ESET-forskare upptäckte en cyberspionagekampanj som, åtminstone sedan september 2023, har utsatt tibetaner genom ett riktat vattenhål (även känd som en strategisk webbkompromiss), och en kompromiss i leveranskedjan för att leverera trojaniserade installatörer av programvara för översättning av tibetanska språk. Angriparna syftade till att distribuera skadliga nedladdningsprogram för Windows och macOS för att äventyra webbplatsbesökare med MgBot och en bakdörr som, så vitt vi vet, inte har dokumenterats offentligt ännu; vi har döpt den till Nightdoor.
Huvudpunkter i detta blogginlägg:
- Vi upptäckte en cyberspionagekampanj som utnyttjar Monlam-festivalen – en religiös sammankomst – för att rikta in sig på tibetaner i flera länder och territorier.
- Angriparna komprometterade webbplatsen för arrangören av den årliga festivalen, som äger rum i Indien, och lade till skadlig kod för att skapa en vattenhålsattack riktad mot användare som ansluter från specifika nätverk.
- Vi upptäckte också att en mjukvaruutvecklares försörjningskedja äventyrades och trojaniserade installationsprogram för Windows och macOS serverades till användarna.
- Angriparna ställde upp ett antal skadliga nedladdningar och fullfjädrade bakdörrar för operationen, inklusive en offentligt odokumenterad bakdörr för Windows som vi har döpt till Nightdoor.
- Vi tillskriver denna kampanj med stort förtroende till den Kina-anslutna Evasive Panda APT-gruppen.
Undvikande Panda-profil
Undvikande Panda (också känd som BRONS HÖGLAND och Dolkfluga) är en kinesisktalande APT-grupp, aktiv sedan åtminstone 2012. ESET Research har observerat gruppen som bedriver cyberspionage mot individer i Kina, Hongkong, Macao och Nigeria. Statliga enheter var inriktade på Sydostasien och Östasien, särskilt Kina, Macao, Myanmar, Filippinerna, Taiwan och Vietnam. Andra organisationer i Kina och Hongkong var också måltavla. Enligt offentliga rapporter har gruppen också riktat in sig på okända enheter i Hongkong, Indien och Malaysia.
Gruppen använder sitt eget anpassade ramverk för skadlig programvara med en modulär arkitektur som gör att dess bakdörr, känd som MgBot, kan ta emot moduler för att spionera på sina offer och förbättra dess kapacitet. Sedan 2020 har vi också observerat att Evasive Panda har kapacitet att leverera sina bakdörrar via motståndare-i-mitt-attacker kapning av uppdateringar av legitim programvara.
Kampanjöversikt
I januari 2024 upptäckte vi en cyberspionageoperation där angripare äventyrade minst tre webbplatser för att utföra vattenhålsattacker samt en kompromiss i leveranskedjan från ett tibetanskt mjukvaruföretag.
Den komprometterade webbplatsen som missbrukas som ett vattenhål tillhör Kagyu International Monlam Trust, en organisation baserad i Indien som främjar tibetansk buddhism internationellt. Angriparna placerade ett skript på webbplatsen som verifierar IP-adressen för det potentiella offret och om det är inom ett av de riktade adressintervallen, visar en falsk felsida för att locka användaren att ladda ner en "fix" med namnet certifikat (med tillägget .exe om besökaren använder Windows eller .pkg om macOS). Den här filen är en skadlig nedladdare som distribuerar nästa steg i kompromisskedjan.
Baserat på de IP-adressintervall som koden söker efter upptäckte vi att angriparna riktade sig mot användare i Indien, Taiwan, Hongkong, Australien och USA; attacken kan ha syftat till att dra nytta av det internationella intresset för Kagyu Monlam-festivalen (Figur 1) som hålls årligen i januari i staden Bodhgaya, Indien.
Intressant nog är nätverket för Georgia Institute of Technology (även känt som Georgia Tech) i USA bland de identifierade enheterna i de riktade IP-adressintervallen. Förr, universitetet nämndes i samband med det kinesiska kommunistpartiets inflytande på utbildningsinstitutioner i USA.
Runt september 2023 äventyrade angriparna webbplatsen för ett mjukvaruutvecklingsföretag baserat i Indien som producerar programvara för översättning av tibetanska språk. Angriparna placerade flera trojaniserade applikationer där som distribuerar en skadlig nedladdningsprogram för Windows eller macOS.
Utöver detta missbrukade angriparna också samma webbplats och en tibetansk nyhetswebbplats som heter Tibetpost – tibetpost[.]net – att vara värd för de nyttolaster som erhålls av de skadliga nedladdningarna, inklusive två fullfjädrade bakdörrar för Windows och ett okänt antal nyttolaster för macOS.
Med stort självförtroende tillskriver vi denna kampanj till Evasive Panda APT-gruppen, baserat på skadlig programvara som användes: MgBot och Nightdoor. Tidigare har vi sett båda bakdörrarna utplacerade tillsammans, i en orelaterade attack mot en religiös organisation i Taiwan, där de också delade samma C&C-server. Båda punkterna gäller även kampanjen som beskrivs i detta blogginlägg.
Vattenhål
På januari 14th, 2024, upptäckte vi ett misstänkt skript kl https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Skadlig förvirrad kod har lagts till i en legitim jQuery JavaScript-biblioteksskript, som ses i figur 2.
Skriptet skickar en HTTP-förfrågan till den lokala värdadressen http://localhost:63403/?callback=handleCallback för att kontrollera om angriparens mellanliggande nedladdare redan körs på den potentiella offermaskinen (se figur 3). På en tidigare komprometterad maskin svarar implantatet med handleCallback({“success”:true }) (se figur 4) och inga ytterligare åtgärder vidtas av skriptet.
Om maskinen inte svarar med förväntad data fortsätter den skadliga koden genom att hämta en MD5-hash från en sekundär server kl. https://update.devicebug[.]com/getVersion.php. Därefter kontrolleras hashen mot en lista med 74 hashvärden, som ses i figur 6.
Om det finns en matchning kommer skriptet att återge en HTML-sida med ett falskt kraschmeddelande (Figur 7) som är avsett att locka den besökande användaren att ladda ner en lösning för att åtgärda problemet. Sidan efterliknar typiska "Aw, Snap!" varningar från Google Chrome.
Knappen "Omedelbar fix" utlöser ett skript som laddar ner en nyttolast baserat på användarens operativsystem (Figur 8).
Bryter hash
Villkoret för leverans av nyttolast kräver att rätt hash hämtas från servern på update.devicebug[.]com, så de 74 hasharna är nyckeln till angriparens mekanism för att välja offer. Men eftersom hashen beräknas på serversidan, var det en utmaning för oss att veta vilken data som används för att beräkna den.
Vi experimenterade med olika IP-adresser och systemkonfigurationer och minskade ingången för MD5-algoritmen till en formel av de tre första oktetterna av användarens IP-adress. Med andra ord, till exempel genom att mata in IP-adresser som delar samma nätverksprefix 192.168.0.1 och 192.168.0.50, kommer att ta emot samma MD5-hash från C&C-servern.
Men en okänd kombination av tecken, eller en salt, ingår i strängen av de tre första IP-oktetterna före hashning för att förhindra att hasharna blir trivialt brute-forced. Därför behövde vi brute-force saltet för att säkra ingångsformeln och först sedan generera hashs genom att använda hela utbudet av IPv4-adresser för att hitta de matchande 74 hasharna.
Ibland är stjärnorna i linje, och vi kom på att saltet var det 1qaz0okm!@#. Med alla delar av MD5-inmatningsformeln (t.ex. 192.168.1.1qaz0okm!@#), tvingade vi fram de 74 hasharna med lätthet och skapade en lista med mål. Se den Appendix för en komplett lista.
Som visas i figur 9 är majoriteten av riktade IP-adressintervall i Indien, följt av Taiwan, Australien, USA och Hongkong. Observera att de flesta av Tibetansk diaspora bor i Indien.
Windows nyttolast
På Windows serveras offer för attacken med en skadlig körbar fil som finns på https://update.devicebug[.]com/fixTools/certificate.exe. Figur 10 visar exekveringskedjan som följer när användaren laddar ner och kör den skadliga fixen.
certificate.exe är en dropper som använder en sidoladdningskedja för att ladda en mellanliggande nedladdningsanordning, memmgrset.dll (internt namngiven http_dy.dll). Denna DLL hämtar en JSON-fil från C&C-servern på https://update.devicebug[.]com/assets_files/config.json, som innehåller informationen för att ladda ner nästa steg (se figur 11).
När nästa steg har laddats ner och körts, distribuerar den ytterligare en sidoladdningskedja för att leverera Nightdoor som den sista nyttolasten. En analys av Nightdoor ges nedan i Nattdörr sektion.
macOS nyttolast
MacOS malware är samma nedladdare som vi dokumenterar mer i detalj i Kompromiss i leveranskedjan. Den här släpper dock en extra körbar Mach-O, som lyssnar på TCP-port 63403. Dess enda syfte är att svara med handleCallback({“success”:true }) till den skadliga JavaScript-kodbegäran, så om användaren besöker vattenhålswebbplatsen igen kommer JavaScript-koden inte att försöka äventyra besökaren igen.
Denna nedladdare hämtar JSON-filen från servern och laddar ner nästa steg, precis som Windows-versionen som beskrivits tidigare.
Kompromiss i leveranskedjan
På januari 18th, upptäckte vi att den officiella webbplatsen (Figur 12) för en tibetansk översättningsprogramvara för flera plattformar var värd för ZIP-paket som innehöll trojaniserade installationsprogram för legitim programvara som distribuerade skadliga nedladdningsprogram för Windows och macOS.
Vi hittade ett offer från Japan som laddade ner ett av paketen för Windows. Tabell 1 listar webbadresserna och de tappade implantaten.
Tabell 1. URL:er till de skadliga paketen på den utsatta webbplatsen och typen av nyttolast i den utsatta applikationen
Skadlig paketadress |
Typ av nyttolast |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32-nedladdare |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32-nedladdare |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32-nedladdare |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS-nedladdare |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS-nedladdare |
Windows-paket
Figur 13 illustrerar laddningskedjan för den trojaniserade applikationen från paketet monlam-bodyig3.zip.
Den trojaniserade applikationen innehåller en skadlig droppare som kallas autorun.exe som distribuerar två komponenter:
- en körbar fil med namnet MonlamUpdate.exe, som är en mjukvarukomponent från en emulator som heter C64 för alltid och missbrukas för DLL-sidoladdning, och
- RPHost.dll, den sidladdade DLL-filen, som är en skadlig nedladdningsprogram för nästa steg.
När nedladdnings-DLL-filen laddas i minnet skapas en schemalagd uppgift med namnet Demovale avsedd att köras varje gång en användare loggar in. Men eftersom uppgiften inte anger en fil som ska köras, lyckas den inte etablera persistens.
Därefter får denna DLL ett UUID och operativsystemversionen för att skapa en anpassad User-Agent och skickar en GET-förfrågan till https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat för att få en JSON-fil som innehåller URL:en för att ladda ner och köra en nyttolast som den släpper till % TEMP% katalog. Vi kunde inte erhålla ett urval av JSON-objektdata från den utsatta webbplatsen; därför vet vi inte exakt varifrån default_ico.exe laddas ner, som illustreras i figur 13.
Via ESET telemetri märkte vi att det olagliga MonlamUpdate.exe process laddas ner och körs vid olika tillfällen minst fyra skadliga filer till %TEMP%default_ico.exe. Tabell 2 listar dessa filer och deras syfte.
Tabell 2. Hash av default_ico.exe nedladdare/dropper, kontaktad C&C URL och beskrivning av nedladdaren
SHA-1 |
Kontaktad URL |
Syfte |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Laddar ner en okänd nyttolast från servern. |
F0F8F60429E3316C463F |
Laddar ner en okänd nyttolast från servern. Detta prov skrevs i Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Laddar ner en slumpmässigt namngiven Nightdoor dropper. |
BFA2136336D845184436 |
N / A |
Verktyg med öppen källkod System information, i vilken angriparna integrerade sin skadliga kod och bäddade in en krypterad blob som, när den väl dekrypteras och körs, installerar MgBot. |
Slutligen, default_ico.exe nedladdare eller dropper kommer antingen att hämta nyttolasten från servern eller släppa den och sedan köra den på offermaskinen, installera antingen Nightdoor (se Nattdörr avsnitt) eller MgBot (se vår tidigare analys).
De två återstående trojaniserade paketen är mycket lika, och distribuerar samma skadliga nedladdnings-DLL som är sidladdad av den legitima körbara filen.
macOS-paket
ZIP-arkivet som laddats ner från den officiella appbutiken innehåller ett modifierat installationspaket (.pkg fil), där en körbar Mach-O och ett efterinstallationsskript lades till. Skriptet efter installationen kopierar Mach-O-filen till $HOME/Library/Containers/CalendarFocusEXT/ och fortsätter med att installera en Launch Agent i $HOME/Library/LaunchAgents/com.Terminal.us.plist för uthållighet. Figur 14 visar skriptet som ansvarar för att installera och starta den skadliga Launch Agent.
Den illvilliga Mach-O, Monlam-bodyig_Keyboard_2017 i figur 13 är signerad, men inte attesterad, med ett utvecklarcertifikat (inte ett certifikat typ används vanligtvis för distribution) med namn och teamidentifierare ja ni yang (2289F6V4BN). Tidsstämpeln i signaturen visar att den var undertecknad 7 januarith, 2024. Detta datum används också i den modifierade tidsstämpeln för de skadliga filerna i ZIP-arkivets metadata. Intyget utfärdades bara tre dagar innan. Det fullständiga certifikatet finns tillgängligt i IOCS sektion. Vårt team kontaktade Apple den 25 januarith och intyget återkallades samma dag.
Denna skadliga programvara i första skedet laddar ner en JSON-fil som innehåller URL:en till nästa steg. Arkitekturen (ARM eller Intel), macOS-versionen och hårdvaru-UUID (en identifierare som är unik för varje Mac) rapporteras i User-Agent HTTP-förfrågningshuvudet. Samma URL som Windows-versionen används för att hämta den konfigurationen: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. MacOS-versionen kommer dock att titta på data under mac-nyckeln för JSON-objektet istället för vinna nyckel.
Objektet under mac-nyckeln bör innehålla följande:
- URL: URL:en till nästa steg.
- md5: MD5 summan av nyttolasten.
- vernow: En lista över hårdvaru-UUID. Om det finns, kommer nyttolasten endast att installeras på Mac-datorer som har en av de listade hårdvaru-UUID:erna. Denna kontroll hoppas över om listan är tom eller saknas.
- version: Ett numeriskt värde som måste vara högre än den tidigare nedladdade andra stegets "version". Nyttolasten laddas inte ner annars. Värdet för den version som körs för närvarande behålls i applikationen användarens standardinställningar.
Efter att skadlig programvara har laddat ner filen från den angivna URL:en med curl hashas filen med MD5 och jämförs med den hexadecimala sammanfattningen under md5 nyckel. Om det matchar tas dess utökade attribut bort (för att rensa attributet com.apple.quarantine), flyttas filen till $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, och startas med hjälp av execvp med argumentet kör.
Till skillnad från Windows-versionen kunde vi inte hitta någon av de senare stadierna av macOS-varianten. En JSON-konfiguration innehöll en MD5-hash (3C5739C25A9B85E82E0969EE94062F40), men URL-fältet var tomt.
Nattdörr
Bakdörren som vi har döpt till Nightdoor (och heter NetMM av skadlig programvara enligt PDB-sökvägar) är ett sent tillägg till Evasive Pandas verktygsuppsättning. Vår tidigaste kunskap om Nightdoor går tillbaka till 2020, när Evasive Panda distribuerade den på en maskin av ett högprofilerat mål i Vietnam. Bakdörren kommunicerar med sin C&C-server via UDP eller Google Drive API. Nightdoor-implantatet från denna kampanj använde det senare. Den krypterar ett Google API OAuth 2.0 token inom datasektionen och använder token för att komma åt angriparens Google Drive. Vi har begärt att Google-kontot som är kopplat till denna token tas bort.
Först skapar Nightdoor en mapp i Google Drive som innehåller offrets MAC-adress, som också fungerar som ett offer-ID. Den här mappen kommer att innehålla alla meddelanden mellan implantatet och C&C-servern. Varje meddelande mellan Nightdoor och C&C-servern är strukturerad som en fil och separerad i filnamn och fildata, som visas i figur 15.
Varje filnamn innehåller åtta huvudattribut, vilket visas i exemplet nedan.
Exempelvis:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: magiskt värde.
- 0C64C2BAEF534C8E9058797BCD783DE5: rubrik på pbuf datastruktur.
- 168: storlek på meddelandeobjektet eller filstorlek i byte.
- 0: filnamn, som alltid är standardvärdet 0 (null).
- 1: kommandotyp, hårdkodad till 1 eller 0 beroende på provet.
- 4116: kommando-ID.
- 0: tjänstens kvalitet (QoS).
- 00-00-00-00-00-00: avsedd att vara MAC-adressen för destinationen men är alltid standard 00-00-00-00-00-00.
Data inuti varje fil representerar styrenhetens kommando för bakdörren och de nödvändiga parametrarna för att utföra det. Figur 16 visar ett exempel på ett C&C-servermeddelande lagrat som fildata.
Genom omvänd konstruktion av Nightdoor kunde vi förstå innebörden av de viktiga fälten som presenteras i filen, som visas i figur 17.
Vi fann att många meningsfulla ändringar lades till i Nightdoor-versionen som används i den här kampanjen, en av dem var organisationen av kommando-ID:n. I tidigare versioner tilldelades varje kommando-ID till en hanterarfunktion en efter en, som visas i figur 18. Numreringsvalen, t.ex. 0x2001 till 0x2006, från 0x2201 till 0x2203, från 0x4001 till 0x4003Och från 0x7001 till 0x7005, föreslog att kommandon delades in i grupper med liknande funktioner.
Men i den här versionen använder Nightdoor en grentabell för att organisera alla kommando-ID:n med deras motsvarande hanterare. Kommando-ID:n är kontinuerliga genomgående och fungerar som index för deras motsvarande hanterare i grentabellen, som visas i figur 19.
Tabell 3 är en förhandsvisning av C&C-serverkommandon och deras funktionalitet. Den här tabellen innehåller de nya kommando-ID:n samt motsvarande ID:n från äldre versioner.
Tabell 3. Kommandon som stöds av Nightdoor-varianterna som används i denna kampanj.
Kommando-ID |
Tidigare kommando-ID |
Beskrivning |
|
0x1001 |
0x2001 |
Samla in grundläggande systemprofilinformation som: – OS-version – IPv4-nätverksadaptrar, MAC-adresser och IP-adresser – CPU-namn - Datornamn - Användarnamn – Namn på enhetsdrivrutiner – Alla användarnamn från C:Användare* - Lokal tid – Offentlig IP-adress med hjälp av ifconfig.me or ipinfo.io webb-service |
|
0x1007 |
0x2002 |
Samla information om diskenheter som: – Enhetens namn – Fritt utrymme och totalt utrymme – Filsystemtyp: NTFS, FAT32, etc. |
|
0x1004 |
0x2003 |
Samla information om alla installerade program under Windows registernycklar: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Samla information om pågående processer, till exempel: - Process namn - Antal trådar - Användarnamn – Filens plats på disken – Beskrivning av filen på disken |
|
0x1006 |
0x4001 |
Skapa ett omvänt skal och hantera in- och utdata via anonyma rör. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
Självavinstallera. |
|
0x100C |
0x6001 |
Flytta fil. Sökvägen tillhandahålls av C&C-servern. |
|
0x100B |
0x6002 |
Radera fil. Sökvägen tillhandahålls av C&C-servern. |
|
0x1016 |
0x6101 |
Få filattribut. Sökvägen tillhandahålls av C&C-servern. |
Slutsats
Vi har analyserat en kampanj av den Kina-anslutna APT Evasive Panda som riktade sig mot tibetaner i flera länder och territorier. Vi tror att angriparna vid den tidpunkten utnyttjade den kommande Monlam-festivalen i januari och februari 2024 för att äventyra användare när de besökte festivalens webbplats som blev vattenhål. Dessutom äventyrade angriparna leverantörskedjan för en mjukvaruutvecklare av översättningsappar för tibetanska språk.
Angriparna ställde upp med flera nedladdare, droppare och bakdörrar, inklusive MgBot – som uteslutande används av Evasive Panda – och Nightdoor: det senaste stora tillägget till gruppens verktygslåda och som har använts för att rikta in sig på flera nätverk i Östasien.
En omfattande lista över kompromissindikatorer (IoCs) och prover finns i vår GitHub repository.
För eventuella frågor om vår forskning publicerad på WeLiveSecurity, vänligen kontakta oss på hotintel@eset.com.
ESET Research erbjuder privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.
IOCS
Filer
SHA-1 |
Filnamn |
Detektering |
Beskrivning |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Dropper-komponenten har lagts till i det officiella installationspaketet. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
Intermediate downloader. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
Intermediate downloader programmerad i Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Nightdoor laddare. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Dropper för nattdörr. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Mellanlastare. |
5273B45C5EABE64EDBD0 |
certifikat.pkg |
OSX/Agent.DJ |
MacOS dropper-komponent. |
5E5274C7D931C1165AA5 |
certificate.exe |
Win32/Agent.AGES |
Dropper-komponent från den komprometterade webbplatsen. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Nightdoor dropper komponent. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Mellanlastare för Nightdoor-nedladdningskomponent. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Mellanlastare till Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trojaniserat installationsprogram. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
Skadligt JavaScript har lagts till på den utsatta webbplatsen. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trojaniserat installationsprogram. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Trojaniserat installationspaket. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Trojaniserat installationspaket. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS trojaniserat installationspaket. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS trojaniserat installationspaket. |
C0575AF04850EB1911B0 |
Säkerhet~.x64 |
OSX/Agent.DJ |
MacOS-nedladdare. |
7C3FD8EE5D660BBF43E4 |
Säkerhet~.arm64 |
OSX/Agent.DJ |
MacOS-nedladdare. |
FA78E89AB95A0B49BC06 |
Säkerhet.fett |
OSX/Agent.DJ |
MacOS-nedladdningskomponent. |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary exportfil |
OSX/Agent.DJ |
Skadlig komponent från macOS trojaniserat installationspaket. |
Certifikat
Serienummer |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Tumavtryck |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Ämne CN |
Apples utveckling: ya ni yang (2289F6V4BN) |
Ämne O |
ja ni yang |
Ämne L |
N / A |
Ämne S |
N / A |
Ämne C |
US |
Giltig från |
2024-01-04 05:26:45 |
Giltig till |
2025-01-03 05:26:44 |
Serienummer |
6014B56E4FFF35DC4C948452B77C9AA9 |
Tumavtryck |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Ämne CN |
KP MOBIL |
Ämne O |
KP MOBIL |
Ämne L |
N / A |
Ämne S |
N / A |
Ämne C |
KR |
Giltig från |
2021-10-25 00:00:00 |
Giltig till |
2022-10-25 23:59:59 |
IP |
Domän |
Värdleverantör |
Först sett |
Detaljer |
N / A |
tibetpost[.]net |
N / A |
2023-11-29 |
Äventyrad webbplats. |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
Äventyrad webbplats. |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
DC. |
188.208.141[.]204 |
N / A |
Amol Hingade |
2024-02-01 |
Ladda ner server för Nightdoor dropper komponent. |
MITER ATT & CK tekniker
Detta bord byggdes med hjälp av version 14 i MITER ATT&CK-ramverket.
Taktik |
ID |
Namn |
Beskrivning |
Resursutveckling |
Skaffa infrastruktur: Server |
Evasive Panda förvärvade servrar för C&C-infrastrukturen för Nightdoor, MgBot och macOS-nedladdningskomponenten. |
|
Skaffa infrastruktur: webbtjänster |
Evasive Panda använde Google Drives webbtjänst för Nightdoors C&C-infrastruktur. |
||
Kompromissa med infrastruktur: Server |
Undvikande Panda-operatörer kompromissade flera servrar för att använda som vattenhål, för en supply-chain-attack och för att vara värd för nyttolaster och använda som C&C-servrar. |
||
Upprätta konton: Molnkonton |
Evasive Panda skapade ett Google Drive-konto och använde det som C&C-infrastruktur. |
||
Utveckla förmågor: Malware |
Evasive Panda distribuerade anpassade implantat som MgBot, Nightdoor och en macOS-nedladdningskomponent. |
||
T1588.003 |
Skaffa funktioner: Certifikat för kodsignering |
Evasive Panda erhöll kodsigneringscertifikat. |
|
Stagekapacitet: Drive-by-mål |
Undvikande Panda-operatörer modifierade en högprofilerad webbplats för att lägga till en del av JavaScript-kod som ger ett falskt meddelande för att ladda ner skadlig programvara. |
||
Initial åtkomst |
Drive-by-kompromiss |
Besökare på utsatta webbplatser kan få ett falskt felmeddelande som lockar dem att ladda ner skadlig programvara. |
|
Supply Chain Compromise: Kompromissa Software Supply Chain |
Evasive Panda trojaniserade officiella installationspaket från ett mjukvaruföretag. |
||
Utförande |
Native API |
Nightdoor, MgBot och deras mellanliggande nedladdningskomponenter använder Windows API:er för att skapa processer. |
|
Schemalagd uppgift/jobb: Schemalagd uppgift |
Nightdoor och MgBots lastarkomponenter kan skapa schemalagda uppgifter. |
||
Persistens |
Skapa eller ändra systemprocess: Windows-tjänst |
Nightdoor och MgBots laddarkomponenter kan skapa Windows-tjänster. |
|
Kapningsexekveringsflöde: DLL-sidoladdning |
Nightdoor och MgBots dropper-komponenter distribuerar en legitim körbar fil som sidladdar en skadlig laddare. |
||
Försvarsflykt |
Deobfuskera/avkoda filer eller information |
DLL-komponenter i Nightdoor-implantatet dekrypteras i minnet. |
|
Försämra försvar: Inaktivera eller ändra systembrandväggen |
Nightdoor lägger till två Windows-brandväggsregler för att tillåta inkommande och utgående kommunikation för sin HTTP-proxyserverfunktion. |
||
Indikatorborttagning: Filradering |
Nightdoor och MgBot kan radera filer. |
||
Indikatorborttagning: Clear Persistence |
Nightdoor och MgBot kan avinstallera sig själva. |
||
Maskerad: Maskeraduppgift eller tjänst |
Nightdoors lastare maskerade sin uppgift som netsvcs. |
||
Maskerad: Match legitimt namn eller plats |
Nightdoors installationsprogram distribuerar sina komponenter i legitima systemkataloger. |
||
Obfuskerade filer eller information: Inbäddade nyttolaster |
Nightdoors dropper-komponent innehåller inbäddade skadliga filer som distribueras på disken. |
||
Processinjektion: Dynamic-link Library Injection |
Nightdoor och MgBots lastarkomponenter injicerar sig själva i svchost.exe. |
||
Reflekterande kodladdning |
Nightdoor och MgBots laddarkomponenter injicerar sig själva i svchost.exe, varifrån de laddar Nightdoor eller MgBots bakdörr. |
||
Discovery |
Kontoupptäckt: Lokalt konto |
Nightdoor och MgBot samlar in användarkontoinformation från det komprometterade systemet. |
|
Arkiv- och katalogupptäckt |
Nightdoor och MgBot kan samla in information från kataloger och filer. |
||
Processupptäckt |
Nightdoor och MgBot samlar in information om processer. |
||
Fråga registret |
Nightdoor och MgBot frågar Windows-registret för att hitta information om installerad programvara. |
||
Software Discovery |
Nightdoor och MgBot samlar in information om installerad programvara och tjänster. |
||
Systemägare/användarupptäckt |
Nightdoor och MgBot samlar in användarkontoinformation från det komprometterade systemet. |
||
Systeminformation upptäckt |
Nightdoor och MgBot samlar ett brett utbud av information om det komprometterade systemet. |
||
System Network Connections Discovery |
Nightdoor och MgBot kan samla in data från alla aktiva TCP- och UDP-anslutningar på den komprometterade maskinen. |
||
Samling |
Arkivera insamlade data |
Nightdoor och MgBot lagrar insamlad data i krypterade filer. |
|
Automatiserad samling |
Nightdoor och MgBot samlar automatiskt in system- och nätverksinformation om den komprometterade maskinen. |
||
Data från lokalt system |
Nightdoor och MgBot samlar in information om operativsystemet och användardata. |
||
Data iscensatt: Local Data Staging |
Nightdoor iscensätter data för exfiltrering i filer på disk. |
||
Command and Control |
Application Layer Protocol: webbprotokoll |
Nightdoor kommunicerar med C&C-servern med hjälp av HTTP. |
|
Non-Application Layer Protocol |
Nightdoor kommunicerar med C&C-servern med hjälp av UDP. MgBot kommunicerar med C&C-servern med hjälp av TCP. |
||
Icke-standard port |
MgBot använder TCP-port 21010. |
||
Protokolltunnling |
Nightdoor kan fungera som en HTTP-proxyserver, som tunnlar TCP-kommunikation. |
||
Webbtjänst |
Nightdoor använder Google Drive för C&C-kommunikation. |
||
exfiltration |
Automatiserad exfiltrering |
Nightdoor och MgBot exfiltrerar automatiskt insamlad data. |
|
Exfiltration Over Web Service: Exfiltration till molnlagring |
Nightdoor kan exfiltrera sina filer till Google Drive. |
Appendix
De riktade IP-adressintervallen finns i följande tabell.
CIDR |
ISP |
Stad |
Land |
124.171.71.0/24 |
iiNet |
Sydney |
Australien |
125.209.157.0/24 |
iiNet |
Sydney |
Australien |
1.145.30.0/24 |
Telstra |
Sydney |
Australien |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australien |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australien |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australien |
45.113.1.0/24 |
HK 92server Teknik |
Hong Kong |
Hong Kong |
172.70.191.0/24 |
CloudFlare |
Ahmedabad |
Indien |
49.36.224.0/24 |
Reliance Jio Infocomm |
Airoli |
Indien |
106.196.24.0/24 |
Bharti Airtel |
bengaluru |
Indien |
106.196.25.0/24 |
Bharti Airtel |
bengaluru |
Indien |
14.98.12.0/24 |
Tata Teleservices |
bengaluru |
Indien |
172.70.237.0/24 |
CloudFlare |
Chandīgarh |
Indien |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
Indien |
103.214.118.0/24 |
Airnet Boardband |
delhi |
Indien |
45.120.162.0/24 |
Ani Boardband |
delhi |
Indien |
103.198.173.0/24 |
Anonet |
delhi |
Indien |
103.248.94.0/24 |
Anonet |
delhi |
Indien |
103.198.174.0/24 |
Anonet |
delhi |
Indien |
43.247.41.0/24 |
Anonet |
delhi |
Indien |
122.162.147.0/24 |
Bharti Airtel |
delhi |
Indien |
103.212.145.0/24 |
Excitel |
delhi |
Indien |
45.248.28.0/24 |
Omkar Electronics |
delhi |
Indien |
49.36.185.0/24 |
Reliance Jio Infocomm |
delhi |
Indien |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Indien |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Indien |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
Indien |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
Indien |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
Indien |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamīrpur |
Indien |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
jaipur |
Indien |
27.60.20.0/24 |
Bharti Airtel |
lucknow |
Indien |
223.189.252.0/24 |
Bharti Airtel |
lucknow |
Indien |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Indien |
162.158.235.0/24 |
CloudFlare |
Mumbai |
Indien |
162.158.48.0/24 |
CloudFlare |
Mumbai |
Indien |
162.158.191.0/24 |
CloudFlare |
Mumbai |
Indien |
162.158.227.0/24 |
CloudFlare |
Mumbai |
Indien |
172.69.87.0/24 |
CloudFlare |
Mumbai |
Indien |
172.70.219.0/24 |
CloudFlare |
Mumbai |
Indien |
172.71.198.0/24 |
CloudFlare |
Mumbai |
Indien |
172.68.39.0/24 |
CloudFlare |
New Delhi |
Indien |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Pālampur |
Indien |
103.195.253.0/24 |
Protoact Digital Network |
Ranchi |
Indien |
169.149.224.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.226.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.227.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.229.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
169.149.231.0/24 |
Reliance Jio Infocomm |
Shimla |
Indien |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
Sirsi |
Indien |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Indien |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Indien |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Indien |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
sätt |
Indien |
175.181.134.0/24 |
New Century InfoComm |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
Jag tror |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
Jag tror |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
Jag tror |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
Jag tror |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
Jag tror |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Far EasyTone Telecommunications |
Taoyuan City |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Taiwan Mobile |
Yilan |
Taiwan |
185.93.229.0/24 |
Sucuri Säkerhet |
Ashburn |
USA |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
USA |
216.66.111.0/24 |
Vermont telefon |
Wallingford |
USA |
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- : har
- :är
- :inte
- :var
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Able
- Om oss
- tillgång
- Enligt
- Konto
- konton
- förvärvade
- Agera
- åtgärder
- aktiv
- handlingar
- lägga till
- lagt till
- Dessutom
- Annat
- adress
- adresser
- Lägger
- igen
- mot
- Recensioner
- syftar
- algoritm
- rikta
- Alla
- tillåter
- tillåter
- redan
- också
- alltid
- bland
- an
- analys
- analyseras
- och
- årsringar
- Årligen
- Anonym
- Annan
- svar
- vilken som helst
- api
- API: er
- app
- app store
- Apple
- Ansökan
- tillämpningar
- Ansök
- appar
- APT
- arkitektur
- arkiv
- ÄR
- Argumentet
- ARM
- array
- AS
- asien
- delad
- associerad
- At
- attackera
- Attacker
- försök
- attribut
- Australien
- Författarna
- automatiskt
- tillgänglig
- tillbaka
- bakdörr
- Bakdörrar
- bete
- baserat
- grundläggande
- BE
- varit
- innan
- Där vi får lov att vara utan att konstant prestera,
- tro
- tillhör
- nedan
- BÄST
- mellan
- båda
- Branch
- byggt
- men
- Knappen
- by
- kallas
- Kampanj
- KAN
- kapacitet
- kapitalisera
- aktiverade
- bära
- Århundrade
- certifikat
- certifikat
- kedja
- utmanar
- Förändringar
- tecken
- ta
- kontrollerade
- Kontroller
- Kina
- kinesisk
- val
- Stad
- klar
- cloud
- koda
- samla
- COM
- kombination
- Kommunikation
- företag
- jämfört
- fullborda
- komponent
- komponenter
- omfattande
- kompromiss
- Äventyras
- Compute
- beräknad
- dator
- tillstånd
- ledande
- förtroende
- konfiguration
- Anslutning
- anslutning
- Anslutningar
- kontakta
- innehålla
- innehöll
- innehåller
- innehåll
- fortsätter
- kontinuerlig
- Konversation
- korrekt
- Motsvarande
- kunde
- länder
- Crash
- skapa
- skapas
- skapar
- kryptografi
- För närvarande
- beställnings
- datum
- Datastruktur
- Datum
- Datum
- dag
- Dagar
- Standard
- defaults
- försvar
- leverera
- leverans
- demonstreras
- beroende
- avbildas
- distribuera
- utplacerade
- utplacera
- vecklas ut
- beskriven
- beskrivning
- destination
- detalj
- detekterad
- Utvecklare
- Utveckling
- Utvecklingsföretag
- anordning
- olika
- Smälta
- digital
- kataloger
- katalog
- upptäckt
- Upptäckten
- fördelning
- dividerat
- do
- dokumentera
- gör
- inte
- ner
- ladda ner
- nedladdning
- Nedladdningar
- driv
- chaufför
- enheter
- Drop
- tappade
- Droppar
- varje
- tidigast
- lätta
- öster
- Utbildning
- åtta
- antingen
- inbäddade
- krypterad
- änden
- Teknik
- förbättra
- lockande
- Hela
- enheter
- Motsvarande
- fel
- ESET Research
- etablera
- etc
- händelser
- Varje
- exakt
- exempel
- uteslutande
- exekvera
- exekveras
- Utför
- utförande
- exfiltrering
- förväntat
- export
- förlängas
- förlängning
- misslyckas
- fejka
- Februari
- FESTIVAL
- fält
- Fält
- Figur
- figured
- Fil
- Filer
- slutlig
- hitta
- brandvägg
- Förnamn
- Fast
- flöda
- följt
- efter
- följer
- För
- format
- formeln
- hittade
- fyra
- Ramverk
- Fri
- från
- full
- fungera
- funktionaliteter
- funktionalitet
- funktioner
- ytterligare
- samla
- generera
- genereras
- georgien
- skaffa sig
- blir
- få
- Går
- Regeringen
- Statliga enheter
- Grafisk
- Grupp
- Gruppens
- Arbetsmiljö
- hårdvara
- hash
- hashade
- hasch
- Har
- Held
- Hög
- hög profil
- högre
- Hål
- Hål
- Hong
- Hong Kong
- värd
- värd
- värd
- Men
- html
- http
- HTTPS
- ID
- identifierade
- identifierare
- ids
- if
- illustrerar
- bild
- med Esport
- in
- I andra
- ingår
- Inklusive
- index
- indien
- indikatorer
- individer
- påverka
- informationen
- Infrastruktur
- injicerbart
- ingång
- inmatning
- förfrågningar
- inuti
- installera
- installerad
- installera
- istället
- Institute
- integrerade
- Intel
- Intelligens
- avsedd
- intresse
- invändigt
- Internationell
- internationellt
- in
- IP
- IP-adress
- IP-adresser
- Utfärdad
- IT
- DESS
- Januari
- Japan
- JavaScript
- Jio
- jQuery
- json
- bara
- hålls
- Nyckel
- nycklar
- Vet
- kunskap
- känd
- Kong
- språk
- Sent
- senare
- senaste
- lansera
- lanserades
- lansera
- lager
- t minst
- legitim
- hävstångs
- Bibliotek
- tycka om
- Lista
- Noterade
- lyssnar
- listor
- Bor
- läsa in
- Lastaren
- läser in
- lokal
- belägen
- läge
- se
- mac
- Maskinen
- Mac OS
- magi
- Huvudsida
- fastland
- större
- Majoritet
- Malaysia
- skadlig
- malware
- hantera
- många
- maskerad
- Match
- tändstickor
- matchande
- Maj..
- MD5
- me
- betyder
- meningsfull
- menas
- mekanism
- Minne
- meddelande
- meddelanden
- metadata
- metod
- kanske
- saknas
- modifierad
- modifiera
- modulära
- Moduler
- mer
- mest
- rörd
- multipel
- måste
- Myanmar
- namn
- Som heter
- nödvändigt för
- behövs
- nät
- nätverk
- Nya
- nyheter
- Nästa
- Nigeria
- Nej
- Notera
- anmälan
- antal
- objektet
- få
- erhållna
- erhållande
- erhåller
- möjligheter
- of
- Erbjudanden
- tjänsteman
- Officiell hemsida
- Gamla
- äldre
- on
- gång
- ONE
- endast
- till
- drift
- operativsystem
- drift
- operatörer
- or
- organisation
- organisationer
- OS
- Övriga
- annat
- vår
- ut
- produktion
- över
- egen
- paket
- paket
- sida
- parametrar
- Tidigare
- bana
- banor
- persistens
- filippinerna
- bit
- bitar
- Plats
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- poäng
- pose
- potentiell
- presentera
- presenteras
- förhindra
- Förhandsvisning
- föregående
- tidigare
- privat
- Problem
- vinning
- process
- processer
- producerar
- Produkt
- Profil
- programmerad
- främjar
- protokoll
- förutsatt
- ombud
- allmän
- publicly
- publicerade
- Syftet
- kvalitet
- karantän
- fråga
- område
- intervall
- kommit fram till
- motta
- register
- relaterad
- Återstående
- avlägsnande
- avlägsnas
- ger
- renderade
- renderar
- svar
- Rapporterad
- Rapport
- representerar
- begära
- Kräver
- forskning
- forskare
- ansvarig
- vända
- regler
- Körning
- rinnande
- Rust
- salt
- Samma
- prov
- planerad
- skript
- Andra
- sekundär
- §
- säkra
- säkerhet
- se
- sett
- Val
- sänder
- September
- eras
- server
- Servrar
- service
- Tjänster
- flera
- delas
- delning
- Shell
- skall
- visas
- Visar
- sida
- namnteckning
- signerad
- signering
- liknande
- eftersom
- Storlek
- So
- Mjukvara
- mjukvaruutveckling
- lösning
- sydöst
- Utrymme
- specifik
- specifikt
- specificerade
- Etapp
- stadier
- Stjärnor
- .
- Stater
- lagra
- lagras
- Strategisk
- Sträng
- struktur
- strukturerade
- framgång
- sådana
- leverera
- leveranskedjan
- Som stöds
- misstänksam
- Växla
- system
- bord
- Taiwan
- tagen
- tar
- Målet
- riktade
- targeting
- mål
- uppgift
- uppgifter
- grupp
- tech
- Teknologi
- terminal
- områden
- än
- den där
- Smakämnen
- den information
- Filippinerna
- deras
- Dem
- sig själva
- sedan
- Där.
- därför
- de
- detta
- de
- hot
- tre
- Genom
- hela
- tid
- tidslinje
- tidsstämpel
- till
- tillsammans
- token
- verktyg
- toolkit
- Totalt
- Översättning
- sann
- Litar
- två
- Typ
- typisk
- oförmögen
- under
- förstå
- unika
- United
- USA
- universitet
- okänd
- kommande
- Uppdateringar
- URL
- us
- användning
- Begagnade
- Användare
- användare
- användningar
- med hjälp av
- vanligen
- värde
- Värden
- Variant
- version
- versioner
- mycket
- via
- Victim
- offer
- Vietnam
- Besök
- besökta
- Besökare
- besökare
- Besök
- var
- we
- webb
- Webbplats
- webbsidor
- VÄL
- były
- Vad
- när
- om
- som
- VEM
- bred
- Brett utbud
- bredd
- wikipedia
- kommer
- fönster
- med
- inom
- ord
- skriven
- ännu
- zephyrnet
- Postnummer