהם
- סניף
- נבנה
- אבל
- לַחְצָן
- by
- נקרא
- מבצע
- CAN
- יכולות
- לְנַצֵל
- מהוון
- לשאת
- מאה
- תעודה
- תעודות
- שרשרת
- לאתגר
- שינויים
- תווים
- לבדוק
- בָּדוּק
- בדיקות
- סין
- סינית
- בחירות
- עִיר
- ברור
- ענן
- קוד
- לגבות
- COM
- שילוב
- תקשורת
- חברה
- לעומת
- להשלים
- רְכִיב
- רכיבים
- מַקִיף
- פשרה
- התפשר
- לחשב
- מחושב
- המחשב
- מצב
- מוליך
- אמון
- תְצוּרָה
- מקשר
- הקשר
- חיבורי
- צור קשר
- להכיל
- הכלול
- מכיל
- תוכן
- ממשיך
- רציף
- שיחה
- לתקן
- תוֹאֵם
- יכול
- מדינות
- להתרסק
- לִיצוֹר
- נוצר
- יוצר
- קריפטוגרפיה
- כיום
- מנהג
- נתונים
- מבנה נתונים
- תַאֲרִיך
- תאריכים
- יְוֹם
- ימים
- בְּרִירַת מֶחדָל
- מחדל
- הגנות
- למסור
- מסירה
- מופגן
- תלוי
- מתואר
- לפרוס
- פרס
- פריסה
- פורס
- מְתוּאָר
- תיאור
- יעד
- פרט
- זוהה
- מפתח
- צעצועי התפתחות
- חברת פיתוח
- מכשיר
- אחר
- תקציר
- דיגיטלי
- ספריות
- בספרייה
- גילה
- תגלית
- הפצה
- מחולק
- do
- מסמך
- עושה
- לא
- מטה
- להורדה
- הורדה
- הורדות
- נהיגה
- נהג
- כוננים
- ירידה
- ירד
- טיפות
- כל אחד
- הכי מוקדם
- להקל
- מזרח
- חינוך
- שמונה
- או
- מוטבע
- מוצפן
- סוף
- הנדסה
- להגביר את
- מפתה
- שלם
- ישויות
- שווה
- שגיאה
- מחקר ESET
- להקים
- וכו '
- אירועים
- כל
- בדיוק
- דוגמה
- אך ורק
- לבצע
- יצא לפועל
- מוציאים להורג
- הוצאת להורג
- פילטרציה
- צפוי
- יצוא
- מוּרחָב
- הארכה
- נכשל
- מְזוּיָף
- פבואר
- פסטיבל
- שדה
- שדות
- תרשים
- חשבתי
- שלח
- קבצים
- סופי
- חומת אש
- ראשון
- לסדר
- תזרים
- בעקבות
- הבא
- כדלקמן
- בעד
- פוּרמָט
- נוסחה
- מצא
- ארבע
- מסגרת
- חופשי
- החל מ-
- מלא
- פונקציה
- פונקציות
- פונקציונלי
- פונקציות
- נוסף
- איסוף
- ליצור
- נוצר
- לקבל
- מקבל
- מקבל
- Goes
- ממשלה
- גופים ממשלתיים
- גרפי
- קְבוּצָה
- קבוצה
- טיפול
- חומרה
- שירים
- חשיש
- has has
- יש
- הוחזק
- גָבוֹהַ
- פרופיל גבוה
- גבוה יותר
- חור
- חורים
- הונג
- הונג קונג
- המארח
- אירח
- אירוח
- אולם
- HTML
- http
- HTTPS
- ID
- מזוהה
- מזהה
- מזהה
- if
- מדגים
- תמונה
- חשוב
- in
- באחר
- כלול
- כולל
- אינדקסים
- הודו
- אינדיקטורים
- אנשים
- להשפיע
- מידע
- תשתית
- לְהַזרִיק
- קלט
- קלט
- פניות
- בתוך
- להתקין
- מותקן
- התקנה
- במקום
- מכון
- משולב
- אינטל
- מוֹדִיעִין
- התכוון
- אינטרס
- כלפי פנים
- ברמה בינלאומית
- הבינלאומי
- אל תוך
- IP
- כתובת IP
- כתובות IP
- הפיקו
- IT
- שֶׁלָה
- יָנוּאָר
- יפן
- JavaScript
- Jio
- jQuery
- ג'סון
- רק
- שמר
- מפתח
- מפתחות
- לדעת
- ידע
- ידוע
- קונג
- שפה
- מְאוּחָר
- מאוחר יותר
- האחרון
- לשגר
- הושק
- השקה
- שכבה
- הכי פחות
- לגיטימי
- מנופים
- סִפְרִיָה
- כמו
- רשימה
- ברשימה
- מאזין
- רשימות
- חי
- לִטעוֹן
- מטעין
- טוען
- מקומי
- ממוקם
- מיקום
- נראה
- מק
- מכונה
- MacOS
- קסם
- ראשי
- יבשת
- גדול
- הרוב
- מלזיה
- זדוני
- תוכנות זדוניות
- לנהל
- רב
- מסכות
- להתאים
- גפרורים
- תואם
- מאי..
- MD5
- me
- משמעות
- משמעותי
- התכוון
- מנגנון
- זכרון
- הודעה
- הודעות
- מידע נוסף
- שיטה
- יכול
- חסר
- שונים
- לשנות
- מודולרי
- מודולים
- יותר
- רוב
- נִרגָשׁ
- מספר
- צריך
- מיאנמר
- שם
- שם
- הכרחי
- נחוץ
- רשת
- רשתות
- חדש
- חדשות
- הבא
- ניגריה
- לא
- הערות
- הודעה
- מספר
- אובייקט
- להשיג
- מושג
- להשיג
- משיג
- הזדמנויות
- of
- המיוחדות שלנו
- רשמי
- אתר רשמי
- זקן
- מבוגר
- on
- פעם
- ONE
- רק
- עַל גַבֵּי
- פועל
- מערכת הפעלה
- מבצע
- מפעילי
- or
- ארגון
- ארגונים
- OS
- אחר
- אַחֶרֶת
- שלנו
- הַחוּצָה
- תפוקה
- יותר
- שֶׁלוֹ
- חבילה
- חבילות
- עמוד
- פרמטרים
- עבר
- נתיב
- שבילים
- התמדה
- הפיליפינים
- לְחַבֵּר
- חתיכות
- מקום
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- נקודות
- הנשקף
- פוטנציאל
- להציג
- מוצג
- למנוע
- תצוגה מקדימה
- קודם
- קוֹדֶם
- פְּרָטִי
- בעיה
- ההכנסות
- תהליך
- תהליכים
- ייצור
- המוצר
- פּרוֹפִיל
- מתוכנה
- מקדם
- פרוטוקול
- ובלבד
- פרוקסי
- ציבורי
- בפומבי
- לאור
- מטרה
- איכות
- הסגר
- שאלה
- רכס
- טווחים
- הגיע
- לקבל
- רישום
- קָשׁוּר
- נותר
- הסרה
- הוסר
- לדקלם
- שניתנו
- מעבד
- תשובה
- דווח
- דוחות לדוגמא
- מייצג
- לבקש
- דורש
- מחקר
- חוקרים
- אחראי
- להפוך
- כללי
- הפעלה
- ריצה
- חלודה
- מלח
- אותו
- לִטעוֹם
- מתוכנן
- תסריט
- שְׁנִיָה
- משני
- סעיף
- לבטח
- אבטחה
- לִרְאוֹת
- לראות
- מבחר
- שולח
- סֶפּטֶמבֶּר
- שירת
- שרת
- שרתים
- שרות
- שירותים
- כמה
- משותף
- שיתוף
- פָּגָז
- צריך
- הראה
- הופעות
- צד
- חֲתִימָה
- חָתוּם
- חתימה
- דומה
- since
- מידה
- So
- תוכנה
- פיתוח תוכנה
- פִּתָרוֹן
- דרומית-מזרחית
- מֶרחָב
- ספציפי
- במיוחד
- מפורט
- התמחות
- שלבים
- כוכבים
- הצהרה
- הברית
- חנות
- מאוחסן
- אסטרטגי
- מחרוזת
- מִבְנֶה
- מובנה
- הצלחה
- כזה
- לספק
- שרשרת אספקה
- נתמך
- חשוד
- מתג
- מערכת
- שולחן
- טייוואן
- משימות
- לוקח
- יעד
- ממוקד
- מיקוד
- מטרות
- המשימות
- משימות
- נבחרת
- טק
- טכנולוגיה
- מסוף
- שטחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- המידע
- הפיליפינים
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- לכן
- הֵם
- זֶה
- אלה
- איום
- שְׁלוֹשָׁה
- דרך
- בכל
- זמן
- ציר זמן
- חותם
- ל
- יַחַד
- אסימון
- כלי
- ארגז כלים
- סה"כ
- תרגום
- נָכוֹן
- סומך
- שתיים
- סוג
- טיפוסי
- לא מסוגל
- תחת
- להבין
- ייחודי
- מאוחד
- ארצות הברית
- אוניברסיטה
- לא ידוע
- בקרוב ב
- עדכונים
- כתובת האתר
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- שימושים
- באמצעות
- בְּדֶרֶך כְּלַל
- ערך
- ערכים
- גִרְסָה אַחֶרֶת
- גרסה
- גירסאות
- מאוד
- באמצעות
- קרבן
- קורבנות
- וייטנאם
- לְבַקֵר
- ביקר
- מבקר
- מבקרים
- ביקורים
- היה
- we
- אינטרנט
- אתר
- אתרים
- טוֹב
- היו
- מה
- מתי
- אם
- אשר
- מי
- רָחָב
- טווח רחב
- רוחב
- ויקיפדיה
- יצטרך
- חלונות
- עם
- בתוך
- מילים
- כתוב
- עוד
- זפירנט
- רוכסן