ESET-forskere oppdaget en nettspionasjekampanje som siden minst september 2023 har vært offer for tibetanere gjennom et målrettet vannhull (også kjent som et strategisk nettkompromiss), og et kompromiss i forsyningskjeden for å levere trojaniserte installatører av tibetansk oversettelsesprogramvare. Angriperne hadde som mål å distribuere ondsinnede nedlastere for Windows og macOS for å kompromittere besøkende på nettstedet med MgBot og en bakdør som, så vidt vi vet, ikke er offentlig dokumentert ennå; vi har kalt den Nightdoor.
Hovedpunkter i denne bloggposten:
- Vi oppdaget en nettspionasjekampanje som utnytter Monlam-festivalen – en religiøs samling – for å målrette tibetanere i flere land og territorier.
- Angriperne kompromitterte nettsiden til arrangøren av den årlige festivalen, som finner sted i India, og la til ondsinnet kode for å lage et vannhullsangrep rettet mot brukere som kobler til fra bestemte nettverk.
- Vi oppdaget også at en programvareutviklers forsyningskjede ble kompromittert og trojaniserte installasjonsprogrammer for Windows og macOS ble levert til brukerne.
- Angriperne stilte med en rekke ondsinnede nedlastere og fullfunksjons bakdører for operasjonen, inkludert en offentlig udokumentert bakdør for Windows som vi har kalt Nightdoor.
- Vi tilskriver denne kampanjen med høy selvtillit til den Kina-justerte Evasive Panda APT-gruppen.
Unnvikende Panda-profil
Unnvikende Panda (Også kjent som BRONSE HØYLAND og Dolkefly) er en kinesisktalende APT-gruppe, aktiv siden minst 2012. ESET Research har observert gruppen som driver nettspionasje mot enkeltpersoner i fastlands-Kina, Hong Kong, Macao og Nigeria. Regjeringsenheter ble målrettet i Sørøst- og Øst-Asia, nærmere bestemt Kina, Macao, Myanmar, Filippinene, Taiwan og Vietnam. Andre organisasjoner i Kina og Hong Kong ble også målrettet. I følge offentlige rapporter har gruppen også rettet mot ukjente enheter i Hong Kong, India og Malaysia.
Gruppen bruker sitt eget tilpassede malware-rammeverk med en modulær arkitektur som lar bakdøren, kjent som MgBot, motta moduler for å spionere på ofrene og forbedre evnene. Siden 2020 har vi også observert at Evasive Panda har evner til å levere sine bakdører via motstander-i-midten-angrep kapre oppdateringer av legitim programvare.
Kampanjeoversikt
I januar 2024 oppdaget vi en nettspionasjeoperasjon der angripere kompromitterte minst tre nettsteder for å utføre vannhullsangrep, samt et kompromiss i forsyningskjeden fra et tibetansk programvareselskap.
Det kompromitterte nettstedet misbrukt som et vannhull tilhører Kagyu International Monlam Trust, en organisasjon basert i India som fremmer tibetansk buddhisme internasjonalt. Angriperne plasserte et skript på nettstedet som bekrefter IP-adressen til det potensielle offeret, og hvis det er innenfor et av de målrettede adresseområdene, viser en falsk feilside for å lokke brukeren til å laste ned en "fix" med navnet sertifikat (med en .exe-utvidelse hvis den besøkende bruker Windows eller .pkg hvis macOS). Denne filen er en ondsinnet nedlaster som distribuerer neste trinn i kompromisskjeden.
Basert på IP-adresseområdene koden sjekker etter, oppdaget vi at angriperne målrettet mot brukere i India, Taiwan, Hong Kong, Australia og USA; angrepet kan ha hatt som mål å utnytte internasjonal interesse for Kagyu Monlam-festivalen (figur 1) som arrangeres årlig i januar i byen Bodhgaya, India.
Interessant nok er nettverket til Georgia Institute of Technology (også kjent som Georgia Tech) i USA blant de identifiserte enhetene i de målrettede IP-adresseområdene. I fortiden, universitetet ble nevnt i forbindelse med det kinesiske kommunistpartiets innflytelse på utdanningsinstitusjoner i USA.
Rundt september 2023 kompromitterte angriperne nettsiden til et programvareutviklingsselskap basert i India som produserer tibetansk oversettelsesprogramvare. Angriperne plasserte flere trojaniserte applikasjoner der som distribuerer en ondsinnet nedlaster for Windows eller macOS.
I tillegg til dette misbrukte angriperne også det samme nettstedet og et tibetansk nyhetsnettsted kalt Tibetpost – tibetpost[.]net – å være vert for nyttelastene oppnådd av de ondsinnede nedlastingene, inkludert to fullfunksjons bakdører for Windows og et ukjent antall nyttelaster for macOS.
Med stor selvtillit tilskriver vi denne kampanjen Evasive Panda APT-gruppen, basert på skadelig programvare som ble brukt: MgBot og Nightdoor. Tidligere har vi sett begge bakdørene utplassert sammen, i et ikke-relatert angrep mot en religiøs organisasjon i Taiwan, der de også delte den samme C&C-serveren. Begge punktene gjelder også for kampanjen beskrevet i denne bloggposten.
Vannhull
14. januarth, 2024, oppdaget vi et mistenkelig skript kl https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Ondsinnet skjult kode ble lagt til en legitim jQuery JavaScript-biblioteksskript, som vist i figur 2.
Skriptet sender en HTTP-forespørsel til den lokale vertsadressen http://localhost:63403/?callback=handleCallback for å sjekke om angriperens mellomliggende nedlaster allerede kjører på den potensielle offermaskinen (se figur 3). På en tidligere kompromittert maskin svarer implantatet med handleCallback({“success”:true }) (se figur 4) og ingen ytterligere handlinger utføres av skriptet.
Hvis maskinen ikke svarer med de forventede dataene, fortsetter den skadelige koden ved å hente en MD5-hash fra en sekundær server kl. https://update.devicebug[.]com/getVersion.php. Deretter sjekkes hashen mot en liste med 74 hash-verdier, som vist i figur 6.
Hvis det er et samsvar, vil skriptet gjengi en HTML-side med en falsk krasjvarsling (Figur 7) ment å lokke den besøkende brukeren til å laste ned en løsning for å fikse problemet. Siden etterligner typisk "Aw, Snap!" advarsler fra Google Chrome.
"Umiddelbar fiks"-knappen utløser et skript som laster ned en nyttelast basert på brukerens operativsystem (Figur 8).
Å bryte hashen
Betingelsen for levering av nyttelast krever at du får riktig hash fra serveren på update.devicebug[.]com, så de 74 hashene er nøkkelen til angriperens mekanisme for å velge offer. Men siden hashen er beregnet på serversiden, var det en utfordring for oss å vite hvilke data som brukes til å beregne den.
Vi eksperimenterte med forskjellige IP-adresser og systemkonfigurasjoner og begrenset inndata for MD5-algoritmen til en formel av de tre første oktettene av brukerens IP-adresse. Med andre ord, for eksempel ved å legge inn IP-adresser som deler samme nettverksprefiks 192.168.0.1 og 192.168.0.50, vil motta samme MD5-hash fra C&C-serveren.
Men en ukjent kombinasjon av tegn, eller en salt, er inkludert i strengen med de tre første IP-oktettene før hashing for å forhindre at hashene blir trivielt brute-forced. Derfor trengte vi å brute-force saltet for å sikre inndataformelen og først da generere hashes ved å bruke hele spekteret av IPv4-adresser for å finne de samsvarende 74 hashene.
Noen ganger stemmer stjernene, og vi fant ut at saltet var det 1qaz0okm!@#. Med alle deler av MD5-inndataformelen (f.eks. 192.168.1.1qaz0okm!@#), tvang vi de 74 hashene med letthet og genererte en liste over mål. Se Vedlegg for en komplett liste.
Som vist i figur 9, er de fleste målrettede IP-adresseområdene i India, etterfulgt av Taiwan, Australia, USA og Hong Kong. Merk at de fleste av Tibetansk diaspora bor i India.
Windows nyttelast
På Windows får ofre for angrepet en ondsinnet kjørbar fil som ligger på https://update.devicebug[.]com/fixTools/certificate.exe. Figur 10 viser utførelseskjeden som følger når brukeren laster ned og utfører den ondsinnede rettelsen.
sertifikat.exe er en dropper som distribuerer en sidelastende kjede for å laste en mellomliggende nedlaster, memmgrset.dll (internt navngitt http_dy.dll). Denne DLL-filen henter en JSON-fil fra C&C-serveren på https://update.devicebug[.]com/assets_files/config.json, som inneholder informasjonen for å laste ned neste trinn (se figur 11).
Når neste trinn er lastet ned og utført, distribuerer den en annen sidelastekjede for å levere Nightdoor som den endelige nyttelasten. En analyse av Nightdoor er gitt nedenfor i Nattdør seksjon.
macOS nyttelast
MacOS malware er den samme nedlasteren som vi dokumenterer mer detaljert i Kompromiss i forsyningskjeden. Imidlertid slipper denne en ekstra kjørbar Mach-O, som lytter på TCP-port 63403. Dens eneste formål er å svare med handleCallback({“success”:true }) til den ondsinnede JavaScript-kodeforespørselen, så hvis brukeren besøker vannhullsnettstedet igjen, vil ikke JavaScript-koden forsøke å kompromittere den besøkende på nytt.
Denne nedlasteren henter JSON-filen fra serveren og laster ned neste trinn, akkurat som Windows-versjonen tidligere beskrevet.
Kompromiss i forsyningskjeden
18. januarth, oppdaget vi at det offisielle nettstedet (Figur 12) til et tibetansk oversettelsesprogramvareprodukt for flere plattformer var vert for ZIP-pakker som inneholdt trojaniserte installasjonsprogrammer for legitim programvare som distribuerte ondsinnede nedlastere for Windows og macOS.
Vi fant ett offer fra Japan som lastet ned en av pakkene for Windows. Tabell 1 viser nettadressene og implantatene som ble droppet.
Tabell 1. URL-er til de skadelige pakkene på det kompromitterte nettstedet og nyttelasttypen i det kompromitterte programmet
Ondsinnet pakke-URL |
Type nyttelast |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Last ned Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Last ned Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Last ned Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS-nedlaster |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS-nedlaster |
Windows-pakker
Figur 13 illustrerer lastekjeden til den trojaniserte applikasjonen fra pakken monlam-bodyig3.zip.
Den trojaniserte applikasjonen inneholder en ondsinnet dropper kalt autorun.exe som distribuerer to komponenter:
- en kjørbar fil med navnet MonlamUpdate.exe, som er en programvarekomponent fra en emulator kalt C64 for alltid og blir misbrukt for DLL-sidelasting, og
- RPHost.dll, den sidelastede DLL-filen, som er en ondsinnet nedlaster for neste trinn.
Når nedlastnings-DLL-filen er lastet inn i minnet, oppretter den en planlagt oppgave kalt Demovale ment å bli utført hver gang en bruker logger på. Men siden oppgaven ikke spesifiserer en fil som skal utføres, klarer den ikke å etablere utholdenhet.
Deretter får denne DLL-en en UUID og operativsystemversjonen for å lage en tilpasset brukeragent og sender en GET-forespørsel til https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat for å få en JSON-fil som inneholder URL-en for å laste ned og kjøre en nyttelast som den slipper til % TEMP% katalog. Vi var ikke i stand til å skaffe et utvalg av JSON-objektdataene fra det kompromitterte nettstedet; derfor vet vi ikke nøyaktig hvor fra default_ico.exe er lastet ned, som illustrert i figur 13.
Via ESET telemetri la vi merke til at det illegitime MonlamUpdate.exe prosess lastet ned og utført ved forskjellige anledninger minst fire ondsinnede filer til %TEMP%default_ico.exe. Tabell 2 viser disse filene og deres formål.
Tabell 2. Hash av default_ico.exe nedlaster/dropper, kontaktet C&C URL og beskrivelse av nedlasteren
SHA-1 |
Kontaktet URL |
Formål |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Laster ned en ukjent nyttelast fra serveren. |
F0F8F60429E3316C463F |
Laster ned en ukjent nyttelast fra serveren. Denne prøven ble skrevet i Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Laster ned en tilfeldig navngitt Nightdoor dropper. |
BFA2136336D845184436 |
N / A |
Åpen kildekode-verktøy Systeminformasjon, der angriperne integrerte sin ondsinnede kode og innebygde en kryptert blob som, når de er dekryptert og utført, installerer MgBot. |
Endelig default_ico.exe nedlaster eller dropper vil enten hente nyttelasten fra serveren eller slippe den, og deretter kjøre den på offermaskinen, installere enten Nightdoor (se Nattdør seksjon) eller MgBot (se vår tidligere analyse).
De to gjenværende trojaniserte pakkene er svært like, og distribuerer den samme ondsinnede nedlastings-DLL-filen som er sidelastet av den legitime kjørbare filen.
macOS-pakker
ZIP-arkivet lastet ned fra den offisielle appbutikken inneholder en modifisert installasjonspakke (.pkg fil), der en kjørbar Mach-O-fil og et skript etter installasjon ble lagt til. Skriptet etter installasjon kopierer Mach-O-filen til $HOME/Library/Containers/CalendarFocusEXT/ og fortsetter med å installere en Launch Agent i $HOME/Library/LaunchAgents/com.Terminal.us.plist for utholdenhet. Figur 14 viser skriptet som er ansvarlig for å installere og starte den ondsinnede Launch Agent.
Den ondsinnede Mach-O, Monlam-bodyig_Keyboard_2017 i figur 13 er signert, men ikke attestert, ved hjelp av et utviklersertifikat (ikke en sertifikat type vanligvis brukt for distribusjon) med navn og teamidentifikator ja ni yang (2289F6V4BN). Tidsstemplet i signaturen viser at den ble signert 7. januarth, 2024. Denne datoen brukes også i det modifiserte tidsstemplet til de ondsinnede filene i metadataene til ZIP-arkivet. Attesten ble utstedt kun tre dager før. Hele sertifikatet er tilgjengelig i IoCs seksjon. Teamet vårt tok kontakt med Apple 25. januarth og attesten ble tilbakekalt samme dag.
Denne skadevare i første trinn laster ned en JSON-fil som inneholder URL-en til neste trinn. Arkitekturen (ARM eller Intel), macOS-versjonen og maskinvare-UUID (en identifikator som er unik for hver Mac) rapporteres i HTTP-forespørselshodet for User-Agent. Den samme URL-adressen som Windows-versjonen brukes til å hente denne konfigurasjonen: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Imidlertid vil macOS-versjonen se på dataene under mac-nøkkelen til JSON-objektet i stedet for vinne nøkkel.
Objektet under mac-nøkkelen skal inneholde følgende:
- url: URL til neste trinn.
- md5: MD5 summen av nyttelasten.
- vernow: En liste over maskinvare-UUID-er. Hvis tilstede, vil nyttelasten bare installeres på Mac-er som har en av de oppførte maskinvare-UUID-ene. Denne kontrollen hoppes over hvis listen er tom eller mangler.
- versjon: En numerisk verdi som må være høyere enn den tidligere nedlastede versjonen av andre trinn. Nyttelasten lastes ikke ned ellers. Verdien av den gjeldende versjonen beholdes i applikasjonen brukerens standardinnstillinger.
Etter at skadelig programvare har lastet ned filen fra den angitte URL-adressen ved hjelp av curl, hashes filen med MD5 og sammenlignes med den heksadesimale sammendraget under md5 nøkkel. Hvis den samsvarer, fjernes dens utvidede attributter (for å fjerne attributtet com.apple.quarantine), filen flyttes til $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, og lanseres ved hjelp av execvp med argumentkjøringen.
I motsetning til Windows-versjonen, kunne vi ikke finne noen av de senere stadiene av macOS-varianten. Én JSON-konfigurasjon inneholdt en MD5-hash (3C5739C25A9B85E82E0969EE94062F40), men URL-feltet var tomt.
Nattdør
Bakdøren som vi har kalt Nightdoor (og er kalt NetMM av skadevareforfatterne i henhold til PDB-baner) er et sent tillegg til Evasive Pandas verktøysett. Vår tidligste kunnskap om Nightdoor går tilbake til 2020, da Evasive Panda distribuerte den på en maskin med et høyt profilert mål i Vietnam. Bakdøren kommuniserer med sin C&C-server via UDP eller Google Drive API. Nightdoor-implantatet fra denne kampanjen brukte sistnevnte. Den krypterer et Google API OAuth 2.0 token i datadelen og bruker tokenet for å få tilgang til angriperens Google Disk. Vi har bedt om at Google-kontoen knyttet til dette tokenet blir fjernet.
Først oppretter Nightdoor en mappe i Google Disk som inneholder offerets MAC-adresse, som også fungerer som en offer-ID. Denne mappen vil inneholde alle meldingene mellom implantatet og C&C-serveren. Hver melding mellom Nightdoor og C&C-serveren er strukturert som en fil og delt inn i filnavn og fildata, som vist i figur 15.
Hvert filnavn inneholder åtte hovedattributter, som er demonstrert i eksemplet nedenfor.
Eksempel:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: magisk verdi.
- 0C64C2BAEF534C8E9058797BCD783DE5: overskrift av pbuf data struktur.
- 168: størrelsen på meldingsobjektet eller filstørrelsen i byte.
- 0: filnavn, som alltid er standard på 0 (null).
- 1: kommandotype, hardkodet til 1 eller 0 avhengig av prøven.
- 4116: kommando ID.
- 0: tjenestekvalitet (QoS).
- 00-00-00-00-00-00: ment å være MAC-adressen til destinasjonen, men er alltid standard 00-00-00-00-00-00.
Dataene i hver fil representerer kontrollerens kommando for bakdøren og de nødvendige parameterne for å utføre den. Figur 16 viser et eksempel på en C&C-servermelding lagret som fildata.
Ved å omvendt manipulere Nightdoor, var vi i stand til å forstå betydningen av de viktige feltene presentert i filen, som vist i figur 17.
Vi fant ut at mange meningsfulle endringer ble lagt til Nightdoor-versjonen som ble brukt i denne kampanjen, en av dem var organiseringen av kommando-ID-er. I tidligere versjoner ble hver kommando-ID tildelt en behandlerfunksjon én etter én, som vist i figur 18. Nummereringsvalgene, som f.eks. 0x2001 til 0x2006, Fra 0x2201 til 0x2203, Fra 0x4001 til 0x4003Og fra 0x7001 til 0x7005, foreslo at kommandoer ble delt inn i grupper med lignende funksjoner.
Men i denne versjonen bruker Nightdoor en grentabell for å organisere alle kommando-ID-ene med deres korresponderende behandlere. Kommando-ID-ene er kontinuerlige gjennom hele og fungerer som indekser til deres korresponderende behandlere i grentabellen, som vist i figur 19.
Tabell 3 er en forhåndsvisning av C&C-serverkommandoene og deres funksjoner. Denne tabellen inneholder de nye kommando-ID-ene samt tilsvarende ID-er fra eldre versjoner.
Tabell 3. Kommandoer støttet av Nightdoor-variantene brukt i denne kampanjen.
Kommando ID |
Forrige kommando-ID |
Beskrivelse |
|
0x1001 |
0x2001 |
Samle grunnleggende systemprofilinformasjon som: – OS-versjon – IPv4-nettverkskort, MAC-adresser og IP-adresser – CPU-navn – Datamaskinnavn – Brukernavn – Enhetsdrivernavn – Alle brukernavn fra C:Brukere* - Lokal tid – Offentlig IP-adresse ved hjelp av ifconfig.me or ipinfo.io nettjeneste |
|
0x1007 |
0x2002 |
Samle informasjon om diskstasjoner som: – Kjørnavn – Ledig plass og total plass – Filsystemtype: NTFS, FAT32, etc. |
|
0x1004 |
0x2003 |
Samle informasjon om alle installerte applikasjoner under Windows-registernøkler: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Samle inn informasjon om kjørende prosesser, for eksempel: – Prosessnavn – Antall tråder – Brukernavn – Filplassering på disk – Beskrivelse av fil på disk |
|
0x1006 |
0x4001 |
Lag et omvendt skall og administrer input og output via anonyme rør. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Selvavinstaller. |
|
0x100C |
0x6001 |
Flytt fil. Banen leveres av C&C-serveren. |
|
0x100B |
0x6002 |
Slett fil. Banen leveres av C&C-serveren. |
|
0x1016 |
0x6101 |
Få filattributter. Banen leveres av C&C-serveren. |
konklusjonen
Vi har analysert en kampanje av den Kina-justerte APT Evasive Panda som målrettet tibetanere i flere land og territorier. Vi tror at angriperne på det tidspunktet utnyttet den kommende Monlam-festivalen i januar og februar 2024 for å kompromittere brukere da de besøkte festivalens nettsted som ble til vannhull. I tillegg kompromitterte angriperne forsyningskjeden til en programvareutvikler av tibetanske oversettelsesapper.
Angriperne stilte med flere nedlastere, droppere og bakdører, inkludert MgBot – som utelukkende brukes av Evasive Panda – og Nightdoor: det siste store tillegget til gruppens verktøysett og som har blitt brukt til å målrette mot flere nettverk i Øst-Asia.
En omfattende liste over kompromissindikatorer (IoCs) og prøver finner du i vår GitHub repository.
For eventuelle spørsmål om forskningen vår publisert på WeLiveSecurity, vennligst kontakt oss på threatintel@eset.com.
ESET Research tilbyr private APT-etterretningsrapporter og datafeeder. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.
IoCs
Filer
SHA-1 |
filnavn |
Gjenkjenning |
Beskrivelse |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Dropper-komponent lagt til den offisielle installasjonspakken. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Middels nedlastning. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Mellomlaster programmert i Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Nightdoor nedlasting. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Dropper for nattdør. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Mellomlaster. |
5273B45C5EABE64EDBD0 |
sertifikat.pkg |
OSX/Agent.DJ |
MacOS dropper-komponent. |
5E5274C7D931C1165AA5 |
sertifikat.exe |
Win32/Agent.AGES |
Dropper-komponent fra det kompromitterte nettstedet. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Nightdoor dropper komponent. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Mellomlaster for Nightdoor-nedlastingskomponent. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Mellomlaster for Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trojanisert installasjonsprogram. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Skadelig JavaScript lagt til det kompromitterte nettstedet. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trojanisert installasjonsprogram. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Trojanisert installasjonspakke. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Trojanisert installasjonspakke. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS trojanisert installasjonspakke. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS trojanisert installasjonspakke. |
C0575AF04850EB1911B0 |
Sikkerhet~.x64 |
OSX/Agent.DJ |
Last ned MacOS. |
7C3FD8EE5D660BBF43E4 |
Sikkerhet~.arm64 |
OSX/Agent.DJ |
Last ned MacOS. |
FA78E89AB95A0B49BC06 |
Sikkerhet.fett |
OSX/Agent.DJ |
MacOS-nedlastingskomponent. |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary eksportfil |
OSX/Agent.DJ |
Skadelig komponent fra macOS trojanisert installasjonspakke. |
sertifikater
Serienummer |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Tommelavtrykk |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Emne CN |
Apple-utvikling: ya ni yang (2289F6V4BN) |
Emne O |
ja ni yang |
Emne L |
N / A |
Emne S |
N / A |
Emne C |
US |
Gyldig fra |
2024-01-04 05:26:45 |
Gyldig til |
2025-01-03 05:26:44 |
Serienummer |
6014B56E4FFF35DC4C948452B77C9AA9 |
Tommelavtrykk |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Emne CN |
KP MOBIL |
Emne O |
KP MOBIL |
Emne L |
N / A |
Emne S |
N / A |
Emne C |
KR |
Gyldig fra |
2021-10-25 00:00:00 |
Gyldig til |
2022-10-25 23:59:59 |
IP |
Domene |
Hostingleverandør |
Først sett |
Detaljer |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
Kompromittert nettsted. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Kompromittert nettsted. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amol Hingade |
2024-02-01 |
Last ned server for Nightdoor dropper-komponent. |
MITRE ATT&CK-teknikker
Dette bordet ble bygget vha versjon 14 av MITRE ATT&CK-rammeverket.
taktikk |
ID |
Navn |
Beskrivelse |
Ressursutvikling |
Anskaffe infrastruktur: Server |
Evasive Panda kjøpte servere for C&C-infrastrukturen til Nightdoor, MgBot og macOS-nedlastingskomponenten. |
|
Anskaffe infrastruktur: webtjenester |
Evasive Panda brukte Google Drives nettjeneste for Nightdoors C&C-infrastruktur. |
||
Kompromiss Infrastruktur: Server |
Unnvikende Panda-operatører kompromitterte flere servere for å bruke som vannhull, for et forsyningskjedeangrep, og for å være vert for nyttelast og bruk som C&C-servere. |
||
Etabler kontoer: Skykontoer |
Evasive Panda opprettet en Google Disk-konto og brukte den som C&C-infrastruktur. |
||
Utvikle evner: Skadelig programvare |
Evasive Panda distribuerte tilpassede implantater som MgBot, Nightdoor og en macOS-nedlastningskomponent. |
||
T1588.003 |
Skaff evner: Kodesigneringssertifikater |
Evasive Panda oppnådde kodesigneringssertifikater. |
|
Stageegenskaper: Drive-by-mål |
Unnvikende Panda-operatører endret et høyprofilert nettsted for å legge til et stykke JavaScript-kode som gir en falsk melding om å laste ned skadelig programvare. |
||
Innledende tilgang |
Drive-by-kompromiss |
Besøkende på kompromitterte nettsteder kan motta en falsk feilmelding som lokker dem til å laste ned skadelig programvare. |
|
Supply Chain Compromise: Kompromiss Software Supply Chain |
Evasive Panda trojaniserte offisielle installasjonspakker fra et programvareselskap. |
||
Gjennomføring |
Innfødt API |
Nightdoor, MgBot og deres mellomliggende nedlastningskomponenter bruker Windows APIer for å lage prosesser. |
|
Planlagt oppgave/jobb: Planlagt oppgave |
Nightdoor og MgBots lasterkomponenter kan lage planlagte oppgaver. |
||
Utholdenhet |
Opprett eller endre systemprosess: Windows-tjeneste |
Nightdoor og MgBots lasterkomponenter kan lage Windows-tjenester. |
|
Kapringsutførelsesflyt: DLL-sidelasting |
Nightdoor og MgBots dropper-komponenter distribuerer en legitim kjørbar fil som sidelaster en ondsinnet laster. |
||
Forsvarsunndragelse |
Deobfuscate / Decode filer eller informasjon |
DLL-komponentene til Nightdoor-implantatet er dekryptert i minnet. |
|
Forringe forsvar: Deaktiver eller endre systembrannmur |
Nightdoor legger til to Windows-brannmurregler for å tillate innkommende og utgående kommunikasjon for HTTP-proxyserverfunksjonaliteten. |
||
Indikatorfjerning: Filsletting |
Nightdoor og MgBot kan slette filer. |
||
Indikatorfjerning: Clear Persistence |
Nightdoor og MgBot kan avinstallere seg selv. |
||
Maskering: Maskeradeoppgave eller tjeneste |
Nightdoors laster forkledd oppgaven sin som netsvcs. |
||
Masquerading: Match legitimt navn eller sted |
Nightdoors installasjonsprogram distribuerer komponentene sine i legitime systemkataloger. |
||
Tilslørede filer eller informasjon: Innebygde nyttelaster |
Nightdoors dropper-komponent inneholder innebygde skadelige filer som er distribuert på disk. |
||
Prosessinjeksjon: Dynamic-link Library Injection |
Nightdoor og MgBots lasterkomponenter injiserer seg selv i svchost.exe. |
||
Reflekterende kodeinnlasting |
Nightdoor og MgBots lasterkomponenter injiserer seg selv i svchost.exe, hvorfra de laster Nightdoor eller MgBot bakdøren. |
||
Discovery |
Kontooppdagelse: Lokal konto |
Nightdoor og MgBot samler brukerkontoinformasjon fra det kompromitterte systemet. |
|
Fil- og katalogoppdagelse |
Nightdoor og MgBot kan samle informasjon fra kataloger og filer. |
||
Prosessoppdagelse |
Nightdoor og MgBot samler inn informasjon om prosesser. |
||
Spørringsregister |
Nightdoor og MgBot spør i Windows-registeret for å finne informasjon om installert programvare. |
||
Oppdagelse av programvare |
Nightdoor og MgBot samler inn informasjon om installert programvare og tjenester. |
||
Systemeier/brukeroppdagelse |
Nightdoor og MgBot samler brukerkontoinformasjon fra det kompromitterte systemet. |
||
Oppdagelse av systeminformasjon |
Nightdoor og MgBot samler et bredt spekter av informasjon om det kompromitterte systemet. |
||
Oppdagelse av systemnettverkstilkoblinger |
Nightdoor og MgBot kan samle inn data fra alle aktive TCP- og UDP-tilkoblinger på den kompromitterte maskinen. |
||
Samling |
Arkiver innsamlede data |
Nightdoor og MgBot lagrer innsamlede data i krypterte filer. |
|
Automatisert innsamling |
Nightdoor og MgBot samler automatisk inn system- og nettverksinformasjon om den kompromitterte maskinen. |
||
Data fra lokalt system |
Nightdoor og MgBot samler inn informasjon om operativsystemet og brukerdata. |
||
Dataoppsamling: Lokal dataoppsamling |
Nightdoor iscenesetter data for eksfiltrering i filer på disk. |
||
Command and Control |
Application Layer Protocol: Webprotokoller |
Nightdoor kommuniserer med C&C-serveren ved hjelp av HTTP. |
|
Ikke-applikasjonslagsprotokoll |
Nightdoor kommuniserer med C&C-serveren ved hjelp av UDP. MgBot kommuniserer med C&C-serveren ved hjelp av TCP. |
||
Ikke-standard port |
MgBot bruker TCP-port 21010. |
||
Protokolltunnelering |
Nightdoor kan fungere som en HTTP-proxy-server, som tunnelerer TCP-kommunikasjon. |
||
Nettjeneste |
Nightdoor bruker Google Disk for C&C-kommunikasjon. |
||
exfiltration |
Automatisert eksfiltrering |
Nightdoor og MgBot eksfiltrerer automatisk innsamlet data. |
|
Exfiltration Over Web Service: Exfiltration to Cloud Storage |
Nightdoor kan eksfiltrere filene sine til Google Disk. |
Vedlegg
De målrettede IP-adresseområdene er gitt i tabellen nedenfor.
CIDR |
ISP |
City |
Land |
124.171.71.0/24 |
iiNet |
Sydney |
Australia |
125.209.157.0/24 |
iiNet |
Sydney |
Australia |
1.145.30.0/24 |
Telstra |
Sydney |
Australia |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australia |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australia |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australia |
45.113.1.0/24 |
HK 92server-teknologi |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
CloudFlare |
Ahmedabad |
India |
49.36.224.0/24 |
Tillit Jio Infocomm |
Airoli |
India |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
India |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
India |
14.98.12.0/24 |
Tata Teleservices |
Bengaluru |
India |
172.70.237.0/24 |
CloudFlare |
Chandīgarh |
India |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
India |
103.214.118.0/24 |
Airnet Boardband |
Delhi |
India |
45.120.162.0/24 |
Ani Boardband |
Delhi |
India |
103.198.173.0/24 |
Anonet |
Delhi |
India |
103.248.94.0/24 |
Anonet |
Delhi |
India |
103.198.174.0/24 |
Anonet |
Delhi |
India |
43.247.41.0/24 |
Anonet |
Delhi |
India |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
India |
103.212.145.0/24 |
Excitel |
Delhi |
India |
45.248.28.0/24 |
Omkar Electronics |
Delhi |
India |
49.36.185.0/24 |
Tillit Jio Infocomm |
Delhi |
India |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
India |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
India |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
India |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamīrpur |
India |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
India |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
India |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
India |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
India |
162.158.235.0/24 |
CloudFlare |
Mumbai |
India |
162.158.48.0/24 |
CloudFlare |
Mumbai |
India |
162.158.191.0/24 |
CloudFlare |
Mumbai |
India |
162.158.227.0/24 |
CloudFlare |
Mumbai |
India |
172.69.87.0/24 |
CloudFlare |
Mumbai |
India |
172.70.219.0/24 |
CloudFlare |
Mumbai |
India |
172.71.198.0/24 |
CloudFlare |
Mumbai |
India |
172.68.39.0/24 |
CloudFlare |
New Delhi |
India |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Pālampur |
India |
103.195.253.0/24 |
Protoact Digital Network |
Ranchi |
India |
169.149.224.0/24 |
Tillit Jio Infocomm |
Shimla |
India |
169.149.226.0/24 |
Tillit Jio Infocomm |
Shimla |
India |
169.149.227.0/24 |
Tillit Jio Infocomm |
Shimla |
India |
169.149.229.0/24 |
Tillit Jio Infocomm |
Shimla |
India |
169.149.231.0/24 |
Tillit Jio Infocomm |
Shimla |
India |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
India |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
India |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
India |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
India |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
måte |
India |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
jeg tror |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
jeg tror |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
jeg tror |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
jeg tror |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
jeg tror |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Far Eastone Telecommunications |
Taoyuan by |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Taiwan mobil |
yilan |
Taiwan |
185.93.229.0/24 |
Sucuri Security |
Ashburn |
Forente Stater |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
Forente Stater |
216.66.111.0/24 |
Vermont telefon |
Wallingford |
Forente Stater |
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- : har
- :er
- :ikke
- :hvor
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- I stand
- Om oss
- adgang
- Ifølge
- Logg inn
- kontoer
- ervervet
- Handling
- handlinger
- aktiv
- handlinger
- legge til
- la til
- tillegg
- Ytterligere
- adresse
- adresser
- Legger
- en gang til
- mot
- Agent
- sikte
- algoritme
- justere
- Alle
- tillate
- tillater
- allerede
- også
- alltid
- blant
- an
- analyse
- analysert
- og
- årlig
- Årlig
- Anonym
- En annen
- besvare
- noen
- api
- APIer
- app
- app store
- eple
- Søknad
- søknader
- Påfør
- apps
- APT
- arkitektur
- Arkiv
- ER
- argument
- ARM
- Array
- AS
- asia
- tildelt
- assosiert
- At
- angripe
- Angrep
- forsøk
- attributter
- Australia
- forfattere
- automatisk
- tilgjengelig
- tilbake
- backdoor
- Bakdører
- agn
- basert
- grunnleggende
- BE
- vært
- før du
- være
- tro
- tilhører
- under
- BEST
- mellom
- både
- Branch
- bygget
- men
- knapp
- by
- som heter
- Kampanje
- CAN
- evner
- kapital
- kapitalisert
- bære
- Århundre
- sertifikat
- sertifikater
- kjede
- utfordre
- Endringer
- tegn
- sjekk
- sjekket
- Sjekker
- Kina
- Kinesisk
- valg
- City
- fjerne
- Cloud
- kode
- samle
- COM
- kombinasjon
- Kommunikasjon
- Selskapet
- sammenlignet
- fullføre
- komponent
- komponenter
- omfattende
- kompromiss
- kompromittert
- Beregn
- beregnet
- datamaskin
- tilstand
- gjennomføre
- selvtillit
- Konfigurasjon
- Tilkobling
- tilkobling
- Tilkoblinger
- kontakt
- inneholde
- inneholdt
- inneholder
- innhold
- fortsetter
- kontinuerlig
- Samtale
- korrigere
- Tilsvarende
- kunne
- land
- Crash
- skape
- opprettet
- skaper
- kryptografi
- I dag
- skikk
- dato
- Data struktur
- Dato
- datoer
- dag
- Dager
- Misligholde
- mislighold
- forsvar
- leverer
- levering
- demonstrert
- avhengig
- avbildet
- utplassere
- utplassert
- utplasserings
- Distribueres
- beskrevet
- beskrivelse
- destinasjonen
- detalj
- oppdaget
- Utvikler
- Utvikling
- Utviklingsselskap
- enhet
- forskjellig
- Fordøye
- digitalt
- kataloger
- katalog
- oppdaget
- Funnet
- distribusjon
- Divided
- do
- dokument
- gjør
- ikke
- ned
- nedlasting
- Nedlasting
- nedlastinger
- stasjonen
- sjåfør
- stasjoner
- Drop
- droppet
- Drops
- hver enkelt
- tidligste
- lette
- øst
- Kunnskap
- åtte
- enten
- innebygd
- kryptert
- slutt
- Ingeniørarbeid
- forbedre
- fristende
- Hele
- enheter
- Tilsvarende
- feil
- ESET Research
- etablere
- etc
- hendelser
- Hver
- nøyaktig
- eksempel
- utelukkende
- henrette
- henrettet
- Utfører
- gjennomføring
- eksfiltrering
- forventet
- eksportere
- utvidet
- forlengelse
- mislykkes
- forfalskning
- Februar
- FESTIVAL
- felt
- Felt
- Figur
- tenkte
- filet
- Filer
- slutt~~POS=TRUNC
- Finn
- brannmur
- Først
- Fix
- flyten
- fulgt
- etter
- følger
- Til
- format
- formel
- funnet
- fire
- Rammeverk
- Gratis
- fra
- fullt
- funksjon
- funksjonalitet
- funksjonalitet
- funksjoner
- videre
- samle
- generere
- generert
- Georgia
- få
- blir
- få
- Går
- Regjeringen
- Offentlige enheter
- Grafisk
- Gruppe
- Gruppens
- Håndtering
- maskinvare
- hash
- hashet
- hashing
- Ha
- Held
- Høy
- høy profil
- høyere
- Hole
- Holes
- Hong
- Hong Kong
- vert
- vert
- Hosting
- Men
- HTML
- http
- HTTPS
- ID
- identifisert
- identifikator
- ids
- if
- illustrerer
- bilde
- viktig
- in
- I andre
- inkludert
- Inkludert
- indekser
- india
- indikatorer
- individer
- påvirke
- informasjon
- Infrastruktur
- injisere
- inngang
- legge inn
- forespørsler
- innsiden
- installere
- installerte
- installere
- i stedet
- Institute
- integrert
- Intel
- Intelligens
- tiltenkt
- interesse
- internt
- internasjonalt
- internasjonalt
- inn
- IP
- IP-adresse
- IP-adresser
- Utstedt
- IT
- DET ER
- Januar
- Japan
- Javascript
- jio
- jQuery
- JSON
- bare
- holdt
- nøkkel
- nøkler
- Vet
- kunnskap
- kjent
- Kong
- Språk
- Late
- seinere
- siste
- lansere
- lansert
- lansere
- lag
- minst
- legitim
- utnytter
- Bibliotek
- i likhet med
- Liste
- oppført
- lytter
- lister
- Bor
- laste
- loader
- lasting
- lokal
- ligger
- plassering
- Se
- mac
- maskin
- MacOS
- magi
- Hoved
- fastland
- større
- Flertall
- Malaysia
- skadelig
- malware
- administrer
- mange
- Masquerade
- Match
- fyrstikker
- matchende
- Kan..
- MD5
- me
- betyr
- meningsfylt
- ment
- mekanisme
- Minne
- melding
- meldinger
- metadata
- metode
- kunne
- mangler
- modifisert
- modifisere
- modulære
- Moduler
- mer
- mest
- flyttet
- flere
- må
- Myanmar
- navn
- oppkalt
- nødvendig
- nødvendig
- nettverk
- nettverk
- Ny
- nyheter
- neste
- Nigeria
- Nei.
- note
- varsling
- Antall
- objekt
- få
- innhentet
- å skaffe seg
- innhenter
- anledninger
- of
- Tilbud
- offisiell
- Offesiell nettside
- Gammel
- eldre
- on
- gang
- ONE
- bare
- videre til
- drift
- operativsystem
- drift
- operatører
- or
- organisasjon
- organisasjoner
- OS
- Annen
- ellers
- vår
- ut
- produksjon
- enn
- egen
- pakke
- pakker
- side
- parametere
- Past
- banen
- baner
- utholdenhet
- Filippinene
- brikke
- stykker
- Sted
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- vær så snill
- poeng
- poserte
- potensiell
- presentere
- presentert
- forebygge
- Forhåndsvisning
- forrige
- tidligere
- privat
- Problem
- fortsetter
- prosess
- Prosesser
- produserer
- Produkt
- Profil
- programmert
- fremmer
- protokollen
- forutsatt
- proxy
- offentlig
- offentlig
- publisert
- formål
- kvalitet
- karantene
- spørring
- område
- serier
- nådd
- motta
- registret
- i slekt
- gjenværende
- fjerning
- fjernet
- gi
- gjengitt
- gjengir
- svar
- rapportert
- Rapporter
- representerer
- anmode
- Krever
- forskning
- forskere
- ansvarlig
- reversere
- regler
- Kjør
- rennende
- Rust
- salt
- samme
- sample
- planlagt
- script
- Sekund
- sekundær
- Seksjon
- sikre
- sikkerhet
- se
- sett
- utvalg
- sender
- September
- servert
- server
- Servere
- tjeneste
- Tjenester
- flere
- delt
- deling
- Shell
- bør
- vist
- Viser
- side
- signatur
- signert
- signering
- lignende
- siden
- Størrelse
- So
- Software
- programvareutvikling
- løsning
- sørøst
- Rom
- spesifikk
- spesielt
- spesifisert
- Scene
- stadier
- Stjerner
- Uttalelse
- Stater
- oppbevare
- lagret
- Strategisk
- String
- struktur
- strukturert
- suksess
- slik
- levere
- forsyningskjeden
- Støttes
- mistenkelig
- Bytte om
- system
- bord
- Taiwan
- tatt
- tar
- Target
- målrettet
- rettet mot
- mål
- Oppgave
- oppgaver
- lag
- tech
- Teknologi
- terminal
- territorier
- enn
- Det
- De
- informasjonen
- Filippinene
- deres
- Dem
- seg
- deretter
- Der.
- derfor
- de
- denne
- De
- trussel
- tre
- Gjennom
- hele
- tid
- tidslinje
- tidsstempel
- til
- sammen
- token
- verktøy
- verktøykasse
- Totalt
- Oversettelse
- sant
- Stol
- to
- typen
- typisk
- ute av stand
- etter
- forstå
- unik
- forent
- Forente Stater
- universitet
- ukjent
- kommende
- oppdateringer
- URL
- us
- bruke
- brukt
- Bruker
- Brukere
- bruker
- ved hjelp av
- vanligvis
- verdi
- Verdier
- variant
- versjon
- versjoner
- veldig
- av
- Offer
- ofre
- Vietnam
- Besøk
- besøkte
- Visitor
- besøkende
- Besøk
- var
- we
- web
- Nettsted
- nettsteder
- VI VIL
- var
- Hva
- når
- om
- hvilken
- HVEM
- bred
- Bred rekkevidde
- bredde
- Wikipedia
- vil
- vinduer
- med
- innenfor
- ord
- skrevet
- ennå
- zephyrnet
- Zip