Cercetătorii ESET au descoperit o campanie de spionaj cibernetic care, cel puțin din septembrie 2023, îi victimizează pe tibetani printr-o gaură de adăpare țintită (cunoscută și ca compromis strategic web) și un compromis al lanțului de aprovizionare pentru a furniza instalatori troieni de software de traducere în limba tibetană. Atacatorii și-au propus să implementeze aplicații de descărcare rău intenționate pentru Windows și macOS pentru a compromite vizitatorii site-ului web cu MgBot și o ușă din spate care, după cunoștințele noastre, nu a fost încă documentată public; l-am numit Nightdoor.
Puncte cheie în această postare pe blog:
- Am descoperit o campanie de spionaj cibernetic care folosește Festivalul Monlam – o adunare religioasă – pentru a viza tibetanii din mai multe țări și teritorii.
- Atacatorii au compromis site-ul web al organizatorului festivalului anual, care are loc în India, și au adăugat cod rău intenționat pentru a crea un atac care vizează utilizatorii care se conectează de la anumite rețele.
- De asemenea, am descoperit că lanțul de aprovizionare al unui dezvoltator de software a fost compromis și că utilizatorii le-au oferit instalatoare troiene pentru Windows și macOS.
- Atacatorii au introdus o serie de programe de descărcare rău intenționate și uși din spate cu funcții complete pentru operațiune, inclusiv o ușă din spate nedocumentată public pentru Windows, pe care am numit-o Nightdoor.
- Atribuim această campanie cu mare încredere grupului Evasive Panda APT aliniat cu China.
Profil Evasive Panda
Panda evazivă (de asemenea cunoscut ca si BRONZ HIGHLAND și Daggerfly) este un grup APT vorbitor de chineză, activ din cel puțin 2012. ESET Research a observat că grupul efectuează spionaj cibernetic împotriva unor persoane din China continentală, Hong Kong, Macao și Nigeria. Entitățile guvernamentale au fost vizate în Asia de Sud-Est și de Est, în special China, Macao, Myanmar, Filipine, Taiwan și Vietnam. Au fost vizate și alte organizații din China și Hong Kong. Potrivit rapoartelor publice, grupul a vizat și entități necunoscute din Hong Kong, India și Malaezia.
Grupul folosește propriul cadru de malware personalizat cu o arhitectură modulară care permite ușii din spate, cunoscută sub numele de MgBot, să primească module pentru a-și spiona victimele și a-și îmbunătăți capacitățile. Din 2020, am observat, de asemenea, că Evasive Panda are capabilități de a-și oferi ușile din spate prin atacuri adverse din mijloc. deturnarea actualizărilor de software legitim.
Prezentare generală a campaniei
În ianuarie 2024, am descoperit o operațiune de spionaj cibernetic în care atacatorii au compromis cel puțin trei site-uri web pentru a desfășura atacuri de avarie, precum și un compromis al lanțului de aprovizionare al unei companii tibetane de software.
Site-ul web compromis, abuzat ca o gaură de apă, aparține Kagyu International Monlam Trust, o organizație cu sediul în India care promovează budismul tibetan la nivel internațional. Atacatorii au plasat un script pe site-ul web care verifică adresa IP a potențialei victime și, dacă se află într-unul dintre intervalele vizate de adrese, afișează o pagină de eroare falsă pentru a atrage utilizatorul să descarce o „remediere” numită certificat (cu o extensie .exe dacă vizitatorul folosește Windows sau .pachet dacă macOS). Acest fișier este un program de descărcare rău intenționat care implementează următoarea etapă din lanțul de compromis.
Pe baza intervalelor de adrese IP pe care le verifică codul, am descoperit că atacatorii au vizat utilizatori din India, Taiwan, Hong Kong, Australia și Statele Unite; atacul ar fi putut avea ca scop valorificarea interesului internațional pentru Festivalul Kagyu Monlam (Figura 1), care are loc anual în ianuarie în orașul Bodhgaya, India.
Interesant este că rețeaua Institutului de Tehnologie din Georgia (cunoscută și ca Georgia Tech) din Statele Unite se numără printre entitățile identificate în intervalele de adrese IP vizate. În trecut, universitatea a fost menționată în legătură cu influenţa Partidului Comunist Chinez asupra institutelor de învăţământ din SUA.
În jurul lunii septembrie 2023, atacatorii au compromis site-ul unei companii de dezvoltare de software cu sediul în India, care produce software de traducere în limba tibetană. Atacatorii au plasat acolo mai multe aplicații troiene care implementează un program de descărcare rău intenționat pentru Windows sau macOS.
În plus, atacatorii au abuzat de același site web și de un site de știri tibetan numit Tibetpost – tibetpost[.]net – pentru a găzdui încărcăturile utile obținute prin descărcări rău intenționate, inclusiv două uși din spate cu funcții complete pentru Windows și un număr necunoscut de încărcări utile pentru macOS.
Cu mare încredere atribuim această campanie grupului Evasive Panda APT, bazată pe malware-ul folosit: MgBot și Nightdoor. În trecut, am văzut ambele uși din spate desfășurate împreună, într-un atac fără legătură împotriva unei organizații religioase din Taiwan, în care au împărțit și același server C&C. Ambele puncte se aplică și campaniei descrise în această postare pe blog.
gaura de udare
La 14 ianuarieth, 2024, am detectat un script suspect la https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Cod ofuscat rău intenționat a fost adăugat la un cod legitim jQuery Scriptul bibliotecii JavaScript, așa cum se vede în Figura 2.
Scriptul trimite o solicitare HTTP la adresa localhost http://localhost:63403/?callback=handleCallback pentru a verifica dacă descărcatorul intermediar al atacatorului rulează deja pe mașina potențială victimă (vezi Figura 3). La o mașină compromisă anterior, implantul răspunde cu handleCallback({„succes”:true }) (vezi Figura 4) și nu sunt întreprinse alte acțiuni de către script.
Dacă aparatul nu răspunde cu datele așteptate, codul rău intenționat continuă prin obținerea unui hash MD5 de la un server secundar la https://update.devicebug[.]com/getVersion.php. Apoi hash-ul este verificat cu o listă de 74 de valori hash, așa cum se vede în Figura 6.
Dacă există o potrivire, scriptul va reda o pagină HTML cu o notificare falsă de blocare (Figura 7) menită să-l convingă pe utilizatorul vizitator să descarce o soluție pentru a remedia problema. Pagina imită tipicul „Aw, Snap!” avertismente de la Google Chrome.
Butonul „Remediere imediată” declanșează un script care descarcă o sarcină utilă bazată pe sistemul de operare al utilizatorului (Figura 8).
Rupând hașul
Condiția pentru livrarea sarcinii utile necesită obținerea hash-ului corect de la server la update.devicebug[.]com, deci cele 74 de hashe-uri sunt cheia mecanismului de selectare a victimelor atacatorului. Cu toate acestea, deoarece hash-ul este calculat pe partea de server, a reprezentat o provocare pentru noi să știm ce date sunt folosite pentru a-l calcula.
Am experimentat cu diferite adrese IP și configurații de sistem și am restrâns intrarea pentru algoritmul MD5 la o formulă a primilor trei octeți ai adresei IP a utilizatorului. Cu alte cuvinte, introducând adrese IP care partajează același prefix de rețea, de exemplu 192.168.0.1 și 192.168.0.50, va primi același hash MD5 de la serverul C&C.
Cu toate acestea, o combinație necunoscută de caractere sau a sare, este inclus cu șirul primilor trei octeți IP înainte de hashing pentru a preveni hashurile să fie trivial forțate brute. Prin urmare, trebuia să forțăm sarea pentru a securiza formula de intrare și abia apoi să generăm hashuri folosind întreaga gamă de adrese IPv4 pentru a găsi cele 74 de hashe-uri potrivite.
Uneori, stelele se aliniază și ne-am dat seama că sarea era 1qaz0okm!@#. Cu toate componentele formulei de intrare MD5 (de exemplu, 192.168.1.1qaz0okm!@#), am forțat cu ușurință cele 74 de hashe-uri și am generat o listă de ținte. Vezi Apendice pentru o listă completă.
După cum se arată în Figura 9, majoritatea intervalelor de adrese IP vizate sunt în India, urmată de Taiwan, Australia, Statele Unite și Hong Kong. Rețineți că majoritatea diaspora tibetană locuiește în India.
Sarcina utilă Windows
Pe Windows, victimele atacului sunt servite cu un executabil rău intenționat localizat la https://update.devicebug[.]com/fixTools/certificate.exe. Figura 10 arată lanțul de execuție care urmează atunci când utilizatorul descarcă și execută remedierea rău intenționată.
certificate.exe este un dropper care implementează un lanț de încărcare laterală pentru a încărca un descărcator intermediar, memmgrset.dll (numit intern http_dy.dll). Acest DLL preia un fișier JSON de la serverul C&C la https://update.devicebug[.]com/assets_files/config.json, care conține informațiile pentru a descărca etapa următoare (vezi Figura 11).
Când următoarea etapă este descărcată și executată, acesta implementează un alt lanț de încărcare laterală pentru a livra Nightdoor ca sarcină utilă finală. O analiză a Nightdoor este oferită mai jos în Ușa de noapte secţiune.
sarcină utilă macOS
Malware-ul macOS este același program de descărcare în care documentăm mai detaliat Compromis cu lanțul de aprovizionare. Cu toate acestea, acesta elimină un executabil suplimentar Mach-O, care ascultă pe portul TCP 63403. Singurul său scop este să răspundă cu handleCallback({„succes”:true }) la cererea rău intenționată a codului JavaScript, deci dacă utilizatorul vizitează din nou site-ul web, codul JavaScript nu va încerca să compromită din nou vizitatorul.
Acest program de descărcare obține fișierul JSON de pe server și descarcă etapa următoare, la fel ca versiunea Windows descrisă anterior.
Compromis cu lanțul de aprovizionare
La 18 ianuarieth, am descoperit că site-ul web oficial (Figura 12) al unui produs software de traducere în limba tibetană pentru mai multe platforme găzduia pachete ZIP care conțineau programe de instalare troiene pentru software-ul legitim care a implementat programe de descărcare rău intenționate pentru Windows și macOS.
Am găsit o victimă din Japonia care a descărcat unul dintre pachetele pentru Windows. Tabelul 1 listează adresele URL și implanturile scăpate.
Tabelul 1. URL-urile pachetelor rău intenționate de pe site-ul web compromis și tipul de încărcare utilă din aplicația compromisă
Adresa URL a pachetului rău intenționat |
Tip de sarcină utilă |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Descărcător Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Descărcător Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Descărcător Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
program de descărcare macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
program de descărcare macOS |
Pachete Windows
Figura 13 ilustrează lanțul de încărcare a aplicației troianizate din pachet monlam-bodyig3.zip.
Aplicația troianizată conține un dropper rău intenționat numit autorun.exe care implementează două componente:
- un fișier executabil numit MonlamUpdate.exe, care este o componentă software de la un emulator numit C64 Pentru totdeauna și este abuzat pentru încărcarea laterală a DLL și
- RPHost.dll, DLL-ul încărcat lateral, care este un program de descărcare rău intenționat pentru etapa următoare.
Când DLL-ul de descărcare este încărcat în memorie, acesta creează o sarcină programată numită Demovale destinat să fie executat de fiecare dată când un utilizator se conectează. Cu toate acestea, deoarece sarcina nu specifică un fișier de executat, nu reușește să stabilească persistența.
Apoi, acest DLL primește un UUID și versiunea sistemului de operare pentru a crea un User-Agent personalizat și trimite o solicitare GET către https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat pentru a obține un fișier JSON care conține adresa URL pentru a descărca și a executa o sarcină utilă pe care o trimite la % TEMP% director. Nu am putut obține un eșantion de date despre obiectul JSON de pe site-ul web compromis; prin urmare nu știm de unde exact default_ico.exe este descărcat, așa cum este ilustrat în Figura 13.
Prin telemetria ESET, am observat că este ilegitim MonlamUpdate.exe proces descărcat și executat în diferite ocazii cel puțin patru fișiere rău intenționate la %TEMP%default_ico.exe. Tabelul 2 listează acele fișiere și scopul lor.
Tabelul 2. Hash al default_ico.exe descărcare/dropper, adresa URL C&C contactată și descrierea instrumentului de descărcare
SHA-1 |
Adresa URL de contact |
Scop |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Descarcă o sarcină necunoscută de pe server. |
F0F8F60429E3316C463F |
Descarcă o sarcină necunoscută de pe server. Acest eșantion a fost scris în Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Descarcă un dropper Nightdoor numit aleatoriu. |
BFA2136336D845184436 |
- |
Instrument open-source Informatie de sistem, în care atacatorii și-au integrat codul rău intenționat și au încorporat un blob criptat care, odată decriptat și executat, instalează MgBot. |
În sfârșit, default_ico.exe Descărcătorul sau dropperul fie vor obține încărcătura utilă de la server, fie o vor renunța, apoi o vor executa pe mașina victimă, instalând fie Nightdoor (vezi Ușa de noapte secțiunea) sau MgBot (a se vedea analiză anterioară).
Cele două pachete troiene rămase sunt foarte asemănătoare, implementând același DLL de descărcare rău intenționat, încărcat lateral de executabilul legitim.
pachete macOS
Arhiva ZIP descărcată din magazinul oficial de aplicații conține un pachet de instalare modificat (.pachet fișier), unde au fost adăugate un executabil Mach-O și un script post-instalare. Scriptul de post-instalare copiază fișierul Mach-O în $HOME/Biblioteca/Containere/CalendarFocusEXT/ și continuă să instaleze un agent de lansare în $HOME/Library/LaunchAgents/com.Terminal.us.plist pentru persistență. Figura 14 prezintă scriptul responsabil pentru instalarea și lansarea agentului de lansare rău intenționat.
Mach-O rău intenționat, Monlam-bodyig_Keyboard_2017 din Figura 13 este semnat, dar nu legalizat, folosind un certificat de dezvoltator (nu a Tip de certificat folosit de obicei pentru distribuție) cu numele și identificatorul echipei ya ni yang (2289F6V4BN). Marca temporală din semnătură arată că a fost semnată pe 7 ianuarieth, 2024. Această dată este folosită și în marcajul de timp modificat al fișierelor rău intenționate din metadatele arhivei ZIP. Certificatul a fost eliberat cu doar trei zile înainte. Certificatul complet este disponibil în IoC-uri secțiune. Echipa noastră a contactat Apple pe 25 ianuarieth iar certificatul a fost retras în aceeași zi.
Acest malware din prima etapă descarcă un fișier JSON care conține adresa URL pentru etapa următoare. Arhitectura (ARM sau Intel), versiunea macOS și UUID-ul hardware (un identificator unic pentru fiecare Mac) sunt raportate în antetul solicitării HTTP User-Agent. Aceeași adresă URL ca și versiunea Windows este utilizată pentru a prelua acea configurație: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Cu toate acestea, versiunea macOS va analiza datele de sub cheia mac a obiectului JSON în loc de câştiga cheie.
Obiectul de sub cheia mac ar trebui să conțină următoarele:
- url: URL-ul către etapa următoare.
- md5: suma MD5 a sarcinii utile.
- vernow: O listă de UUID-uri hardware. Dacă este prezentă, sarcina utilă va fi instalată numai pe Mac-urile care au unul dintre UUID-urile hardware enumerate. Această verificare este omisă dacă lista este goală sau lipsește.
- versiune: O valoare numerică care trebuie să fie mai mare decât „versiunea” a doua etapă descărcată anterior. În caz contrar, sarcina utilă nu este descărcată. Valoarea versiunii care rulează în prezent este păstrată în aplicație valorile implicite ale utilizatorului.
După ce malware-ul descarcă fișierul de la adresa URL specificată folosind curl, fișierul este hashing folosind MD5 și comparat cu rezumatul hexazecimal sub md5 cheie. Dacă se potrivește, atributele sale extinse sunt eliminate (pentru a șterge atributul com.apple.quarantine), fișierul este mutat în $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, și este lansat folosind execvp cu argumentul rulat.
Spre deosebire de versiunea Windows, nu am putut găsi niciuna dintre etapele ulterioare ale variantei macOS. O configurație JSON conținea un hash MD5 (3C5739C25A9B85E82E0969EE94062F40), dar câmpul URL era gol.
Ușa de noapte
Ușa din spate pe care am numit-o Nightdoor (și este numită NetMM de către autorii de malware în funcție de căile PDB) este o adăugare târzie la setul de instrumente Evasive Panda. Cele mai vechi cunoștințe despre Nightdoor datează din 2020, când Evasive Panda l-a desfășurat pe o mașină a unei ținte de mare profil din Vietnam. Ușa din spate comunică cu serverul său C&C prin UDP sau API-ul Google Drive. Implantul Nightdoor din această campanie l-a folosit pe acesta din urmă. Criptează un API Google OAuth 2.0 jeton în secțiunea de date și folosește jetonul pentru a accesa Google Drive al atacatorului. Am solicitat ca contul Google asociat cu acest simbol să fie eliminat.
În primul rând, Nightdoor creează un folder în Google Drive care conține adresa MAC a victimei, care acționează și ca un ID de victimă. Acest folder va conține toate mesajele dintre implant și serverul C&C. Fiecare mesaj dintre Nightdoor și serverul C&C este structurat ca un fișier și separat în nume de fișier și date de fișier, așa cum este prezentat în Figura 15.
Fiecare nume de fișier conține opt atribute principale, ceea ce este demonstrat în exemplul de mai jos.
Exemplu:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: valoare magică.
- 0C64C2BAEF534C8E9058797BCD783DE5: antet al pbuf structură de date.
- 168: dimensiunea obiectului mesajului sau dimensiunea fișierului în octeți.
- 0: nume de fișier, care este întotdeauna implicit 0 (null).
- 1: tip de comandă, codificată la 1 sau 0, în funcție de eșantion.
- 4116: ID comandă.
- 0: calitatea serviciului (QoS).
- 00-00-00-00-00-00: menită să fie adresa MAC a destinației, dar este întotdeauna implicită 00-00-00-00-00-00.
Datele din interiorul fiecărui fișier reprezintă comanda controlerului pentru ușa din spate și parametrii necesari pentru a-l executa. Figura 16 prezintă un exemplu de mesaj de server C&C stocat ca date de fișier.
Prin inginerie inversă Nightdoor, am putut înțelege semnificația câmpurilor importante prezentate în fișier, așa cum se arată în Figura 17.
Am descoperit că la versiunea Nightdoor utilizată în această campanie au fost adăugate multe modificări semnificative, una dintre ele fiind organizarea ID-urilor de comandă. În versiunile anterioare, fiecare ID de comandă a fost atribuit unei funcții de gestionare unul câte unul, așa cum se arată în Figura 18. Opțiunile de numerotare, cum ar fi de la 0x2001 la 0x2006, din 0x2201 la 0x2203, din 0x4001 la 0x4003Și de la 0x7001 la 0x7005, a sugerat că comenzile sunt împărțite în grupuri cu funcționalități similare.
Cu toate acestea, în această versiune, Nightdoor folosește un tabel de ramuri pentru a organiza toate ID-urile de comandă cu gestionatorii lor corespunzători. ID-urile de comandă sunt continue pe tot parcursul și acționează ca indecși pentru gestionatorii lor corespunzători în tabelul de ramuri, așa cum se arată în Figura 19.
Tabelul 3 este o previzualizare a comenzilor serverului C&C și a funcționalităților acestora. Acest tabel conține noile ID-uri de comandă, precum și ID-urile echivalente din versiunile mai vechi.
Tabelul 3. Comenzi suportate de variantele Nightdoor utilizate în această campanie.
ID de comandă |
ID-ul comenzii anterioare |
Descriere |
|
0x1001 |
0x2001 |
Colectați informații de bază despre profilul sistemului, cum ar fi: – Versiunea sistemului de operare – adaptoare de rețea IPv4, adrese MAC și adrese IP – numele procesorului - Numele calculatorului - Nume de utilizator – Numele driverelor de dispozitiv – Toate numele de utilizator de la C:Utilizatori* - Ora locala – Adresă IP publică folosind ifconfig.me or ipinfo.io serviciu web |
|
0x1007 |
0x2002 |
Colectați informații despre unitățile de disc, cum ar fi: – Numele unității – Spațiu liber și spațiu total – Tipul sistemului de fișiere: NTFS, FAT32 etc. |
|
0x1004 |
0x2003 |
Colectați informații despre toate aplicațiile instalate sub cheile de registry Windows: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Colectați informații despre procesele care rulează, cum ar fi: - Numele procesului – Numărul de fire - Nume de utilizator – Locația fișierului pe disc – Descrierea fișierului de pe disc |
|
0x1006 |
0x4001 |
Creați un shell invers și gestionați intrarea și ieșirea prin conducte anonime. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
- |
Auto-dezinstalare. |
|
0x100C |
0x6001 |
Mutați fișierul. Calea este furnizată de serverul C&C. |
|
0x100B |
0x6002 |
Sterge fisierul. Calea este furnizată de serverul C&C. |
|
0x1016 |
0x6101 |
Obțineți atributele fișierului. Calea este furnizată de serverul C&C. |
Concluzie
Am analizat o campanie a APT Evasive Panda, aliniată la China, care i-a vizat pe tibetani din mai multe țări și teritorii. Credem că atacatorii au valorificat, la acea vreme, viitorul festival Monlam din ianuarie și februarie 2024 pentru a compromite utilizatorii atunci când au vizitat site-ul web al festivalului, devenit adăpare. În plus, atacatorii au compromis lanțul de aprovizionare al unui dezvoltator de software de aplicații de traducere în limba tibetană.
Atacatorii au lansat mai multe aplicații de descărcare, droppers și backdoors, inclusiv MgBot – care este folosit exclusiv de Evasive Panda – și Nightdoor: cea mai recentă adăugare majoră la setul de instrumente al grupului și care a fost folosit pentru a viza mai multe rețele din Asia de Est.
O listă cuprinzătoare de Indicatori de compromis (IoC) și mostre poate fi găsită în nostru GitHub depozit.
Pentru orice întrebări despre cercetarea noastră publicată pe WeLiveSecurity, vă rugăm să ne contactați la threatintel@eset.com.
ESET Research oferă rapoarte private de informații APT și fluxuri de date. Pentru orice întrebări despre acest serviciu, vizitați ESET Threat Intelligence .
IoC-uri
Fişiere
SHA-1 |
Filename |
Detectare |
Descriere |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Componenta Dropper adăugată la pachetul oficial de instalare. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Descărcător intermediar. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Descărcător intermediar programat în Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Descărcător Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Dropper pentru ușă de noapte. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Incarcator intermediar. |
5273B45C5EABE64EDBD0 |
certificat.pkg |
OSX/Agent.DJ |
Componenta dropper MacOS. |
5E5274C7D931C1165AA5 |
certificate.exe |
Win32/Agent.AGES |
Componenta dropper de pe site-ul web compromis. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Componenta picurătoare pentru ușă de noapte. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Încărcător intermediar pentru componenta de descărcare Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Încărcător intermediar pentru Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Instalator troianizat. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript rău intenționat a fost adăugat pe site-ul web compromis. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Instalator troianizat. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Pachetul de instalare troianizat. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Pachetul de instalare troianizat. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
Pachetul de instalare MacOS troianizat. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
Pachetul de instalare MacOS troianizat. |
C0575AF04850EB1911B0 |
Securitate~.x64 |
OSX/Agent.DJ |
Descărcător MacOS. |
7C3FD8EE5D660BBF43E4 |
Securitate~.arm64 |
OSX/Agent.DJ |
Descărcător MacOS. |
FA78E89AB95A0B49BC06 |
Securitate.grasime |
OSX/Agent.DJ |
Componenta de descărcare MacOS. |
5748E11C87AEAB3C19D1 |
Fișier de export Monlam_Grand_Dictionary |
OSX/Agent.DJ |
Componentă rău intenționată din pachetul de instalare macOS troianizat. |
certificate
Număr de serie |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Amprentă |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Subiectul CN |
Dezvoltare Apple: ya ni yang (2289F6V4BN) |
Subiectul O |
ya ni yang |
Subiectul L |
- |
Subiectul S |
- |
Subiectul C |
US |
Valabil din |
2024-01-04 05:26:45 |
Valabil pana la |
2025-01-03 05:26:44 |
Număr de serie |
6014B56E4FFF35DC4C948452B77C9AA9 |
Amprentă |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Subiectul CN |
KP MOBILE |
Subiectul O |
KP MOBILE |
Subiectul L |
- |
Subiectul S |
- |
Subiectul C |
KR |
Valabil din |
2021-10-25 00:00:00 |
Valabil pana la |
2022-10-25 23:59:59 |
IP |
domeniu |
Furnizor de gazduire |
Văzut pentru prima dată |
Detalii |
- |
tibetpost[.]net |
- |
2023-11-29 |
Site compromis. |
- |
www.monlamit[.]com |
- |
2024-01-24 |
Site compromis. |
- |
update.devicebug[.]com |
- |
2024-01-14 |
DC. |
188.208.141[.]204 |
- |
Amol Hingade |
2024-02-01 |
Server de descărcare pentru componenta dropper Nightdoor. |
Tehnici MITRE ATT&CK
Acest tabel a fost construit folosind Versiunea 14 din cadrul MITRE ATT&CK.
tactică |
ID |
Nume si Prenume |
Descriere |
Dezvoltarea resurselor |
Achiziționați infrastructură: Server |
Evasive Panda a achiziționat servere pentru infrastructura C&C a Nightdoor, MgBot și componenta de descărcare a macOS. |
|
Achiziționați infrastructură: servicii web |
Evasive Panda a folosit serviciul web Google Drive pentru infrastructura C&C Nightdoor. |
||
Compromis Infrastructura: Server |
Operatorii Evasive Panda au compromis mai multe servere pentru a le folosi ca gropi de apă, pentru un atac al lanțului de aprovizionare și pentru a găzdui încărcături utile și a le utiliza ca servere C&C. |
||
Stabiliți Conturi: Conturi Cloud |
Evasive Panda a creat un cont Google Drive și l-a folosit ca infrastructură C&C. |
||
Dezvoltarea capacităților: Malware |
Evasive Panda a implementat implanturi personalizate, cum ar fi MgBot, Nightdoor și o componentă de descărcare macOS. |
||
T1588.003 |
Obține capabilități: certificate de semnare a codului |
Evasive Panda a obținut certificate de semnare a codului. |
|
Capabilități de etapă: Drive-by țintă |
Operatorii Evasive Panda au modificat un site web de mare profil pentru a adăuga o bucată de cod JavaScript care redă o notificare falsă pentru a descărca malware. |
||
Acces inițial |
Compromis de conducere |
Vizitatorii site-urilor web compromise pot primi un mesaj de eroare fals care îi atrage să descarce programe malware. |
|
Compromis în lanțul de aprovizionare: Compromis în lanțul de aprovizionare cu software |
Evasive Panda a troianizat pachetele oficiale de instalare de la o companie de software. |
||
Execuție |
API nativ |
Nightdoor, MgBot și componentele lor intermediare de descărcare folosesc API-urile Windows pentru a crea procese. |
|
Sarcină/Job programat: Sarcină programată |
Componentele de încărcare Nightdoor și MgBot pot crea sarcini programate. |
||
Persistență |
Creați sau modificați procesul de sistem: Serviciu Windows |
Componentele de încărcare Nightdoor și MgBot pot crea servicii Windows. |
|
Flux de execuție a deturnării: DLL-încărcare laterală |
Componentele dropper ale Nightdoor și MgBot implementează un fișier executabil legitim care încarcă lateral un încărcător rău intenționat. |
||
Evaziunea apărării |
Deofuscați/Decodificați fișierele sau informațiile |
Componentele DLL ale implantului Nightdoor sunt decriptate în memorie. |
|
Deteriorarea apărărilor: dezactivați sau modificați paravanul de protecție a sistemului |
Nightdoor adaugă două reguli Windows Firewall pentru a permite comunicațiile de intrare și de ieșire pentru funcționalitatea serverului proxy HTTP. |
||
Eliminarea indicatorului: ștergerea fișierului |
Nightdoor și MgBot pot șterge fișiere. |
||
Îndepărtarea indicatorului: persistență clară |
Nightdoor și MgBot se pot dezinstala singure. |
||
Masquerading: Masquerade Sarcină sau serviciu |
Încărcătorul lui Nightdoor și-a deghizat sarcina în netsvcs. |
||
Masquerading: potriviți numele sau locația legitimă |
Programul de instalare Nightdoor își implementează componentele în directoare de sistem legitime. |
||
Fișiere sau informații ofucate: încărcături utile încorporate |
Componenta dropper a Nightdoor conține fișiere rău intenționate încorporate care sunt implementate pe disc. |
||
Injecție de proces: Injecție de bibliotecă de legături dinamice |
Componentele încărcătoarelor Nightdoor și MgBot se injectează în svchost.exe. |
||
Încărcarea codului reflectorizant |
Componentele de încărcare Nightdoor și MgBot se injectează în svchost.exe, de unde încarcă Nightdoor sau backdoor MgBot. |
||
Descoperire |
Descoperirea contului: cont local |
Nightdoor și MgBot colectează informații despre contul de utilizator din sistemul compromis. |
|
Descoperirea fișierelor și a directorului |
Nightdoor și MgBot pot colecta informații din directoare și fișiere. |
||
Descoperirea proceselor |
Nightdoor și MgBot colectează informații despre procese. |
||
Registrul de interogări |
Nightdoor și MgBot interoghează în registrul Windows pentru a găsi informații despre software-ul instalat. |
||
Descoperire software |
Nightdoor și MgBot colectează informații despre software-ul și serviciile instalate. |
||
Descoperire proprietar/utilizator de sistem |
Nightdoor și MgBot colectează informații despre contul de utilizator din sistemul compromis. |
||
Descoperirea informațiilor de sistem |
Nightdoor și MgBot colectează o gamă largă de informații despre sistemul compromis. |
||
Descoperirea conexiunilor de rețea de sistem |
Nightdoor și MgBot pot colecta date de la toate conexiunile TCP și UDP active de pe mașina compromisă. |
||
Colectie |
Arhivați datele colectate |
Nightdoor și MgBot stochează datele colectate în fișiere criptate. |
|
Colectare automată |
Nightdoor și MgBot colectează automat informații despre sistem și rețea despre mașina compromisă. |
||
Date din sistemul local |
Nightdoor și MgBot colectează informații despre sistemul de operare și datele utilizatorului. |
||
Etape de date: Staging local de date |
Nightdoor organizează datele pentru exfiltrare în fișierele de pe disc. |
||
Comandă și Control |
Protocolul stratului de aplicație: protocoale web |
Nightdoor comunică cu serverul C&C folosind HTTP. |
|
Protocol non-aplicație de nivel |
Nightdoor comunică cu serverul C&C folosind UDP. MgBot comunică cu serverul C&C folosind TCP. |
||
Port non-standard |
MgBot folosește portul TCP 21010. |
||
Tunele de protocol |
Nightdoor poate acționa ca un server proxy HTTP, tunelând comunicarea TCP. |
||
Serviciu web |
Nightdoor folosește Google Drive pentru comunicarea C&C. |
||
Exfiltrarea |
Exfiltrare automată |
Nightdoor și MgBot exfiltrează automat datele colectate. |
|
Exfiltrare prin serviciul web: Exfiltrare în Cloud Storage |
Nightdoor își poate exfiltra fișierele în Google Drive. |
Apendice
Intervalele de adrese IP vizate sunt furnizate în tabelul următor.
CIDR |
ISP |
Oraș |
Țară |
124.171.71.0/24 |
iiNet |
Sydney |
Australia |
125.209.157.0/24 |
iiNet |
Sydney |
Australia |
1.145.30.0/24 |
Telstra |
Sydney |
Australia |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australia |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australia |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australia |
45.113.1.0/24 |
Tehnologia HK 92server |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
Cloudflare |
Ahmedabad |
India |
49.36.224.0/24 |
Reliance Jio Infocomm |
Airoli |
India |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
India |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
India |
14.98.12.0/24 |
Tata Teleservices |
Bengaluru |
India |
172.70.237.0/24 |
Cloudflare |
Chandīgarh |
India |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
India |
103.214.118.0/24 |
Banda de bord Airnet |
Delhi |
India |
45.120.162.0/24 |
Ani Boardband |
Delhi |
India |
103.198.173.0/24 |
Anonet |
Delhi |
India |
103.248.94.0/24 |
Anonet |
Delhi |
India |
103.198.174.0/24 |
Anonet |
Delhi |
India |
43.247.41.0/24 |
Anonet |
Delhi |
India |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
India |
103.212.145.0/24 |
Excitel |
Delhi |
India |
45.248.28.0/24 |
Omkar Electronics |
Delhi |
India |
49.36.185.0/24 |
Reliance Jio Infocomm |
Delhi |
India |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
India |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
India |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
India |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
India |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamîrpur |
India |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
India |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
India |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
India |
223.188.237.0/24 |
Bharti Airtel |
meerut |
India |
162.158.235.0/24 |
Cloudflare |
Mumbai |
India |
162.158.48.0/24 |
Cloudflare |
Mumbai |
India |
162.158.191.0/24 |
Cloudflare |
Mumbai |
India |
162.158.227.0/24 |
Cloudflare |
Mumbai |
India |
172.69.87.0/24 |
Cloudflare |
Mumbai |
India |
172.70.219.0/24 |
Cloudflare |
Mumbai |
India |
172.71.198.0/24 |
Cloudflare |
Mumbai |
India |
172.68.39.0/24 |
Cloudflare |
New Delhi |
India |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Pālampur |
India |
103.195.253.0/24 |
Rețea digitală Protoact |
Ranchi |
India |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
India |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
India |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
India |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
India |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
India |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
mod |
India |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
Cred că |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
Cred că |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
Cred că |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
Cred că |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
Cred că |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Telecomunicații Far EastTone |
Taoyuan |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Taiwan mobil |
yilan |
Taiwan |
185.93.229.0/24 |
Sucuri Securitate |
Ashburn |
Statele Unite |
128.61.64.0/24 |
Institutul de Tehnologie din Georgia |
Atlanta |
Statele Unite |
216.66.111.0/24 |
Telefonul Vermont |
Wallingford |
Statele Unite |
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :are
- :este
- :nu
- :Unde
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Capabil
- Despre Noi
- acces
- Conform
- Cont
- Conturi
- dobândite
- act
- acțiuni
- activ
- Acte
- adăuga
- adăugat
- plus
- Suplimentar
- adresa
- adrese
- Adaugă
- din nou
- împotriva
- Agent
- vizează
- Algoritmul
- alinia
- TOATE
- permite
- permite
- deja
- de asemenea
- mereu
- printre
- an
- analiză
- analizate
- și
- anual
- Anual
- Anonim
- O alta
- telefonic
- Orice
- api
- API-uri
- aplicaţia
- App Store
- Apple
- aplicație
- aplicatii
- Aplică
- Apps
- APT
- arhitectură
- arhivă
- SUNT
- argument
- ARM
- Mulțime
- AS
- Asia
- alocate
- asociate
- At
- ataca
- Atacuri
- încercare
- atribute
- Australia
- Autorii
- în mod automat
- disponibil
- înapoi
- ușă din dos
- Backdoors
- momeală
- bazat
- de bază
- BE
- fost
- înainte
- fiind
- Crede
- aparține
- de mai jos
- CEL MAI BUN
- între
- atât
- Branch firma
- construit
- dar
- buton
- by
- denumit
- Campanie
- CAN
- capacități
- valorifica
- valorificat
- transporta
- Secol
- certificat
- Certificatele
- lanţ
- contesta
- Modificări
- caractere
- verifica
- verificat
- Verificări
- China
- chinez
- alegeri
- Oraș
- clar
- Cloud
- cod
- colecta
- COM
- combinaţie
- Comunicare
- companie
- comparație
- Completă
- component
- componente
- cuprinzător
- compromis
- compromis
- Calcula
- calculat
- calculator
- condiție
- efectuarea
- încredere
- Configuraţie
- Conectarea
- conexiune
- Conexiuni
- contactați-ne
- conţine
- conținute
- conține
- conţinut
- continuă
- continuu
- Conversație
- corecta
- Corespunzător
- ar putea
- țări
- Crash
- crea
- a creat
- creează
- criptografie
- În prezent
- personalizat
- de date
- Structura datelor
- Data
- Date
- zi
- Zi
- Mod implicit
- implicite
- apărare
- livra
- livrare
- demonstrat
- În funcție
- descris
- implementa
- dislocate
- Implementarea
- implementează
- descris
- descriere
- destinație
- detaliu
- detectat
- Dezvoltator
- Dezvoltare
- Companie de dezvoltare
- dispozitiv
- diferit
- rezumat
- digital
- directoare
- director
- a descoperit
- descoperire
- distribuire
- împărțit
- do
- document
- face
- Dont
- jos
- Descarca
- descărcarea
- download-uri
- conduce
- şofer
- unități
- Picătură
- scăzut
- Picături
- fiecare
- cel mai devreme
- uşura
- Est
- Educaţie
- opt
- oricare
- încorporat
- criptate
- capăt
- Inginerie
- spori
- ispititor
- Întreg
- entități
- Echivalent
- eroare
- Cercetare ESET
- stabili
- etc
- evenimente
- Fiecare
- exact
- exemplu
- exclusiv
- a executa
- executat
- Executa
- execuție
- exfiltrațiile
- de aşteptat
- exporturile
- extins
- extensie
- eșuează
- fals
- februarie
- FESTIVALUL
- camp
- Domenii
- Figura
- imaginat
- Fișier
- Fişiere
- final
- Găsi
- firewall
- First
- Repara
- debit
- a urmat
- următor
- urmează
- Pentru
- format
- formulă
- găsit
- patru
- Cadru
- Gratuit
- din
- Complet
- funcţie
- funcționalități
- funcționalitate
- funcții
- mai mult
- culegere
- genera
- generată
- Georgia
- obține
- devine
- obtinerea
- Merge
- Guvern
- Entități guvernamentale
- Grafic
- grup
- Grupului
- Manipularea
- Piese metalice
- hașiș
- hash
- hashing
- Avea
- Held
- Înalt
- Profil înalt
- superior
- Gaură
- găuri
- Hong
- Hong Kong
- gazdă
- găzduit
- găzduire
- Totuși
- HTML
- http
- HTTPS
- ID
- identificat
- identificator
- ID-uri
- if
- ilustrează
- imagine
- important
- in
- În altele
- inclus
- Inclusiv
- indexurile
- India
- Indicatorii
- persoane fizice
- influență
- informații
- Infrastructură
- injecta
- intrare
- introducerea
- Cereri
- în interiorul
- instala
- instalat
- Instalarea
- in schimb
- Institut
- integrate
- Intel
- Inteligență
- destinate
- interes
- intern
- Internațional
- pe plan internațional
- în
- IP
- Adresa IP
- Adresele IP
- Emis
- IT
- ESTE
- ianuarie
- Japonia
- JavaScript
- Jio
- jQuery
- JSON
- doar
- ținut
- Cheie
- chei
- Cunoaște
- cunoştinţe
- cunoscut
- Kong
- limbă
- Târziu
- mai tarziu
- Ultimele
- lansa
- a lansat
- lansare
- strat
- cel mai puțin
- legitim
- pîrghii
- Bibliotecă
- ca
- Listă
- listat
- ascultă
- liste
- Locuiește
- încărca
- încărcător
- încărcare
- local
- situat
- locaţie
- Uite
- mac
- maşină
- MacOS
- magie
- Principal
- continent
- major
- Majoritate
- Malaezia
- rău
- malware
- administra
- multe
- mascaradă
- Meci
- meciuri
- potrivire
- Mai..
- MD5
- me
- sens
- semnificativ
- a însemnat
- mecanism
- Memorie
- mesaj
- mesaje
- Metadata
- metodă
- ar putea
- dispărut
- modificată
- modifica
- modular
- Module
- mai mult
- cele mai multe
- mutat
- multiplu
- trebuie sa
- Myanmar
- nume
- Numit
- necesar
- necesar
- reţea
- rețele
- Nou
- ştiri
- următor
- Nigeria
- Nu.
- nota
- notificare
- număr
- obiect
- obține
- obținut
- obținerea
- obține
- ocazii
- of
- promoții
- oficial
- Site oficial
- Vechi
- mai în vârstă
- on
- dată
- ONE
- afară
- pe
- de operare
- sistem de operare
- operaţie
- Operatorii
- or
- organizație
- organizații
- OS
- Altele
- in caz contrar
- al nostru
- afară
- producție
- peste
- propriu
- pachet
- ofertele
- pagină
- parametrii
- trecut
- cale
- căi
- persistență
- Filipine
- bucată
- piese
- Loc
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- "vă rog"
- puncte
- pozat
- potenţial
- prezenta
- prezentat
- împiedica
- Anunţ
- precedent
- în prealabil
- privat
- Problemă
- venituri
- proces
- procese
- produce
- Produs
- Profil
- programat
- promovează
- protocol
- prevăzut
- împuternicit
- public
- public
- publicat
- scop
- calitate
- carantină
- întrebare
- gamă
- game
- atins
- a primi
- registru
- legate de
- rămas
- îndepărtare
- îndepărtat
- randament
- prestate
- face
- răspuns
- Raportat
- Rapoarte
- reprezintă
- solicita
- Necesită
- cercetare
- cercetători
- responsabil
- inversa
- norme
- Alerga
- funcţionare
- Rugină
- sare
- acelaşi
- probă
- programată
- scenariu
- Al doilea
- secundar
- Secțiune
- sigur
- securitate
- vedea
- văzut
- selecţie
- trimite
- Septembrie
- servit
- serverul
- Servere
- serviciu
- Servicii
- câteva
- comun
- partajarea
- Coajă
- să
- indicat
- Emisiuni
- parte
- semnătură
- semnat
- semnare
- asemănător
- întrucât
- Mărimea
- So
- Software
- de dezvoltare de software
- soluţie
- Sud Est
- Spaţiu
- specific
- specific
- specificată
- Etapă
- Stadiile
- Stele
- Declarație
- Statele
- stoca
- stocate
- Strategic
- Şir
- structura
- structurat
- succes
- astfel de
- livra
- lanțului de aprovizionare
- Suportat
- suspicios
- Intrerupator
- sistem
- tabel
- Taiwan
- luate
- ia
- Ţintă
- vizate
- direcționare
- obiective
- Sarcină
- sarcini
- echipă
- tech
- Tehnologia
- Terminal
- teritorii
- decât
- acea
- informațiile
- Filipine
- lor
- Lor
- se
- apoi
- Acolo.
- prin urmare
- ei
- acest
- aceste
- amenințare
- trei
- Prin
- de-a lungul
- timp
- cronologie
- timestamp-ul
- la
- împreună
- semn
- instrument
- Toolkit
- Total
- Traducere
- adevărat
- Încredere
- Două
- tip
- tipic
- incapabil
- în
- înţelege
- unic
- Unit
- Statele Unite
- universitate
- necunoscut
- viitoare
- actualizări
- URL-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizatorii
- utilizări
- folosind
- obișnuit
- valoare
- Valori
- Variantă
- versiune
- Versiunile
- foarte
- de
- Victimă
- victime
- Vietnam
- Vizita
- vizitat
- Vizitator
- vizitatori
- Vizite
- a fost
- we
- web
- website
- site-uri web
- BINE
- au fost
- Ce
- cand
- dacă
- care
- OMS
- larg
- Gamă largă
- lățime
- Wikipedia
- voi
- ferestre
- cu
- în
- cuvinte
- scris
- încă
- zephyrnet
- Zip