Badacze firmy ESET odkryli kampanię cyberszpiegowską, która co najmniej od września 2023 r. nęka Tybetańczyków poprzez ukierunkowaną lukę wodopojową (znaną również jako strategiczny kompromis w sieci) oraz kompromis w zakresie łańcucha dostaw mający na celu dostarczanie trojanizowanych instalatorów oprogramowania do tłumaczenia języka tybetańskiego. Celem atakujących było wdrożenie złośliwych programów do pobierania dla systemów Windows i macOS, aby narazić odwiedzających witrynę internetową na zagrożenia za pomocą MgBota i backdoora, który – zgodnie z naszą najlepszą wiedzą – nie został jeszcze publicznie udokumentowany; nazwaliśmy go Nocnymi Drzwiami.
Kluczowe punkty w tym wpisie na blogu:
- Wykryliśmy kampanię cyberszpiegowską wykorzystującą Festiwal Monlam – zgromadzenie religijne – skierowaną przeciwko Tybetańczykom w kilku krajach i terytoriach.
- Napastnicy włamali się na stronę internetową organizatora corocznego festiwalu odbywającego się w Indiach i dodali szkodliwy kod, aby stworzyć atak typu watering hole, którego celem byli użytkownicy łączący się z określonych sieci.
- Odkryliśmy również, że łańcuch dostaw dewelopera oprogramowania został naruszony, a użytkownikom udostępniono zaatakowane przez trojany instalatory dla systemów Windows i macOS.
- Na potrzeby tej operacji atakujący wykorzystali szereg szkodliwych programów pobierających i w pełni funkcjonalnych backdoorów, w tym publicznie nieudokumentowanego backdoora dla systemu Windows, który nazwaliśmy Nightdoor.
- Z dużym przekonaniem przypisujemy tę kampanię powiązanej z Chinami grupie Evasive Panda APT.
Unikalny profil Pandy
Wymijająca Panda (znany również jako BRĄZOWA WYŻYNA i sztylet) to chińskojęzyczna grupa APT, aktywny od co najmniej 2012 roku. Zespół badawczy ESET zaobserwował tę grupę prowadzącą cyberszpiegostwo przeciwko osobom w Chinach kontynentalnych, Hongkongu, Makau i Nigerii. Celem ataków były podmioty rządowe w Azji Południowo-Wschodniej i Wschodniej, w szczególności w Chinach, Makau, Birmie, Filipinach, Tajwanie i Wietnamie. Celem ataku były także inne organizacje w Chinach i Hongkongu. Według publicznych doniesień grupa obierała za cel także nieznane podmioty w Hongkongu, Indiach i Malezji.
Grupa wykorzystuje własną, niestandardową platformę szkodliwego oprogramowania o architekturze modułowej, która umożliwia jej backdoorowi, znanemu jako MgBot, otrzymywanie modułów umożliwiających szpiegowanie ofiar i zwiększanie jego możliwości. Od 2020 r. zaobserwowaliśmy również, że Evasive Panda ma możliwości dostarczania swoich backdoorów za pomocą ataków typu adversary-in-the-middle przejmowanie aktualizacji legalnego oprogramowania.
Przegląd kampanii
W styczniu 2024 r. wykryliśmy operację cyberszpiegowską, podczas której napastnicy włamali się do co najmniej trzech stron internetowych w celu przeprowadzenia ataków typu watering hole, a także włamali się do łańcucha dostaw tybetańskiej firmy produkującej oprogramowanie.
Zhakowana witryna internetowa wykorzystywana jako wodopoj należy do Kagyu International Monlam Trust, organizacji z siedzibą w Indiach, która promuje buddyzm tybetański na arenie międzynarodowej. Napastnicy umieścili na stronie skrypt, który weryfikuje adres IP potencjalnej ofiary i jeśli mieści się w jednym z docelowych zakresów adresów, wyświetla fałszywą stronę błędu, aby nakłonić użytkownika do pobrania „poprawki” o nazwie świadectwo (z rozszerzeniem .exe, jeśli odwiedzający korzysta z systemu Windows lub .pkg jeśli macOS). Ten plik to złośliwy program pobierający, który wdraża kolejny etap łańcucha kompromisów.
Na podstawie zakresów adresów IP, które sprawdza kod, odkryliśmy, że celem atakujących byli użytkownicy w Indiach, Tajwanie, Hongkongu, Australii i Stanach Zjednoczonych; celem ataku mogło być wykorzystanie międzynarodowego zainteresowania festiwalem Kagyu Mynlam (ryc. 1), który odbywa się co roku w styczniu w mieście Bodhgaya w Indiach.
Co ciekawe, wśród zidentyfikowanych podmiotów w docelowych zakresach adresów IP znajduje się sieć Georgia Institute of Technology (znanego również jako Georgia Tech) w Stanach Zjednoczonych. W przeszłości, wspomniano o uniwersytecie w związku z wpływem Komunistycznej Partii Chin na instytucje edukacyjne w USA.
Około września 2023 roku napastnicy włamali się na stronę internetową indyjskiej firmy zajmującej się tworzeniem oprogramowania, która produkuje oprogramowanie do tłumaczenia języka tybetańskiego. Osoby atakujące umieściły tam kilka trojanów, które wdrażają szkodliwy downloader dla systemu Windows lub macOS.
Oprócz tego napastnicy wykorzystali tę samą witrynę internetową oraz tybetański serwis informacyjny o nazwie Tibetpost – tybetpost[.]net – do hostowania ładunków uzyskanych przez złośliwe pliki do pobrania, w tym dwóch w pełni funkcjonalnych backdoorów dla systemu Windows i nieznanej liczby ładunków dla systemu macOS.
Z dużą pewnością przypisujemy tę kampanię grupie Evasive Panda APT na podstawie użytego szkodliwego oprogramowania: MgBot i Nightdoor. W przeszłości byliśmy świadkami jednoczesnego wdrożenia obu backdoorów w niepowiązanym ataku na organizację religijną na Tajwanie, podczas którego korzystały one również z tego samego serwera kontroli. Obydwa punkty dotyczą również kampanii opisanej w tym poście.
Wodopoj
W styczniu 14th, 2024, wykryliśmy podejrzany skrypt pod adresem https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Do legalnego pliku dołączono złośliwy, zaciemniony kod jQuery Skrypt biblioteki JavaScript, jak widać na rysunku 2.
Skrypt wysyła żądanie HTTP na adres hosta lokalnego http://localhost:63403/?callback=handleCallback aby sprawdzić, czy pośredni moduł pobierania atakującego działa już na komputerze potencjalnej ofiary (patrz rysunek 3). Na wcześniej zainfekowanej maszynie implant odpowiada handleCallback({„sukces”:true }) (patrz rysunek 4) i skrypt nie podejmuje żadnych dalszych działań.
Jeżeli maszyna nie przekaże oczekiwanych danych, szkodliwy kod kontynuuje pracę, uzyskując skrót MD5 z serwera pomocniczego pod adresem https://update.devicebug[.]com/getVersion.php. Następnie skrót jest sprawdzany z listą 74 wartości skrótu, jak pokazano na rysunku 6.
Jeśli zostanie znalezione dopasowanie, skrypt wygeneruje stronę HTML z fałszywym powiadomieniem o awarii (rysunek 7), którego celem jest nakłonienie odwiedzającego użytkownika do pobrania rozwiązania problemu. Strona naśladuje typowe „Och, Snap!” ostrzeżenia od Google Chrome.
Przycisk „Natychmiastowa naprawa” uruchamia skrypt, który pobiera ładunek w oparciu o system operacyjny użytkownika (rysunek 8).
Łamanie hasha
Warunkiem dostarczenia ładunku jest uzyskanie prawidłowego skrótu z serwera pod adresem update.devicebug[.]com, więc 74 skróty są kluczem do mechanizmu selekcji ofiar atakującego. Ponieważ jednak skrót jest obliczany po stronie serwera, wyzwaniem było dla nas wiedzieć, jakie dane są używane do jego obliczania.
Eksperymentowaliśmy z różnymi adresami IP i konfiguracjami systemu, po czym zawęziliśmy dane wejściowe algorytmu MD5 do wzoru składającego się z pierwszych trzech oktetów adresu IP użytkownika. Innymi słowy, na przykład poprzez wprowadzenie adresów IP mających ten sam prefiks sieci 192.168.0.1 i 192.168.0.50, otrzyma ten sam skrót MD5 z serwera C&C.
Jednakże nieznana kombinacja znaków lub a sól, jest dołączany do ciągu pierwszych trzech oktetów IP przed mieszaniem, aby zapobiec trywialnemu wymuszeniu skrótów. Dlatego musieliśmy zastosować metodę brute-force, aby zabezpieczyć formułę wejściową, a dopiero potem wygenerować skróty przy użyciu całego zakresu adresów IPv4, aby znaleźć pasujące 74 skróty.
Czasami gwiazdy się pokrywają i dochodzimy do wniosku, że to sól 1qaz0okm!@#. Ze wszystkimi elementami formuły wejściowej MD5 (na przykład 192.168.1.1qaz0okm!@#), z łatwością wymusiliśmy 74 skróty metodą brute-force i wygenerowaliśmy listę celów. Zobacz dodatek dla pełnej listy.
Jak pokazano na rysunku 9, większość docelowych zakresów adresów IP znajduje się w Indiach, a następnie na Tajwanie, Australii, Stanach Zjednoczonych i Hongkongu. Pamiętaj, że większość diaspora tybetańska mieszka w Indiach.
Ładunek systemu Windows
W systemie Windows ofiarom ataku udostępniany jest złośliwy plik wykonywalny znajdujący się pod adresem https://update.devicebug[.]com/fixTools/certificate.exe. Rysunek 10 przedstawia łańcuch wykonania, który następuje, gdy użytkownik pobiera i uruchamia złośliwą poprawkę.
certyfikat.exe to dropper, który wdraża łańcuch ładowania bocznego w celu załadowania pośredniego modułu pobierania, memmgrset.dll (wewnętrznie nazwany http_dy.dll). Ta biblioteka DLL pobiera plik JSON z serwera C&C pod adresem https://update.devicebug[.]com/assets_files/config.json, który zawiera informacje potrzebne do pobrania kolejnego etapu (patrz rysunek 11).
Po pobraniu i uruchomieniu kolejnego etapu uruchamiany jest kolejny łańcuch ładowania bocznego, który dostarcza Nightdoor jako ostateczny ładunek. Poniżej znajduje się analiza Nightdoor Nocne drzwi
ładunek macOS
Szkodliwe oprogramowanie dla systemu macOS to ten sam program pobierający, który szczegółowo opisujemy Kompromis w łańcuchu dostaw. Jednak ten usuwa dodatkowy plik wykonywalny Mach-O, który nasłuchuje na porcie TCP 63403. Jego jedynym celem jest udzielenie odpowiedzi handleCallback({„sukces”:true }) na złośliwe żądanie kodu JavaScript, więc jeśli użytkownik ponownie odwiedzi witrynę Watering Hol, kod JavaScript nie będzie próbował ponownie narazić użytkownika na szwank.
Ten downloader pobiera plik JSON z serwera i pobiera następny etap, podobnie jak poprzednio opisana wersja dla systemu Windows.
Kompromis w łańcuchu dostaw
W styczniu 18thodkryliśmy, że oficjalna witryna internetowa (rysunek 12) oprogramowania do tłumaczenia języka tybetańskiego dla wielu platform zawierała pakiety ZIP zawierające zaatakowane przez trojana instalatory legalnego oprogramowania, które instalowały złośliwe moduły pobierania dla systemów Windows i macOS.
Znaleźliśmy jedną ofiarę z Japonii, która pobrała jeden z pakietów dla systemu Windows. Tabela 1 zawiera listę adresów URL i upuszczonych implantów.
Tabela 1. Adresy URL złośliwych pakietów w zaatakowanej witrynie internetowej oraz typ ładunku w zaatakowanej aplikacji
Adres URL złośliwego pakietu |
Typ ładunku |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Narzędzie do pobierania Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Narzędzie do pobierania Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Narzędzie do pobierania Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
Narzędzie do pobierania systemu macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
Narzędzie do pobierania systemu macOS |
Pakiety Windowsa
Rysunek 13 ilustruje łańcuch ładowania trojanizowanej aplikacji z pakietu monlam-bodyig3.zip.
Trojanizowana aplikacja zawiera złośliwy dropper o nazwie Autorun.exe który wdraża dwa komponenty:
- plik wykonywalny o nazwie MonlamUpdate.exe, który jest składnikiem oprogramowania emulatora o nazwie C64 Na zawsze i jest wykorzystywany do bocznego ładowania bibliotek DLL oraz
- RPHost.dll, ładowana z boku biblioteka DLL, która jest złośliwym narzędziem pobierającym do następnego etapu.
Kiedy biblioteka DLL modułu pobierania zostanie załadowana do pamięci, tworzy zaplanowane zadanie o nazwie Demovale ma być wykonywany za każdym razem, gdy użytkownik się loguje. Ponieważ jednak zadanie nie określa pliku do wykonania, nie udaje mu się ustalić trwałości.
Następnie ta biblioteka DLL pobiera identyfikator UUID i wersję systemu operacyjnego, aby utworzyć niestandardowego klienta użytkownika i wysyła żądanie GET do https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat aby uzyskać plik JSON zawierający adres URL umożliwiający pobranie i wykonanie ładunku, który zostanie upuszczony do pliku % Temp% informator. Nie udało nam się uzyskać próbki danych obiektu JSON z zaatakowanej witryny internetowej. dlatego nie wiemy skąd dokładnie default_ico.exe zostanie pobrany, jak pokazano na rysunku 13.
Dzięki telemetrii ESET zauważyliśmy, że nielegalne MonlamUpdate.exe proces pobierany i wykonywany przy różnych okazjach co najmniej cztery złośliwe pliki %TEMP%default_ico.exe. Tabela 2 zawiera listę tych plików i ich przeznaczenie.
Tabela 2. Hash pliku default_ico.exe narzędzie do pobierania/droppera, adres URL C&C, z którym się skontaktowano, oraz opis narzędzia pobierającego
SHA-1 |
Adres URL, z którym się skontaktowano |
Cel |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Pobiera nieznany ładunek z serwera. |
F0F8F60429E3316C463F |
Pobiera nieznany ładunek z serwera. Ta próbka została napisana w języku Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Pobiera losowo nazwany dropper Nightdoor. |
BFA2136336D845184436 |
N / A |
Narzędzie open source Informacja o systemie, w którym osoby atakujące zintegrowały swój złośliwy kod i osadziły zaszyfrowany obiekt typu blob, który po odszyfrowaniu i wykonaniu instaluje MgBot. |
Wreszcie, default_ico.exe downloader lub dropper pobierze ładunek z serwera lub upuści go, a następnie uruchomi go na komputerze ofiary, instalując albo Nightdoor (zobacz Nocne drzwi sekcja) lub MgBot (zobacz nasze poprzednia analiza).
Dwa pozostałe zaatakowane przez trojana pakiety są bardzo podobne i wykorzystują tę samą złośliwą bibliotekę DLL modułu pobierania, ładowaną z boku przez legalny plik wykonywalny.
pakiety macOS
Archiwum ZIP pobrane z oficjalnego sklepu z aplikacjami zawiera zmodyfikowany pakiet instalacyjny (.pkg plik), do którego dodano plik wykonywalny Mach-O i skrypt poinstalacyjny. Skrypt poinstalacyjny kopiuje plik Mach-O do $HOME/Biblioteka/Kontenery/CalendarFocusEXT/ i kontynuuje instalację Agenta uruchamiania w $HOME/Library/LaunchAgents/com.Terminal.us.plist za wytrwałość. Rysunek 14 przedstawia skrypt odpowiedzialny za instalację i uruchomienie złośliwego agenta Launch Agent.
Złośliwy Mach-O, Monlam-bodyig_Keyboard_2017 na rysunku 13 jest podpisany, ale nie poświadczony notarialnie, przy użyciu certyfikatu dewelopera (nie pliku Typ Certyfikatu zwykle używane do dystrybucji) z nazwą i identyfikatorem zespołu tak, ni yang (2289F6V4BN). Znacznik czasu w podpisie wskazuje, że został podpisany 7 styczniath, 2024. Data ta jest również używana w zmodyfikowanym znaczniku czasu szkodliwych plików w metadanych archiwum ZIP. Zaświadczenie wydano zaledwie trzy dni wcześniej. Pełny certyfikat dostępny jest w pliku IoC Sekcja. Nasz zespół skontaktował się z firmą Apple 25 styczniath i tego samego dnia certyfikat został unieważniony.
To szkodliwe oprogramowanie pierwszego etapu pobiera plik JSON zawierający adres URL następnego etapu. Architektura (ARM lub Intel), wersja macOS i sprzętowy UUID (identyfikator unikalny dla każdego Maca) są raportowane w nagłówku żądania HTTP User-Agent. Do pobrania tej konfiguracji używany jest ten sam adres URL, co wersja dla systemu Windows: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Jednak wersja macOS będzie przeglądać dane pod kluczem mac obiektu JSON zamiast wygrać klawisz.
Obiekt pod kluczem mac powinien zawierać:
- url: Adres URL następnego etapu.
- md5: Suma MD5 ładunku.
- wernow: Lista sprzętowych identyfikatorów UUID. Jeśli jest obecny, ładunek zostanie zainstalowany tylko na komputerach Mac z jednym z wymienionych identyfikatorów UUID sprzętu. To sprawdzenie jest pomijane, jeśli lista jest pusta lub jej brakuje.
- wersja: Wartość liczbowa, która musi być wyższa niż poprzednio pobrana „wersja” drugiego etapu. W przeciwnym razie ładunek nie zostanie pobrany. Wartość aktualnie działającej wersji jest przechowywana w aplikacji ustawienia domyślne użytkownika.
Gdy złośliwe oprogramowanie pobierze plik z określonego adresu URL za pomocą curl, plik jest szyfrowany przy użyciu algorytmu MD5 i porównywany z skrótem szesnastkowym pod md5 klucz. Jeśli pasuje, jego rozszerzone atrybuty są usuwane (aby wyczyścić atrybut com.apple.quarantine), plik jest przenoszony do $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBroweri jest uruchamiany za pomocą execvp z przebiegiem argumentu.
W przeciwieństwie do wersji dla systemu Windows, nie znaleźliśmy żadnego z późniejszych etapów wariantu macOS. Jedna konfiguracja JSON zawierała skrót MD5 (3C5739C25A9B85E82E0969EE94062F40), ale pole adresu URL było puste.
Nocne drzwi
Backdoor, który nazwaliśmy Nightdoor (a według ścieżek PDB autorzy złośliwego oprogramowania nadadzą mu nazwę NetMM) jest późnym dodatkiem do zestawu narzędzi Evasive Panda. Nasza najwcześniejsza wiedza o Nightdoor sięga 2020 roku, kiedy Evasive Panda umieściła go na maszynie ważnego celu w Wietnamie. Backdoor komunikuje się ze swoim serwerem C&C poprzez UDP lub Google Drive API. Implant Nightdoor z tej kampanii wykorzystywał to drugie. Szyfruje interfejs API Google Uwierzytelnianie OA 2.0 token w sekcji danych i wykorzystuje token, aby uzyskać dostęp do Dysku Google osoby atakującej. Poprosiliśmy o usunięcie konta Google powiązanego z tym tokenem.
Najpierw Nightdoor tworzy folder na Dysku Google zawierający adres MAC ofiary, który działa również jako identyfikator ofiary. Folder ten będzie zawierał wszystkie wiadomości przesyłane pomiędzy implantem a serwerem C&C. Każda wiadomość przesyłana między Nightdoor a serwerem C&C ma strukturę pliku i jest podzielona na nazwę pliku i dane pliku, jak pokazano na rysunku 15.
Każda nazwa pliku zawiera osiem głównych atrybutów, co pokazano w poniższym przykładzie.
Przykład:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: magiczna wartość.
- 0C64C2BAEF534C8E9058797BCD783DE5: nagłówek pbuf struktura danych.
- 168: rozmiar obiektu wiadomości lub rozmiar pliku w bajtach.
- 0: nazwa pliku, która zawsze ma wartość domyślną 0 (null).
- 1: typ polecenia, zakodowany na stałe na 1 lub 0 w zależności od próbki.
- 4116: identyfikator polecenia.
- 0: jakość usług (QoS).
- 00-00-00-00-00-00: miał być adresem MAC miejsca docelowego, ale zawsze domyślnie jest to adres MAC 00-00-00-00-00-00.
Dane w każdym pliku reprezentują polecenie kontrolera dla backdoora i parametry niezbędne do jego wykonania. Rysunek 16 przedstawia przykład wiadomości serwera C&C zapisanej w postaci pliku.
Dzięki inżynierii wstecznej Nightdoor byliśmy w stanie zrozumieć znaczenie ważnych pól prezentowanych w pliku, jak pokazano na rysunku 17.
Odkryliśmy, że do wersji Nightdoor użytej w tej kampanii dodano wiele znaczących zmian, jedną z nich jest organizacja identyfikatorów poleceń. W poprzednich wersjach każdy identyfikator polecenia był przypisany do funkcji obsługi jeden po drugim, jak pokazano na rysunku 18. Opcje numeracji, takie jak od 0x2001 do 0x2006, od 0x2201 do 0x2203, od 0x4001 do 0x4003I od 0x7001 do 0x7005, zasugerował podział poleceń na grupy o podobnych funkcjonalnościach.
Jednakże w tej wersji Nightdoor używa tabeli rozgałęzień do organizowania wszystkich identyfikatorów poleceń wraz z odpowiadającymi im procedurami obsługi. Identyfikatory poleceń są ciągłe i działają jak indeksy odpowiednich procedur obsługi w tabeli rozgałęzień, jak pokazano na rysunku 19.
Tabela 3 przedstawia podgląd poleceń serwera kontroli i ich funkcjonalności. Ta tabela zawiera nowe identyfikatory poleceń, a także równoważne identyfikatory ze starszych wersji.
Tabela 3. Komendy obsługiwane przez warianty Nightdoor użyte w tej kampanii.
Identyfikator polecenia |
Identyfikator poprzedniego polecenia |
Opis |
|
0x1001 |
0x2001 |
Zbierz podstawowe informacje o profilu systemu, takie jak: – Wersja systemu operacyjnego – Karty sieciowe IPv4, adresy MAC i adresy IP – nazwa procesora - Nazwa komputera - Nazwa użytkownika – Nazwy sterowników urządzeń – Wszystkie nazwy użytkowników z C: Użytkownicy* - Czas lokalny – Publiczny adres IP przy użyciu ifconfig.me or ipinfo.io Serwis internetowy |
|
0x1007 |
0x2002 |
Zbieraj informacje o napędach dyskowych, takie jak: – Nazwa napędu – Wolna przestrzeń i całkowita przestrzeń – Typ systemu plików: NTFS, FAT32 itp. |
|
0x1004 |
0x2003 |
Zbierz informacje o wszystkich zainstalowanych aplikacjach w kluczach rejestru systemu Windows: - HKLMS OPROGRAMOWANIE - WOW6432NodeMicrosoftWindows - Odinstaluj MicrosoftWindowsCurrentVersion (x86) |
|
0x1003 |
0x2004 |
Zbieraj informacje o uruchomionych procesach, takie jak: - Nazwa procesu - Liczba wątków - Nazwa użytkownika – Lokalizacja pliku na dysku – Opis pliku na dysku |
|
0x1006 |
0x4001 |
Utwórz odwrotną powłokę i zarządzaj danymi wejściowymi i wyjściowymi za pośrednictwem anonimowych potoków. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Samodzielne odinstalowanie. |
|
0x100C |
0x6001 |
Przenieś plik. Ścieżkę zapewnia serwer C&C. |
|
0x100B |
0x6002 |
Usunąć plik. Ścieżkę zapewnia serwer C&C. |
|
0x1016 |
0x6101 |
Pobierz atrybuty pliku. Ścieżkę zapewnia serwer C&C. |
Wnioski
Przeanalizowaliśmy kampanię prowadzoną przez sprzymierzoną z Chinami grupę APT Evasive Panda, której celem byli Tybetańczycy w kilku krajach i terytoriach. Uważamy, że napastnicy wykorzystali wówczas zbliżający się festiwal Monlam w styczniu i lutym 2024 r., aby narazić na szwank użytkowników odwiedzających witrynę festiwalu, która zamieniła się w wodopój. Ponadto napastnicy naruszyli łańcuch dostaw twórcy oprogramowania służącego do tłumaczenia języka tybetańskiego.
Napastnicy wykorzystali kilka programów pobierających, dropperów i backdoorów, w tym MgBot – używany wyłącznie przez Evasive Panda – i Nightdoor: najnowszy ważny dodatek do zestawu narzędzi grupy, który został wykorzystany do ataku na kilka sieci w Azji Wschodniej.
Obszerną listę wskaźników kompromisu (IoC) i próbek można znaleźć w naszym Repozytorium GitHub.
W przypadku jakichkolwiek pytań dotyczących naszych badań opublikowanych na WeLiveSecurity, prosimy o kontakt pod adresem groźba intel@eset.com.
ESET Research oferuje prywatne raporty analityczne APT i strumienie danych. W przypadku jakichkolwiek pytań dotyczących tej usługi odwiedź stronę Analiza zagrożeń firmy ESET strona.
IoC
Akta
SHA-1 |
Nazwa pliku |
Wykrywanie |
Opis |
0A88C3B4709287F70CA2 |
Autorun.exe |
Win32/Agent.AGFU |
Komponent droppera dodany do oficjalnego pakietu instalacyjnego. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Średnio zaawansowany program do pobierania. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Pośredni downloader zaprogramowany w Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Program do pobierania Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Zakraplacz do drzwi nocnych. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Ładowarka pośrednia. |
5273B45C5EABE64EDBD0 |
certyfikat.pkg |
OSX/Agent.DJ |
Komponent droppera MacOS. |
5E5274C7D931C1165AA5 |
certyfikat.exe |
Win32/Agent.AGES |
Komponent droppera z zaatakowanej witryny internetowej. |
59AA9BE378371183ED41 |
domyślny_ico_1.exe |
Win32/Agent.AGFO |
Element zakraplacza Nightdoor. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Pośredni moduł ładujący dla komponentu downloadera Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Ładowarka pośrednia do Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trojanizowany instalator. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Do zaatakowanej witryny dodano złośliwy kod JavaScript. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trojanizowany instalator. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Trojanizowany pakiet instalacyjny. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Trojanizowany pakiet instalacyjny. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
Trojanizowany pakiet instalacyjny systemu MacOS. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
Trojanizowany pakiet instalacyjny systemu MacOS. |
C0575AF04850EB1911B0 |
Bezpieczeństwo~.x64 |
OSX/Agent.DJ |
Narzędzie do pobierania systemu MacOS. |
7C3FD8EE5D660BBF43E4 |
Bezpieczeństwo~.arm64 |
OSX/Agent.DJ |
Narzędzie do pobierania systemu MacOS. |
FA78E89AB95A0B49BC06 |
Bezpieczeństwo.grube |
OSX/Agent.DJ |
Komponent pobierania systemu MacOS. |
5748E11C87AEAB3C19D1 |
Plik eksportowy Monlam_Grand_Dictionary |
OSX/Agent.DJ |
Złośliwy komponent z pakietu instalatora, który został zaatakowany trojanem dla systemu macOS. |
certyfikaty
Numer seryjny |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Odcisk kciuka |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Temat CN |
Rozwój Apple: ya ni yang (2289F6V4BN) |
Temat O |
tak, ni yang |
Temat L |
N / A |
Temat S |
N / A |
Temat C |
US |
Ważne od |
2024-01-04 05:26:45 |
Ważne do |
2025-01-03 05:26:44 |
Numer seryjny |
6014B56E4FFF35DC4C948452B77C9AA9 |
Odcisk kciuka |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Temat CN |
KP MOBIL |
Temat O |
KP MOBIL |
Temat L |
N / A |
Temat S |
N / A |
Temat C |
KR |
Ważne od |
2021-10-25 00:00:00 |
Ważne do |
2022-10-25 23:59:59 |
IP |
Domena |
Dostawca hostingu |
Pierwszy widziany |
Szczegóły |
N / A |
tybetpost[.]net |
N / A |
2023-11-29 |
Zaatakowana witryna internetowa. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Zaatakowana witryna internetowa. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amola Hingade’a |
2024-02-01 |
Serwer pobierania komponentu droppera Nightdoor. |
Techniki SKOŚNE ATT&CK
Ten stół został zbudowany przy użyciu wersja 14 frameworku MITER ATT&CK.
Taktyka |
ID |
Imię |
Opis |
Rozwój zasobów |
Uzyskaj infrastrukturę: serwer |
Evasive Panda nabyła serwery dla infrastruktury C&C Nightdoor, MgBot i komponentu downloadera macOS. |
|
Zakup infrastruktury: usługi sieciowe |
Evasive Panda korzystała z usługi internetowej Dysku Google w infrastrukturze kontroli i kontroli Nightdoor. |
||
Infrastruktura kompromisowa: serwer |
Wymykający się operatorzy Pandy zhakowali kilka serwerów, aby wykorzystać je jako wodopoje, przeprowadzić atak na łańcuch dostaw oraz hostować ładunki i wykorzystywać je jako serwery kontroli i kontroli. |
||
Załóż konta: konta w chmurze |
Evasive Panda utworzyła konto na Dysku Google i wykorzystała je jako infrastrukturę kontroli i kontroli. |
||
Rozwijanie możliwości: złośliwe oprogramowanie |
Evasive Panda wdrożyła niestandardowe implanty, takie jak MgBot, Nightdoor i komponent do pobierania systemu macOS. |
||
T1588.003 |
Uzyskaj możliwości: Certyfikaty podpisywania kodu |
Evasive Panda uzyskała certyfikaty do podpisywania kodów. |
|
Możliwości sceniczne: Drive-by Target |
Operatorzy Evasive Panda zmodyfikowali popularną witrynę internetową, dodając fragment kodu JavaScript, który generuje fałszywe powiadomienie o konieczności pobrania złośliwego oprogramowania. |
||
Wstępny dostęp |
Dyskusja na kompromis |
Odwiedzający zainfekowane witryny internetowe mogą otrzymać fałszywy komunikat o błędzie zachęcający ich do pobrania złośliwego oprogramowania. |
|
Kompromis w łańcuchu dostaw: Kompromis w łańcuchu dostaw oprogramowania |
Evasive Panda trojanizowała oficjalne pakiety instalacyjne od producenta oprogramowania. |
||
Egzekucja |
Natywny interfejs API |
Nightdoor, MgBot i ich pośrednie komponenty downloadera korzystają z interfejsów API systemu Windows do tworzenia procesów. |
|
Zaplanowane zadanie/zadanie: Zaplanowane zadanie |
Komponenty programu ładującego Nightdoor i MgBot mogą tworzyć zaplanowane zadania. |
||
Uporczywość |
Utwórz lub zmodyfikuj proces systemowy: usługa Windows |
Komponenty modułu ładującego Nightdoor i MgBot mogą tworzyć usługi Windows. |
|
Przepływ wykonywania przejęcia: ładowanie z boku biblioteki DLL |
Komponenty droppera Nightdoor i MgBot wdrażają legalny plik wykonywalny, który ładuje z boku złośliwy moduł ładujący. |
||
Unikanie obrony |
Rozszyfruj/dekoduj pliki lub informacje |
Komponenty DLL implantu Nightdoor są odszyfrowywane w pamięci. |
|
Osłabiaj zabezpieczenia: wyłącz lub zmodyfikuj zaporę systemową |
Nightdoor dodaje dwie reguły Zapory systemu Windows, aby umożliwić komunikację przychodzącą i wychodzącą w ramach funkcjonalności serwera proxy HTTP. |
||
Usuwanie wskaźnika: usuwanie plików |
Nightdoor i MgBot mogą usuwać pliki. |
||
Usunięcie wskaźnika: wyczyść trwałość |
Nightdoor i MgBot mogą się odinstalować samodzielnie. |
||
Maskarada: maskarada zadanie lub usługa |
Program ładujący Nightdoor maskował swoje zadanie jako netsvcs. |
||
Maskarada: Dopasuj legalną nazwę lub lokalizację |
Instalator Nightdoor instaluje swoje komponenty w legalnych katalogach systemowych. |
||
Zaciemnione pliki lub informacje: osadzone ładunki |
Komponent droppera Nightdoor zawiera osadzone złośliwe pliki instalowane na dysku. |
||
Wstrzykiwanie procesu: wstrzykiwanie biblioteki z dynamicznym łączem |
Komponenty ładujące Nightdoor i MgBot wstrzykiwają się do svchost.exe. |
||
Ładowanie kodu odblaskowego |
Komponenty modułu ładującego Nightdoor i MgBot wstrzykiwają się do svchost.exe, skąd ładują backdoora Nightdoor lub MgBot. |
||
odkrycie |
Wykrywanie konta: Konto lokalne |
Nightdoor i MgBot zbierają informacje o kontach użytkowników z zaatakowanego systemu. |
|
Wykrywanie plików i katalogów |
Nightdoor i MgBot mogą zbierać informacje z katalogów i plików. |
||
Wykrywanie procesów |
Nightdoor i MgBot zbierają informacje o procesach. |
||
Rejestr zapytań |
Nightdoor i MgBot wysyłają zapytania do rejestru systemu Windows w celu znalezienia informacji o zainstalowanym oprogramowaniu. |
||
Wykrywanie oprogramowania |
Nightdoor i MgBot zbierają informacje o zainstalowanym oprogramowaniu i usługach. |
||
Właściciel systemu/wykrywanie użytkownika |
Nightdoor i MgBot zbierają informacje o kontach użytkowników z zaatakowanego systemu. |
||
Wykrywanie informacji o systemie |
Nightdoor i MgBot zbierają szeroki zakres informacji o zaatakowanym systemie. |
||
Wykrywanie połączeń sieciowych systemu |
Nightdoor i MgBot mogą zbierać dane ze wszystkich aktywnych połączeń TCP i UDP na zaatakowanej maszynie. |
||
Collection |
Archiwizuj zebrane dane |
Nightdoor i MgBot przechowują zebrane dane w zaszyfrowanych plikach. |
|
Automatyczna kolekcja |
Nightdoor i MgBot automatycznie zbierają informacje o systemie i sieci o zaatakowanej maszynie. |
||
Dane z systemu lokalnego |
Nightdoor i MgBot zbierają informacje o systemie operacyjnym i danych użytkownika. |
||
Dane etapowe: etapowanie danych lokalnych |
Nightdoor przechowuje dane w celu eksfiltracji w plikach na dysku. |
||
Dowodzenia i kontroli |
Protokół warstwy aplikacji: protokoły internetowe |
Nightdoor komunikuje się z serwerem C&C za pomocą protokołu HTTP. |
|
Protokół warstwy nieaplikacyjnej |
Nightdoor komunikuje się z serwerem kontroli za pomocą protokołu UDP. MgBot komunikuje się z serwerem kontroli za pomocą protokołu TCP. |
||
Port niestandardowy |
MgBot używa portu TCP 21010. |
||
Tunelowanie protokołu |
Nightdoor może działać jako serwer proxy HTTP, tunelując komunikację TCP. |
||
Serwis internetowy |
Nightdoor korzysta z Dysku Google do komunikacji C&C. |
||
Exfiltracja |
Zautomatyzowana eksfiltracja |
Nightdoor i MgBot automatycznie wydobywają zebrane dane. |
|
Eksfiltracja przez usługę sieciową: Eksfiltracja do pamięci masowej w chmurze |
Nightdoor może przenieść swoje pliki na Dysk Google. |
dodatek
Docelowe zakresy adresów IP przedstawiono w poniższej tabeli.
CIDR |
ISP |
Miasto |
Państwo |
124.171.71.0/24 |
iiNet |
Sydnej |
Australia |
125.209.157.0/24 |
iiNet |
Sydnej |
Australia |
1.145.30.0/24 |
Telstra |
Sydnej |
Australia |
193.119.100.0/24 |
Telekomunikacja TPG |
Sydnej |
Australia |
14.202.220.0/24 |
Telekomunikacja TPG |
Sydnej |
Australia |
123.243.114.0/24 |
Telekomunikacja TPG |
Sydnej |
Australia |
45.113.1.0/24 |
Technologia serwerowa HK 92 |
Hongkong |
Hongkong |
172.70.191.0/24 |
Cloudflare |
Ahmedabad |
Indie |
49.36.224.0/24 |
Reliance Jio Infocomm |
Airoli |
Indie |
106.196.24.0/24 |
Bharti Airtel |
Bangalore |
Indie |
106.196.25.0/24 |
Bharti Airtel |
Bangalore |
Indie |
14.98.12.0/24 |
Teleusługi Tata |
Bangalore |
Indie |
172.70.237.0/24 |
Cloudflare |
Czandīgarh |
Indie |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
Indie |
103.214.118.0/24 |
Opaska Airnet |
Delhi |
Indie |
45.120.162.0/24 |
Opaska Ani |
Delhi |
Indie |
103.198.173.0/24 |
Anonet |
Delhi |
Indie |
103.248.94.0/24 |
Anonet |
Delhi |
Indie |
103.198.174.0/24 |
Anonet |
Delhi |
Indie |
43.247.41.0/24 |
Anonet |
Delhi |
Indie |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
Indie |
103.212.145.0/24 |
Podniecenie |
Delhi |
Indie |
45.248.28.0/24 |
Elektronika Omkar |
Delhi |
Indie |
49.36.185.0/24 |
Reliance Jio Infocomm |
Delhi |
Indie |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Indie |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Indie |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
Indie |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
Indie |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Halijal |
Indie |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamirpur |
Indie |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
Indie |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
Indie |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
Indie |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Indie |
162.158.235.0/24 |
Cloudflare |
Bombaj |
Indie |
162.158.48.0/24 |
Cloudflare |
Bombaj |
Indie |
162.158.191.0/24 |
Cloudflare |
Bombaj |
Indie |
162.158.227.0/24 |
Cloudflare |
Bombaj |
Indie |
172.69.87.0/24 |
Cloudflare |
Bombaj |
Indie |
172.70.219.0/24 |
Cloudflare |
Bombaj |
Indie |
172.71.198.0/24 |
Cloudflare |
Bombaj |
Indie |
172.68.39.0/24 |
Cloudflare |
New Delhi |
Indie |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Palapur |
Indie |
103.195.253.0/24 |
Sieć cyfrowa Protoact |
Ranchi |
Indie |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
Indie |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
Indie |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
Indie |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
Indie |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
Indie |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
Indie |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Indie |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Indie |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Indie |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
sposób |
Indie |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Tajwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Tajwan |
36.237.104.0/24 |
Chunghwa Telecom |
Tain |
Tajwan |
36.237.128.0/24 |
Chunghwa Telecom |
Tain |
Tajwan |
36.237.189.0/24 |
Chunghwa Telecom |
Tain |
Tajwan |
42.78.14.0/24 |
Chunghwa Telecom |
Tain |
Tajwan |
61.216.48.0/24 |
Chunghwa Telecom |
Tain |
Tajwan |
36.230.119.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
114.43.219.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
114.44.214.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
114.45.2.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
118.163.73.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
118.167.21.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
220.129.70.0/24 |
Chunghwa Telecom |
Tajpej |
Tajwan |
106.64.121.0/24 |
Far EasTone Telekomunikacja |
Taoyuan City |
Tajwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xi Zhi |
Tajwan |
122.100.113.0/24 |
Tajwan Telefon komórkowy |
Yilan |
Tajwan |
185.93.229.0/24 |
Sucuri Bezpieczeństwo |
Ashburn |
United States |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
United States |
216.66.111.0/24 |
Telefon z Vermontu |
Wallingford |
United States |
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :ma
- :Jest
- :nie
- :Gdzie
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Zdolny
- O nas
- dostęp
- Stosownie
- Konto
- Konta
- nabyty
- działać
- działania
- aktywny
- Dzieje Apostolskie
- Dodaj
- w dodatku
- dodatek
- Dodatkowy
- adres
- Adresy
- Dodaje
- ponownie
- przed
- Agent
- wymierzony
- algorytm
- wyrównać
- Wszystkie kategorie
- dopuszczać
- pozwala
- już
- również
- zawsze
- wśród
- an
- analiza
- analizowane
- i
- roczny
- Rocznie
- Anonimowy
- Inne
- sekretarka
- każdy
- api
- Pszczoła
- Aplikacja
- App Store
- Apple
- Zastosowanie
- aplikacje
- Aplikuj
- mobilne i webowe
- APT
- architektura
- Archiwum
- SĄ
- argument
- ARM
- Szyk
- AS
- Azja
- przydzielony
- powiązany
- At
- atakować
- Ataki
- próba
- atrybuty
- Australia
- Autorzy
- automatycznie
- dostępny
- z powrotem
- tylne drzwi
- Backdoory
- przynęta
- na podstawie
- podstawowy
- BE
- być
- zanim
- jest
- uwierzyć
- należy
- poniżej
- BEST
- pomiędzy
- obie
- Oddział
- wybudowany
- ale
- przycisk
- by
- nazywa
- Kampania
- CAN
- możliwości
- skapitalizować
- skapitalizowane
- nieść
- Wiek
- świadectwo
- certyfikaty
- łańcuch
- wyzwanie
- Zmiany
- znaków
- ZOBACZ
- w kratę
- Wykrywanie urządzeń szpiegujących
- Chiny
- chiński
- wybory
- Miasto
- jasny
- Chmura
- kod
- zbierać
- COM
- połączenie
- Komunikacja
- sukcesy firma
- w porównaniu
- kompletny
- składnik
- składniki
- wszechstronny
- kompromis
- Zagrożone
- obliczać
- obliczony
- komputer
- warunek
- prowadzenia
- pewność siebie
- systemu
- Podłączanie
- połączenie
- połączenia
- skontaktuj się
- zawierać
- zawarte
- zawiera
- zawartość
- ciągły
- ciągły
- Rozmowa
- skorygowania
- Odpowiedni
- mógłby
- kraje
- Crash
- Stwórz
- stworzony
- tworzy
- kryptografia
- Obecnie
- zwyczaj
- dane
- Struktura danych
- Data
- Daty
- dzień
- Dni
- Domyślnie
- Domyślnie
- Obrony
- dostarczyć
- dostawa
- wykazać
- W zależności
- przedstawiony
- rozwijać
- wdrażane
- wdrażanie
- wdraża się
- opisane
- opis
- miejsce przeznaczenia
- detal
- wykryte
- Deweloper
- oprogramowania
- Firma deweloperska
- urządzenie
- różne
- Digest
- cyfrowy
- katalogi
- katalog
- odkryty
- odkrycie
- 分配
- podzielony
- do
- dokument
- robi
- nie
- na dół
- pobieranie
- ściąganie
- pliki do pobrania
- napęd
- kierowca
- dyski
- Spadek
- porzucone
- Krople
- każdy
- najwcześniej
- łatwość
- Wschód
- Edukacja
- osiem
- bądź
- osadzone
- szyfrowane
- zakończenia
- Inżynieria
- wzmacniać
- nęcący
- Cały
- podmioty
- Równoważny
- błąd
- Badania ESET
- zapewniają
- itp
- wydarzenia
- Każdy
- dokładnie
- przykład
- wyłącznie
- wykonać
- wykonany
- Wykonuje
- egzekucja
- eksfiltracja
- spodziewany
- eksport
- dużym
- rozbudowa
- nie
- imitacja
- luty
- FESTIWAL
- pole
- Łąka
- Postać
- wzorzysty
- filet
- Akta
- finał
- Znajdź
- zapora
- i terminów, a
- Fix
- pływ
- następnie
- następujący
- następujący sposób
- W razie zamówieenia projektu
- format
- formuła
- znaleziono
- cztery
- Framework
- Darmowy
- od
- pełny
- funkcjonować
- funkcjonalności
- Funkcjonalność
- Funkcje
- dalej
- zebranie
- Generować
- wygenerowane
- otrzymać
- dostaje
- miejsce
- Goes
- Rząd
- Podmioty rządowe
- Graficzny
- Zarządzanie
- Grupy
- Prowadzenie
- sprzęt komputerowy
- haszysz
- zaszyfrowany
- mieszanie
- Have
- Trzymany
- Wysoki
- wysoki profil
- wyższy
- Otwór
- Dziury
- Hong
- Hongkong
- gospodarz
- hostowane
- Hosting
- Jednak
- HTML
- http
- HTTPS
- ID
- zidentyfikowane
- identyfikator
- ids
- if
- ilustruje
- obraz
- ważny
- in
- W innych
- włączony
- Włącznie z
- indeksy
- Indie
- wskaźniki
- osób
- wpływ
- Informacja
- Infrastruktura
- wstrzykiwać
- wkład
- wprowadzanie
- Zapytania
- wewnątrz
- zainstalować
- zainstalowany
- Instalacja
- zamiast
- Instytut
- zintegrowany
- Intel
- Inteligencja
- zamierzony
- odsetki
- wewnętrznie
- na świecie
- międzynarodowo
- najnowszych
- IP
- Adres IP
- Adresy IP
- Wydany
- IT
- JEGO
- styczeń
- Japonia
- JAVASCRIPT
- Jio
- jQuery
- json
- właśnie
- trzymane
- Klawisz
- Klawisze
- Wiedzieć
- wiedza
- znany
- Kong
- język
- Późno
- później
- firmy
- uruchomić
- uruchomiona
- wodowanie
- warstwa
- najmniej
- prawowity
- wykorzystuje
- Biblioteka
- lubić
- Lista
- Katalogowany
- słucha
- wykazy
- Zyje
- załadować
- ładowarka
- załadunek
- miejscowy
- usytuowany
- lokalizacja
- Popatrz
- mac
- maszyna
- MacOS
- magia
- Główny
- kontynent
- poważny
- Większość
- Malezja
- złośliwy
- malware
- zarządzanie
- wiele
- maskarada
- Mecz
- zapałki
- dopasowywanie
- Może..
- MD5
- me
- znaczenie
- wymowny
- Oznaczało
- mechanizm
- Pamięć
- wiadomość
- wiadomości
- Metadane
- metoda
- może
- brakujący
- zmodyfikowano
- modyfikować
- Modułowa
- Moduły
- jeszcze
- większość
- przeniósł
- wielokrotność
- musi
- Myanmar
- Nazwa
- O imieniu
- niezbędny
- potrzebne
- sieć
- sieci
- Nowości
- aktualności
- Następny
- Nigeria
- Nie
- noty
- powiadomienie
- numer
- przedmiot
- uzyskać
- uzyskane
- uzyskiwanie
- uzyskuje
- okazje
- of
- Oferty
- urzędnik
- Oficjalna strona internetowa
- Stary
- starszych
- on
- pewnego razu
- ONE
- tylko
- na
- operacyjny
- system operacyjny
- działanie
- operatorzy
- or
- organizacja
- organizacji
- OS
- Inne
- Inaczej
- ludzkiej,
- na zewnątrz
- wydajność
- koniec
- własny
- pakiet
- Pakiety
- strona
- parametry
- Przeszłość
- ścieżka
- ścieżki
- uporczywość
- Filipiny
- kawałek
- sztuk
- Miejsce
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Proszę
- zwrotnica
- stwarzane
- potencjał
- teraźniejszość
- przedstawione
- zapobiec
- Podgląd
- poprzedni
- poprzednio
- prywatny
- Problem
- dochód
- wygląda tak
- procesów
- produkuje
- Produkt
- Profil
- zaprogramowany
- promuje
- protokół
- pod warunkiem,
- pełnomocnik
- publiczny
- publicznie
- opublikowany
- cel
- jakość
- kwarantanna
- pytanie
- zasięg
- zakresy
- osiągnięty
- otrzymać
- rejestr
- związane z
- pozostały
- usuwanie
- Usunięto
- oddać
- renderowane
- renderuje
- odpowiadać
- Zgłoszone
- Raporty
- reprezentuje
- zażądać
- Wymaga
- Badania naukowe
- Badacze
- odpowiedzialny
- rewers
- reguły
- run
- bieganie
- Rdza
- sól
- taki sam
- próba
- zaplanowane
- scenariusz
- druga
- wtórny
- Sekcja
- bezpieczne
- bezpieczeństwo
- widzieć
- widziany
- wybór
- wysyła
- wrzesień
- służył
- serwer
- Serwery
- usługa
- Usługi
- kilka
- shared
- dzielenie
- Powłoka
- powinien
- pokazane
- Targi
- bok
- podpis
- podpisana
- podpisywanie
- podobny
- ponieważ
- Rozmiar
- So
- Tworzenie
- rozwoju oprogramowania
- rozwiązanie
- na południowy wschód
- Typ przestrzeni
- specyficzny
- swoiście
- określony
- STAGE
- etapy
- Gwiazdy
- Zestawienie sprzedaży
- Zjednoczone
- sklep
- przechowywany
- Strategiczny
- sznur
- Struktura
- zbudowany
- sukces
- taki
- Dostawa
- łańcuch dostaw
- Utrzymany
- podejrzliwy
- Przełącznik
- system
- stół
- Tajwan
- Zadania
- trwa
- cel
- ukierunkowane
- kierowania
- cele
- Zadanie
- zadania
- zespół
- tech
- Technologia
- terminal
- terytoria
- niż
- że
- Połączenia
- Informacje
- Filipiny
- ich
- Im
- sami
- następnie
- Tam.
- w związku z tym
- one
- to
- tych
- groźba
- trzy
- Przez
- poprzez
- czas
- Oś czasu
- znak czasu
- do
- razem
- żeton
- narzędzie
- Zestaw narzędzi
- Kwota produktów:
- Tłumaczenie
- prawdziwy
- Zaufaj
- drugiej
- rodzaj
- typowy
- niezdolny
- dla
- zrozumieć
- wyjątkowy
- Zjednoczony
- United States
- uniwersytet
- nieznany
- zbliżających
- Nowości
- URL
- us
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- zazwyczaj
- wartość
- Wartości
- Wariant
- wersja
- Wersje
- początku.
- przez
- Ofiara
- Ofiary
- Wietnam
- Odwiedzić
- odwiedził
- Gość
- odwiedzający
- Wizyty
- była
- we
- sieć
- Strona internetowa
- strony internetowe
- DOBRZE
- były
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- KIM
- szeroki
- Szeroki zasięg
- szerokość
- Wikipedia
- będzie
- okna
- w
- w ciągu
- słowa
- napisany
- jeszcze
- zefirnet
- Zamek błyskawiczny