Исследователи ESET обнаружили кампанию кибершпионажа, которая, по крайней мере, с сентября 2023 года, преследует тибетцев посредством целевого водопоя (также известного как стратегический веб-компрометация), а также компрометации цепочки поставок для доставки зараженных троянами установщиков программного обеспечения для перевода на тибетский язык. Злоумышленники стремились развернуть вредоносные загрузчики для Windows и macOS, чтобы скомпрометировать посетителей веб-сайта с помощью MgBot и бэкдора, который, насколько нам известно, еще не был публично задокументирован; мы назвали его Nightdoor.
Ключевые моменты в этом блоге:
- Мы обнаружили кампанию кибершпионажа, которая использует фестиваль Монлам – религиозное собрание – для нападения на тибетцев в нескольких странах и территориях.
- Злоумышленники взломали веб-сайт организатора ежегодного фестиваля, который проходит в Индии, и добавили вредоносный код для создания атаки, нацеленной на пользователей, подключающихся из определенных сетей.
- Мы также обнаружили, что цепочка поставок разработчика программного обеспечения была скомпрометирована и пользователям были предоставлены зараженные троянами установщики для Windows и macOS.
- Для проведения операции злоумышленники использовали ряд вредоносных загрузчиков и полнофункциональных бэкдоров, в том числе публично недокументированный бэкдор для Windows, который мы назвали Nightdoor.
- Мы с высокой степенью уверенности приписываем эту кампанию группе APT Evasive Panda, связанной с Китаем.
Профиль уклончивой панды
Уклончивая панда (также БРОНЗОВОЕ НАГОРЬЕ и Кинжал) — китайскоязычная APT-группа, активен как минимум с 2012 г.. Исследование ESET обнаружило, что группа занимается кибершпионажем против отдельных лиц в материковом Китае, Гонконге, Макао и Нигерии. Государственные учреждения были атакованы в Юго-Восточной и Восточной Азии, в частности в Китае, Макао, Мьянме, Филиппинах, Тайване и Вьетнаме. Под удар попали и другие организации в Китае и Гонконге. Согласно публичным сообщениям, группа также атаковала неизвестные организации в Гонконге, Индии и Малайзии.
Группа использует собственную вредоносную структуру с модульной архитектурой, которая позволяет ее бэкдору, известному как MgBot, получать модули для слежки за жертвами и расширения своих возможностей. С 2020 года мы также заметили, что у Evasive Panda есть возможности для реализации своих бэкдоров посредством атак противника посередине. перехват обновлений легального программного обеспечения.
Обзор кампании
В январе 2024 года мы обнаружили операцию кибершпионажа, в ходе которой злоумышленники взломали как минимум три веб-сайта для проведения атак на водопои, а также взлом цепочки поставок тибетской компании-разработчика программного обеспечения.
Скомпрометированный веб-сайт, используемый как водопой, принадлежит Kagyu International Monlam Trust, организации, базирующейся в Индии, которая пропагандирует тибетский буддизм на международном уровне. Злоумышленники разместили на веб-сайте скрипт, который проверяет IP-адрес потенциальной жертвы и, если он находится в одном из целевых диапазонов адресов, показывает поддельную страницу с ошибкой, чтобы побудить пользователя загрузить «исправление» под названием сертификат (с расширением .exe, если посетитель использует Windows или .pkg если macOS). Этот файл представляет собой вредоносный загрузчик, который запускает следующий этап цепочки компрометации.
Основываясь на диапазонах IP-адресов, которые проверяет код, мы обнаружили, что злоумышленники нацелены на пользователей в Индии, Тайване, Гонконге, Австралии и США; атака могла быть направлена на то, чтобы извлечь выгоду из международного интереса к фестивалю Кагью Монлам (рис. 1), который проводится ежегодно в январе в городе Бодхгая, Индия.
Интересно, что сеть Технологического института Джорджии (также известного как Технологический институт Джорджии) в США входит в число выявленных объектов в целевых диапазонах IP-адресов. В прошлом, университет был упомянут в связи с влиянием Коммунистической партии Китая на учебные заведения США.
Примерно в сентябре 2023 года злоумышленники взломали веб-сайт индийской компании по разработке программного обеспечения, которая производит программное обеспечение для перевода на тибетский язык. Злоумышленники разместили там несколько троянских приложений, которые внедряют вредоносный загрузчик для Windows или macOS.
Помимо этого, злоумышленники также злоупотребили тем же веб-сайтом и тибетским новостным сайтом Tibetpost. тибетпост[.]net – для размещения полезных нагрузок, полученных в результате вредоносных загрузок, включая два полнофункциональных бэкдора для Windows и неизвестное количество полезных нагрузок для macOS.
С высокой степенью уверенности мы приписываем эту кампанию APT-группе Evasive Panda, основанной на использованном вредоносном ПО: MgBot и Nightdoor. В прошлом мы видели, как оба бэкдора использовались вместе в несвязанной атаке на религиозную организацию на Тайване, в которой они также использовали один и тот же командный сервер. Оба пункта также применимы к кампании, описанной в этом блоге.
Водопой
Января 14th2024 год, мы обнаружили подозрительный скрипт на https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Вредоносный запутанный код был добавлен к легитимному JQuery Сценарий библиотеки JavaScript, как показано на рисунке 2.
Скрипт отправляет HTTP-запрос на адрес локального хоста. http://localhost:63403/?callback=handleCallback чтобы проверить, запущен ли уже на потенциальной машине-жертве промежуточный загрузчик злоумышленника (см. рисунок 3). На ранее взломанной машине имплант отвечает handleCallback({“успех”:true }) (см. рис. 4), и сценарий не предпринимает никаких дальнейших действий.
Если машина не отвечает ожидаемыми данными, вредоносный код продолжает работу, получая хэш MD5 от вторичного сервера по адресу https://update.devicebug[.]com/getVersion.php. Затем хэш проверяется по списку из 74 значений хеш-функции, как показано на рисунке 6.
Если совпадение имеется, сценарий отобразит HTML-страницу с поддельным уведомлением о сбое (рис. 7), призванным побудить посетителя загрузить решение для устранения проблемы. Страница имитирует типичный «Ой, щелк!» предупреждения от Google Chrome.
Кнопка «Немедленное исправление» запускает сценарий, который загружает полезную нагрузку в зависимости от операционной системы пользователя (рис. 8).
Взлом хеша
Условием доставки полезных данных является получение правильного хэша с сервера по адресу: update.devicebug[.]com, поэтому 74 хеша являются ключом к механизму выбора жертвы злоумышленника. Однако, поскольку хэш вычисляется на стороне сервера, нам было сложно узнать, какие данные используются для его вычисления.
Мы экспериментировали с различными IP-адресами и конфигурациями системы и сузили входные данные для алгоритма MD5 до формулы первых трех октетов IP-адреса пользователя. Другими словами, введя IP-адреса, имеющие один и тот же сетевой префикс, например 192.168.0.1 и 192.168.0.50, получит тот же хэш MD5 от C&C-сервера.
Однако неизвестная комбинация символов или соль, включается в строку первых трех октетов IP перед хешированием, чтобы предотвратить тривиальный перебор хэшей. Поэтому нам нужно было перебрать соль, чтобы защитить входную формулу, и только затем сгенерировать хэши, используя весь диапазон IPv4-адресов, чтобы найти соответствующие 74 хеша.
Иногда звезды совпадают, и мы поняли, что соль была 1qaz0okm!@#. Со всеми частями входной формулы MD5 (например, 192.168.1.1qaz0okm!@#), мы с легкостью перебрали 74 хеша и сгенерировали список целей. См. Приложение для полного списка.
Как показано на рисунке 9, большинство целевых диапазонов IP-адресов находятся в Индии, за ней следуют Тайвань, Австралия, США и Гонконг. Обратите внимание, что большая часть Тибетская диаспора живет в Индии.
Полезная нагрузка Windows
В Windows жертвам атаки предоставляется вредоносный исполняемый файл, расположенный по адресу https://update.devicebug[.]com/fixTools/certificate.exe. На рис. 10 показана цепочка выполнения, которая следует, когда пользователь загружает и выполняет вредоносное исправление.
сертификат.exe это дроппер, который развертывает цепочку боковой загрузки для загрузки промежуточного загрузчика, memmgrset.dll (внутреннее название http_dy.dll). Эта DLL извлекает файл JSON с C&C-сервера по адресу https://update.devicebug[.]com/assets_files/config.json, который содержит информацию для загрузки следующего этапа (см. рисунок 11).
Когда следующий этап загружается и выполняется, он развертывает еще одну цепочку боковой загрузки, чтобы доставить Nightdoor в качестве окончательной полезной нагрузки. Анализ Nightdoor представлен ниже в Ночная дверь .
полезная нагрузка macOS
Вредоносная программа для macOS — это тот же загрузчик, который мы более подробно документируем в разделе Компромисс в цепочке поставок. Однако при этом удаляется дополнительный исполняемый файл Mach-O, который прослушивает TCP-порт 63403. Его единственная цель — ответить handleCallback({“успех”:true }) на запрос вредоносного кода JavaScript, поэтому, если пользователь снова посетит веб-сайт водопоя, код JavaScript не будет пытаться повторно скомпрометировать посетителя.
Этот загрузчик получает файл JSON с сервера и загружает следующий этап, как и ранее описанная версия Windows.
Компромисс в цепочке поставок
Января 18th, мы обнаружили, что на официальном веб-сайте (рис. 12) программного продукта для перевода на тибетский язык для нескольких платформ размещались ZIP-пакеты, содержащие троянские установщики легального программного обеспечения, которые запускали вредоносные загрузчики для Windows и macOS.
Мы нашли одну жертву из Японии, которая скачала один из пакетов для Windows. В таблице 1 перечислены URL-адреса и удаленные имплантаты.
Таблица 1. URL-адреса вредоносных пакетов на взломанном сайте и тип полезной нагрузки в взломанном приложении
URL-адрес вредоносного пакета |
Тип полезной нагрузки |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32-загрузчик |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32-загрузчик |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32-загрузчик |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
загрузчик macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
загрузчик macOS |
Пакеты Windows
На рисунке 13 показана цепочка загрузки троянизированного приложения из пакета. monlam-bodyig3.zip.
Троянизированное приложение содержит вредоносный дроппер под названием autorun.exe который развертывает два компонента:
- исполняемый файл с именем MonlamUpdate.exe, который представляет собой программный компонент эмулятора под названием C64 Навсегда и используется для боковой загрузки DLL, и
- RPHost.dll, неопубликованная DLL, представляющая собой вредоносный загрузчик для следующего этапа.
Когда DLL-загрузчик загружается в память, она создает запланированное задание с именем Снос предназначен для выполнения каждый раз, когда пользователь входит в систему. Однако, поскольку в задаче не указан файл для выполнения, ей не удается установить постоянство.
Затем эта DLL получает UUID и версию операционной системы для создания пользовательского агента пользователя и отправляет запрос GET https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat чтобы получить файл JSON, содержащий URL-адрес для загрузки и выполнения полезной нагрузки, которую он передает в % TEMP% каталог. Нам не удалось получить образец данных объекта JSON со взломанного веб-сайта; поэтому мы не знаем, откуда именно default_ico.exe загружается, как показано на рисунке 13.
С помощью телеметрии ESET мы заметили, что незаконный MonlamUpdate.exe процесс загружал и запускал в разных случаях как минимум четыре вредоносных файла для %TEMP%default_ico.exe. В таблице 2 перечислены эти файлы и их назначение.
Таблица 2. Хэш default_ico.exe загрузчик/дроппер, URL-адрес C&C, с которым связался, и описание загрузчика.
SHA-1 |
Контактный URL |
Цель |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Загружает неизвестную полезную нагрузку с сервера. |
F0F8F60429E3316C463F |
Загружает неизвестную полезную нагрузку с сервера. Этот образец был написан на Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Загружает дроппер Nightdoor со случайным названием. |
БФА2136336D845184436 |
Нет |
Инструмент с открытым исходным кодом Системная информация, в который злоумышленники интегрировали свой вредоносный код и внедрили зашифрованный объект, который после расшифровки и выполнения устанавливает MgBot. |
Наконец, default_ico.exe загрузчик или дроппер либо получит полезную нагрузку с сервера, либо сбросит ее, а затем выполнит ее на машине-жертве, установив либо Nightdoor (см. Ночная дверь раздел) или MgBot (см. предыдущий анализ).
Два оставшихся пакета, зараженных троянами, очень похожи: они используют одну и ту же вредоносную DLL-загрузчик, загруженную параллельно с законным исполняемым файлом.
пакеты macOS
ZIP-архив, скачанный из официального магазина приложений, содержит модифицированный установочный пакет (.pkg файл), куда были добавлены исполняемый файл Mach-O и сценарий после установки. Сценарий после установки копирует файл Mach-O в $HOME/Библиотека/Контейнеры/CalendarFocusEXT/ и приступает к установке агента запуска в $HOME/Library/LaunchAgents/com.Terminal.us.plist за настойчивость. На рисунке 14 показан скрипт, отвечающий за установку и запуск вредоносного агента запуска.
Злой Мач-О, Monlam-bodyig_Keyboard_2017 на рисунке 13 подписывается, но не нотариально заверяется, с использованием сертификата разработчика (а не тип сертификата обычно используется для распространения) с названием и идентификатором команды да ни янь (2289Ф6В4БН). По временной метке в подписи видно, что она была подписана 7 января.th, 2024. Эта дата также используется в измененной временной метке вредоносных файлов в метаданных ZIP-архива. Сертификат был выдан всего три дня назад. Полный сертификат доступен по ссылке МНК раздел. Наша команда обратилась к Apple 25 января.th и сертификат был отозван в тот же день.
Это вредоносное ПО первого этапа загружает файл JSON, содержащий URL-адрес следующего этапа. Архитектура (ARM или Intel), версия macOS и аппаратный UUID (идентификатор, уникальный для каждого Mac) указаны в заголовке HTTP-запроса User-Agent. Для получения этой конфигурации используется тот же URL-адрес, что и в версии Windows: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Однако версия для macOS будет просматривать данные под ключом mac объекта JSON вместо выиграть .
Объект под ключом Mac должен содержать следующее:
- URL: URL-адрес следующего этапа.
- md5: сумма MD5 полезной нагрузки.
- Верноу: список UUID оборудования. Если он присутствует, полезная нагрузка будет установлена только на компьютерах Mac, имеющих один из перечисленных UUID оборудования. Эта проверка пропускается, если список пуст или отсутствует.
- версия: числовое значение, которое должно быть выше, чем ранее загруженная «версия» второго этапа. В противном случае полезная нагрузка не загружается. Значение текущей версии сохраняется в приложении. пользовательские настройки по умолчанию.
После того, как вредоносная программа загружает файл по указанному URL-адресу с помощью Curl, файл хешируется с использованием MD5 и сравнивается с шестнадцатеричным дайджестом под md5 ключ. Если он совпадает, его расширенные атрибуты удаляются (чтобы очистить атрибут com.apple.quarantine), файл перемещается в $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrowerи запускается с помощью исполнительный директор с запуском аргумента.
В отличие от версии для Windows, нам не удалось найти ни одной из более поздних стадий варианта для macOS. Одна конфигурация JSON содержала хэш MD5 (3C5739C25A9B85E82E0969EE94062F40), но поле URL было пустым.
Ночная дверь
Бэкдор, который мы назвали Nightdoor (и авторы вредоносного ПО назвали NetMM в соответствии с путями PDB), является поздним дополнением к набору инструментов Evasive Panda. Наши самые ранние сведения о Nightdoor относятся к 2020 году, когда Evasive Panda развернула его на машине громкой цели во Вьетнаме. Бэкдор связывается со своим командным сервером через UDP или API Google Drive. Имплантат Nightdoor из этой кампании использовал последнее. Он шифрует Google API ОАут 2.0 токен в разделе данных и использует его для доступа к Google Диску злоумышленника. Мы запросили удаление учетной записи Google, связанной с этим токеном.
Сначала Nightdoor создает на Google Диске папку, содержащую MAC-адрес жертвы, который также выступает в качестве идентификатора жертвы. Эта папка будет содержать все сообщения между имплантатом и сервером управления. Каждое сообщение между Nightdoor и C&C-сервером структурировано как файл и разделено на имя файла и данные файла, как показано на рисунке 15.
Каждое имя файла содержит восемь основных атрибутов, что показано в примере ниже.
Пример:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: магическое значение.
- 0C64C2BAEF534C8E9058797BCD783DE5: заголовок пбуф структура данных.
- 168: размер объекта сообщения или размер файла в байтах.
- 0: имя файла, значение которого по умолчанию всегда равно 0 (ноль).
- 1: тип команды, жестко запрограммированный на 1 или 0 в зависимости от образца.
- 4116: идентификатор команды.
- 0: качество обслуживания (QoS).
- 00-00-00-00-00-00: подразумевается MAC-адрес пункта назначения, но по умолчанию всегда используется 00-00-00-00-00-00.
Данные внутри каждого файла представляют собой команду контроллера для бэкдора и необходимые параметры для ее выполнения. На рис. 16 показан пример сообщения C&C-сервера, хранящегося в виде данных файла.
Благодаря реверс-инжинирингу Nightdoor мы смогли понять значение важных полей, представленных в файле, как показано на рисунке 17.
Мы обнаружили, что в версию Nightdoor, использованную в этой кампании, было добавлено множество значимых изменений, одним из которых является организация идентификаторов команд. В предыдущих версиях каждый идентификатор команды присваивался функции-обработчику один за другим, как показано на рис. 18. Варианты нумерации, например от 0x2001 в 0x2006, Из 0x2201 в 0x2203, Из 0x4001 в 0x4003, и из 0x7001 в 0x7005, предположил, что команды были разделены на группы со схожим функционалом.
Однако в этой версии Nightdoor использует таблицу ветвей для организации всех идентификаторов команд с соответствующими обработчиками. Идентификаторы команд являются непрерывными и действуют как индексы соответствующих обработчиков в таблице ветвей, как показано на рисунке 19.
Таблица 3 представляет собой предварительный просмотр команд C&C-сервера и их функций. Эта таблица содержит новые идентификаторы команд, а также эквивалентные идентификаторы из старых версий.
Таблица 3. Команды, поддерживаемые вариантами Nightdoor, использованными в этой кампании.
Идентификатор команды |
Идентификатор предыдущей команды |
Описание |
|
0x1001 |
0x2001 |
Соберите базовую информацию о профиле системы, такую как: — версия ОС – Сетевые адаптеры IPv4, MAC-адреса и IP-адреса – имя процессора - Имя компьютера - Имя пользователя – Имена драйверов устройств – Все имена пользователей из В:Пользователи* - Местное время – Публичный IP-адрес с использованием ifconfig.me or ipinfo.io веб-сервис |
|
0x1007 |
0x2002 |
Собирайте информацию о дисках, такую как: – Имя диска – Свободное пространство и общее пространство – Тип файловой системы: NTFS, FAT32 и т. д. |
|
0x1004 |
0x2003 |
Соберите информацию обо всех установленных приложениях по ключам реестра Windows: – HKLMSOFTWARE – WOW6432УзелMicrosoftWindows – MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Собирайте информацию о запущенных процессах, например: - Имя процесса – Количество потоков - Имя пользователя – Расположение файла на диске – Описание файла на диске |
|
0x1006 |
0x4001 |
Создайте обратную оболочку и управляйте вводом и выводом через анонимные каналы. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
Нет |
Самостоятельное удаление. |
|
0x100C |
0x6001 |
Переместить файл. Путь предоставляется C&C-сервером. |
|
0x100B |
0x6002 |
Удалить файл. Путь предоставляется C&C-сервером. |
|
0x1016 |
0x6101 |
Получить атрибуты файла. Путь предоставляется C&C-сервером. |
Заключение
Мы проанализировали кампанию связанной с Китаем организации APT Evasive Panda, направленную против тибетцев в нескольких странах и территориях. Мы полагаем, что в то время злоумышленники воспользовались предстоящим фестивалем Монлам в январе и феврале 2024 года, чтобы скомпрометировать пользователей, когда они посещали веб-сайт фестиваля, ставший водопоем. Кроме того, злоумышленники скомпрометировали цепочку поставок разработчика приложений для перевода на тибетский язык.
Злоумышленники использовали несколько загрузчиков, дропперов и бэкдоров, в том числе MgBot, который используется исключительно Evasive Panda, и Nightdoor: последнее крупное дополнение к набору инструментов группы, которое использовалось для атак на несколько сетей в Восточной Азии.
Полный список индикаторов компрометации (IoC) и образцы можно найти в нашем Репозиторий GitHub.
По любым вопросам о наших исследованиях, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу угрозаintel@eset.com.
ESET Research предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.
МНК
Файлы
SHA-1 |
Имя файла |
обнаружение |
Описание |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Агент.AGFU |
Компонент Dropper добавлен в официальный установочный пакет. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Агент.AGFN |
Средний загрузчик. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Агент.DLY |
Промежуточный загрузчик, написанный на Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Агент.AGFQ |
Загрузчик Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Агент.AGFS |
Ночная капельница. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Агент.AGFM |
Промежуточный погрузчик. |
5273B45C5EABE64EDBD0 |
сертификат.pkg |
OSX/Агент.DJ |
Компонент-дроппер MacOS. |
5E5274C7D931C1165AA5 |
сертификат.exe |
Win32/Агент.AGES |
Компонент Dropper со скомпрометированного сайта. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Агент.AGFO |
Компонент капельницы Nightdoor. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Агент.AGGH |
Промежуточный загрузчик для компонента загрузчика Nightdoor. |
82B99AD976429D0A6C54 |
пиджин.dll |
Win32/Агент.AGGI |
Промежуточный загрузчик для Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Агент.AGFM |
Троянизированный установщик. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
На взломанный сайт добавлен вредоносный код JavaScript. |
8A389AFE1F85F83E340C |
Монлам Бодиг 3.1.exe |
Win32/Агент.AGFU |
Троянизированный установщик. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Агент.WSK |
Зараженный трояном установочный пакет. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Агент.AGFU |
Зараженный трояном установочный пакет. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Агент.DJ |
Пакет установки MacOS, зараженный трояном. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Агент.DJ |
Пакет установки MacOS, зараженный трояном. |
C0575AF04850EB1911B0 |
Безопасность~.x64 |
OSX/Агент.DJ |
Загрузчик MacOS. |
7C3FD8EE5D660BBF43E4 |
Безопасность~.arm64 |
OSX/Агент.DJ |
Загрузчик MacOS. |
FA78E89AB95A0B49BC06 |
Security.fat |
OSX/Агент.DJ |
Компонент загрузчика MacOS. |
5748E11C87AEAB3C19D1 |
Файл экспорта Monlam_Grand_Dictionary |
OSX/Агент.DJ |
Вредоносный компонент из троянского установочного пакета macOS. |
Сертификаты
Серийный номер |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
отпечаток большого пальца |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Тема CN |
Apple Development: да ни янь (2289F6V4BN) |
Субъект О |
да ни янь |
Тема Л |
Нет |
Предметы |
Нет |
Тема С |
US |
Действует с |
2024-01-04 05:26:45 |
Действителен до |
2025-01-03 05:26:44 |
Серийный номер |
6014B56E4FFF35DC4C948452B77C9AA9 |
отпечаток большого пальца |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Тема CN |
КП МОБАЙЛ |
Субъект О |
КП МОБАЙЛ |
Тема Л |
Нет |
Предметы |
Нет |
Тема С |
KR |
Действует с |
2021-10-25 00:00:00 |
Действителен до |
2022-10-25 23:59:59 |
IP |
Домен |
Хостинг-провайдер |
Первый раз увидел |
Подробнее |
Нет |
тибетпост[.]net |
Нет |
2023-11-29 |
Скомпрометированный сайт. |
Нет |
www.monlamit[.]com |
Нет |
2024-01-24 |
Скомпрометированный сайт. |
Нет |
update.devicebug[.]com |
Нет |
2024-01-14 |
ОКРУГ КОЛУМБИЯ. |
188.208.141[.]204 |
Нет |
Амол Хингаде |
2024-02-01 |
Скачать сервер для компонента дроппера Nightdoor. |
Техники MITER ATT & CK
Эта таблица была построена с использованием версия 14 фреймворка MITRE ATT&CK.
тактика |
ID |
Имя |
Описание |
Развитие ресурсов |
Получить инфраструктуру: сервер |
Evasive Panda приобрела серверы для C&C-инфраструктуры Nightdoor, MgBot и компонента загрузчика macOS. |
|
Приобретение инфраструктуры: веб-сервисы |
Evasive Panda использовала веб-сервис Google Drive для C&C-инфраструктуры Nightdoor. |
||
Взлом инфраструктуры: сервер |
Операторы Evasive Panda скомпрометировали несколько серверов, чтобы использовать их в качестве водопоя, для атаки на цепочку поставок, а также для размещения полезной нагрузки и использования в качестве C&C-серверов. |
||
Создание учетных записей: облачные учетные записи |
Evasive Panda создала учетную запись Google Drive и использовала ее в качестве C&C-инфраструктуры. |
||
Возможности развития: вредоносное ПО |
Evasive Panda развернула специальные имплантаты, такие как MgBot, Nightdoor и компонент загрузчика macOS. |
||
T1588.003 |
Получите возможности: сертификаты подписи кода |
Evasive Panda получила сертификаты подписи кода. |
|
Возможности этапа: цель Drive-by |
Операторы Evasive Panda модифицировали известный веб-сайт, добавив фрагмент кода JavaScript, который отображает поддельное уведомление о загрузке вредоносного ПО. |
||
Первоначальный доступ |
Проездной компромисс |
Посетители взломанных веб-сайтов могут получить ложное сообщение об ошибке, побуждающее их загрузить вредоносное ПО. |
|
Компрометация цепочки поставок: компрометация цепочки поставок программного обеспечения |
Evasive Panda заразила официальные установочные пакеты компании-разработчика программного обеспечения. |
||
Типы |
Родной API |
Nightdoor, MgBot и их промежуточные компоненты загрузчика используют API-интерфейсы Windows для создания процессов. |
|
Запланированная задача/задание: Запланированная задача |
Компоненты загрузчика Nightdoor и MgBot могут создавать запланированные задачи. |
||
Настойчивость |
Создать или изменить системный процесс: служба Windows |
Компоненты загрузчика Nightdoor и MgBot могут создавать службы Windows. |
|
Поток выполнения Hijack: боковая загрузка DLL |
Компоненты-дропперы Nightdoor и MgBot развертывают законный исполняемый файл, который загружает вредоносный загрузчик. |
||
Уклонение от защиты |
Деобфускация/декодирование файлов или информации |
Компоненты DLL имплантата Nightdoor расшифровываются в памяти. |
|
Ухудшить защиту: отключить или изменить системный брандмауэр |
Nightdoor добавляет два правила брандмауэра Windows, чтобы разрешить входящий и исходящий обмен данными для функций прокси-сервера HTTP. |
||
Удаление индикатора: удаление файла |
Nightdoor и MgBot могут удалять файлы. |
||
Удаление индикатора: очистить постоянство |
Nightdoor и MgBot могут удалиться самостоятельно. |
||
Маскарадинг: маскарадная задача или служба |
Загрузчик Nightdoor замаскировал свою задачу под netsvcs. |
||
Маскарадинг: Соответствие законному имени или местоположению |
Установщик Nightdoor развертывает его компоненты в законные системные каталоги. |
||
Замаскированные файлы или информация: встроенные полезные нагрузки |
Компонент-дроппер Nightdoor содержит встроенные вредоносные файлы, которые развертываются на диске. |
||
Внедрение процесса: внедрение библиотеки динамической компоновки |
Компоненты загрузчиков Nightdoor и MgBot внедряются в svchost.exe. |
||
Отражающая загрузка кода |
Компоненты загрузчика Nightdoor и MgBot внедряются в svchost.exe, откуда они загружают бэкдор Nightdoor или MgBot. |
||
Открытие |
Обнаружение учетной записи: локальная учетная запись |
Nightdoor и MgBot собирают информацию об учетных записях пользователей из скомпрометированной системы. |
|
Обнаружение файлов и каталогов |
Nightdoor и MgBot могут собирать информацию из каталогов и файлов. |
||
Обнаружение процесса |
Nightdoor и MgBot собирают информацию о процессах. |
||
Реестр запросов |
Nightdoor и MgBot запрашивают реестр Windows, чтобы найти информацию об установленном программном обеспечении. |
||
Обнаружение программного обеспечения |
Nightdoor и MgBot собирают информацию об установленном программном обеспечении и сервисах. |
||
Обнаружение владельца системы/пользователя |
Nightdoor и MgBot собирают информацию об учетных записях пользователей из скомпрометированной системы. |
||
Обнаружение системной информации |
Nightdoor и MgBot собирают широкий спектр информации о скомпрометированной системе. |
||
Обнаружение системных сетевых подключений |
Nightdoor и MgBot могут собирать данные со всех активных TCP и UDP-соединений на взломанной машине. |
||
Транспортировка |
Архивировать собранные данные |
Nightdoor и MgBot хранят собранные данные в зашифрованных файлах. |
|
Автоматизированный сбор |
Nightdoor и MgBot автоматически собирают системную и сетевую информацию о взломанной машине. |
||
Данные из локальной системы |
Nightdoor и MgBot собирают информацию об операционной системе и пользовательские данные. |
||
Постановка данных: постановка локальных данных |
Nightdoor хранит данные для кражи в файлах на диске. |
||
Управление и контроль |
Протокол прикладного уровня: веб-протоколы |
Nightdoor взаимодействует с C&C-сервером по протоколу HTTP. |
|
Протокол не прикладного уровня |
Nightdoor взаимодействует с C&C-сервером с помощью UDP. MgBot взаимодействует с C&C-сервером с помощью TCP. |
||
Нестандартный порт |
MgBot использует TCP-порт 21010. |
||
Туннелирование протокола |
Nightdoor может выступать в качестве прокси-сервера HTTP, туннелируя TCP-коммуникацию. |
||
Веб-сервис |
Nightdoor использует Google Drive для связи с C&C. |
||
эксфильтрации |
Автоматическая эксфильтрация |
Nightdoor и MgBot автоматически удаляют собранные данные. |
|
Эксфильтрация через веб-службу: эксфильтрация в облачное хранилище |
Nightdoor может переносить свои файлы на Google Диск. |
Приложение
Целевые диапазоны IP-адресов представлены в следующей таблице.
CIDR |
Поставщик интернет-услуг |
Город |
Страна |
124.171.71.0/24 |
iiNet |
Сидней |
Австралия |
125.209.157.0/24 |
iiNet |
Сидней |
Австралия |
1.145.30.0/24 |
Telstra |
Сидней |
Австралия |
193.119.100.0/24 |
ТПГ Телеком |
Сидней |
Австралия |
14.202.220.0/24 |
ТПГ Телеком |
Сидней |
Австралия |
123.243.114.0/24 |
ТПГ Телеком |
Сидней |
Австралия |
45.113.1.0/24 |
HK 92серверная технология |
Гонконге |
Гонконге |
172.70.191.0/24 |
Cloudflare |
Ахмадабад |
Индия |
49.36.224.0/24 |
Компания Reliance Jio Infocomm |
Айроли |
Индия |
106.196.24.0/24 |
Bharti Airtel |
Бангалор |
Индия |
106.196.25.0/24 |
Bharti Airtel |
Бангалор |
Индия |
14.98.12.0/24 |
Тата Телесервис |
Бангалор |
Индия |
172.70.237.0/24 |
Cloudflare |
Чандигарх |
Индия |
117.207.51.0/24 |
Бхарат Санчар Нигам Лимитед |
Далхаузи |
Индия |
103.214.118.0/24 |
Airnet Boardband |
Дели |
Индия |
45.120.162.0/24 |
Ани Бордбэнд |
Дели |
Индия |
103.198.173.0/24 |
Анонет |
Дели |
Индия |
103.248.94.0/24 |
Анонет |
Дели |
Индия |
103.198.174.0/24 |
Анонет |
Дели |
Индия |
43.247.41.0/24 |
Анонет |
Дели |
Индия |
122.162.147.0/24 |
Bharti Airtel |
Дели |
Индия |
103.212.145.0/24 |
Эксител |
Дели |
Индия |
45.248.28.0/24 |
Омкар Электроникс |
Дели |
Индия |
49.36.185.0/24 |
Компания Reliance Jio Infocomm |
Дели |
Индия |
59.89.176.0/24 |
Бхарат Санчар Нигам Лимитед |
Дхарамсале |
Индия |
117.207.57.0/24 |
Бхарат Санчар Нигам Лимитед |
Дхарамсале |
Индия |
103.210.33.0/24 |
Ваюдут |
Дхарамсале |
Индия |
182.64.251.0/24 |
Bharti Airtel |
Гандарбал |
Индия |
117.255.45.0/24 |
Бхарат Санчар Нигам Лимитед |
Халиал |
Индия |
117.239.1.0/24 |
Бхарат Санчар Нигам Лимитед |
Хамирпур |
Индия |
59.89.161.0/24 |
Бхарат Санчар Нигам Лимитед |
Джайпур |
Индия |
27.60.20.0/24 |
Bharti Airtel |
Лакхнау |
Индия |
223.189.252.0/24 |
Bharti Airtel |
Лакхнау |
Индия |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Индия |
162.158.235.0/24 |
Cloudflare |
Мумбай |
Индия |
162.158.48.0/24 |
Cloudflare |
Мумбай |
Индия |
162.158.191.0/24 |
Cloudflare |
Мумбай |
Индия |
162.158.227.0/24 |
Cloudflare |
Мумбай |
Индия |
172.69.87.0/24 |
Cloudflare |
Мумбай |
Индия |
172.70.219.0/24 |
Cloudflare |
Мумбай |
Индия |
172.71.198.0/24 |
Cloudflare |
Мумбай |
Индия |
172.68.39.0/24 |
Cloudflare |
Нью-Дели |
Индия |
59.89.177.0/24 |
Бхарат Санчар Нигам Лимитед |
Палампур |
Индия |
103.195.253.0/24 |
Цифровая сеть Протоакт |
Ранчи |
Индия |
169.149.224.0/24 |
Компания Reliance Jio Infocomm |
Шимла |
Индия |
169.149.226.0/24 |
Компания Reliance Jio Infocomm |
Шимла |
Индия |
169.149.227.0/24 |
Компания Reliance Jio Infocomm |
Шимла |
Индия |
169.149.229.0/24 |
Компания Reliance Jio Infocomm |
Шимла |
Индия |
169.149.231.0/24 |
Компания Reliance Jio Infocomm |
Шимла |
Индия |
117.255.44.0/24 |
Бхарат Санчар Нигам Лимитед |
Сирси |
Индия |
122.161.241.0/24 |
Bharti Airtel |
Сринагар |
Индия |
122.161.243.0/24 |
Bharti Airtel |
Сринагар |
Индия |
122.161.240.0/24 |
Bharti Airtel |
Сринагар |
Индия |
117.207.48.0/24 |
Бхарат Санчар Нигам Лимитед |
Йол |
Индия |
175.181.134.0/24 |
ИнфоКомм «Новый век» |
Hsinchu |
Тайвань |
36.238.185.0/24 |
Chunghwa Telecom |
Гаосюн |
Тайвань |
36.237.104.0/24 |
Chunghwa Telecom |
Тайнань |
Тайвань |
36.237.128.0/24 |
Chunghwa Telecom |
Тайнань |
Тайвань |
36.237.189.0/24 |
Chunghwa Telecom |
Тайнань |
Тайвань |
42.78.14.0/24 |
Chunghwa Telecom |
Тайнань |
Тайвань |
61.216.48.0/24 |
Chunghwa Telecom |
Тайнань |
Тайвань |
36.230.119.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
114.43.219.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
114.44.214.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
114.45.2.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
118.163.73.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
118.167.21.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
220.129.70.0/24 |
Chunghwa Telecom |
Тайбэй |
Тайвань |
106.64.121.0/24 |
Far EasTone Телекоммуникации |
Таоюань |
Тайвань |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Тайвань |
122.100.113.0/24 |
Тайвань Мобайл |
Илань |
Тайвань |
185.93.229.0/24 |
Sucuri безопасности |
Ashburn |
США |
128.61.64.0/24 |
Технологический институт штата Джорджия |
Атланта |
США |
216.66.111.0/24 |
Телефон Вермонта |
Уоллингфорд |
США |
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :имеет
- :является
- :нет
- :куда
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- в состоянии
- О нас
- доступ
- По
- Учетная запись
- Учетные записи
- приобретенный
- Действие (Act):
- действия
- активный
- акты
- Добавить
- добавленный
- дополнение
- дополнительный
- адрес
- адреса
- Добавляет
- снова
- против
- Агент
- Нацеленный
- алгоритм
- выравнивать
- Все
- позволять
- позволяет
- уже
- причислены
- всегда
- среди
- an
- анализ
- проанализированы
- и
- годовой
- Ежегодно
- Anonymous
- Другой
- ответ
- любой
- API
- API
- приложение
- магазин приложений
- Apple
- Применение
- Приложения
- Применить
- Программы
- APT
- архитектура
- архив
- МЫ
- аргумент
- ARM
- массив
- AS
- Азия
- назначенный
- связанный
- At
- атаковать
- нападки
- попытка
- Атрибуты
- Австралия
- Авторы
- автоматически
- доступен
- назад
- задняя дверь
- Черные ходы
- приманка
- основанный
- основной
- BE
- было
- до
- не являетесь
- верить
- принадлежит
- ниже
- ЛУЧШЕЕ
- между
- изоферменты печени
- Филиал
- построенный
- но
- кнопка
- by
- под названием
- Кампания
- CAN
- возможности
- капитализировать
- капитализированный
- нести
- Век
- сертификат
- сертификаты
- цепь
- вызов
- изменения
- символы
- проверка
- проверил
- Проверки
- Китай
- китайский
- выбор
- Город
- Очистить
- облако
- код
- собирать
- COM
- сочетание
- Связь
- Компания
- сравненный
- полный
- компонент
- компоненты
- комплексный
- скомпрометированы
- Ослабленный
- Вычисление
- вычисленный
- компьютер
- состояние
- проведение
- доверие
- Конфигурация
- Соединительный
- связи
- Коммутация
- обращайтесь
- содержать
- содержащегося
- содержит
- содержание
- продолжается
- (CIJ)
- Разговор
- исправить
- соответствующий
- может
- страны
- Crash
- Создайте
- создали
- создает
- криптография
- В настоящее время
- изготовленный на заказ
- данным
- Структура данных
- Время
- Финики
- день
- Дней
- По умолчанию
- по умолчанию
- оборонительные сооружения
- доставить
- поставка
- убивают
- в зависимости
- изображенный
- развертывание
- развернуть
- развертывание
- развертывает
- описано
- описание
- назначение
- подробность
- обнаруженный
- Застройщик
- Развитие
- Девелоперская компания
- устройство
- различный
- Digest
- Интернет
- каталоги
- каталог
- открытый
- открытие
- распределение
- Разделенный
- do
- документ
- приносит
- Dont
- вниз
- скачать
- загрузка
- загрузок
- управлять
- водитель
- диски
- Падение
- упал
- Капли
- каждый
- раннее
- простота
- восток
- Обучение
- 8
- или
- встроенный
- зашифрованный
- конец
- Проект и
- повышать
- соблазнительный
- Весь
- лиц
- Эквивалент
- ошибка
- Исследования ESET
- установить
- и т.д
- События
- Каждая
- точно,
- пример
- исключительно
- выполнять
- выполненный
- Выполняет
- выполнение
- эксфильтрации
- ожидаемый
- экспорт
- расширенная
- расширение
- не удается
- не настоящие
- февраль
- ФЕСТИВАЛЬ
- поле
- Поля
- фигура
- фигурный
- Файл
- Файлы
- окончательный
- Найдите
- брандмауэр
- First
- фиксированный
- поток
- следует
- после
- следующим образом
- Что касается
- формат
- формула
- найденный
- 4
- Рамки
- Бесплатно
- от
- полный
- функция
- функциональные возможности
- функциональность
- Функции
- далее
- сбор
- порождать
- генерируется
- ГРУЗИИ
- получить
- получает
- получающий
- идет
- Правительство
- Государственные учреждения
- графический
- группы
- Группы
- Управляемость
- Аппаратные средства
- хэш
- хешированное
- Хеширования
- Есть
- Герой
- High
- Высокий профиль
- высший
- Отверстие
- Отверстия
- Hong
- Гонконге
- кашель
- состоялся
- хостинг
- Однако
- HTML
- HTTP
- HTTPS
- ID
- идентифицированный
- идентификатор
- идентификаторы
- if
- иллюстрирует
- изображение
- важную
- in
- В других
- включены
- В том числе
- Индексы
- Индия
- индикаторы
- лиц
- повлиять
- информация
- Инфраструктура
- вводить
- вход
- ввод
- Запросы
- внутри
- устанавливать
- установлен
- Установка
- вместо
- Институт
- интегрированный
- Intel
- Интеллекта
- предназначенных
- интерес
- внутренне
- Мультиязычность
- на международном уровне
- в
- IP
- IP-адрес
- IP-адреса
- Выпущен
- IT
- ЕГО
- январь
- Япония
- JavaScript
- Jio
- JQuery
- JSON
- всего
- хранится
- Основные
- ключи
- Знать
- знания
- известный
- Kong
- язык
- Поздно
- новее
- последний
- запуск
- запустили
- запуск
- слой
- наименее
- законный
- рычаги
- Библиотека
- такое как
- Список
- Включенный в список
- слушает
- Списки
- Живет
- загрузка
- загрузчик
- погрузка
- локальным
- расположенный
- расположение
- посмотреть
- макинтош
- машина
- MacOS
- магия
- Главная
- материк
- основной
- Большинство
- Малайзия
- злонамеренный
- вредоносных программ
- управлять
- многих
- маскарад
- Совпадение
- спички
- согласование
- Май..
- MD5
- me
- смысл
- значимым
- означает,
- механизм
- Память
- сообщение
- Сообщения
- Метаданные
- метод
- может быть
- отсутствующий
- модифицировало
- изменять
- модульный
- Модули
- БОЛЕЕ
- самых
- переехал
- с разными
- должен
- Мьянма
- имя
- Названный
- необходимо
- необходимый
- сеть
- сетей
- Новые
- Новости
- следующий
- Нигерия
- нет
- в своих размышлениях
- уведомление
- номер
- объект
- получать
- полученный
- получение
- Получает
- раз
- of
- Предложения
- Официальный представитель в Грузии
- Официальный веб-сайт
- Старый
- старший
- on
- консолидировать
- ONE
- только
- на
- операционный
- операционная система
- операция
- Операторы
- or
- организация
- организации
- OS
- Другое
- в противном случае
- наши
- внешний
- выходной
- за
- собственный
- пакет
- пакеты
- страница
- параметры
- мимо
- путь
- пути
- настойчивость
- Филиппины
- кусок
- штук
- Часть
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- пунктов
- поставленный
- потенциал
- представить
- представлены
- предотвращать
- предварительный просмотр
- предыдущий
- предварительно
- частная
- Проблема
- доходы
- процесс
- Процессы
- производит
- Продукт
- Профиль
- запрограммированный
- способствует
- протокол
- при условии
- полномочие
- что такое варган?
- публично
- опубликованный
- цель
- карантин
- запрос
- ассортимент
- диапазоны
- достиг
- Получать
- реестра
- Связанный
- осталось
- удаление
- удален
- оказывать
- оказываемых
- оказывает
- Ответить
- Сообщается
- Отчеты
- представляет
- запросить
- требуется
- исследованиям
- исследователи
- ответственный
- обратный
- условиями,
- Run
- Бег
- Ржавчина
- соль
- то же
- образец
- считаться
- скрипт
- Во-вторых
- вторичный
- Раздел
- безопасный
- безопасность
- посмотреть
- видел
- выбор
- посылает
- сентябрь
- служил
- сервер
- Серверы
- обслуживание
- Услуги
- несколько
- общие
- разделение
- Оболочка
- должен
- показанный
- Шоу
- сторона
- подпись
- подписанный
- подписание
- аналогичный
- с
- Размер
- So
- Software
- разработка программного обеспечения
- Решение
- юго-восток
- Space
- конкретный
- конкретно
- указанный
- Этап
- этапы
- Звезды
- заявление
- Области
- магазин
- хранить
- Стратегический
- строка
- Структура
- структурированный
- успех
- такие
- поставка
- цепочками поставок
- Поддержанный
- подозрительный
- Коммутатор
- система
- ТАБЛИЦЫ
- Тайвань
- приняты
- принимает
- цель
- целевое
- направлены
- направлена против
- Сложность задачи
- задачи
- команда
- технологии
- Технологии
- Терминал
- территорий
- чем
- который
- Ассоциация
- информация
- Филиппины
- их
- Их
- сами
- тогда
- Там.
- следовательно
- они
- этой
- те
- угроза
- три
- Через
- по всему
- время
- Сроки
- отметка времени
- в
- вместе
- знак
- инструментом
- Инструментарий
- Всего
- Переводы
- правда
- Доверие
- два
- напишите
- типичный
- не в состоянии
- под
- понимать
- созданного
- Объединенный
- США
- Университет
- неизвестный
- Предстоящие
- Updates
- URL
- us
- использование
- используемый
- Информация о пользователе
- пользователей
- использования
- через
- обычно
- ценностное
- Наши ценности
- Вариант
- версия
- версии
- очень
- с помощью
- Жертва
- жертвы
- Вьетнам
- Войти
- посетили
- посетитель
- посетителей
- Посещения
- законопроект
- we
- Web
- Вебсайт
- веб-сайты
- ЧТО Ж
- были
- Что
- когда
- будь то
- который
- КТО
- широкий
- Широкий диапазон
- ширина
- Википедия.
- будете
- окна
- в
- слова
- письменный
- еще
- зефирнет
- ZIP