Badacze firmy ESET przeanalizowali dwie kampanie grupy OilRig APT: Outer Space (2021) i Juicy Mix (2022). Obie te kampanie cyberszpiegowskie były skierowane wyłącznie do organizacji izraelskich, co jest zgodne z koncentracją grupy na Bliskim Wschodzie, i korzystały z tego samego schematu: OilRig najpierw włamał się do legalnej witryny internetowej, aby wykorzystać ją jako serwer C&C, a następnie użył dropperów VBS do dostarczenia kodu C# Backdoor /.NET swoim ofiarom, jednocześnie wdrażając różnorodne narzędzia po włamaniu, używane głównie do wydobywania danych z systemów docelowych.
W swojej kampanii Outer Space firma OilRig użyła prostego, wcześniej nieudokumentowanego backdoora C#/.NET, który nazwaliśmy Solar, wraz z nowym narzędziem do pobierania, SampleCheck5000 (lub SC5k), który wykorzystuje interfejs API usług sieciowych Microsoft Office Exchange do komunikacji C&C. Na potrzeby kampanii Juicy Mix cyberprzestępcy ulepszyli system Solar, tworząc backdoora Mango, który posiada dodatkowe możliwości i metody zaciemniania. Oprócz wykrycia szkodliwego zestawu narzędzi powiadomiliśmy także izraelski CERT o zaatakowanych witrynach internetowych.
Kluczowe punkty tego wpisu na blogu:
- Firma ESET zaobserwowała dwie kampanie OilRig, które miały miejsce w roku 2021 (przestrzeń kosmiczna) i 2022 (Juicy Mix).
- Operatorzy atakowali wyłącznie organizacje izraelskie i włamywali się do legalnych izraelskich witryn internetowych w celu wykorzystania ich w komunikacji C&C.
- W każdej kampanii wykorzystali nowego, wcześniej nieudokumentowanego backdoora pierwszego etapu C#/.NET: Solar in Outer Space, a następnie jego następcę Mango w Juicy Mix.
- Obydwa backdoory zostały wdrożone za pomocą dropperów VBS, prawdopodobnie rozprzestrzenianych za pośrednictwem wiadomości e-mail typu spearphishing.
- W obu kampaniach wdrożono różnorodne narzędzia po włamaniu, w szczególności narzędzie do pobierania SC5k, które wykorzystuje interfejs API usług internetowych Microsoft Office Exchange do komunikacji C&C, a także kilka narzędzi do kradzieży danych przeglądarki i danych uwierzytelniających z Menedżera poświadczeń systemu Windows.
OilRig, znana również jako APT34, Lyceum lub Siamesekitten, to grupa cyberszpiegowska działająca co najmniej od 2014 r. powszechnie się uważa mieć siedzibę w Iranie. Celem grupy są rządy Bliskiego Wschodu i różne branże biznesowe, w tym chemiczna, energetyczna, finansowa i telekomunikacyjna. OilRig przeprowadził kampanię DNSpionage w 2018 i 2019, którego celem były ofiary w Libanie i Zjednoczonych Emiratach Arabskich. W latach 2019 i 2020 firma OilRig kontynuowała ataki za pomocą HardPass kampanii, w ramach której LinkedIn był skierowany do ofiar z Bliskiego Wschodu w sektorach energetycznym i rządowym. W 2021 roku firma OilRig zaktualizowała swoje DanBot backdoora i rozpoczął wdrażanie Rekin, Mediolani backdoory Marlin, o których mowa w Wydanie T3 2021 raportu o zagrożeniach firmy ESET.
W tym poście przedstawiamy analizę techniczną backdoorów Solar i Mango, droppera VBS używanego do dostarczania Mango oraz narzędzi pokompromitacyjnych wdrożonych w każdej kampanii.
przypisanie
Początkowym łączem, które pozwoliło nam powiązać kampanię Outer Space z platformą OilRig, jest użycie tego samego niestandardowego modułu zrzutu danych Chrome (śledzonego przez badaczy firmy ESET pod nazwą MKG), co w Kampania „Wyjdź na morze”.. Zaobserwowaliśmy, że backdoor Solar wdraża w systemie celu tę samą próbkę MKG, co w Out to Sea, wraz z dwoma innymi wariantami.
Oprócz nakładania się narzędzi i kierowania, zaobserwowaliśmy także wiele podobieństw między backdoorem Solar i backdoorami używanymi w Out to Sea, głównie związanymi z przesyłaniem i pobieraniem: zarówno Solar, jak i Shark, kolejny backdoor OilRig, używają identyfikatorów URI z prostymi schematami wysyłania i pobierania do komunikacji z serwerem C&C, z literą „d” do pobrania i „u” do przesłania; dodatkowo downloader SC5k wykorzystuje podkatalogi wysyłania i pobierania, podobnie jak inne backdoory OilRig, a mianowicie ALMA, Shark, DanBot i Milan. Odkrycia te stanowią kolejne potwierdzenie, że sprawcą przestrzeni kosmicznej jest rzeczywiście platforma wiertnicza.
Jeśli chodzi o powiązania kampanii Juicy Mix z OilRig, poza atakami na organizacje izraelskie – co jest typowe dla tej grupy szpiegowskiej – istnieją podobieństwa w kodzie między Mango, backdoorem używanym w tej kampanii, a Solar. Co więcej, oba backdoory zostały wdrożone przez droppery VBS z tą samą techniką zaciemniania ciągów znaków. Wybór narzędzi pokompromisowych zastosowanych w Juicy Mix odzwierciedla również poprzednie kampanie OilRig.
Omówienie kampanii kosmicznej
Nazwana na podstawie astronomicznego schematu nazewnictwa w nazwach funkcji i zadaniach, Outer Space jest kampanią OilRig z 2021 roku. W tej kampanii grupa włamała się na izraelską witrynę zasobów ludzkich, a następnie wykorzystała ją jako serwer kontroli i kontroli dla swoich wcześniejszych nieudokumentowany backdoor C#/.NET, Solar. Solar to prosty backdoor z podstawową funkcjonalnością, taką jak odczyt i zapis z dysku oraz zbieranie informacji.
Następnie za pośrednictwem firmy Solar grupa wdrożyła nowy moduł pobierania SC5k, który korzysta z interfejsu API usług internetowych Office Exchange w celu pobrania dodatkowych narzędzi do wykonania, jak pokazano w REF _Ref142655526 godz Postać 1
. Aby wydobyć dane przeglądarki z systemu ofiary, OilRig użył narzędzia do zrzucania danych przeglądarki Chrome o nazwie MKG.
Omówienie kampanii Juicy Mix
W 2022 r. OilRig uruchomił kolejną kampanię skierowaną do organizacji izraelskich, tym razem ze zaktualizowanym zestawem narzędzi. Nazwaliśmy kampanię Juicy Mix ze względu na wykorzystanie nowego backdoora OilRig, Mango (w oparciu o nazwę wewnętrznego zestawu i nazwę pliku, Mango.exe). W ramach tej kampanii osoby zagrażające włamały się na legalną witrynę izraelskiego portalu pracy w celu wykorzystania jej w komunikacji C&C. Złośliwe narzędzia grupy zostały następnie wykorzystane przeciwko organizacji z branży opieki zdrowotnej, również mającej siedzibę w Izraelu.
Backdoor pierwszego stopnia Mango jest następcą Solara, również napisanym w języku C#/.NET, z godnymi uwagi zmianami, które obejmują możliwości eksfiltracji, wykorzystanie natywnych interfejsów API i dodany kod pozwalający uniknąć wykrycia.
Oprócz Mango wykryliśmy także dwa wcześniej nieudokumentowane moduły zrzutu danych przeglądarki używane do kradzieży plików cookie, historii przeglądania i danych uwierzytelniających z przeglądarek Chrome i Edge, a także narzędzie do kradzieży Menedżera poświadczeń systemu Windows – wszystkie przypisujemy firmie OilRig. Wszystkie te narzędzia były wykorzystywane przeciwko temu samemu celowi co Mango, a także w innych skompromitowanych organizacjach izraelskich w latach 2021 i 2022. REF _Ref125475515 godz Postać 2
przedstawia przegląd sposobu wykorzystania różnych składników w kampanii Juicy Mix.
Analiza techniczna
W tej sekcji przedstawiamy analizę techniczną backdoorów Solar i Mango oraz modułu pobierania SC5k, a także innych narzędzi wdrożonych w systemach docelowych w ramach tych kampanii.
Droppery VBS
Aby zdobyć punkt oparcia w systemie celu, w obu kampaniach wykorzystano droppery języka Visual Basic Script (VBS), które najprawdopodobniej były rozprzestrzeniane za pośrednictwem wiadomości e-mail typu spearphishing. Nasza analiza poniżej koncentruje się na skrypcie VBS używanym do upuszczania Mango (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); zwróć uwagę, że kroplomierz Solar jest bardzo podobny.
Celem droppera jest dostarczenie wbudowanego backdoora Mango, zaplanowanie zadania trwałości i zarejestrowanie kompromisu na serwerze C&C. Wbudowany backdoor jest przechowywany jako seria podciągów base64, które są łączone i dekodowane w base64. Jak pokazano w REF _Ref125477632 godz Postać 3
, skrypt wykorzystuje również prostą technikę usuwania zaciemnień ciągów, w której ciągi są składane za pomocą operacji arytmetycznych i Chr funkcja.
Co więcej, dropper VBS firmy Mango dodaje inny rodzaj zaciemniania ciągów znaków i kod w celu skonfigurowania trwałości i rejestracji na serwerze C&C. Jak pokazano w REF _Ref125479004 godz * ŁĄCZENIE FORMATU Postać 4
, aby rozjaśnić niektóre ciągi, skrypt zastępuje dowolne znaki w zestawie #*+-_)(}{@$%^& w 0, następnie dzieli ciąg na trzycyfrowe liczby, które następnie są konwertowane na znaki ASCII za pomocą metody Chr
funkcjonować. Na przykład ciąg 116110101109117+99111$68+77{79$68}46-50108109120115}77 przetłumaczyć na Dokument Msxml2.DOM.
Po osadzeniu backdoora w systemie dropper przechodzi do utworzenia zaplanowanego zadania, które uruchamia Mango (lub Solar w drugiej wersji) co 14 minut. Na koniec skrypt wysyła zakodowaną w formacie Base64 nazwę zaatakowanego komputera za pośrednictwem żądania POST w celu zarejestrowania backdoora na serwerze C&C.
Tylne drzwi solarne
Solar to backdoor wykorzystywany w kampanii OilRig w przestrzeni kosmicznej. Posiadając podstawowe funkcje, ten backdoor może być używany między innymi do pobierania i wykonywania plików oraz automatycznej eksfiltracji plików etapowych.
Nazwę Solar wybraliśmy w oparciu o nazwę pliku używaną przez OilRig, Solar.exe. Jest to trafna nazwa, ponieważ backdoor używa astronomicznego schematu nazewnictwa dla nazw funkcji i zadań używanych w całym pliku binarnym (rtęć, Wenus, marzec, ziemia, Jupiter).
Solar rozpoczyna wykonanie od wykonania kroków pokazanych w REF _Ref98146919 godz * ŁĄCZENIE FORMATU Postać 5
.
Backdoor tworzy dwa zadania, ziemia
i Wenus, które działają w pamięci. Żadne z dwóch zadań nie ma funkcji zatrzymania, więc będą one wykonywane w nieskończoność. ziemia
ma uruchamiać się co 30 sekund i Wenus
jest ustawiony na uruchamianie co 40 sekund.
ziemia to podstawowe zadanie odpowiedzialne za większość funkcji Solar. Komunikuje się z serwerem C&C za pomocą tej funkcji MerkuryDo Słońca, który wysyła podstawowe informacje o wersji systemu i złośliwego oprogramowania do serwera C&C, a następnie obsługuje odpowiedź serwera. ziemia wysyła następujące informacje do serwera C&C:
- Ciąg znaków (@); cały ciąg jest szyfrowany.
- Ciąg znaków 1.0.0.0, zaszyfrowany (prawdopodobnie numer wersji).
- Ciąg znaków 30000, zaszyfrowany (prawdopodobnie zaplanowany czas wykonania ziemia
Szyfrowanie i deszyfrowanie są realizowane w nazwanych funkcjach Jowisz E
i JowiszDodpowiednio. Obydwa wywołują funkcję o nazwie JowiszX, który implementuje pętlę XOR, jak pokazano w REF _Ref98146962 godz Postać 6
.
Klucz pochodzi z zakodowanej na stałe globalnej zmiennej łańcuchowej, 6sEj7*0B7#7I nuncjusz: w tym przypadku losowy ciąg szesnastkowy o długości od 2 do 24 znaków. Po szyfrowaniu XOR stosowane jest standardowe kodowanie base64.
Serwer WWW izraelskiej firmy z branży kadr, który OilRig naruszył w pewnym momencie przed wdrożeniem systemu Solar, został użyty jako serwer kontroli i kontroli:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
Przed dołączeniem do identyfikatora URI, wartość jednorazowa szyfrowania jest szyfrowana, a wartość początkowego ciągu zapytania rt, jest ustawione na d tutaj, prawdopodobnie do „pobrania”.
Ostatni krok MerkuryDo Słońca
zadaniem jest przetworzenie odpowiedzi z serwera C&C. Robi to poprzez pobranie podciągu odpowiedzi, który znajduje się pomiędzy znakami QQ@ i @kk. Odpowiedź ta jest ciągiem instrukcji oddzielonych gwiazdkami (*), który jest przetwarzany na tablicę. ziemia
następnie wykonuje polecenia backdoora, które obejmują pobieranie dodatkowych ładunków z serwera, wyświetlanie listy plików w systemie ofiary i uruchamianie określonych plików wykonywalnych.
Dane wyjściowe polecenia są następnie kompresowane gzipem przy użyciu tej funkcji Neptun
i szyfrowane przy użyciu tego samego klucza szyfrowania i nowego numeru jednorazowego. Następnie wyniki przesyłane są na serwer C&C, w ten sposób:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
Przewodnik maszynowy a nowa wartość jednorazowa jest szyfrowana za pomocą Jowisz E
funkcję, a tutaj wartość rt jest ustawione na u, prawdopodobnie dla „przesłania”.
Wenus, drugie zaplanowane zadanie, służy do automatycznej eksfiltracji danych. To małe zadanie kopiuje zawartość plików z katalogu (również o nazwie Wenus) do serwera C&C. Pliki te prawdopodobnie zostały tutaj upuszczone przez inne, jeszcze niezidentyfikowane narzędzie OilRig. Po przesłaniu pliku zadanie usuwa go z dysku.
Tylne drzwi Mango
Na potrzeby kampanii Juicy Mix firma OilRig przeszła z backdoora Solar na Mango. Ma podobny przepływ pracy jak Solar i nakładające się możliwości, ale mimo to istnieje kilka znaczących zmian:
- Stosowanie protokołu TLS w komunikacji C&C.
- Używanie natywnych interfejsów API zamiast interfejsów API .NET do wykonywania plików i poleceń powłoki.
- Chociaż nie był aktywnie używany, wprowadzono kod pozwalający uniknąć wykrycia.
- Obsługa automatycznej eksfiltracji (Wenus
- Usunięto obsługę trybu dziennika, a nazwy symboli zostały zaciemnione.
W przeciwieństwie do schematu nazewnictwa inspirowanego astronomią firmy Solar, Mango zaciemnia nazwy symboli, co widać na REF _Ref142592880 godz Postać 7
.
Oprócz zaciemniania nazw symboli, Mango używa również metody układania ciągów (jak pokazano w REF _Ref142592892 godz Postać 8
REF _Ref141802299 godz
) w celu zaciemnienia ciągów znaków, co komplikuje użycie prostych metod wykrywania.
Podobnie jak Solar, backdoor Mango zaczyna od utworzenia zadania w pamięci, którego uruchamianie jest zaplanowane na czas nieokreślony co 32 sekundy. To zadanie komunikuje się z serwerem C&C i wykonuje polecenia backdoora, podobnie jak w przypadku Solar ziemia
zadanie. Choć Solar również tworzy Wenus, zadanie automatycznej eksfiltracji, ta funkcjonalność została w Mango zastąpiona nowym poleceniem backdoora.
W głównym zadaniu Mango najpierw generuje identyfikator ofiary, , do stosowania w komunikacji C&C. Identyfikator jest obliczany jako skrót MD5 , sformatowany jako ciąg szesnastkowy.
Aby zażądać polecenia backdoora, Mango następnie wysyła ciąg znaków D@ @ | do serwera C&C http://www.darush.co[.]il/ads.asp – legalny izraelski portal pracy, prawdopodobnie skompromitowany przez OilRig przed tą kampanią. O kompromisie powiadomiliśmy izraelską krajową organizację CERT.
Treść żądania jest zbudowana w następujący sposób:
- Przesyłane dane są szyfrowane XOR przy użyciu klucza szyfrującego Pytania i 4g, a następnie zakodowany w standardzie Base64.
- Z tego alfabetu generowany jest pseudolosowy ciąg znaków składający się z 3–14 znaków (tak jak w kodzie): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Zaszyfrowane dane są wstawiane w pseudolosowej pozycji w wygenerowanym ciągu znaków, ujęte pomiędzy nimi [@ i @] ograniczniki.
Do komunikacji ze swoim serwerem C&C Mango wykorzystuje protokół TLS (Transport Layer Security), który zapewnia dodatkową warstwę szyfrowania.
Podobnie polecenie backdoora otrzymane z serwera C&C jest szyfrowane XOR, kodowane w standardzie Base64, a następnie umieszczane pomiędzy [@ i @] w treści odpowiedzi HTTP. Samo polecenie też jest NCNT
(w takim przypadku nie jest podejmowana żadna akcja) lub ciąg kilku parametrów rozdzielonych przez
@, jak wyszczególniono w REF _Ref125491491 godz Stół 1
, który zawiera listę poleceń backdoora Mango. Zauważ to nie jest wymieniony w tabeli, ale jest używany w odpowiedzi wysyłanej do serwera C&C.
Tabela 1. Lista poleceń backdoora Mango
arg1 |
arg2 |
arg3 |
Działania podjęte |
Wartość zwracana |
|
1 lub pusty ciąg |
+sp |
N / A |
Wykonuje określone polecenie pliku/powłoki (z opcjonalnymi argumentami), używając funkcji natywnej Utwórz proces API importowane przez Import Dll. Jeśli argumenty zawierają [S], zostaje zastąpiony przez C: WindowsSystem32. |
Wyjście polecenia. |
|
+nu |
N / A |
Zwraca ciąg wersji złośliwego oprogramowania i adres URL centrum kontroli. |
|; w tym przypadku: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Wylicza zawartość określonego katalogu (lub bieżącego katalogu roboczego). |
Katalog Dla każdego podkatalogu:
Dla każdego pliku: PLIK Reżyseria Akta) |
||
+dn |
N / A |
Przesyła zawartość pliku do serwera C&C za pomocą nowego żądania HTTP POST w formacie: ty@ @ | @ @2@. |
Jeden z: · plik[ ] jest przesyłany na serwer. · nie znaleziono pliku! · ścieżka pliku pusta! |
||
2 |
Dane zakodowane w Base64 |
Nazwa pliku |
Zrzuca określone dane do pliku w katalogu roboczym. |
plik pobrany do ścieżki [ ] |
Każde polecenie backdoora jest obsługiwane w nowym wątku, a zwracane przez nie wartości są następnie kodowane w formacie Base64 i łączone z innymi metadanymi. Na koniec ten ciąg znaków jest wysyłany do serwera kontroli i kontroli przy użyciu tego samego protokołu i metody szyfrowania, jak opisano powyżej.
Niewykorzystana technika unikania wykrycia
Co ciekawe, znaleźliśmy nieużywany technika unikania wykrycia w Mango. Funkcja odpowiedzialna za wykonywanie plików i poleceń pobranych z serwera C&C przyjmuje opcjonalny drugi parametr – identyfikator procesu. Jeśli jest ustawione, Mango następnie używa AktualizujProcThreadAttribute
API do ustawiania PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) atrybut dla określonego procesu na wartość: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), jak pokazano w REF _Ref125480118 godz Postać 9
.
Celem tej techniki jest blokowanie rozwiązań zapewniających bezpieczeństwo punktów końcowych przed ładowaniem w tym procesie haków kodu trybu użytkownika za pośrednictwem biblioteki DLL. Chociaż w analizowanej przez nas próbce parametr ten nie był używany, można go było aktywować w przyszłych wersjach.
Wersja 1.1.1
Niezwiązane z kampanią Juicy Mix, w lipcu 2023 roku znaleźliśmy nową wersję backdoora Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), przesłane do VirusTotal przez kilku użytkowników pod tą nazwą Menora.exe. Wersja wewnętrzna w tym przykładzie została zmieniona z 1.0.0 na 1.1.1, ale jedyną zauważalną zmianą jest użycie innego serwera C&C, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Wraz z tą wersją odkryliśmy także dokument Microsoft Word (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) ze złośliwym makrem, które powoduje otwarcie backdoora. REF _Ref143162004 godz Postać 10
wyświetla fałszywy komunikat ostrzegawczy, zachęcający użytkownika do włączenia makr dla dokumentu, oraz zawartość zwodniczą, która jest wyświetlana później, gdy złośliwy kod działa w tle.
Rysunek 10. Dokument Microsoft Word ze złośliwym makrem, które usuwa Mango v1.1.1
Narzędzia pokompromisowe
W tej sekcji dokonujemy przeglądu wybranych narzędzi pokompromitacyjnych używanych w kampaniach Outer Space i Juicy Mix firmy OilRig, których celem jest pobieranie i wykonywanie dodatkowych ładunków oraz kradzież danych z zaatakowanych systemów.
Program do pobierania SampleCheck5000 (SC5k).
SampleCheck5000 (lub SC5k) to downloader służący do pobierania i uruchamiania dodatkowych narzędzi OilRig, wyróżniających się wykorzystaniem interfejsu API usług internetowych Microsoft Office Exchange do komunikacji C&C: osoby atakujące tworzą wersje robocze wiadomości na tym koncie e-mail i ukrywają tam polecenia backdoora. Następnie moduł pobierania loguje się na to samo konto i analizuje wersje robocze, aby pobrać polecenia i ładunki do wykonania.
SC5k wykorzystuje predefiniowane wartości – adres URL, adres e-mail i hasło Microsoft Exchange – do logowania się do zdalnego serwera Exchange, ale obsługuje również opcję zastąpienia tych wartości za pomocą pliku konfiguracyjnego w bieżącym katalogu roboczym o nazwie ustawienie.klucz. Nazwę SampleCheck5000 wybraliśmy w oparciu o jeden z adresów e-mail, których narzędzie użyło w kampanii Outer Space.
Gdy SC5k zaloguje się na zdalnym serwerze Exchange, pobierze wszystkie wiadomości e-mail z pliku Warcaby
katalog, sortuje je według najnowszych, zachowując tylko wersje robocze posiadające załączniki. Następnie przegląda każdą wersję roboczą wiadomości z załącznikiem, szukając załączników JSON zawierających "dane" w ciele. Wyodrębnia wartość z klucza dane w pliku JSON base64 dekoduje i odszyfrowuje wartość oraz wywołuje cmd.exe aby wykonać wynikowy ciąg wiersza poleceń. Następnie SC5k zapisuje dane wyjściowe pliku cmd.exe
wykonanie do zmiennej lokalnej.
W kolejnym kroku pętli moduł pobierający raportuje wyniki operatorom OilRig, tworząc nową wiadomość e-mail na serwerze Exchange i zapisując ją jako wersję roboczą (nie wysyłając), jak pokazano w REF _Ref98147102
h * ŁĄCZENIE FORMATU Postać 11
. Podobną technikę stosuje się do wyodrębniania plików z lokalnego folderu przemieszczania. Jako ostatni krok w pętli SC5k rejestruje również dane wyjściowe poleceń w zaszyfrowanym i skompresowanym formacie na dysku.
Zrzuty danych przeglądarki
Charakterystyczną cechą operatorów OilRig jest używanie zrzutów danych przeglądarki w swoich działaniach po kompromitacji. Wśród narzędzi pokompromitacyjnych wdrożonych w kampanii Juicy Mix wraz z backdoorem Mango odkryliśmy dwóch nowych złodziei danych przeglądarki. Zrzucają skradzione dane przeglądarki do % Temp% katalog do plików o nazwie Cupdate
i Aktualizacja
(stąd nasze nazwy dla nich: CDumper i EDumper).
Obydwa narzędzia kradną dane przeglądarki C#/.NET i zbierają pliki cookie, historię przeglądania i dane uwierzytelniające z przeglądarek Chrome (CDumper) i Edge (EDumper). Naszą analizę skupiamy na CDumperze, ponieważ obydwaj złodzieje są praktycznie identyczni, poza pewnymi stałymi.
Po uruchomieniu CDumper tworzy listę użytkowników z zainstalowaną przeglądarką Google Chrome. Podczas wykonywania złodziej łączy się z Chrome SQLite Pliki Cookies, Historia
i Dane logowania bazy danych pod %APPDATA%Lokalne dane użytkownika GoogleChromei zbiera dane przeglądarki, w tym odwiedzane adresy URL i zapisane loginy, za pomocą zapytań SQL.
Wartości plików cookie są następnie odszyfrowywane, a wszystkie zebrane informacje są dodawane do pliku dziennika o nazwie C: Użytkownicy AppDataLocalTempCupdate, tekstem jawnym. Ta funkcjonalność jest zaimplementowana w funkcjach CDumpera o nazwie Chwyć Cookie
(Patrz REF _Ref126168131 godz Postać 12
), HistoriaGrab, i HasłoPrzechwyć. Należy pamiętać, że w CDumperze nie ma zaimplementowanego mechanizmu eksfiltracji, ale Mango może eksfiltrować wybrane pliki za pomocą polecenia backdoora.
Zarówno w przestrzeni kosmicznej, jak i wcześniej Na morze kampanii OilRig użył narzędzia do zrzutu danych C/C++ Chrome o nazwie MKG. Podobnie jak CDumper i EDumper, MKG był również w stanie kraść nazwy użytkowników i hasła, historię przeglądania i pliki cookie z przeglądarki. Ten zrzut danych Chrome jest zwykle wdrażany w następujących lokalizacjach plików (najczęściej jest to pierwsza lokalizacja):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Złodziej Menedżera poświadczeń systemu Windows
Oprócz narzędzi do zrzucania danych przeglądarki, OilRig wykorzystał także narzędzie do kradzieży Menedżera poświadczeń systemu Windows w kampanii Juicy Mix. To narzędzie kradnie dane uwierzytelniające z Menedżera poświadczeń systemu Windows i podobnie jak CDumper i EDumper przechowuje je w folderze % Temp% katalog – tym razem do pliku o nazwie Aktualizuję
(stąd nazwa IDumper). W przeciwieństwie do CDumper i EDumper, IDumper jest zaimplementowany jako skrypt PowerShell.
Podobnie jak w przypadku narzędzi zrzutu przeglądarki, nierzadko zdarza się, że OilRig zbiera dane uwierzytelniające z Menedżera poświadczeń systemu Windows. Wcześniej operatorów OilRig obserwowano za pomocą VALUEVAULT, a publicznie dostępne, Skompilowane przez Go narzędzie do kradzieży danych uwierzytelniających (zobacz plik Kampania HardPass 2019 oraz Kampania 2020), w tym samym celu.
Wnioski
OilRig nieustannie wprowadza innowacje i tworzy nowe implanty z możliwościami podobnymi do backdoorów, jednocześnie znajdując nowe sposoby wykonywania poleceń w systemach zdalnych. Grupa ulepszyła backdoora C#/.NET Solar z kampanii Outer Space, tworząc nowego backdoora o nazwie Mango na potrzeby kampanii Juicy Mix. Grupa wdraża zestaw niestandardowych narzędzi po włamaniu, które służą do zbierania danych uwierzytelniających, plików cookie i historii przeglądania z głównych przeglądarek oraz z Menedżera poświadczeń systemu Windows. Pomimo tych innowacji firma OilRig w dalszym ciągu korzysta z ustalonych sposobów uzyskiwania danych użytkowników.
W przypadku jakichkolwiek pytań dotyczących naszych badań opublikowanych na WeLiveSecurity, prosimy o kontakt pod adresem groźba intel@eset.com.
ESET Research oferuje prywatne raporty analityczne APT i strumienie danych. W przypadku jakichkolwiek pytań dotyczących tej usługi odwiedź stronę Analiza zagrożeń firmy ESET strona.
IoC
Akta
SHA-1 |
Nazwa pliku |
Nazwa wykrywania ESET |
Opis |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MojeCV.doc |
VBA/OilRig.C |
Dokument zawierający złośliwe makro wyrzucające Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
Zakraplacz VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Tylne drzwi solarne. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Backdoor Mango (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menora.exe |
MSIL/OilRig.E |
Backdoor Mango (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Zrzut danych Edge. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
GR.exe |
MSIL/PSW.Agent.SXJ |
Zrzut danych Chrome. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Zrzut Menedżera poświadczeń systemu Windows. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Zrzut danych Chrome. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Zrzut danych Chrome. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Zrzut danych Chrome. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
Narzędzie do pobierania SC5k (wersja 32-bitowa). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
Narzędzie do pobierania SC5k (wersja 64-bitowa). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
węzeł.exe |
MSIL/OilRig.D |
Narzędzie do pobierania SC5k (wersja 64-bitowa). |
Sieć
IP |
Domena |
Dostawca usług hostingowych |
Pierwszy widziany |
Szczegóły |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarkizNet |
2022-07-29 |
N / A |
Techniki SKOŚNE ATT&CK
Ten stół został zbudowany przy użyciu wersja 13 ramy MITER ATT&CK.
Taktyka |
ID |
Imię |
Opis |
Rozwój zasobów |
Infrastruktura kompromisowa: serwer |
Zarówno w kampaniach Outer Space, jak i Juicy Mix firma OilRig włamała się do legalnych witryn internetowych w celu wykorzystania złośliwych narzędzi i komunikacji C&C. |
|
Rozwijanie możliwości: złośliwe oprogramowanie |
OilRig opracował niestandardowe backdoory (Solar i Mango), narzędzie do pobierania (SC5k) oraz zestaw narzędzi do kradzieży danych uwierzytelniających do wykorzystania w swoich operacjach. |
||
Możliwości Stage: Prześlij złośliwe oprogramowanie |
OilRig przesłał złośliwe komponenty na swoje serwery kontroli i kontroli oraz umieścił wstępnie przygotowane pliki i polecenia w folderze Warcaby katalog e-mail konta Office 365 do pobrania i uruchomienia SC5k. |
||
Możliwości sceny: narzędzie do przesyłania |
OilRig przesłał złośliwe narzędzia na swoje serwery C&C i przechowuje wstępnie przygotowane pliki w folderze Warcaby katalog e-mail konta Office 365 do pobrania i uruchomienia SC5k. |
||
Wstępny dostęp |
Phishing: załącznik Spearphishing |
OilRig prawdopodobnie rozpowszechniał swoje kampanie Outer Space i Juicy Mix za pośrednictwem e-maili phishingowych z dołączonymi dropperami VBS. |
|
Egzekucja |
Zaplanowane zadanie/zadanie: Zaplanowane zadanie |
Narzędzia IDumper, EDumper i CDumper firmy OilRig korzystają z zaplanowanych zadań o nazwach tj, wyd , i cu do samodzielnego wykonania w kontekście innych użytkowników. Solar i Mango używają zadania C#/.NET na zegarze, aby iteracyjnie wykonywać swoje główne funkcje. |
|
Interpreter poleceń i skryptów: PowerShell |
Narzędzie IDumper firmy OilRig wykorzystuje do wykonania program PowerShell. |
||
Interpreter poleceń i skryptów: powłoka poleceń systemu Windows |
Zastosowanie OilRig Solar, SC5k, IDumper, EDumper i CDumper cmd.exe do wykonywania zadań w systemie. |
||
Interpreter poleceń i skryptów: Visual Basic |
OilRig wykorzystuje złośliwy skrypt VBScript do dostarczania i utrzymywania backdoorów Solar i Mango. |
||
Natywny interfejs API |
Backdoor Mango firmy OilRig wykorzystuje plik Utwórz proces Windows API do wykonania. |
||
Uporczywość |
Zaplanowane zadanie/zadanie: Zaplanowane zadanie |
Dropper VBS firmy OilRig planuje zadanie o nazwie PrzypomnienieZadanie w celu ustalenia trwałości backdoora Mango. |
|
Unikanie obrony |
Maskarada: Dopasuj legalną nazwę lub lokalizację |
OilRig używa legalnych lub nieszkodliwych nazw plików dla swojego złośliwego oprogramowania, aby ukryć się przed obrońcami i oprogramowaniem zabezpieczającym. |
|
Zaciemnione pliki lub informacje: pakowanie oprogramowania |
Używał OilRig Pakiet skryptów SAPIEN i Zaciemniacz SmartAssembly aby zaciemnić narzędzie IDumper. |
||
Zaciemnione pliki lub informacje: osadzone ładunki |
Droppery VBS firmy OilRig zawierają szkodliwe ładunki osadzone w postaci serii podciągów base64. |
||
Maskarada: maskarada zadanie lub usługa |
Aby sprawiać wrażenie uzasadnionego, dropper VBS firmy Mango planuje zadanie z opisem Uruchom notatnik o określonej godzinie. |
||
Usunięcie wskaźnika: wyczyść trwałość |
Narzędzia pokompromitacyjne OilRig usuwają zaplanowane zadania po upływie określonego czasu. |
||
Rozszyfruj/dekoduj pliki lub informacje |
OilRig wykorzystuje kilka metod zaciemniania, aby chronić swoje ciągi znaków i osadzone ładunki. |
||
Obal kontrolę zaufania |
SC5k korzysta z Office 365, ogólnie zaufanej strony trzeciej i często pomijanej przez obrońców, jako strony pobierania. |
||
Osłabiaj obronę |
Backdoor Mango firmy OilRig ma (jeszcze) niewykorzystaną możliwość blokowania rozwiązań bezpieczeństwa punktów końcowych przed ładowaniem kodu trybu użytkownika w określonych procesach. |
||
Dostęp do poświadczeń |
Poświadczenia z magazynów haseł: Poświadczenia z przeglądarek internetowych |
Niestandardowe narzędzia OilRig MKG, CDumper i EDumper mogą uzyskiwać dane uwierzytelniające, pliki cookie i historię przeglądania z przeglądarek Chrome i Edge. |
|
Poświadczenia z magazynów haseł: Menedżer poświadczeń systemu Windows |
Niestandardowe narzędzie do zrzucania poświadczeń firmy OilRig, IDumper, może kraść poświadczenia z Menedżera poświadczeń systemu Windows. |
||
odkrycie |
Wykrywanie informacji o systemie |
Mango uzyskuje nazwę skompromitowanego komputera. |
|
Wykrywanie plików i katalogów |
Mango ma polecenie wyliczenia zawartości określonego katalogu. |
||
Właściciel systemu/wykrywanie użytkownika |
Mango uzyskuje nazwę użytkownika ofiary. |
||
Wykrywanie konta: Konto lokalne |
Narzędzia EDumper, CDumper i IDumper firmy OilRig mogą wyliczyć wszystkie konta użytkowników na zaatakowanym hoście. |
||
Wykrywanie informacji o przeglądarce |
MKG zrzuca historię i zakładki Chrome. |
||
Dowodzenia i kontroli |
Protokół warstwy aplikacji: protokoły internetowe |
Mango używa protokołu HTTP w komunikacji C&C. |
|
Transfer narzędzia Ingress |
Mango ma możliwość pobrania dodatkowych plików z serwera C&C w celu późniejszego wykonania. |
||
Zaciemnianie danych |
Solar i SC5k wykorzystują prostą metodę szyfrowania XOR wraz z kompresją gzip w celu zaciemniania danych przechowywanych i przesyłanych. |
||
Usługa internetowa: komunikacja dwukierunkowa |
SC5k korzysta z Office 365 do pobierania plików z i przesyłania plików do Warcaby katalogu na legalnym koncie e-mail. |
||
Kodowanie danych: kodowanie standardowe |
Solar, Mango i MKG base64 dekodują dane przed wysłaniem ich do serwera C&C. |
||
Szyfrowany kanał: kryptografia symetryczna |
Mango używa szyfru XOR z kluczem Pytania i 4g do szyfrowania danych w komunikacji C&C. |
||
Szyfrowany kanał: kryptografia asymetryczna |
Mango używa protokołu TLS do komunikacji C&C. |
||
Exfiltracja |
Eksfiltracja przez kanał C2 |
Mango, Solar i SC5k wykorzystują swoje kanały C&C do eksfiltracji. |
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Zdolny
- O nas
- powyżej
- Konto
- Konta
- Działania
- aktywny
- aktywnie
- zajęcia
- aktorzy
- w dodatku
- dodatek
- Dodatkowy
- do tego
- adres
- Adresy
- Dodaje
- Po
- potem
- przed
- Agent
- wymierzony
- Wszystkie kategorie
- dozwolony
- ALMA
- wzdłuż
- wzdłuż
- Alfabet
- również
- wśród
- an
- analiza
- analizowane
- i
- Inne
- każdy
- api
- Pszczoła
- zjawić się
- pojawia się
- stosowany
- APT
- Arabki
- Emiraty Arabskie
- Archiwum
- SĄ
- argumenty
- Szyk
- AS
- zmontowane
- Montaż
- astronomia
- At
- Ataki
- zautomatyzowane
- automatycznie
- tylne drzwi
- Backdoory
- tło
- na podstawie
- podstawowy
- BE
- być
- zanim
- rozpoczął
- za
- jest
- poniżej
- oprócz
- pomiędzy
- Blokować
- ciało
- bookmarks
- obie
- przeglądarka
- przeglądarki
- Przeglądanie
- wybudowany
- biznes
- ale
- by
- wezwanie
- nazywa
- Połączenia
- Kampania
- Kampanie
- CAN
- możliwości
- zdolność
- prowadzone
- walizka
- pewien
- zmiana
- zmieniony
- Zmiany
- Kanał
- kanały
- charakterystyka
- znaków
- chemiczny
- wybór
- wybrał
- Chrom
- szyfr
- jasny
- kod
- zbierać
- Zbieranie
- COM
- połączony
- wspólny
- powszechnie
- komunikować
- Komunikacja
- Komunikacja
- Firma
- składniki
- kompromis
- Zagrożone
- komputer
- systemu
- potwierdzenie
- Skontaktuj się
- łączy
- skontaktuj się
- zawierać
- zawartość
- kontekst
- nadal
- ciągły
- przeliczone
- cookies
- mógłby
- Stwórz
- tworzy
- Tworzenie
- tworzenie
- POŚWIADCZENIE
- Listy uwierzytelniające
- Aktualny
- zwyczaj
- dane
- Bazy danych
- Odszyfruj
- obrońcy
- dostarczyć
- rozwijać
- wdrażane
- wdrażanie
- wdraża się
- Pochodny
- opisane
- opis
- Mimo
- szczegółowe
- wykryte
- Wykrywanie
- rozwinięty
- różne
- odkryty
- odkrycie
- wystawiany
- dystrybuowane
- dzieli
- dokument
- robi
- pobieranie
- pliki do pobrania
- projekt
- Spadek
- porzucone
- Rzut
- Krople
- zrzucać
- każdy
- Wcześniej
- Wschód
- wschodni
- krawędź
- bądź
- e-maile
- osadzone
- Arabskie
- zatrudniony
- umożliwiać
- szyfrowane
- szyfrowanie
- Punkt końcowy
- Bezpieczeństwo punktu końcowego
- energia
- nęcący
- szpiegostwo
- zapewniają
- ustanowiony
- uchylanie się
- Każdy
- przykład
- wymiana
- wyłącznie
- wykonać
- wykonany
- Wykonuje
- wykonywania
- egzekucja
- eksfiltracja
- Wyciągi
- imitacja
- filet
- Akta
- W końcu
- budżetowy
- znalezieniu
- Ustalenia
- i terminów, a
- dopasowywanie
- pływ
- Skupiać
- koncentruje
- następujący
- następujący sposób
- W razie zamówieenia projektu
- format
- znaleziono
- Framework
- od
- od 2021
- funkcjonować
- funkcjonalności
- Funkcjonalność
- Funkcje
- dalej
- przyszłość
- zebranie
- ogólnie
- wygenerowane
- generuje
- Globalne
- cel
- Google Chrome
- Rząd
- Rządy
- Zarządzanie
- Grupy
- Uchwyty
- haszysz
- Have
- opieki zdrowotnej
- stąd
- tutaj
- HEX
- Ukryj
- historia
- Haczyki
- gospodarz
- W jaki sposób
- HTML
- http
- HTTPS
- człowiek
- Human Resources
- ID
- identiques
- identyfikator
- if
- obraz
- realizowane
- narzędzia
- ulepszony
- in
- zawierać
- Włącznie z
- rzeczywiście
- Informacje
- Informacja
- Infrastruktura
- początkowy
- wprowadzać innowacje
- innowacje
- Zapytania
- zainstalowany
- zamiast
- instrukcje
- Inteligencja
- wewnętrzny
- najnowszych
- wprowadzono
- Iran
- Izrael
- IT
- JEGO
- samo
- Praca
- json
- lipiec
- właśnie
- konserwacja
- Klawisz
- znany
- Nazwisko
- uruchomiona
- warstwa
- najmniej
- Liban
- lewo
- prawowity
- lubić
- Prawdopodobnie
- Linia
- LINK
- Lista
- Katalogowany
- wymienianie kolejno
- wykazy
- załadunek
- miejscowy
- lokalizacja
- lokalizacji
- log
- długo
- poszukuje
- maszyna
- Macro
- makra
- Główny
- poważny
- malware
- kierownik
- Marlin
- maskarada
- Mecz
- MD5
- mechanizm
- Pamięć
- wzmiankowany
- wiadomość
- wiadomości
- Metadane
- metoda
- metody
- Microsoft
- Środkowy
- Bliski Wschód
- MILAN
- milisekund
- minut
- mieszać
- Moda
- Ponadto
- większość
- przeważnie
- porusza się
- wielokrotność
- Nazwa
- O imieniu
- mianowicie
- Nazwy
- nazywania
- narodowy
- rodzimy
- netto
- Niemniej jednak
- Nowości
- Następny
- nist
- Nie
- dostojnik
- szczególnie
- numer
- z naszej
- uzyskać
- uzyskuje
- miejsce
- of
- Oferty
- Biurowe
- często
- on
- ONE
- tylko
- operacje
- operatorzy
- Option
- or
- zamówienie
- organizacja
- organizacji
- Inne
- ludzkiej,
- na zewnątrz
- przestrzeń kosmiczna
- wydajność
- koniec
- Zastąp
- przegląd
- strona
- parametr
- parametry
- przyjęcie
- Hasło
- hasła
- ścieżka
- wykonywania
- okres
- uporczywość
- phishing
- plato
- Analiza danych Platona
- PlatoDane
- Proszę
- punkt
- zwrotnica
- Portal
- position
- możliwie
- Post
- PowerShell
- praktycznie
- poprzednik
- poprzedni
- poprzednio
- pierwotny
- prywatny
- prawdopodobnie
- wygląda tak
- Obrobiony
- procesów
- Produkt
- chronić
- protokół
- zapewniać
- opublikowany
- cel
- zapytania
- przypadkowy
- raczej
- Czytający
- Odebrane
- niedawny
- zarejestrować
- związane z
- polegać
- zdalny
- usuwanie
- Usunięto
- otrzymuje
- raport
- Raporty
- zażądać
- Badania naukowe
- Badacze
- Zasoby
- odpowiednio
- odpowiedź
- odpowiedzialny
- REST
- wynikły
- Efekt
- powrót
- przeglądu
- takielunek
- run
- bieganie
- s
- taki sam
- Zapisz
- zapisywane
- oszczędność
- zobaczył
- rozkład
- zaplanowane
- schemat
- systemy
- scenariusz
- SEA
- druga
- sekund
- Sekcja
- Sektory
- bezpieczeństwo
- widzieć
- widziany
- wybrany
- wybór
- wysyłanie
- wysyła
- wysłany
- Serie
- służyć
- serwer
- Serwery
- usługa
- Usługi
- zestaw
- kilka
- rekin
- Powłoka
- pokazane
- Targi
- podobny
- podobieństwa
- Prosty
- ponieważ
- witryna internetowa
- mały
- So
- Tworzenie
- słoneczny
- Rozwiązania
- kilka
- Typ przestrzeni
- specyficzny
- określony
- rozpiętość
- układanie w stosy
- STAGE
- inscenizacja
- standard
- rozpocznie
- kradnie
- Ewolucja krok po kroku
- Cel
- skradziony
- Stop
- przechowywany
- sklep
- sznur
- kolejny
- Następnie
- taki
- podpory
- przełączane
- symbol
- system
- systemy
- stół
- Zadania
- trwa
- cel
- ukierunkowane
- kierowania
- cele
- Zadanie
- zadania
- Techniczny
- Analiza techniczna
- telekomunikacja
- niż
- że
- Połączenia
- ich
- Im
- sami
- następnie
- Tam.
- Te
- one
- rzeczy
- Trzeci
- to
- groźba
- podmioty grożące
- Raport o zagrożeniach
- poprzez
- A zatem
- udaremniać
- Krawaty
- czas
- Tytuł
- do
- narzędzie
- narzędzia
- Top
- tranzyt
- transportu
- Zaufaj
- zaufany
- drugiej
- rodzaj
- typowy
- zazwyczaj
- Niezwykły
- dla
- Zjednoczony
- Zjednoczone Emiraty Arabskie
- Zjednoczone Emiraty Arabskie
- w odróżnieniu
- nieużywana
- zaktualizowane
- przesłanych
- Uploading
- na
- URL
- us
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- zastosowania
- za pomocą
- v1
- wartość
- Wartości
- zmienna
- różnorodność
- różnorodny
- wersja
- informacje o wersji
- Wersje
- pionowe
- początku.
- przez
- Ofiara
- Ofiary
- Odwiedzić
- odwiedził
- ostrzeżenie
- była
- sposoby
- we
- sieć
- serwer wWW
- usługi internetowe
- Strona internetowa
- strony internetowe
- DOBRZE
- były
- który
- Podczas
- cały
- szerokość
- będzie
- okna
- w
- w ciągu
- słowo
- workflow
- pracujący
- pisanie
- napisany
- tak
- jeszcze
- zefirnet