ESET Research onthult een campagne van de APT-groep, bekend als Evasive Panda, die zich richt op een internationale NGO in China met malware die wordt geleverd via updates van populaire Chinese software
ESET-onderzoekers hebben een campagne ontdekt die we toeschrijven aan de APT-groep die bekend staat als Evasive Panda, waarbij updatekanalen van legitieme applicaties op mysterieuze wijze werden gekaapt om het installatieprogramma voor de MgBot-malware, de achterdeur van Evasive Panda, te leveren.
- Gebruikers op het vasteland van China waren het doelwit van malware die werd geleverd via updates voor software die was ontwikkeld door Chinese bedrijven.
- We analyseren de concurrerende hypothesen over hoe de malware aan gerichte gebruikers had kunnen worden afgeleverd.
- Met groot vertrouwen schrijven we deze activiteit toe aan de Evasive Panda APT-groep.
- We bieden een overzicht van de kenmerkende achterdeur MgBot van Evasive Panda en de toolkit met plug-inmodules.
Ontwijkend Panda-profiel
Ontwijkende Panda (ook gekend als BRONZEN HOOGLAND en Daggerfly) is een Chineessprekende APT-groep, actief sinds ten minste 2012. ESET Research heeft waargenomen dat de groep cyberspionage uitvoert tegen individuen op het vasteland van China, Hong Kong, Macau en Nigeria. Overheidsinstanties waren het doelwit in China, Macau en Zuidoost- en Oost-Aziatische landen, met name Myanmar, de Filippijnen, Taiwan en Vietnam, terwijl ook andere organisaties in China en Hong Kong het doelwit waren. Volgens openbare rapporten heeft de groep zich ook gericht op onbekende entiteiten in Hong Kong, India en Maleisië.
De groep implementeert zijn eigen aangepaste malwareframework met een modulaire architectuur waarmee de achterdeur, bekend als MgBot, modules kan ontvangen om zijn slachtoffers te bespioneren en zijn mogelijkheden te verbeteren.
Campagneoverzicht
In januari 2022 ontdekten we dat tijdens het uitvoeren van updates een legitieme Chinese applicatie een installatieprogramma voor de Evasive Panda MgBot-achterdeur had ontvangen. Tijdens ons onderzoek ontdekten we dat de kwaadaardige activiteit teruggaat tot 2020.
Chinese gebruikers waren het middelpunt van deze kwaadaardige activiteit, zoals blijkt uit ESET-telemetrie die begon in 2020 en voortduurde in 2021. De beoogde gebruikers bevonden zich in de provincies Gansu, Guangdong en Jiangsu, zoals weergegeven in Figuur 1.
Het merendeel van de Chinese slachtoffers is lid van een internationale NGO die actief is in twee van de eerder genoemde provincies.
Er werd ook ontdekt dat een extra slachtoffer zich in het land Nigeria bevond.
Attribution
Evasive Panda gebruikt een aangepaste achterdeur die bekend staat als MgBot openbaar gedocumenteerd in 2014 en heeft sindsdien weinig evolutie doorgemaakt; Voor zover ons bekend is de achterdeur door geen enkele andere groep gebruikt. In dit cluster van kwaadaardige activiteiten werd alleen de MgBot-malware waargenomen, samen met de bijbehorende toolkit met plug-ins, die op de machines van het slachtoffer werd ingezet. Daarom schrijven we deze activiteit met groot vertrouwen toe aan Evasive Panda.
Technische analyse
Tijdens ons onderzoek ontdekten we dat bij het uitvoeren van geautomatiseerde updates een legitieme applicatiesoftwarecomponent MgBot-backdoor-installatieprogramma's downloadde van legitieme URL's en IP-adressen.
In Tabel 1 geven we de URL weer waar de download vandaan kwam, volgens ESET-telemetriegegevens, inclusief de IP-adressen van de servers, zoals destijds opgelost door het systeem van de gebruiker; daarom zijn wij van mening dat deze IP-adressen legitiem zijn. Volgens passieve DNS-records komen al deze IP-adressen overeen met de waargenomen domeinen. Daarom zijn wij van mening dat deze IP-adressen legitiem zijn.
Tabel 1. Schadelijke downloadlocaties volgens ESET-telemetrie
URL | Eerst gezien | Domein IP | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall.exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Hypothesen van compromissen
Toen we de waarschijnlijkheid analyseerden van verschillende methoden die konden verklaren hoe de aanvallers erin slaagden malware te leveren via legitieme updates, bleven we met twee scenario's zitten: compromissen in de toeleveringsketen en aanvallen van tegenstanders in het midden. Voor beide scenario’s zullen we ook rekening houden met antecedenten van soortgelijke aanvallen door andere Chineessprekende APT-groepen.
Tencent QQ is een populaire Chinese chat- en socialemediaservice. In de volgende secties zullen we de Tencent QQ Windows-clientsoftware-updater gebruiken, QQUrlMgr.exe (vermeld in Tabel 1), voor onze voorbeelden, aangezien we het hoogste aantal detecties hebben van downloads door dit specifieke onderdeel.
Compromisscenario voor de toeleveringsketen
Gezien de gerichte aard van de aanvallen speculeren we dat aanvallers de QQ-updateservers hadden moeten compromitteren om een mechanisme te introduceren om de beoogde gebruikers te identificeren om hen de malware te bezorgen, niet-gerichte gebruikers eruit te filteren en hen legitieme updates te leveren – we hebben geregistreerd gevallen waarin legitieme updates werden gedownload via dezelfde misbruikte protocollen.
Hoewel het geen Evasive Panda-zaak is, staat een goed voorbeeld van dit soort compromissen in ons rapport Operatie NightScout: Supply chain-aanval gericht op online gaming in Azië, waarbij aanvallers de updateservers van een softwareontwikkelaar in Hong Kong in gevaar brachten. Volgens onze telemetrie hadden meer dan 100,000 gebruikers de BigNox-software geïnstalleerd, maar bij slechts vijf werd malware afgeleverd via een update. We vermoeden dat de aanvallers de BigNox API op de updateserver hebben gecompromitteerd om op de updatercomponent op de machines van de beoogde gebruikers te reageren met een URL naar een server waar de aanvallers hun malware hosten; niet-gerichte gebruikers kregen de legitieme update-URL toegestuurd.
Op basis van dat antecedent illustreren we in figuur 2 hoe het compromisscenario voor de toeleveringsketen zich had kunnen ontvouwen op basis van observaties in onze telemetrie. Toch moeten we de lezer waarschuwen dat dit puur speculatie is en gebaseerd is op onze statische analyse, met zeer beperkte informatie, van QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Het is ook vermeldenswaard dat we tijdens ons onderzoek nooit een voorbeeld van de XML-‘update’-gegevens – noch een legitiem, noch een kwaadaardig XML-voorbeeld – hebben kunnen ophalen van de server waarmee contact is opgenomen. QQUrlMgr.exe. De “update check”-URL is hardgecodeerd, in versluierde vorm, in het uitvoerbare bestand, zoals weergegeven in Figuur 3.
Onduidelijk gemaakt: de volledige updatecontrole-URL is:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
De server reageert met XML-geformatteerde gegevens gecodeerd met base64 en gecodeerd met een implementatie van het TEA-algoritme met behulp van een 128-bits sleutel. Deze gegevens bevatten instructies voor het downloaden en uitvoeren van een bestand, samen met andere informatie. Omdat de decoderingssleutel ook hardgecodeerd is, zoals weergegeven in figuur 4, kan deze bekend zijn bij de aanvallers.
QQUrlMgr.exe downloadt vervolgens het aangegeven bestand, onversleuteld, via HTTP en hasht de inhoud ervan met het MD5-algoritme. Het resultaat wordt gecontroleerd aan de hand van een hash die aanwezig is in de XML-gegevens van het updatecontroleantwoord, zoals te zien in Figuur 5. Als de hashes overeenkomen, QQUrlMgr.exe voert het gedownloade bestand uit. Dit versterkt onze hypothese dat de aanvallers het XML-servermechanisme in de updateserver moeten controleren om de juiste MD5-hash van het malware-installatieprogramma te kunnen leveren.
Wij geloven dat dit scenario onze waarnemingen zou verklaren; veel vragen blijven echter onbeantwoord. We hebben contact opgenomen met Tencent Beveiligingsreactiecentrum om de legitimiteit van de volledige URL te bevestigen waar de malware is gedownload; update.browser.qq[.]com is – op het moment van schrijven – onbereikbaar, maar Tencent kon niet bevestigen of de volledige URL legitiem was.
Tegenstander-in-het-midden-scenario
Op 2022-06-02 publiceerde Kaspersky een onderzoek rapporteer over de mogelijkheden van de Chineessprekende LuoYu APT-groep en hun WinDealer-malware. Vergelijkbaar met wat we bij dit cluster van Evasive Panda-slachtoffers hebben waargenomen, ontdekten hun onderzoekers dat slachtoffers van LuoYu sinds 2020 de WinDealer-malware hadden ontvangen via updates via de legitieme applicatie qgametool.exe van de pptv software, eveneens ontwikkeld door een Chinees bedrijf.
WinDealer heeft een verbijsterende mogelijkheid: in plaats van een lijst met gevestigde C&C-servers bij zich te hebben waarmee contact kan worden opgenomen in het geval van een succesvol compromis, genereert het willekeurige IP-adressen in de 13.62.0.0/15 en 111.120.0.0/14 varieert van China Telecom AS4134. Hoewel het een klein toeval was, merkten we dat de IP-adressen van de beoogde Chinese gebruikers op het moment dat ze de MgBot-malware ontvingen zich in de IP-adressenreeksen AS4134 en AS4135 bevonden.
Mogelijke verklaringen voor wat deze mogelijkheden voor zijn C&C-infrastructuur mogelijk maakt, zijn dat LuoYu ofwel een groot aantal apparaten beheert die zijn gekoppeld aan de IP-adressen in die bereiken, ofwel dat ze dat kunnen doen tegenstander-in-het-midden (AitM) of onderschepping door een aanvaller op de infrastructuur van die specifieke AS.
AitM-onderscheppingsstijlen zouden mogelijk zijn als de aanvallers – LuoYu of Evasive Panda – kwetsbare apparaten zoals routers of gateways zouden kunnen compromitteren. Als antecedent, in 2019 ESET-onderzoekers ontdekten dat de Chinese APT-groep, bekend als BlackTech, AitM-aanvallen uitvoerde via gecompromitteerde ASUS-routers en de Plead-malware afleverde via ASUS WebStorage-software-updates.
Met toegang tot de ISP-backbone-infrastructuur – via legale of illegale middelen – zou Evasive Panda in staat zijn om de via HTTP uitgevoerde updateverzoeken te onderscheppen en te beantwoorden, of zelfs pakketten on-the-fly te wijzigen. In april 2023 ontdekten Symantec-onderzoekers gerapporteerd over Evasive Panda die zich richt op een telecommunicatieorganisatie in Afrika.
Wrap-up
Uiteindelijk kunnen we zonder verder bewijs de ene hypothese niet bewijzen of verwerpen ten gunste van de andere, aangezien dergelijke capaciteiten voorhanden zijn voor Chinese APT-groepen.
toolset
MgBot
MgBot is de belangrijkste Windows-achterdeur die wordt gebruikt door Evasive Panda, die volgens onze bevindingen al sinds minstens 2012 bestaat en, zoals vermeld in deze blogpost, publiekelijk werd gebruikt. gedocumenteerd bij VirusBulletin in 2014. Het is ontwikkeld in C++ met een objectgeoriënteerd ontwerp en heeft de mogelijkheid om te communiceren via TCP en UDP, en de functionaliteit uit te breiden via plug-inmodules.
Het installatieprogramma en de achterdeur van MgBot, en hun functionaliteit, zijn niet significant veranderd sinds de eerste documentatie ervan. De uitvoeringsketen is dezelfde als hierin beschreven verslag van Malwarebytes uit 2020.
MgBot-plug-ins
Dankzij de modulaire architectuur van MgBot kan het zijn functionaliteit uitbreiden door modules op de getroffen machine te ontvangen en te implementeren. Tabel 2 geeft een overzicht van de bekende plug-ins en hun functionaliteit. Het is belangrijk op te merken dat de plug-ins geen unieke interne identificatienummers hebben; daarom identificeren we ze hier aan de hand van hun DLL-namen op schijf, die we nog nooit hebben zien veranderen.
Tabel 2. Lijst met DLL-bestanden voor plug-ins
DLL-naam van plug-in | Overzicht |
---|---|
Kstrcs.dll | Keylogger. Het registreert alleen actief toetsaanslagen als het voorgrondvenster tot een proces met de naam behoort QQ.exe en de venstertitel komt overeen QQBewerken. Het doelwit is waarschijnlijk de Tencent QQ-chatapplicatie. |
sebasek.dll | Bestandsdief. Heeft een configuratiebestand waarmee bestanden van verschillende bronnen kunnen worden verzameld: harde schijven, USB-sticks en cd-roms; evenals criteria gebaseerd op de bestandseigenschappen: bestandsnaam moet een trefwoord uit een vooraf gedefinieerde lijst bevatten, de bestandsgrootte moet tussen een gedefinieerde minimum- en maximumgrootte liggen. |
Cbmrpa.dll | Legt tekst vast die naar het klembord is gekopieerd en registreert informatie van de USBSTOR-registersleutel. |
pRsm.dll | Legt invoer- en uitvoeraudiostreams vast. |
mailLFPassword.dll | Inloggegevens steler. Steelt inloggegevens van de e-mailclientsoftware van Outlook en Foxmail. |
agentpwd.dll | Inloggegevens steler. Steelt inloggegevens van onder meer Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla en WinSCP. |
qmsdp.dll | Een complexe plug-in die is ontworpen om de inhoud te stelen uit de Tencent QQ-database waarin de berichtengeschiedenis van de gebruiker is opgeslagen. Dit wordt bereikt door patching in het geheugen van de softwarecomponent KernelUtils.dll en een nep laten vallen gebruikersv.dll DLL-bestand. |
wcdbcrk.dll | Informatiedief voor Tencent WeChat. |
Gmck.dll | Cookies steler voor Firefox, Chrome en Edge. |
Het merendeel van de plug-ins is ontworpen om informatie te stelen van zeer populaire Chinese applicaties zoals QQ, WeChat, QQBrowser en Foxmail – allemaal applicaties ontwikkeld door Tencent.
Conclusie
We ontdekten een campagne die we toeschrijven aan de Evasive Panda APT-groep, gericht op gebruikers op het vasteland van China en hun MgBot-achterdeur leverden via updateprotocollen van applicaties van bekende Chinese bedrijven. We hebben ook de plug-ins van de MgBot-achterdeur geanalyseerd en ontdekt dat de meerderheid ervan is ontworpen om gebruikers van Chinese software te bespioneren door inloggegevens en informatie te stelen.
IoC's
Bestanden
SHA-1 | Bestandsnaam | Opsporing | Omschrijving |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBot-plug-in voor het stelen van informatie. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBot-plug-in voor het stelen van bestanden. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot keylogger-plug-in. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBot-plug-in voor het stelen van cookies. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBot-plug-in voor het stelen van informatie. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBot-plug-in voor het vastleggen van audio. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBot-plug-in voor het vastleggen van tekst op het klembord. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | MgBot-plug-in voor het stelen van inloggegevens. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfwachtwoord.dll | Win32/Agent.VFT | MgBot-plug-in voor het stelen van inloggegevens. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot-installatieprogramma. |
Netwerk
IP | leverancier | Eerst gezien | Details |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | MgBot C&C-server. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | MgBot C&C-server. |
MITRE ATT&CK-technieken
Deze tafel is gemaakt met behulp van versie 12 van het MITRE ATT&CK raamwerk.
Tactiek | ID | Naam | Omschrijving |
---|---|---|---|
Ontwikkeling van hulpbronnen | T1583.004 | Infrastructuur verwerven: Server | Evasive Panda heeft servers aangeschaft voor gebruik voor de C&C-infrastructuur. |
T1587.001 | Ontwikkelmogelijkheden: Malware | Evasive Panda ontwikkelt zijn aangepaste MgBot-achterdeur en plug-ins, inclusief versluierde laders. | |
Uitvoering | T1059.003 | Opdracht- en scriptinterpreter: Windows Command Shell | Het installatieprogramma van MgBot start de service vanuit BAT-bestanden met de opdracht netto start AppMgmt |
T1106 | Native API | Het installatieprogramma van MgBot gebruikt de CreateProcessInternalW API om uit te voeren rundll32.exe om de achterdeur-DLL te laden. | |
T1569.002 | Systeemservices: service-uitvoering | MgBot wordt uitgevoerd als een Windows-service. | |
Volharding | T1543.003 | Systeemproces maken of wijzigen: Windows-service | MgBot vervangt het pad van de bestaande Application Management-service-DLL door zijn eigen pad. |
Privilege-escalatie | T1548.002 | Mechanisme voor misbruik van hoogtecontrole: gebruikersaccountbeheer omzeilen | MgBot voert UAC-bypass uit. |
verdediging ontduiking | T1140 | Deobfuscate/decodeer bestanden of informatie | Het installatieprogramma van MgBot decodeert een ingesloten CAB-bestand dat de achterdeur-DLL bevat. |
T1112 | Wijzig register | MgBot wijzigt het register voor persistentie. | |
T1027 | Verduisterde bestanden of informatie | Het installatieprogramma van MgBot bevat ingebedde malwarebestanden en gecodeerde tekenreeksen. MgBot bevat gecodeerde tekenreeksen. MgBot-plug-ins bevatten ingebedde DLL-bestanden. | |
T1055.002 | Procesinjectie: draagbare uitvoerbare injectie | MgBot kan draagbare uitvoerbare bestanden in externe processen injecteren. | |
Toegang tot inloggegevens | T1555.003 | Inloggegevens uit wachtwoordopslag: inloggegevens uit webbrowsers | MgBot-plug-inmodule agentpwd.dll steelt inloggegevens van webbrowsers. |
T1539 | Websessie-cookie stelen | MgBot-plug-inmodule Gmck.dll steelt koekjes. | |
De reis van mijn leven | T1082 | Ontdekking van systeeminformatie | MgBot verzamelt systeeminformatie. |
T1016 | Detectie van systeemnetwerkconfiguratie | MgBot heeft de mogelijkheid om netwerkinformatie te herstellen. | |
T1083 | Bestands- en directorydetectie | MgBot heeft de mogelijkheid om bestandslijsten te maken. | |
Collectie | T1056.001 | Invoer vastleggen: Keylogging | MgBot-plug-inmodule kstrcs.dll is een keylogger. |
T1560.002 | Verzamelde gegevens archiveren: archiveren via bibliotheek | MgBot's plug-inmodule sebasek.dll gebruikt aPLib om bestanden te comprimeren die zijn geënsceneerd voor exfiltratie. | |
T1123 | Audio Capture | MgBot's plug-inmodule pRsm.dll legt invoer- en uitvoeraudiostreams vast. | |
T1119 | Geautomatiseerde verzameling | De plug-inmodules van MgBot leggen gegevens uit verschillende bronnen vast. | |
T1115 | Klembordgegevens | MgBot's plug-inmodule Cbmrpa.dll legt tekst vast die naar het klembord is gekopieerd. | |
T1025 | Gegevens van verwisselbare media | MgBot's plug-inmodule sebasek.dll verzamelt bestanden van verwisselbare media. | |
T1074.001 | Gefaseerde gegevens: Staging van lokale gegevens | De plug-inmodules van MgBot plaatsen gegevens lokaal op schijf. | |
T1114.001 | E-mailverzameling: lokale e-mailverzameling | De plug-inmodules van MgBot zijn ontworpen om inloggegevens en e-mailinformatie van verschillende applicaties te stelen. | |
T1113 | Screen Capture | MgBot kan schermafbeeldingen maken. | |
Command and Control | T1095 | Niet-toepassingslaagprotocol | MgBot communiceert met zijn C&C via TCP- en UDP-protocollen. |
exfiltratie | T1041 | Exfiltratie via C2-kanaal | MgBot voert exfiltratie van verzamelde gegevens uit via C&C. |
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- : heeft
- :is
- :niet
- :waar
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- in staat
- Over
- toegang
- Volgens
- Account
- bereikt
- verworven
- actief
- activiteit
- Extra
- adressen
- Afrika
- tegen
- algoritme
- Alles
- toestaat
- langs
- ook
- Hoewel
- onder
- bedragen
- an
- analyse
- analyseren
- en
- elke
- api
- Aanvraag
- toepassingen
- April
- APT
- architectuur
- Archief
- ZIJN
- AS
- Aziatisch
- geassocieerd
- At
- aanvallen
- Aanvallen
- audio
- geautomatiseerde
- terug
- Ruggegraat
- achterdeur
- gebaseerde
- BAT
- BE
- geweest
- geloofd wie en wat je bent
- behoort
- BEST
- tussen
- Blog
- zowel
- browser
- browsers
- bebouwd
- maar
- by
- C + +
- Campagne
- CAN
- kan niet
- mogelijkheden
- vangen
- captures
- vervoer
- geval
- gevallen
- keten
- verandering
- kanalen
- controle
- gecontroleerd
- China
- Chinese
- Chrome
- klant
- TROS
- code
- toeval
- Collectie
- communiceren
- Bedrijven
- afstand
- concurrerende
- compleet
- complex
- bestanddeel
- compromis
- Aangetast
- uitvoeren
- vertrouwen
- Configuratie
- Bevestigen
- contact
- bevatten
- bevat
- content
- inhoud
- voortgezette
- onder controle te houden
- cookies
- kon
- landen
- Land
- Wij creëren
- IDENTIFICATIE
- Geloofsbrieven
- criteria
- gewoonte
- gegevens
- Database
- gedefinieerd
- leveren
- geleverd
- het leveren van
- levert
- ingezet
- het inzetten
- beschreven
- Design
- ontworpen
- ontwikkelde
- Ontwikkelaar
- ontwikkelt
- systemen
- anders
- ontdekt
- dns
- do
- domeinen
- Dont
- Download
- downloads
- dropping
- gedurende
- oosten
- rand
- beide
- ingebed
- maakt
- versleutelde
- verhogen
- entiteiten
- ESET-onderzoek
- gevestigd
- Zelfs
- bewijzen
- Evolutie
- voorbeeld
- voorbeelden
- uitvoeren
- Voert uit
- uitvoering
- exfiltratie
- bestaand
- Verklaren
- verlengen
- nep
- Favor
- Figuur
- Dien in
- Bestanden
- filtering
- Firefox
- Voornaam*
- vlaggeschip
- Focus
- Voor
- formulier
- gevonden
- Achtergrond
- oppompen van
- vol
- functionaliteit
- verder
- gaming
- genereert
- gegeven
- Overheid
- Overheidsinstanties
- Groep
- Groep
- Guangdong
- HAD
- hand
- hachee
- Hebben
- hier
- Hoge
- hoogst
- zeer
- geschiedenis
- Hong
- Hong Kong
- gehost
- Hoe
- Echter
- http
- HTTPS
- Identificatie
- identificeren
- het identificeren van
- if
- Onwettig
- uitvoering
- gereedschap
- belangrijk
- in
- Inclusief
- Indië
- aangegeven
- individuen
- informatie
- Infrastructuur
- invoer
- geïnstalleerd
- verkrijgen in plaats daarvan
- instructies
- intern
- Internationale
- in
- voorstellen
- onderzoek
- IP
- IP adressen
- ISP
- IT
- HAAR
- Januari
- Kaspersky
- sleutel
- kennis
- bekend
- Kong
- Groot
- lanceert
- lagen
- Juridisch
- wettigheid
- rechtmatig
- Waarschijnlijk
- Beperkt
- Lijst
- opgesomd
- Meldingen
- lijsten
- Elke kleine stap levert grote resultaten op!
- laden
- lokaal
- plaatselijk
- gelegen
- locaties
- machine
- Machines
- vasteland
- Meerderheid
- Maleisië
- malware
- Malwarebytes
- beheerd
- management
- veel
- kaart
- Match
- max-width
- maximaal
- MD5
- middel
- mechanisme
- Media
- Leden
- vermeld
- Bericht
- methoden
- minimum
- wijzigen
- modulaire
- Module
- Modules
- meer
- Myanmar
- Genoemd
- namen
- NATUUR
- Noodzaak
- nodig
- Noch
- netwerk
- volgende
- Ngo
- Nigeria
- aantal
- nummers
- of
- on
- EEN
- online.
- online gaming
- Slechts
- Opera
- exploiteert
- or
- organisatie
- organisaties
- is ontstaan
- Overige
- Overig
- onze
- uit
- Outlook
- uitgang
- over
- overzicht
- het te bezitten.
- pakketten
- bijzonder
- passief
- Wachtwoord
- patchen
- pad
- uitvoerend
- presteert
- volharding
- Filippijnen
- Plato
- Plato gegevensintelligentie
- PlatoData
- pleiten
- inpluggen
- plugins
- punten
- Populair
- mogelijk
- Post
- presenteren
- die eerder
- primair
- Prime
- processen
- vastgoed
- protocollen
- Bewijzen
- zorgen voor
- provincies
- publiek
- in het openbaar
- gepubliceerde
- puur
- Contact
- willekeurige
- bereikt
- Lezer
- ontvangen
- ontvangen
- ontvangende
- archief
- Herstellen
- geregistreerd
- register
- vanop
- antwoord
- verslag
- Rapporten
- verzoeken
- onderzoek
- onderzoekers
- opgelost
- antwoord
- resultaat
- s
- dezelfde
- scenario
- scenario's
- screenshots
- secties
- veiligheid
- gezien
- Volgorde
- Servers
- service
- Diensten
- Sessie
- verscheidene
- getoond
- Shows
- aanzienlijk
- gelijk
- sinds
- Maat
- Klein
- Social
- social media
- Software
- bronnen
- specifiek
- speculatie
- Stadium
- begin
- Start
- steals
- Still
- winkels
- streams
- geslaagd
- dergelijk
- system
- tafel
- Taiwan
- Nemen
- doelwit
- doelgerichte
- targeting
- doelen
- Thee
- telecom
- telecommunicatie
- Tencent
- neem contact
- dat
- De
- De Filipijnen
- hun
- Ze
- harte
- daarom
- Deze
- ze
- dit
- die
- Door
- overal
- niet de tijd of
- Titel
- naar
- toolkit
- type dan:
- unieke
- onbereikbaar
- bijwerken
- updates
- URL
- usb
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- divers
- zeer
- via
- Slachtoffer
- slachtoffers
- Vietnam
- Kwetsbaar
- was
- we
- web
- web browsers
- GOED
- bekend
- waren
- Wat
- wanneer
- of
- welke
- en
- breed
- Wikipedia
- wil
- ruiten
- Met
- zonder
- waard
- zou
- het schrijven van
- XML
- zephyrnet