ESET Research dezvăluie o campanie a grupului APT cunoscut sub numele de Evasive Panda care vizează un ONG internațional din China cu programe malware furnizate prin actualizări ale software-ului popular chinezesc
Cercetătorii ESET au descoperit o campanie pe care o atribuim grupului APT cunoscut sub numele de Evasive Panda, în care canalele de actualizare ale aplicațiilor legitime au fost deturnate în mod misterios pentru a furniza programul de instalare pentru malware-ul MgBot, ușa principală a Evasive Panda.
- Utilizatorii din China continentală au fost vizați de programe malware furnizate prin actualizări pentru software dezvoltat de companii chineze.
- Analizăm ipotezele concurente despre modul în care malware-ul ar fi putut fi livrat utilizatorilor vizați.
- Cu mare încredere atribuim această activitate grupului Evasive Panda APT.
- Oferim o privire de ansamblu asupra backdoor-ului MgBot al lui Evasive Panda și a setului de instrumente al modulelor plugin.
Profil Evasive Panda
Panda evazivă (de asemenea cunoscut ca si BRONZ HIGHLAND și Daggerfly) este un grup APT vorbitor de chineză, activ din cel puțin 2012. ESET Research a observat că grupul efectuează spionaj cibernetic împotriva unor persoane din China continentală, Hong Kong, Macao și Nigeria. Entitățile guvernamentale au fost vizate în China, Macao și țările din Asia de Sud-Est și de Est, în special Myanmar, Filipine, Taiwan și Vietnam, în timp ce alte organizații din China și Hong Kong au fost, de asemenea, vizate. Potrivit rapoartelor publice, grupul a vizat și entități necunoscute din Hong Kong, India și Malaezia.
Grupul implementează propriul cadru de malware personalizat cu o arhitectură modulară care permite ușii din spate, cunoscută sub numele de MgBot, să primească module pentru a-și spiona victimele și a-și îmbunătăți capacitățile.
Prezentare generală a campaniei
În ianuarie 2022, am descoperit că, în timpul efectuării actualizărilor, o aplicație chineză legitimă a primit un program de instalare pentru ușa din spate Evasive Panda MgBot. În timpul investigației noastre, am descoperit că activitatea rău intenționată s-a întors în 2020.
Utilizatorii chinezi au fost în centrul acestei activități rău intenționate, pe care telemetria ESET o arată începând cu 2020 și continuă pe tot parcursul anului 2021. Utilizatorii vizați erau localizați în provinciile Gansu, Guangdong și Jiangsu, așa cum se arată în Figura 1.
Majoritatea victimelor chineze sunt membri ai unui ONG internațional care activează în două dintre provinciile menționate anterior.
De asemenea, s-a descoperit că o altă victimă se află în țara Nigeria.
atribuire
Evasive Panda folosește o ușă din spate personalizată cunoscută sub numele de MgBot, care a fost documentate public în 2014 și a cunoscut o evoluție mică de atunci; după cunoștințele noastre, ușa din spate nu a fost folosită de niciun alt grup. În acest grup de activitate rău intenționată, doar malware-ul MgBot a fost observat implementat pe mașinile victimizate, împreună cu setul său de instrumente de pluginuri. Prin urmare, cu mare încredere atribuim această activitate lui Evasive Panda.
Analiza tehnica
În timpul investigației noastre, am descoperit că, atunci când efectuăm actualizări automate, o componentă software de aplicație legitimă a descărcat programele de instalare backdoor MgBot de pe adrese URL și adrese IP legitime.
În Tabelul 1, furnizăm adresa URL de unde a provenit descărcarea, conform datelor de telemetrie ESET, inclusiv adresele IP ale serverelor, așa cum a fost rezolvată la momentul respectiv de sistemul utilizatorului; prin urmare, credem că aceste adrese IP sunt legitime. Conform înregistrărilor DNS pasive, toate aceste adrese IP se potrivesc cu domeniile observate, prin urmare credem că aceste adrese IP sunt legitime.
Tabel 1. Locații de descărcare rău intenționate conform telemetriei ESET
URL-ul | Văzut pentru prima dată | IP domeniului | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Ipoteze de compromis
Când am analizat probabilitatea mai multor metode care ar putea explica modul în care atacatorii au reușit să livreze malware prin actualizări legitime, am rămas cu două scenarii: compromisul lanțului de aprovizionare și atacurile adversar-in-the-middle. Pentru ambele scenarii vom lua în considerare și antecedentele unor atacuri similare ale altor grupuri APT vorbitoare de chineză.
Tencent QQ este un popular serviciu chinezesc de chat și social media. În secțiunile următoare, vom folosi actualizatorul software pentru client Windows Tencent QQ, QQUrlMgr.exe (enumerate în Tabelul 1), pentru exemplele noastre, având în vedere că avem cel mai mare număr de detectări din descărcări de către această componentă specială.
Scenariul de compromis al lanțului de aprovizionare
Având în vedere natura țintită a atacurilor, speculăm că atacatorii ar fi trebuit să compromită serverele de actualizare QQ pentru a introduce un mecanism de identificare a utilizatorilor vizați pentru a le livra malware-ul, eliminând utilizatorii care nu sunt vizați și oferindu-le actualizări legitime - ne-am înregistrat cazurile în care actualizările legitime au fost descărcate prin aceleași protocoale abuzate.
Deși nu este un caz Evasive Panda, un prim exemplu al acestui tip de compromis este în raportul nostru Operațiunea NightScout: Atacul din lanțul de aprovizionare vizează jocurile online din Asia, unde atacatorii au compromis serverele de actualizare ale unei companii de dezvoltare de software cu sediul în Hong Kong. Potrivit telemetriei noastre, peste 100,000 de utilizatori aveau software-ul BigNox instalat, dar doar cinci aveau malware livrat printr-o actualizare. Bănuim că atacatorii au compromis API-ul BigNox de pe serverul de actualizare pentru a răspunde la componenta de actualizare de pe mașinile utilizatorilor vizați cu o adresă URL către un server pe care atacatorii și-au găzduit programele malware; utilizatorilor care nu sunt vizați au primit adresa URL de actualizare legitimă.
Pe baza acestui antecedent, în Figura 2 ilustrăm modul în care scenariul de compromis al lanțului de aprovizionare s-ar fi putut desfășura conform observațiilor din telemetria noastră. Totuși, trebuie să avertizăm cititorul că aceasta este pură speculație și se bazează pe analiza noastră statică, cu informații foarte limitate, a QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
De asemenea, este de remarcat faptul că, în timpul cercetării noastre, nu am reușit niciodată să recuperăm un eșantion de date XML „actualizate” – nici un eșantion XML legitim, nici rău intenționat – de pe serverul contactat de QQUrlMgr.exe. Adresa URL de „verificare a actualizării” este codificată, în formă obscurată, în executabil, așa cum se arată în Figura 3.
Deofuscat, adresa URL completă a verificării actualizării este:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Serverul răspunde cu date în format XML codificate cu base64 și criptate cu o implementare a algoritmului TEA folosind o cheie de 128 de biți. Aceste date conțin instrucțiuni pentru descărcarea și executarea unui fișier, împreună cu alte informații. Deoarece cheia de decriptare este, de asemenea, codificată, așa cum se arată în Figura 4, ar putea fi cunoscută atacatorilor.
QQUrlMgr.exe apoi descarcă fișierul indicat, necriptat, prin HTTP și indexează conținutul acestuia cu algoritmul MD5. Rezultatul este verificat cu un hash prezent în datele XML de răspuns de verificare a actualizării, așa cum se vede în Figura 5. Dacă hashurile se potrivesc, QQUrlMgr.exe execută fișierul descărcat. Acest lucru întărește ipoteza noastră că atacatorii ar trebui să controleze mecanismul de pe serverul XML din serverul de actualizare pentru a putea furniza hash-ul MD5 corect al instalatorului de malware.
Credem că acest scenariu ar explica observațiile noastre; cu toate acestea, multe întrebări rămân fără răspuns. Am apelat la Tencent's Centrul de răspuns de securitate pentru a confirma legitimitatea adresei URL complete de unde a fost descărcat malware-ul; update.browser.qq[.]com este – la momentul redactării acestui articol – inaccesibil, dar Tencent nu a putut confirma dacă adresa URL completă era legitimă.
Scenariul adversarului din mijloc
Pe 2022-06-02, Kaspersky a publicat un cercetare raportați despre capacitățile grupului LuoYu APT vorbitor de limbă chineză și software-ul lor malware WinDealer. Similar cu ceea ce am observat pe acest grup de victime Evasive Panda, cercetătorii lor au descoperit că, din 2020, victimele LuoYu au primit malware WinDealer prin actualizări prin intermediul aplicației legitime qgametool.exe de la PPTV software, dezvoltat tot de o companie chineză.
WinDealer are o capacitate uluitoare: în loc să aibă o listă de servere C&C stabilite pe care să le contacteze în cazul unui compromis de succes, generează adrese IP aleatorii în 13.62.0.0/15 și 111.120.0.0/14 variază de la China Telecom AS4134. Deși o mică coincidență, am observat că adresele IP ale utilizatorilor chinezi vizați în momentul primirii malware-ului MgBot se aflau în intervalele de adrese IP AS4134 și AS4135.
Explicațiile posibile pentru ceea ce permite aceste capacități pentru infrastructura sa C&C sunt că LuoYu fie controlează o cantitate mare de dispozitive asociate cu adresele IP din acele intervale, fie că sunt capabile să facă adversar-la-mijloc (AitM) sau interceptarea atacatorului din partea infrastructurii respectivei AS.
Stilurile de interceptare AitM ar fi posibile dacă atacatorii – fie LuoYu, fie Evasive Panda – ar fi capabili să compromită dispozitive vulnerabile, cum ar fi routerele sau gateway-urile. Ca antecedent, în 2019 Cercetătorii ESET au descoperit că grupul chinez APT cunoscut sub numele de BlackTech a efectuat atacuri AitM prin routere ASUS compromise și a furnizat malware-ul Plead prin actualizările software ASUS WebStorage.
Cu acces la infrastructura principală a ISP – prin mijloace legale sau ilegale – Evasive Panda ar putea să intercepteze și să răspundă la solicitările de actualizare efectuate prin HTTP, sau chiar să modifice pachetele din mers. În aprilie 2023, cercetătorii Symantec raportate pe Evasive Panda care vizează o organizație de telecomunicații din Africa.
Wrap-up
În cele din urmă, fără alte dovezi, nu putem dovedi sau respinge o ipoteză în favoarea celeilalte, având în vedere că astfel de capacități sunt la îndemână pentru grupurile chineze APT.
Set de scule
MgBot
MgBot este principala ușă din spate pentru Windows folosită de Evasive Panda, care, conform constatărilor noastre, există cel puțin din 2012 și, așa cum se menționează în această postare pe blog, a fost public. documentat la VirusBulletin în 2014. A fost dezvoltat în C++ cu un design orientat pe obiecte și are capabilitățile de a comunica prin TCP și UDP și de a-și extinde funcționalitatea prin module plugin.
Programul de instalare și backdoor MgBot și funcționalitatea lor nu s-au schimbat semnificativ de când a fost documentat pentru prima dată. Lanțul său de execuție este același cu cel descris în aceasta raportează de Malwarebytes din 2020.
Pluginuri MgBot
Arhitectura modulară a lui MgBot îi permite să-și extindă funcționalitatea prin primirea și implementarea modulelor pe mașina compromisă. Tabelul 2 listează pluginurile cunoscute și funcționalitatea acestora. Este important să rețineți că pluginurile nu au numere interne de identificare unice; prin urmare, îi identificăm aici după numele lor DLL de pe disc, pe care nu le-am văzut niciodată să se schimbe.
Tabelul 2. Lista fișierelor DLL plugin
Nume DLL plugin | Descriere |
---|---|
Kstrcs.dll | Keylogger. Înregistrează în mod activ apăsările de taste numai atunci când fereastra din prim-plan aparține unui proces numit QQ.exe iar titlul ferestrei se potrivește QQEdit. Ținta probabilă este aplicația de chat Tencent QQ. |
sebasek.dll | Furător de fișiere. Are un fișier de configurare care permite colectarea fișierelor din diferite surse: HDD-uri, unități USB și CD-ROM-uri; precum și criterii bazate pe proprietățile fișierului: numele fișierului trebuie să conțină un cuvânt cheie dintr-o listă predefinită, dimensiunea fișierului trebuie să fie între o dimensiune definită, minimă și maximă. |
Cbmrpa.dll | Captează textul copiat în clipboard și înregistrează informații din cheia de registry USBSTOR. |
pRsm.dll | Captează fluxuri audio de intrare și ieșire. |
mailLFPassword.dll | Furător de acreditări. Fură acreditările de la Outlook și software-ul client de e-mail Foxmail. |
agentpwd.dll | Furător de acreditări. Fură acreditările de la Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla și WinSCP, printre altele. |
qmsdp.dll | Un plugin complex conceput pentru a fura conținutul din baza de date Tencent QQ care stochează istoricul mesajelor utilizatorului. Acest lucru se realizează prin corecția în memorie a componentei software KernelUtils.dll și aruncând un fals userenv.dll dll. |
wcdbcrk.dll | Furt de informații pentru Tencent WeChat. |
Gmck.dll | Fură de cookie-uri pentru Firefox, Chrome și Edge. |
Majoritatea pluginurilor sunt concepute pentru a fura informații din aplicații chineze foarte populare, cum ar fi QQ, WeChat, QQBrowser și Foxmail - toate acestea aplicații dezvoltate de Tencent.
Concluzie
Am descoperit o campanie pe care o atribuim grupului Evasive Panda APT, care vizează utilizatorii din China continentală, oferindu-le backdoor MgBot prin intermediul protocoalelor de actualizare a aplicațiilor de la companii chineze binecunoscute. De asemenea, am analizat pluginurile backdoor-ului MgBot și am constatat că majoritatea dintre ele sunt concepute pentru a spiona utilizatorii de software chinezesc prin furtul de acreditări și informații.
IoC-uri
Fişiere
SHA-1 | Filename | Detectare | Descriere |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | Plugin pentru furtul de informații MgBot. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | Plugin pentru furtul de fișiere MgBot. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | Pluginul MgBot keylogger. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | Plugin pentru furtul de cookie-uri MgBot. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | Plugin pentru furtul de informații MgBot. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | Plugin de captură audio MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | Plugin de captare a textului clipboard MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | Plugin pentru furtul de acreditări MgBot. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | Plugin pentru furtul de acreditări MgBot. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | Instalator MgBot. |
Reţea
IP | Furnizor de | Prima dată văzut | Detalii |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | Server MgBot C&C. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | Server MgBot C&C. |
Tehnici MITRE ATT&CK
Acest tabel a fost construit folosind Versiunea 12 din cadrul MITRE ATT&CK.
tactică | ID | Nume si Prenume | Descriere |
---|---|---|---|
Dezvoltarea resurselor | T1583.004 | Achiziționați infrastructură: Server | Evasive Panda a achiziționat servere pentru a fi utilizate pentru infrastructura C&C. |
T1587.001 | Dezvoltarea capacităților: Malware | Evasive Panda își dezvoltă ușile și pluginurile personalizate MgBot, inclusiv încărcătoare obscure. | |
Execuție | T1059.003 | Interpret de comandă și scripting: Windows Command Shell | Programul de instalare MgBot lansează serviciul din fișierele BAT cu comanda net start AppMgmt |
T1106 | API nativ | Programul de instalare MgBot folosește CreateProcessInternalW API de executat rundll32.exe pentru a încărca DLL backdoor. | |
T1569.002 | Servicii de sistem: Execuție serviciu | MgBot este executat ca un serviciu Windows. | |
Persistență | T1543.003 | Creați sau modificați procesul de sistem: Serviciu Windows | MgBot înlocuiește calea DLL-ului serviciului de gestionare a aplicațiilor existent cu propria sa. |
Privilegiul escaladării | T1548.002 | Mecanism de control al cotei abuzive: ocoliți controlul contului utilizatorului | MgBot efectuează UAC Bypass. |
Evaziunea apărării | T1140 | Deofuscați/Decodificați fișierele sau informațiile | Programul de instalare MgBot decriptează un fișier CAB încorporat care conține DLL backdoor. |
T1112 | Modificați registrul | MgBot modifică registry pentru persistență. | |
T1027 | Fișiere sau informații ofucate | Programul de instalare MgBot conține fișiere malware încorporate și șiruri criptate. MgBot conține șiruri criptate. Pluginurile MgBot conțin fișiere DLL încorporate. | |
T1055.002 | Injecție de proces: injecție portabilă executabilă | MgBot poate injecta fișiere executabile portabile în procesele de la distanță. | |
Acces la acreditări | T1555.003 | Acreditări din magazinele de parole: acreditări din browsere web | Modulul plugin MgBot agentpwd.dll fură acreditările din browserele web. |
T1539 | Fură cookie-ul de sesiune web | Modulul plugin MgBot Gmck.dll fură fursecuri. | |
Descoperire | T1082 | Descoperirea informațiilor de sistem | MgBot colectează informații despre sistem. |
T1016 | Descoperirea configurației rețelei sistemului | MgBot are capacitatea de a recupera informațiile de rețea. | |
T1083 | Descoperirea fișierelor și a directorului | MgBot are capacitatea de a crea liste de fișiere. | |
Colectie | T1056.001 | Captură de intrare: înregistrarea tastelor | Modulul plugin MgBot kstrcs.dll este un keylogger. |
T1560.002 | Arhivați datele colectate: arhivați prin bibliotecă | Modulul plugin al MgBot sebasek.dll folosește aPLib pentru a comprima fișierele pregătite pentru exfiltrare. | |
T1123 | Captură audio | Modulul plugin al MgBot pRsm.dll captează fluxurile audio de intrare și ieșire. | |
T1119 | Colectare automată | Modulele plugin ale MgBot captează date din diverse surse. | |
T1115 | Date din clipboard | Modulul plugin al MgBot Cbmrpa.dll captează textul copiat în clipboard. | |
T1025 | Date de pe suporturi amovibile | Modulul plugin al MgBot sebasek.dll colectează fișiere de pe medii amovibile. | |
T1074.001 | Etape de date: Staging local de date | Modulele de plugin ale MgBot pun în mod local datele pe disc. | |
T1114.001 | Colectare e-mail: Colectare locală e-mail | Modulele de plugin ale MgBot sunt concepute pentru a fura acreditările și informațiile de e-mail din mai multe aplicații. | |
T1113 | Captură de ecran | MgBot poate face capturi de ecran. | |
Comandă și Control | T1095 | Protocol non-aplicație de nivel | MgBot comunică cu C&C prin protocoale TCP și UDP. |
Exfiltrarea | T1041 | Exfiltrare peste canalul C2 | MgBot efectuează exfiltrarea datelor colectate prin C&C. |
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :are
- :este
- :nu
- :Unde
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Capabil
- Despre Noi
- acces
- Conform
- Cont
- realizat
- dobândite
- activ
- activitate
- Suplimentar
- adrese
- Africa
- împotriva
- Algoritmul
- TOATE
- permite
- de-a lungul
- de asemenea
- Cu toate ca
- printre
- sumă
- an
- analiză
- analiza
- și
- Orice
- api
- aplicație
- aplicatii
- Aprilie
- APT
- arhitectură
- arhivă
- SUNT
- AS
- asiatic
- asociate
- At
- ataca
- Atacuri
- audio
- Automata
- înapoi
- Șira spinării
- ușă din dos
- bazat
- BAT
- BE
- fost
- Crede
- aparține
- CEL MAI BUN
- între
- Blog
- atât
- browser-ul
- browsere
- construit
- dar
- by
- C ++
- Campanie
- CAN
- nu poti
- capacități
- captura
- capturi
- purtător
- caz
- cazuri
- lanţ
- Schimbare
- canale
- verifica
- verificat
- China
- chinez
- Chrome
- client
- Grup
- cod
- coincidență
- colectare
- comunica
- Companii
- companie
- concurente
- Completă
- complex
- component
- compromis
- compromis
- efectuarea
- încredere
- Configuraţie
- Confirma
- contactați-ne
- conţine
- conține
- conţinut
- conținut
- continuarea
- Control
- fursecuri
- ar putea
- țări
- ţară
- Crearea
- CREDENTIALĂ
- scrisori de acreditare
- Criteriile de
- personalizat
- de date
- Baza de date
- definit
- livra
- livrate
- livrarea
- Oferă
- dislocate
- Implementarea
- descris
- Amenajări
- proiectat
- dezvoltat
- Dezvoltator
- dezvoltă
- Dispozitive
- diferit
- a descoperit
- dns
- do
- domenii
- Dont
- Descarca
- download-uri
- scăparea
- în timpul
- Est
- Margine
- oricare
- încorporat
- permite
- criptate
- spori
- entități
- Cercetare ESET
- stabilit
- Chiar
- dovadă
- evoluţie
- exemplu
- exemple
- a executa
- Executa
- execuție
- exfiltrațiile
- existent
- Explica
- extinde
- fals
- favoriza
- Figura
- Fișier
- Fişiere
- filtrare
- Firefox
- First
- pilot
- Concentra
- Pentru
- formă
- găsit
- Cadru
- din
- Complet
- funcționalitate
- mai mult
- jocuri
- generează
- dat
- Guvern
- Entități guvernamentale
- grup
- Grupului
- Guangdong
- HAD
- mână
- hașiș
- Avea
- aici
- Înalt
- cea mai mare
- extrem de
- istorie
- Hong
- Hong Kong
- găzduit
- Cum
- Totuși
- http
- HTTPS
- Identificare
- identifica
- identificarea
- if
- Ilegal
- implementarea
- ustensile
- important
- in
- Inclusiv
- India
- indicată
- persoane fizice
- informații
- Infrastructură
- intrare
- instalat
- in schimb
- instrucțiuni
- intern
- Internațional
- în
- introduce
- investigaţie
- IP
- Adresele IP
- ISP
- IT
- ESTE
- ianuarie
- Kaspersky
- Cheie
- cunoştinţe
- cunoscut
- Kong
- mare
- lansează
- strat
- Legal
- legitimitate
- legitim
- Probabil
- Limitat
- Listă
- listat
- înregistrări
- liste
- mic
- încărca
- local
- la nivel local
- situat
- Locații
- maşină
- Masini
- continent
- Majoritate
- Malaezia
- malware
- Malwarebytes
- gestionate
- administrare
- multe
- Hartă
- Meci
- max-width
- maxim
- MD5
- mijloace
- mecanism
- Mass-media
- Membri actuali
- menționat
- mesaj
- Metode
- minim
- modifica
- modular
- Module
- Module
- mai mult
- Myanmar
- Numit
- nume
- Natură
- Nevoie
- necesar
- Nici
- reţea
- următor
- Ngo
- Nigeria
- număr
- numere
- of
- on
- ONE
- on-line
- jocuri online
- afară
- Operă
- opereaza
- or
- organizație
- organizații
- originea
- Altele
- Altele
- al nostru
- afară
- Perspectivă
- producție
- peste
- Prezentare generală
- propriu
- pachete
- special
- pasiv
- Parolă
- patching
- cale
- efectuarea
- efectuează
- persistență
- Filipine
- Plato
- Informații despre date Platon
- PlatoData
- invoca
- conecteaza
- Plugin-uri
- puncte
- Popular
- posibil
- Post
- prezenta
- în prealabil
- primar
- Prim
- proces
- procese
- proprietăţi
- protocoale
- Dovedi
- furniza
- provincii
- public
- public
- publicat
- pur
- Întrebări
- aleator
- atins
- Cititor
- a primi
- primit
- primire
- înregistrări
- Recupera
- înregistrată
- registru
- la distanta
- răspuns
- raportează
- Rapoarte
- cereri de
- cercetare
- cercetători
- hotărât
- răspuns
- rezultat
- s
- acelaşi
- scenariu
- scenarii
- capturi de ecran
- secțiuni
- securitate
- văzut
- Secvenţă
- Servere
- serviciu
- Servicii
- sesiune
- câteva
- indicat
- Emisiuni
- semnificativ
- asemănător
- întrucât
- Mărimea
- mic
- Social
- social media
- Software
- Surse
- specific
- speculație
- Etapă
- Începe
- Pornire
- fură
- Încă
- magazine
- fluxuri
- de succes
- astfel de
- sistem
- tabel
- Taiwan
- Lua
- Ţintă
- vizate
- direcționare
- obiective
- Ceai
- telecom
- de telecomunicaţii
- Tencent
- decât
- acea
- Filipine
- lor
- Lor
- apoi
- prin urmare
- Acestea
- ei
- acest
- aceste
- Prin
- de-a lungul
- timp
- Titlu
- la
- Toolkit
- tip
- unic
- de neatins
- Actualizează
- actualizări
- URL-ul
- USB
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- diverse
- foarte
- de
- Victimă
- victime
- Vietnam
- vulnerabil
- a fost
- we
- web
- Browsere web
- BINE
- bine cunoscut
- au fost
- Ce
- cand
- dacă
- care
- în timp ce
- larg
- Wikipedia
- voi
- ferestre
- cu
- fără
- valoare
- ar
- scris
- XML
- zephyrnet