นักวิจัยของ ESET ค้นพบแคมเปญจารกรรมทางไซเบอร์ที่ตกเป็นเหยื่อชาวทิเบตตั้งแต่อย่างน้อยเดือนกันยายน 2023 ผ่านทางช่องทางที่มุ่งเป้า (หรือที่เรียกว่าการประนีประนอมทางเว็บเชิงกลยุทธ์) และการประนีประนอมในห่วงโซ่อุปทานเพื่อส่งผู้ติดตั้งซอฟต์แวร์แปลภาษาทิเบตแบบโทรจัน ผู้โจมตีมีเป้าหมายที่จะปรับใช้โปรแกรมดาวน์โหลดที่เป็นอันตรายสำหรับ Windows และ macOS เพื่อประนีประนอมผู้เยี่ยมชมเว็บไซต์ด้วย MgBot และแบ็คดอร์ ซึ่งเท่าที่เราทราบ ยังไม่มีการบันทึกข้อมูลต่อสาธารณะ เราตั้งชื่อมันว่า Nightdoor
ประเด็นสำคัญในโพสต์บล็อกนี้:
- เราค้นพบแคมเปญจารกรรมทางไซเบอร์ที่ใช้ประโยชน์จากเทศกาล Monlam ซึ่งเป็นการรวมตัวทางศาสนา เพื่อกำหนดเป้าหมายไปที่ชาวทิเบตในหลายประเทศและดินแดน
- ผู้โจมตีได้บุกรุกเว็บไซต์ของผู้จัดงานประจำปีซึ่งจัดขึ้นในอินเดีย และเพิ่มโค้ดที่เป็นอันตรายเพื่อสร้างการโจมตีแบบ Water Hole ที่กำหนดเป้าหมายผู้ใช้ที่เชื่อมต่อจากเครือข่ายเฉพาะ
- นอกจากนี้เรายังค้นพบว่าห่วงโซ่อุปทานของนักพัฒนาซอฟต์แวร์ถูกบุกรุกและให้บริการตัวติดตั้งโทรจันสำหรับ Windows และ macOS แก่ผู้ใช้
- ผู้โจมตีได้ส่งตัวดาวน์โหลดที่เป็นอันตรายและแบ็คดอร์ที่มีคุณสมบัติครบถ้วนจำนวนมากสำหรับการดำเนินการนี้ รวมถึงแบ็คดอร์สำหรับ Windows ที่ไม่มีเอกสารซึ่งเปิดเผยต่อสาธารณะที่เราตั้งชื่อว่า Nightdoor
- เราถือว่าแคมเปญนี้อยู่ในกลุ่ม Evasive Panda APT ซึ่งอยู่ร่วมกับจีนด้วยความมั่นใจอย่างสูง
โปรไฟล์แพนด้าที่หลบเลี่ยง
แพนด้าที่หลบเลี่ยง (ยังเป็นที่รู้จักกันในนาม บรอนซ์ ไฮแลนด์ และ แด็กเกอร์ฟลาย) เป็นกลุ่ม APT ที่พูดภาษาจีน เปิดใช้งานอย่างน้อยตั้งแต่ปี 2012. ฝ่ายวิจัยของ ESET ได้สังเกตการณ์กลุ่มที่ทำการจารกรรมทางไซเบอร์ต่อบุคคลในจีนแผ่นดินใหญ่ ฮ่องกง มาเก๊า และไนจีเรีย หน่วยงานภาครัฐตกเป็นเป้าหมายในเอเชียตะวันออกเฉียงใต้และเอเชียตะวันออก โดยเฉพาะจีน มาเก๊า เมียนมาร์ ฟิลิปปินส์ ไต้หวัน และเวียดนาม องค์กรอื่นๆ ในจีนและฮ่องกงก็ตกเป็นเป้าหมายเช่นกัน ตามรายงานสาธารณะ กลุ่มยังได้กำหนดเป้าหมายไปยังหน่วยงานที่ไม่รู้จักในฮ่องกง อินเดีย และมาเลเซีย
กลุ่มนี้ใช้เฟรมเวิร์กมัลแวร์แบบกำหนดเองของตนเองพร้อมสถาปัตยกรรมแบบโมดูลาร์ที่ช่วยให้แบ็คดอร์ที่เรียกว่า MgBot สามารถรับโมดูลเพื่อสอดแนมเหยื่อและเพิ่มขีดความสามารถ ตั้งแต่ปี 2020 เรายังสังเกตเห็นว่า Evasive Panda มีความสามารถในการส่งแบ็คดอร์ผ่านการโจมตีของฝ่ายตรงข้ามที่อยู่ตรงกลาง การแย่งชิงการอัปเดตซอฟต์แวร์ที่ถูกกฎหมาย.
ภาพรวมของแคมเปญ
ในเดือนมกราคม ปี 2024 เราค้นพบปฏิบัติการจารกรรมทางไซเบอร์ที่ผู้โจมตีโจมตีเว็บไซต์อย่างน้อยสามแห่งเพื่อทำการโจมตีแบบ Watering Hole รวมถึงการประนีประนอมในห่วงโซ่อุปทานของบริษัทซอฟต์แวร์ทิเบต
เว็บไซต์ที่ถูกบุกรุกซึ่งถูกละเมิดในฐานะแหล่งน้ำนั้นเป็นของ Kagyu International Monlam Trust ซึ่งเป็นองค์กรที่ตั้งอยู่ในอินเดียที่ส่งเสริมพุทธศาสนาในทิเบตในระดับสากล ผู้โจมตีวางสคริปต์บนเว็บไซต์เพื่อยืนยันที่อยู่ IP ของผู้ที่ตกเป็นเหยื่อ และหากอยู่ภายในช่วงที่อยู่เป้าหมาย จะแสดงหน้าข้อผิดพลาดปลอมเพื่อดึงดูดผู้ใช้ให้ดาวน์โหลด “แก้ไข” ชื่อ ใบรับรอง (พร้อมนามสกุล .exe หากผู้เยี่ยมชมใช้ Windows หรือ .pkg หากเป็น macOS) ไฟล์นี้เป็นตัวดาวน์โหลดที่เป็นอันตรายซึ่งจะปรับใช้ขั้นตอนถัดไปในห่วงโซ่การประนีประนอม
จากช่วงที่อยู่ IP ที่โค้ดตรวจสอบ เราพบว่าผู้โจมตีกำหนดเป้าหมายผู้ใช้ในอินเดีย ไต้หวัน ฮ่องกง ออสเตรเลีย และสหรัฐอเมริกา การโจมตีอาจมีจุดมุ่งหมายเพื่อใช้ประโยชน์จากความสนใจระหว่างประเทศในเทศกาล Kagyu Monlam (รูปที่ 1) ซึ่งจัดขึ้นทุกปีในเดือนมกราคมในเมืองพุทธคยา ประเทศอินเดีย
สิ่งที่น่าสนใจคือเครือข่ายของ Georgia Institute of Technology (หรือที่เรียกว่า Georgia Tech) ในสหรัฐอเมริกาเป็นหนึ่งในหน่วยงานที่ระบุในช่วงที่อยู่ IP เป้าหมาย ในอดีตที่ผ่านมา มีการกล่าวถึงมหาวิทยาลัย เกี่ยวพันกับอิทธิพลของพรรคคอมมิวนิสต์จีนที่มีต่อสถาบันการศึกษาในสหรัฐอเมริกา
ประมาณเดือนกันยายน 2023 ผู้โจมตีได้บุกรุกเว็บไซต์ของบริษัทพัฒนาซอฟต์แวร์แห่งหนึ่งในอินเดียซึ่งผลิตซอฟต์แวร์แปลภาษาทิเบต ผู้โจมตีได้วางแอปพลิเคชั่นโทรจันหลายตัวไว้ที่นั่นซึ่งติดตั้งตัวดาวน์โหลดที่เป็นอันตรายสำหรับ Windows หรือ macOS
นอกจากนี้ ผู้โจมตียังใช้เว็บไซต์เดียวกันและเว็บไซต์ข่าวทิเบตชื่อ Tibetpost ในทางที่ผิดอีกด้วย ทิเบตโพสต์[.]สุทธิ – เพื่อโฮสต์เพย์โหลดที่ได้รับจากการดาวน์โหลดที่เป็นอันตราย รวมถึงแบ็คดอร์ที่มีคุณสมบัติครบถ้วนสองตัวสำหรับ Windows และเพย์โหลดจำนวนที่ไม่รู้จักสำหรับ macOS
ด้วยความมั่นใจอย่างสูง เราถือว่าแคมเปญนี้เป็นกลุ่ม Evasive Panda APT โดยพิจารณาจากมัลแวร์ที่ใช้: MgBot และ Nightdoor ในอดีต เราเคยเห็นแบ็คดอร์ทั้งสองถูกใช้งานร่วมกันในการโจมตีองค์กรทางศาสนาในไต้หวันที่ไม่เกี่ยวข้องกับองค์กรใดองค์กรหนึ่ง ซึ่งพวกเขาแชร์เซิร์ฟเวอร์ C&C เดียวกันด้วย ทั้งสองประเด็นยังใช้กับแคมเปญที่อธิบายไว้ในบล็อกโพสต์นี้ด้วย
หลุมรดน้ำ
ในวันที่ 14 มกราคมthในปี 2024 เราตรวจพบสคริปต์ที่น่าสงสัยที่ https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
รหัสที่สร้างความสับสนที่เป็นอันตรายถูกผนวกเข้ากับรหัสที่ถูกต้อง jQuery สคริปต์ไลบรารี JavaScript ดังแสดงในรูปที่ 2
สคริปต์ส่งคำขอ HTTP ไปยังที่อยู่ localhost http://localhost:63403/?callback=handleCallback เพื่อตรวจสอบว่าตัวดาวน์โหลดระดับกลางของผู้โจมตีทำงานอยู่บนเครื่องที่อาจตกเป็นเหยื่ออยู่แล้วหรือไม่ (ดูรูปที่ 3) ในเครื่องจักรที่เสียหายก่อนหน้านี้ รากฟันเทียมจะตอบกลับด้วย handleCallback({“ความสำเร็จ”:true }) (ดูรูปที่ 4) และสคริปต์จะไม่ดำเนินการใดๆ เพิ่มเติม
หากเครื่องไม่ตอบกลับด้วยข้อมูลที่คาดหวัง โค้ดที่เป็นอันตรายจะดำเนินต่อไปโดยรับแฮช MD5 จากเซิร์ฟเวอร์รองที่ https://update.devicebug[.]com/getVersion.php. จากนั้นแฮชจะถูกตรวจสอบกับรายการค่าแฮช 74 ค่า ดังแสดงในรูปที่ 6
หากมีข้อมูลที่ตรงกัน สคริปต์จะแสดงหน้า HTML พร้อมการแจ้งเตือนข้อขัดข้องปลอม (รูปที่ 7) โดยมีจุดมุ่งหมายเพื่อหลอกล่อให้ผู้ใช้ที่เยี่ยมชมดาวน์โหลดวิธีแก้ปัญหาเพื่อแก้ไขปัญหา หน้านี้เลียนแบบโดยทั่วไป “แย่จัง!” คำเตือนจาก Google Chrome.
ปุ่ม “แก้ไขทันที” จะทริกเกอร์สคริปต์ที่ดาวน์โหลดเพย์โหลดตามระบบปฏิบัติการของผู้ใช้ (รูปที่ 8)
ทำลายแฮช
เงื่อนไขสำหรับการจัดส่งเพย์โหลดจำเป็นต้องได้รับแฮชที่ถูกต้องจากเซิร์ฟเวอร์ที่ อัพเดต.devicebug[.]comดังนั้นแฮช 74 รายการจึงเป็นกุญแจสำคัญในกลไกการเลือกเหยื่อของผู้โจมตี อย่างไรก็ตาม เนื่องจากแฮชได้รับการคำนวณทางฝั่งเซิร์ฟเวอร์ จึงเป็นเรื่องที่ท้าทายสำหรับเราในการทราบว่าข้อมูลใดบ้างที่ใช้ในการคำนวณ
เราทดลองกับที่อยู่ IP และการกำหนดค่าระบบที่แตกต่างกัน และจำกัดอินพุตสำหรับอัลกอริทึม MD5 ให้แคบลงเหลือเพียงสูตรของออคเต็ตสามออคเต็ตแรกของที่อยู่ IP ของผู้ใช้ กล่าวอีกนัยหนึ่ง โดยการป้อนที่อยู่ IP ที่ใช้คำนำหน้าเครือข่ายเดียวกัน เป็นต้น 192.168.0.1 และ 192.168.0.50จะได้รับแฮช MD5 เดียวกันจากเซิร์ฟเวอร์ C&C
อย่างไรก็ตาม ไม่ทราบการผสมผสานของอักขระ หรือก เกลือ, จะรวมอยู่ในสตริงของออคเต็ต IP สามตัวแรกก่อนที่จะแฮชเพื่อป้องกันไม่ให้แฮชถูกบังคับแบบเดรัจฉานเล็กน้อย ดังนั้นเราจึงจำเป็นต้องบังคับเกลืออย่างดุเดือดเพื่อรักษาความปลอดภัยสูตรอินพุต จากนั้นจึงสร้างแฮชโดยใช้ช่วงที่อยู่ IPv4 ทั้งหมดเพื่อค้นหาแฮช 74 อันที่ตรงกัน
บางครั้งดวงดาวเรียงตัวกัน และเราพบว่าเกลืออยู่ตรงนั้น 1qaz0okm!@#. ด้วยสูตรอินพุต MD5 ทุกชิ้น (เช่น 192.168.1.1qaz0okm!@#) เราบังคับแฮช 74 รายการได้อย่างง่ายดายและสร้างรายการเป้าหมาย ดู ภาคผนวก สำหรับรายการทั้งหมด
ดังแสดงในรูปที่ 9 ช่วงที่อยู่ IP เป้าหมายส่วนใหญ่อยู่ในอินเดีย ตามมาด้วยไต้หวัน ออสเตรเลีย สหรัฐอเมริกา และฮ่องกง โปรดทราบว่าส่วนใหญ่ ทิเบตพลัดถิ่น อาศัยอยู่ในอินเดีย
เพย์โหลดของ Windows
บน Windows เหยื่อของการโจมตีจะได้รับไฟล์ปฏิบัติการที่เป็นอันตรายซึ่งอยู่ที่ https://update.devicebug[.]com/fixTools/certificate.exe. รูปที่ 10 แสดงห่วงโซ่การดำเนินการที่ตามมาเมื่อผู้ใช้ดาวน์โหลดและดำเนินการแก้ไขที่เป็นอันตราย
ใบรับรอง.exe เป็นตัวหยดที่ใช้ห่วงโซ่การโหลดด้านข้างเพื่อโหลดตัวดาวน์โหลดระดับกลาง memmgrset.dll (ชื่อภายใน http_dy.dll). DLL นี้จะดึงไฟล์ JSON จากเซิร์ฟเวอร์ C&C ที่ https://update.devicebug[.]com/assets_files/config.jsonซึ่งมีข้อมูลสำหรับดาวน์โหลดขั้นต่อไป (ดูรูปที่ 11)
เมื่อดาวน์โหลดและดำเนินการขั้นตอนถัดไป ระบบจะปรับใช้ห่วงโซ่การโหลดด้านข้างอื่นเพื่อส่ง Nightdoor เป็นเพย์โหลดสุดท้าย การวิเคราะห์ Nightdoor มีให้ด้านล่างใน ประตูกลางคืน มาตรา.
เพย์โหลด macOS
มัลแวร์ macOS เป็นตัวดาวน์โหลดเดียวกับที่เราบันทึกไว้ในรายละเอียดเพิ่มเติม การประนีประนอมในห่วงโซ่อุปทาน. อย่างไรก็ตาม อันนี้จะลดปฏิบัติการ Mach-O เพิ่มเติม ซึ่งฟังบนพอร์ต TCP 63403 จุดประสงค์เดียวคือการตอบกลับด้วย handleCallback({“ความสำเร็จ”:true }) ไปยังคำขอโค้ด JavaScript ที่เป็นอันตราย ดังนั้นหากผู้ใช้เยี่ยมชมเว็บไซต์ watering-hole อีกครั้ง โค้ด JavaScript จะไม่พยายามประนีประนอมผู้เยี่ยมชมอีกครั้ง
โปรแกรมดาวน์โหลดนี้รับไฟล์ JSON จากเซิร์ฟเวอร์และดาวน์โหลดในขั้นตอนถัดไป เช่นเดียวกับเวอร์ชัน Windows ที่อธิบายไว้ก่อนหน้านี้
การประนีประนอมในห่วงโซ่อุปทาน
ในวันที่ 18 มกราคมthเราพบว่าเว็บไซต์อย่างเป็นทางการ (รูปที่ 12) ของผลิตภัณฑ์ซอฟต์แวร์แปลภาษาทิเบตสำหรับหลายแพลตฟอร์มนั้นโฮสต์แพ็คเกจ ZIP ที่มีตัวติดตั้งโทรจันสำหรับซอฟต์แวร์ที่ถูกกฎหมายซึ่งปรับใช้โปรแกรมดาวน์โหลดที่เป็นอันตรายสำหรับ Windows และ macOS
เราพบเหยื่อรายหนึ่งจากญี่ปุ่นที่ดาวน์โหลดแพ็คเกจหนึ่งสำหรับ Windows ตารางที่ 1 แสดงรายการ URL และการปลูกถ่ายที่ทิ้ง
ตารางที่ 1. URL ของแพ็คเกจที่เป็นอันตรายบนเว็บไซต์ที่ถูกบุกรุกและประเภทเพย์โหลดในแอปพลิเคชันที่ถูกบุกรุก
URL แพ็คเกจที่เป็นอันตราย |
ประเภทน้ำหนักบรรทุก |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
โปรแกรมดาวน์โหลด Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
โปรแกรมดาวน์โหลด Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
โปรแกรมดาวน์โหลด Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
โปรแกรมดาวน์โหลด macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
โปรแกรมดาวน์โหลด macOS |
แพ็คเกจวินโดวส์
รูปที่ 13 แสดงให้เห็นถึงห่วงโซ่การโหลดของแอปพลิเคชันโทรจันจากแพ็คเกจ monlam-bodyig3.zip.
แอปพลิเคชั่นที่ถูกโทรจันประกอบด้วยหยดที่เป็นอันตรายที่เรียกว่า การทำงานอัตโนมัติ.exe ที่ปรับใช้สององค์ประกอบ:
- ไฟล์ปฏิบัติการชื่อ MonlamUpdate.exeซึ่งเป็นส่วนประกอบซอฟต์แวร์จากโปรแกรมจำลองที่เรียกว่า ตอนที่ 64 ตลอดไป และถูกใช้ในทางที่ผิดสำหรับการโหลด DLL ฝั่ง และ
- RPHost.dllซึ่งเป็น DLL ที่โหลดด้านข้าง ซึ่งเป็นตัวดาวน์โหลดที่เป็นอันตรายสำหรับขั้นตอนต่อไป
เมื่อโหลด DLL ของตัวดาวน์โหลดลงในหน่วยความจำ มันจะสร้างงานที่กำหนดเวลาไว้ชื่อ รื้อ ตั้งใจที่จะดำเนินการทุกครั้งที่ผู้ใช้เข้าสู่ระบบ อย่างไรก็ตาม เนื่องจากงานไม่ได้ระบุไฟล์ที่จะดำเนินการ จึงไม่สามารถสร้างความคงอยู่ได้
ถัดไป DLL นี้จะได้รับ UUID และเวอร์ชันระบบปฏิบัติการเพื่อสร้าง User-Agent แบบกำหนดเองและส่งคำขอ GET ไปที่ https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat เพื่อรับไฟล์ JSON ที่มี URL เพื่อดาวน์โหลดและดำเนินการเพย์โหลดที่ลดลงไปที่ % อุณหภูมิ% ไดเรกทอรี เราไม่สามารถรับตัวอย่างข้อมูลออบเจ็กต์ JSON จากเว็บไซต์ที่ถูกบุกรุกได้ เราจึงไม่ทราบแน่ชัดว่ามาจากไหน default_ico.exe จะถูกดาวน์โหลด ดังแสดงในรูปที่ 13
ผ่านทางระบบโทรมาตรของ ESET เราสังเกตเห็นว่าผิดกฎหมาย MonlamUpdate.exe กระบวนการที่ดาวน์โหลดและดำเนินการในโอกาสต่างๆ อย่างน้อยสี่ไฟล์ที่เป็นอันตราย %TEMP%default_ico.exe. ตารางที่ 2 แสดงรายการไฟล์เหล่านั้นและวัตถุประสงค์
ตารางที่ 2. แฮชของ default_ico.exe ตัวดาวน์โหลด/ตัวหยด, URL ของ C&C ที่ติดต่อ และคำอธิบายของตัวดาวน์โหลด
SHA-1 |
URL ที่ติดต่อ |
จุดมุ่งหมาย |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
ดาวน์โหลดเพย์โหลดที่ไม่รู้จักจากเซิร์ฟเวอร์ |
F0F8F60429E3316C463F |
ดาวน์โหลดเพย์โหลดที่ไม่รู้จักจากเซิร์ฟเวอร์ ตัวอย่างนี้เขียนด้วยภาษา Rust |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
ดาวน์โหลดหยด Nightdoor ที่มีชื่อแบบสุ่ม |
BFA2136336D845184436 |
N / A |
เครื่องมือโอเพ่นซอร์ส systeminfoซึ่งผู้โจมตีได้รวมโค้ดที่เป็นอันตรายและฝัง Blob ที่เข้ารหัสซึ่งเมื่อถอดรหัสและดำเนินการแล้วจะติดตั้ง MgBot |
ในที่สุด default_ico.exe downloader หรือ dropper จะได้รับเพย์โหลดจากเซิร์ฟเวอร์หรือปล่อยมัน จากนั้นจึงรันมันบนเครื่องของเหยื่อ โดยติดตั้ง Nightdoor อย่างใดอย่างหนึ่ง (ดู ประตูกลางคืน ส่วน) หรือ MgBot (ดูของเรา การวิเคราะห์ก่อนหน้า).
แพ็คเกจโทรจันที่เหลืออีกสองแพ็คเกจนั้นคล้ายกันมาก โดยใช้งาน DLL ตัวดาวน์โหลดที่เป็นอันตรายตัวเดียวกันที่โหลดข้างโดยโปรแกรมปฏิบัติการที่ถูกต้อง
แพ็คเกจ macOS
ไฟล์ ZIP ที่ดาวน์โหลดจาก App Store อย่างเป็นทางการมีแพ็คเกจตัวติดตั้งที่แก้ไขแล้ว (.pkg ไฟล์) โดยมีการเพิ่มไฟล์ปฏิบัติการ Mach-O และสคริปต์หลังการติดตั้ง สคริปต์หลังการติดตั้งจะคัดลอกไฟล์ Mach-O ไปที่ $HOME/Library/คอนเทนเนอร์/CalendarFocusEXT/ และดำเนินการติดตั้ง Launch Agent ต่อไป $HOME/Library/LaunchAgents/com.Terminal.us.plist เพื่อความพากเพียร รูปที่ 14 แสดงสคริปต์ที่รับผิดชอบในการติดตั้งและเปิดใช้งาน Launch Agent ที่เป็นอันตราย
Mach-O ที่เป็นอันตราย Monlam-bodyig_Keyboard_2017 ในรูปที่ 13 มีการลงนาม แต่ไม่ได้รับการรับรอง โดยใช้ใบรับรองนักพัฒนา (ไม่ใช่ a ประเภทใบรับรอง มักใช้เพื่อการแจกจ่าย) พร้อมชื่อและตัวระบุทีม ยา นี หยาง (2289F6V4BN). การประทับเวลาในลายเซ็นแสดงว่าลงนามเมื่อวันที่ 7 มกราคมth, 2024 วันที่นี้ยังใช้ในการประทับเวลาที่แก้ไขของไฟล์ที่เป็นอันตรายในข้อมูลเมตาของไฟล์ ZIP ใบรับรองออกเมื่อสามวันก่อนเท่านั้น ใบรับรองฉบับเต็มมีอยู่ใน ไอโอซี ส่วน. ทีมงานของเราติดต่อ Apple เมื่อวันที่ 25 มกราคมth และใบรับรองก็ถูกเพิกถอนในวันเดียวกัน
มัลแวร์ระยะแรกนี้จะดาวน์โหลดไฟล์ JSON ที่มี URL ไปยังระยะถัดไป สถาปัตยกรรม (ARM หรือ Intel) เวอร์ชัน macOS และ UUID ฮาร์ดแวร์ (ตัวระบุที่ไม่ซ้ำกันสำหรับ Mac แต่ละเครื่อง) จะถูกรายงานในส่วนหัวคำขอ HTTP ของตัวแทนผู้ใช้ URL เดียวกันกับเวอร์ชัน Windows ใช้เพื่อดึงข้อมูลการกำหนดค่านั้น: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. อย่างไรก็ตาม เวอร์ชัน macOS จะดูข้อมูลภายใต้คีย์ mac ของออบเจ็กต์ JSON แทน ชนะ กุญแจ
วัตถุภายใต้คีย์ Mac ควรมีสิ่งต่อไปนี้:
- URL: URL ไปยังขั้นตอนถัดไป
- md5: ผลรวม MD5 ของเพย์โหลด
- เวอร์โนว์: รายการ UUID ของฮาร์ดแวร์ หากมี เพย์โหลดจะถูกติดตั้งบน Mac ที่มี UUID ฮาร์ดแวร์รายการใดรายการหนึ่งเท่านั้น การตรวจสอบนี้จะถูกข้ามไปหากรายการว่างเปล่าหรือหายไป
- รุ่น: ค่าตัวเลขที่ต้องสูงกว่า "เวอร์ชัน" ขั้นที่สองที่ดาวน์โหลดไว้ก่อนหน้านี้ เพย์โหลดจะไม่ถูกดาวน์โหลดเป็นอย่างอื่น ค่าของเวอร์ชันที่กำลังทำงานอยู่จะถูกเก็บไว้ในแอปพลิเคชัน ค่าเริ่มต้นของผู้ใช้.
หลังจากที่มัลแวร์ดาวน์โหลดไฟล์จาก URL ที่ระบุโดยใช้ curl ไฟล์จะถูกแฮชโดยใช้ MD5 และเปรียบเทียบกับการแยกย่อยเลขฐานสิบหกภายใต้ md5 สำคัญ. หากตรงกัน คุณลักษณะเพิ่มเติมจะถูกลบออก (เพื่อล้างแอตทริบิวต์ com.apple.quarantine) ไฟล์จะถูกย้ายไปที่ $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrowerและเปิดตัวโดยใช้ ผู้บริหารระดับสูง ด้วยการรันอาร์กิวเมนต์
ไม่เหมือนกับเวอร์ชัน Windows เราไม่พบขั้นตอนหลังๆ ของเวอร์ชัน macOS การกำหนดค่า JSON หนึ่งรายการมีแฮช MD5 (3C5739C25A9B85E82E0969EE94062F40) แต่ช่อง URL ว่างเปล่า
ประตูกลางคืน
แบ็คดอร์ที่เราตั้งชื่อว่า Nightdoor (และตั้งชื่อโดยผู้เขียนมัลแวร์ว่า NetMM ตามเส้นทาง PDB) เป็นส่วนเสริมล่าสุดในชุดเครื่องมือของ Evasive Panda ความรู้แรกสุดของเราเกี่ยวกับ Nightdoor ย้อนกลับไปในปี 2020 เมื่อ Evasive Panda ปรับใช้มันกับเครื่องที่มีเป้าหมายระดับสูงในเวียดนาม แบ็คดอร์สื่อสารกับเซิร์ฟเวอร์ C&C ผ่าน UDP หรือ Google Drive API ยาฝัง Nightdoor จากแคมเปญนี้ใช้อย่างหลัง มันเข้ารหัส Google API OAuth2.0 โทเค็นภายในส่วนข้อมูลและใช้โทเค็นเพื่อเข้าถึง Google Drive ของผู้โจมตี เราได้ขอให้ลบบัญชี Google ที่เชื่อมโยงกับโทเค็นนี้ออก
ขั้นแรก Nightdoor จะสร้างโฟลเดอร์ใน Google Drive ที่มีที่อยู่ MAC ของเหยื่อ ซึ่งทำหน้าที่เป็น ID เหยื่อด้วย โฟลเดอร์นี้จะมีข้อความทั้งหมดระหว่างอุปกรณ์ปลูกถ่ายและเซิร์ฟเวอร์ C&C แต่ละข้อความระหว่าง Nightdoor และเซิร์ฟเวอร์ C&C มีโครงสร้างเป็นไฟล์และแยกออกเป็นชื่อไฟล์และข้อมูลไฟล์ ดังแสดงในรูปที่ 15
ชื่อไฟล์แต่ละชื่อประกอบด้วยแอตทริบิวต์หลักแปดประการ ซึ่งแสดงในตัวอย่างด้านล่าง
ตัวอย่าง:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: คุณค่ามหัศจรรย์
- 0C64C2BAEF534C8E9058797BCD783DE5: ส่วนหัวของ ซบ โครงสร้างข้อมูล.
- 168: ขนาดของวัตถุข้อความหรือขนาดไฟล์เป็นไบต์
- 0: ชื่อไฟล์ ซึ่งเป็นค่าเริ่มต้นที่ 0 เสมอ (null)
- 1: ประเภทคำสั่ง ฮาร์ดโค้ดเป็น 1 หรือ 0 ขึ้นอยู่กับตัวอย่าง
- 4116: รหัสคำสั่ง
- 0: คุณภาพการบริการ (QoS)
- 00-00-00-00-00-00: หมายถึงเป็นที่อยู่ MAC ของปลายทางแต่จะใช้ค่าเริ่มต้นเป็นเสมอ 00-00-00-00-00-00.
ข้อมูลภายในแต่ละไฟล์แสดงถึงคำสั่งของคอนโทรลเลอร์สำหรับประตูหลังและพารามิเตอร์ที่จำเป็นในการดำเนินการ รูปที่ 16 แสดงตัวอย่างข้อความเซิร์ฟเวอร์ C&C ที่จัดเก็บเป็นข้อมูลไฟล์
ด้วยวิศวกรรมย้อนกลับ Nightdoor เราสามารถเข้าใจความหมายของฟิลด์สำคัญที่นำเสนอในไฟล์ ดังแสดงในรูปที่ 17
เราพบว่ามีการเปลี่ยนแปลงที่สำคัญมากมายในเวอร์ชัน Nightdoor ที่ใช้ในแคมเปญนี้ หนึ่งในนั้นคือการจัดระเบียบรหัสคำสั่ง ในเวอร์ชันก่อนหน้านี้ แต่ละ ID คำสั่งถูกกำหนดให้กับฟังก์ชันตัวจัดการทีละรายการ ดังแสดงในรูปที่ 18 ตัวเลือกการกำหนดหมายเลข เช่น จาก 0x2001 ไปยัง 0x2006จาก 0x2201 ไปยัง 0x2203จาก 0x4001 ไปยัง 0x4003และจาก 0x7001 ไปยัง 0x7005แนะนำว่าคำสั่งถูกแบ่งออกเป็นกลุ่มที่มีฟังก์ชันคล้ายกัน
อย่างไรก็ตาม ในเวอร์ชันนี้ Nightdoor ใช้ตารางสาขาเพื่อจัดระเบียบ ID คำสั่งทั้งหมดด้วยตัวจัดการที่เกี่ยวข้อง ID คำสั่งมีความต่อเนื่องตลอดและทำหน้าที่เป็นดัชนีให้กับตัวจัดการที่สอดคล้องกันในตารางสาขา ดังแสดงในรูปที่ 19
ตารางที่ 3 เป็นตัวอย่างคำสั่งเซิร์ฟเวอร์ C&C และฟังก์ชันการทำงาน ตารางนี้ประกอบด้วย ID คำสั่งใหม่ รวมถึง ID ที่เทียบเท่าจากเวอร์ชันเก่า
ตารางที่ 3. คำสั่งที่รองรับโดยตัวแปร Nightdoor ที่ใช้ในแคมเปญนี้
รหัสคำสั่ง |
ID คำสั่งก่อนหน้า |
รายละเอียด |
|
0x1001 |
0x2001 |
รวบรวมข้อมูลโปรไฟล์ระบบพื้นฐาน เช่น: – เวอร์ชันระบบปฏิบัติการ – อะแดปเตอร์เครือข่าย IPv4, ที่อยู่ MAC และที่อยู่ IP – ชื่อซีพียู – ชื่อคอมพิวเตอร์ - ชื่อผู้ใช้ – ชื่อไดรเวอร์อุปกรณ์ – ชื่อผู้ใช้ทั้งหมดจาก ค:ผู้ใช้* - เวลาท้องถิ่น – ที่อยู่ IP สาธารณะโดยใช้ ifconfig.me or ipinfo.io บริการเว็บ |
|
0x1007 |
0x2002 |
รวบรวมข้อมูลเกี่ยวกับดิสก์ไดรฟ์เช่น: – ชื่อไดรฟ์ – พื้นที่ว่างและพื้นที่ทั้งหมด – ประเภทระบบไฟล์: NTFS, FAT32 ฯลฯ |
|
0x1004 |
0x2003 |
รวบรวมข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งทั้งหมดภายใต้คีย์รีจิสทรีของ Windows: - HKLMSOFTWARE - WOW6432โหนดMicrosoftWindows - Microsoft Windows เวอร์ชันปัจจุบันถอนการติดตั้ง (x86) |
|
0x1003 |
0x2004 |
รวบรวมข้อมูลเกี่ยวกับกระบวนการที่ทำงานอยู่ เช่น: – ชื่อกระบวนการ – จำนวนเธรด - ชื่อผู้ใช้ – ตำแหน่งไฟล์บนดิสก์ – คำอธิบายไฟล์บนดิสก์ |
|
0x1006 |
0x4001 |
สร้าง Reverse Shell และจัดการอินพุตและเอาต์พุตผ่านไปป์ที่ไม่ระบุชื่อ |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
ถอนการติดตั้งด้วยตนเอง |
|
0x100C |
0x6001 |
ย้ายไฟล์ เส้นทางนี้จัดทำโดยเซิร์ฟเวอร์ C&C |
|
0x100B |
0x6002 |
ลบไฟล์. เส้นทางนี้จัดทำโดยเซิร์ฟเวอร์ C&C |
|
0x1016 |
0x6101 |
รับคุณสมบัติไฟล์ เส้นทางนี้จัดทำโดยเซิร์ฟเวอร์ C&C |
สรุป
เราได้วิเคราะห์แคมเปญโดย APT Evasive Panda ในเครือจีน ซึ่งกำหนดเป้าหมายไปที่ชาวทิเบตในหลายประเทศและดินแดน เราเชื่อว่าในขณะนั้นผู้โจมตีใช้ประโยชน์จากเทศกาล Monlam ที่กำลังจะมาถึงในเดือนมกราคมและกุมภาพันธ์ปี 2024 เพื่อประนีประนอมผู้ใช้เมื่อพวกเขาเยี่ยมชมเว็บไซต์ของเทศกาลที่กลายเป็นหลุมรดน้ำ นอกจากนี้ ผู้โจมตียังทำลายห่วงโซ่อุปทานของผู้พัฒนาซอฟต์แวร์แอพแปลภาษาทิเบตอีกด้วย
ผู้โจมตีได้ส่งตัวดาวน์โหลด ดรอปเปอร์ และแบ็คดอร์หลายตัว รวมถึง MgBot ซึ่งใช้โดย Evasive Panda และ Nightdoor ซึ่งเป็นส่วนเสริมหลักล่าสุดในชุดเครื่องมือของกลุ่ม และใช้เพื่อกำหนดเป้าหมายเครือข่ายหลายแห่งในเอเชียตะวันออก
รายการที่ครอบคลุมของตัวบ่งชี้การประนีประนอม (IoC) และตัวอย่างสามารถพบได้ใน พื้นที่เก็บข้อมูล GitHub.
หากมีข้อสงสัยเกี่ยวกับงานวิจัยของเราที่เผยแพร่บน WeLiveSecurity โปรดติดต่อเราที่ Threatintel@eset.com.
ESET Research เสนอรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากต้องการสอบถามเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.
ไอโอซี
ไฟล์
SHA-1 |
ชื่อไฟล์ |
การตรวจพบ |
รายละเอียด |
0A88C3B4709287F70CA2 |
การทำงานอัตโนมัติ.exe |
Win32/Agent.AGFU |
เพิ่มส่วนประกอบ Dropper ในแพ็คเกจตัวติดตั้งอย่างเป็นทางการ |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/ตัวแทนAGFN |
เครื่องมือดาวน์โหลดระดับกลาง |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/ตัวแทน.DLY |
ตัวดาวน์โหลดระดับกลางที่ตั้งโปรแกรมไว้ใน Rust |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
ดาวน์โหลด Nightdoor |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
หยดไนท์ดอร์ |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
ตัวโหลดระดับกลาง |
5273B45C5EABE64EDBD0 |
ใบรับรอง.pkg |
OSX/Agent.ดีเจ |
ส่วนประกอบหยด MacOS |
5E5274C7D931C1165AA5 |
ใบรับรอง.exe |
Win32/Agent.AGES |
ส่วนประกอบ Dropper จากเว็บไซต์ที่ถูกบุกรุก |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
ส่วนประกอบหยด Nightdoor |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
ตัวโหลดระดับกลางสำหรับส่วนประกอบตัวดาวน์โหลด Nightdoor |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
ตัวโหลดระดับกลางสำหรับ Nightdoor |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
โปรแกรมติดตั้งโทรจัน |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript ที่เป็นอันตรายถูกเพิ่มไปยังเว็บไซต์ที่ถูกบุกรุก |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
โปรแกรมติดตั้งโทรจัน |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/ตัวแทน WSK |
แพ็คเกจตัวติดตั้งโทรจัน |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
แพ็คเกจตัวติดตั้งโทรจัน |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.ดีเจ |
แพ็คเกจตัวติดตั้งโทรจัน MacOS |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.ดีเจ |
แพ็คเกจตัวติดตั้งโทรจัน MacOS |
C0575AF04850EB1911B0 |
ความปลอดภัย~.x64 |
OSX/Agent.ดีเจ |
โปรแกรมดาวน์โหลด MacOS |
7C3FD8EE5D660BBF43E4 |
ความปลอดภัย~.arm64 |
OSX/Agent.ดีเจ |
โปรแกรมดาวน์โหลด MacOS |
FA78E89AB95A0B49BC06 |
ความปลอดภัยไขมัน |
OSX/Agent.ดีเจ |
ส่วนประกอบตัวดาวน์โหลด MacOS |
5748E11C87AEAB3C19D1 |
ไฟล์ส่งออก Monlam_Grand_Dictionary |
OSX/Agent.ดีเจ |
ส่วนประกอบที่เป็นอันตรายจากแพ็คเกจตัวติดตั้งโทรจัน macOS |
ใบรับรอง
หมายเลขซีเรียล |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
รหัสประจำตัว |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
หัวเรื่อง ช.น |
การพัฒนา Apple: ยาพรรณีหยาง (2289F6V4BN) |
เรื่อง อ |
ยา นี หยาง |
เรื่อง L |
N / A |
เรื่อง ส |
N / A |
เรื่อง ค |
US |
มีผลตั้งแต่ |
2024-01-04 05:26:45 |
ใช้ได้กับ |
2025-01-03 05:26:44 |
หมายเลขซีเรียล |
6014B56E4FFF35DC4C948452B77C9AA9 |
รหัสประจำตัว |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
หัวเรื่อง ช.น |
เคพี โมบาย |
เรื่อง อ |
เคพี โมบาย |
เรื่อง L |
N / A |
เรื่อง ส |
N / A |
เรื่อง ค |
KR |
มีผลตั้งแต่ |
2021-10-25 00:00:00 |
ใช้ได้กับ |
2022-10-25 23:59:59 |
IP |
โดเมน |
ผู้ให้บริการโฮสติ้ง |
เห็นครั้งแรก |
รายละเอียด |
N / A |
ทิเบตโพสต์[.]สุทธิ |
N / A |
2023-11-29 |
เว็บไซต์ที่ถูกบุกรุก |
N / A |
www.มนละมิตร[.]com |
N / A |
2024-01-24 |
เว็บไซต์ที่ถูกบุกรุก |
N / A |
อัพเดต.devicebug[.]com |
N / A |
2024-01-14 |
กระแสตรง. |
188.208.141[.]204 |
N / A |
อามอล ฮิงเกด |
2024-02-01 |
ดาวน์โหลดเซิร์ฟเวอร์สำหรับส่วนประกอบหยด Nightdoor |
เทคนิค MITER ATT&CK
ตารางนี้ถูกสร้างขึ้นโดยใช้ 14 รุ่น ของกรอบงาน MITER ATT&CK.
ชั้นเชิง |
ID |
Name |
รายละเอียด |
การพัฒนาทรัพยากร |
รับโครงสร้างพื้นฐาน: เซิร์ฟเวอร์ |
Evasive Panda เข้าซื้อเซิร์ฟเวอร์สำหรับโครงสร้างพื้นฐาน C&C ของ Nightdoor, MgBot และส่วนประกอบตัวดาวน์โหลด macOS |
|
รับโครงสร้างพื้นฐาน: บริการบนเว็บ |
Evasive Panda ใช้บริการเว็บของ Google Drive สำหรับโครงสร้างพื้นฐาน C&C ของ Nightdoor |
||
โครงสร้างพื้นฐานประนีประนอม: เซิร์ฟเวอร์ |
ผู้ดำเนินการ Evasive Panda โจมตีเซิร์ฟเวอร์หลายตัวเพื่อใช้เป็นช่องทางสำหรับการโจมตีห่วงโซ่อุปทาน และเพื่อโฮสต์เพย์โหลดและใช้เป็นเซิร์ฟเวอร์ C&C |
||
สร้างบัญชี: บัญชีคลาวด์ |
Evasive Panda สร้างบัญชี Google Drive และใช้เป็นโครงสร้างพื้นฐาน C&C |
||
พัฒนาความสามารถ: มัลแวร์ |
Evasive Panda ปรับใช้การปลูกถ่ายแบบกำหนดเอง เช่น MgBot, Nightdoor และส่วนประกอบตัวดาวน์โหลด macOS |
||
T1588.003 |
รับความสามารถ: ใบรับรองการลงนามรหัส |
Evasive Panda ได้รับใบรับรองการลงนามโค้ด |
|
ความสามารถของเวที: ขับเคลื่อนโดยเป้าหมาย |
ผู้ดำเนินการ Evasive Panda ได้แก้ไขเว็บไซต์ระดับสูงเพื่อเพิ่มโค้ด JavaScript ที่แสดงการแจ้งเตือนปลอมให้ดาวน์โหลดมัลแวร์ |
||
การเข้าถึงเบื้องต้น |
ไดรฟ์โดยประนีประนอม |
ผู้เยี่ยมชมเว็บไซต์ที่ถูกบุกรุกอาจได้รับข้อความแสดงข้อผิดพลาดปลอมเพื่อล่อลวงให้ดาวน์โหลดมัลแวร์ |
|
การประนีประนอมซัพพลายเชน: การประนีประนอมซอฟต์แวร์ซัพพลายเชน |
Evasive Panda โทรจันแพ็คเกจการติดตั้งอย่างเป็นทางการจากบริษัทซอฟต์แวร์ |
||
การกระทำ |
API ดั้งเดิม |
Nightdoor, MgBot และส่วนประกอบตัวดาวน์โหลดระดับกลางใช้ Windows API เพื่อสร้างกระบวนการ |
|
งานที่กำหนดเวลาไว้/งาน: งานที่กำหนดเวลาไว้ |
ส่วนประกอบตัวโหลดของ Nightdoor และ MgBot สามารถสร้างงานที่กำหนดเวลาไว้ได้ |
||
การติดตา |
สร้างหรือแก้ไขกระบวนการของระบบ: บริการ Windows |
ส่วนประกอบตัวโหลดของ Nightdoor และ MgBot สามารถสร้างบริการ Windows ได้ |
|
ขั้นตอนการดำเนินการจี้: DLL Side-Loading |
ส่วนประกอบหยดของ Nightdoor และ MgBot ปรับใช้ไฟล์ปฏิบัติการที่ถูกต้องซึ่งจะโหลดตัวโหลดที่เป็นอันตรายจากด้านข้าง |
||
การหลบหลีกการป้องกัน |
ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล |
ส่วนประกอบ DLL ของการปลูกถ่าย Nightdoor ถูกถอดรหัสในหน่วยความจำ |
|
ลดการป้องกัน: ปิดการใช้งานหรือแก้ไขไฟร์วอลล์ระบบ |
Nightdoor เพิ่มกฎ Windows Firewall สองกฎเพื่ออนุญาตการสื่อสารขาเข้าและขาออกสำหรับฟังก์ชันการทำงานของพร็อกซีเซิร์ฟเวอร์ HTTP |
||
การลบตัวบ่งชี้: การลบไฟล์ |
Nightdoor และ MgBot สามารถลบไฟล์ได้ |
||
การลบตัวบ่งชี้: การคงอยู่ที่ชัดเจน |
Nightdoor และ MgBot สามารถถอนการติดตั้งตัวเองได้ |
||
Masquerading: Masquerade Task หรือ Service |
ตัวโหลดของ Nightdoor ปลอมตัวเป็น netsvcs |
||
การปลอมแปลง: จับคู่ชื่อหรือสถานที่ที่ถูกต้องตามกฎหมาย |
โปรแกรมติดตั้งของ Nightdoor ปรับใช้ส่วนประกอบต่างๆ ในไดเร็กทอรีระบบที่ถูกต้อง |
||
ไฟล์หรือข้อมูลที่สับสน: เพย์โหลดที่ฝังไว้ |
องค์ประกอบหยดของ Nightdoor มีไฟล์ที่เป็นอันตรายฝังอยู่ซึ่งถูกนำไปใช้งานบนดิสก์ |
||
การฉีดกระบวนการ: การฉีดไดนามิกลิงก์ไลบรารี |
ส่วนประกอบตัวโหลดของ Nightdoor และ MgBot จะแทรกเข้าไปใน svchost.exe |
||
กำลังโหลดรหัสสะท้อนแสง |
ส่วนประกอบตัวโหลดของ Nightdoor และ MgBot จะแทรกเข้าไปใน svchost.exe จากจุดที่โหลดแบ็คดอร์ Nightdoor หรือ MgBot |
||
การค้นพบ |
การค้นพบบัญชี: บัญชีท้องถิ่น |
Nightdoor และ MgBot รวบรวมข้อมูลบัญชีผู้ใช้จากระบบที่ถูกบุกรุก |
|
การค้นหาไฟล์และไดเรกทอรี |
Nightdoor และ MgBot สามารถรวบรวมข้อมูลจากไดเร็กทอรีและไฟล์ต่างๆ |
||
การค้นพบกระบวนการ |
Nightdoor และ MgBot รวบรวมข้อมูลเกี่ยวกับกระบวนการต่างๆ |
||
รีจิสทรีแบบสอบถาม |
Nightdoor และ MgBot จะสอบถามรีจิสทรีของ Windows เพื่อค้นหาข้อมูลเกี่ยวกับซอฟต์แวร์ที่ติดตั้ง |
||
การค้นพบซอฟต์แวร์ |
Nightdoor และ MgBot รวบรวมข้อมูลเกี่ยวกับซอฟต์แวร์และบริการที่ติดตั้ง |
||
เจ้าของระบบ/การค้นพบผู้ใช้ |
Nightdoor และ MgBot รวบรวมข้อมูลบัญชีผู้ใช้จากระบบที่ถูกบุกรุก |
||
การค้นพบข้อมูลระบบ |
Nightdoor และ MgBot รวบรวมข้อมูลมากมายเกี่ยวกับระบบที่ถูกบุกรุก |
||
การค้นพบการเชื่อมต่อเครือข่ายระบบ |
Nightdoor และ MgBot สามารถรวบรวมข้อมูลจากการเชื่อมต่อ TCP และ UDP ที่ใช้งานอยู่ทั้งหมดบนเครื่องที่ถูกบุกรุก |
||
ชุด |
เก็บรวบรวมข้อมูล |
Nightdoor และ MgBot เก็บข้อมูลที่รวบรวมไว้ในไฟล์ที่เข้ารหัส |
|
คอลเลกชันอัตโนมัติ |
Nightdoor และ MgBot จะรวบรวมข้อมูลระบบและเครือข่ายเกี่ยวกับเครื่องที่ถูกบุกรุกโดยอัตโนมัติ |
||
ข้อมูลจาก Local System |
Nightdoor และ MgBot รวบรวมข้อมูลเกี่ยวกับระบบปฏิบัติการและข้อมูลผู้ใช้ |
||
Data Staged: การจัดเตรียมข้อมูลในเครื่อง |
Nightdoor จะจัดระยะข้อมูลเพื่อกรองไฟล์ในดิสก์ |
||
ควบคุมและสั่งการ |
Application Layer Protocol: โปรโตคอลเว็บ |
Nightdoor สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้ HTTP |
|
โปรโตคอลเลเยอร์ที่ไม่ใช่แอปพลิเคชัน |
Nightdoor สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้ UDP MgBot สื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้ TCP |
||
พอร์ตที่ไม่ได้มาตรฐาน |
MgBot ใช้พอร์ต TCP 21010 |
||
อุโมงค์โปรโตคอล |
Nightdoor สามารถทำหน้าที่เป็นพร็อกซีเซิร์ฟเวอร์ HTTP ซึ่งเป็นช่องทางการสื่อสาร TCP |
||
บริการเว็บ |
Nightdoor ใช้ Google Drive เพื่อการสื่อสาร C&C |
||
การกรอง |
การกรองอัตโนมัติ |
Nightdoor และ MgBot ขโมยข้อมูลที่รวบรวมไว้โดยอัตโนมัติ |
|
การกรองผ่านบริการเว็บ: การกรองไปยังที่เก็บข้อมูลบนคลาวด์ |
Nightdoor สามารถถอนไฟล์ไปยัง Google Drive ได้ |
ภาคผนวก
ช่วงที่อยู่ IP เป้าหมายมีอยู่ในตารางต่อไปนี้
ซีไอดีอาร์ |
ISP |
เมือง |
ประเทศ |
124.171.71.0/24 |
ไอเน็ต |
ซิดนีย์ |
ออสเตรเลีย |
125.209.157.0/24 |
ไอเน็ต |
ซิดนีย์ |
ออสเตรเลีย |
1.145.30.0/24 |
สตรา |
ซิดนีย์ |
ออสเตรเลีย |
193.119.100.0/24 |
ทีพีจี เทเลคอม |
ซิดนีย์ |
ออสเตรเลีย |
14.202.220.0/24 |
ทีพีจี เทเลคอม |
ซิดนีย์ |
ออสเตรเลีย |
123.243.114.0/24 |
ทีพีจี เทเลคอม |
ซิดนีย์ |
ออสเตรเลีย |
45.113.1.0/24 |
เทคโนโลยีเซิร์ฟเวอร์ HK 92 |
ฮ่องกง |
ฮ่องกง |
172.70.191.0/24 |
Cloudflare |
อาเมดาบัด |
อินเดีย |
49.36.224.0/24 |
Jio Infocomm พึ่ง |
แอร์โรลิ |
อินเดีย |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
อินเดีย |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
อินเดีย |
14.98.12.0/24 |
ทาทา เทเลเซอร์วิส |
Bengaluru |
อินเดีย |
172.70.237.0/24 |
Cloudflare |
จั ณ ฑีครห์ |
อินเดีย |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
อินเดีย |
103.214.118.0/24 |
บอร์ดแบนด์ Airnet |
นิวเดลี |
อินเดีย |
45.120.162.0/24 |
อานิ บอร์ดแบนด์ |
นิวเดลี |
อินเดีย |
103.198.173.0/24 |
อาโนเน็ต |
นิวเดลี |
อินเดีย |
103.248.94.0/24 |
อาโนเน็ต |
นิวเดลี |
อินเดีย |
103.198.174.0/24 |
อาโนเน็ต |
นิวเดลี |
อินเดีย |
43.247.41.0/24 |
อาโนเน็ต |
นิวเดลี |
อินเดีย |
122.162.147.0/24 |
Bharti Airtel |
นิวเดลี |
อินเดีย |
103.212.145.0/24 |
ตื่นเต้น |
นิวเดลี |
อินเดีย |
45.248.28.0/24 |
ออมคาร์ อิเล็คทรอนิคส์ |
นิวเดลี |
อินเดีย |
49.36.185.0/24 |
Jio Infocomm พึ่ง |
นิวเดลี |
อินเดีย |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
ธรรมศาลา |
อินเดีย |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
ธรรมศาลา |
อินเดีย |
103.210.33.0/24 |
วายุดูต |
ธรรมศาลา |
อินเดีย |
182.64.251.0/24 |
Bharti Airtel |
กันดาร์บัล |
อินเดีย |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
ฮาลิยาล |
อินเดีย |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
ฮามีร์ปูร์ |
อินเดีย |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
ชัยปุระ |
อินเดีย |
27.60.20.0/24 |
Bharti Airtel |
ลัคเนา |
อินเดีย |
223.189.252.0/24 |
Bharti Airtel |
ลัคเนา |
อินเดีย |
223.188.237.0/24 |
Bharti Airtel |
รุท |
อินเดีย |
162.158.235.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
162.158.48.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
162.158.191.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
162.158.227.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
172.69.87.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
172.70.219.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
172.71.198.0/24 |
Cloudflare |
มุมไบ |
อินเดีย |
172.68.39.0/24 |
Cloudflare |
นิวเดลี |
อินเดีย |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
ปาแลมปูร์ |
อินเดีย |
103.195.253.0/24 |
โปรโตแอค ดิจิทัล เน็ตเวิร์ก |
จี |
อินเดีย |
169.149.224.0/24 |
Jio Infocomm พึ่ง |
ชิมลา |
อินเดีย |
169.149.226.0/24 |
Jio Infocomm พึ่ง |
ชิมลา |
อินเดีย |
169.149.227.0/24 |
Jio Infocomm พึ่ง |
ชิมลา |
อินเดีย |
169.149.229.0/24 |
Jio Infocomm พึ่ง |
ชิมลา |
อินเดีย |
169.149.231.0/24 |
Jio Infocomm พึ่ง |
ชิมลา |
อินเดีย |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
เซอร์ซี่ |
อินเดีย |
122.161.241.0/24 |
Bharti Airtel |
ศรีนคร |
อินเดีย |
122.161.243.0/24 |
Bharti Airtel |
ศรีนคร |
อินเดีย |
122.161.240.0/24 |
Bharti Airtel |
ศรีนคร |
อินเดีย |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
ทาง |
อินเดีย |
175.181.134.0/24 |
การสื่อสารข้อมูลแห่งศตวรรษใหม่ |
ซินจู๋ |
ไต้หวัน |
36.238.185.0/24 |
Chunghwa Telecom |
เกาสง |
ไต้หวัน |
36.237.104.0/24 |
Chunghwa Telecom |
ไถหนาน |
ไต้หวัน |
36.237.128.0/24 |
Chunghwa Telecom |
ไถหนาน |
ไต้หวัน |
36.237.189.0/24 |
Chunghwa Telecom |
ไถหนาน |
ไต้หวัน |
42.78.14.0/24 |
Chunghwa Telecom |
ไถหนาน |
ไต้หวัน |
61.216.48.0/24 |
Chunghwa Telecom |
ไถหนาน |
ไต้หวัน |
36.230.119.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
114.43.219.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
114.44.214.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
114.45.2.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
118.163.73.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
118.167.21.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
220.129.70.0/24 |
Chunghwa Telecom |
ไทเป |
ไต้หวัน |
106.64.121.0/24 |
ฟาร์ อีสโทน โทรคมนาคม |
เมืองเถาหยวน |
ไต้หวัน |
1.169.65.0/24 |
Chunghwa Telecom |
ซีจือ |
ไต้หวัน |
122.100.113.0/24 |
มือถือไต้หวัน |
Yilan |
ไต้หวัน |
185.93.229.0/24 |
การรักษาความปลอดภัย Sucuri |
แอชเบิร์ |
ประเทศสหรัฐอเมริกา |
128.61.64.0/24 |
สถาบันเทคโนโลยีจอร์เจีย |
แอตแลนตา |
ประเทศสหรัฐอเมริกา |
216.66.111.0/24 |
โทรศัพท์เวอร์มอนต์ |
Wallingford |
ประเทศสหรัฐอเมริกา |
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- ลด 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- ลด 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- บัญชี
- ที่ได้มา
- กระทำ
- การปฏิบัติ
- คล่องแคล่ว
- การกระทำ
- เพิ่ม
- ที่เพิ่ม
- นอกจากนี้
- เพิ่มเติม
- ที่อยู่
- ที่อยู่
- เพิ่ม
- อีกครั้ง
- กับ
- ตัวแทน
- มีวัตถุประสงค์เพื่อ
- ขั้นตอนวิธี
- จัดแนว
- ทั้งหมด
- อนุญาต
- ช่วยให้
- แล้ว
- ด้วย
- เสมอ
- ในหมู่
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- ประจำปี
- ทุกๆปี
- ไม่ระบุชื่อ
- อื่น
- ตอบ
- ใด
- API
- APIs
- app
- แอปสโตร์
- Apple
- การใช้งาน
- การใช้งาน
- ใช้
- ปพลิเคชัน
- APT
- สถาปัตยกรรม
- เอกสารเก่า
- เป็น
- อาร์กิวเมนต์
- ARM
- แถว
- AS
- เอเชีย
- ที่ได้รับมอบหมาย
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- ความพยายาม
- แอตทริบิวต์
- ออสเตรเลีย
- ผู้เขียน
- อัตโนมัติ
- ใช้ได้
- กลับ
- ประตูหลัง
- แบ็ค
- เหยื่อ
- ตาม
- ขั้นพื้นฐาน
- BE
- รับ
- ก่อน
- กำลัง
- เชื่อ
- เป็น
- ด้านล่าง
- ที่ดีที่สุด
- ระหว่าง
- ทั้งสอง
- สาขา
- สร้าง
- แต่
- ปุ่ม
- by
- ที่เรียกว่า
- รณรงค์
- CAN
- ความสามารถในการ
- ประโยชน์
- พิมพ์ใหญ่
- พกพา
- ศตวรรษ
- ใบรับรอง
- ใบรับรอง
- โซ่
- ท้าทาย
- การเปลี่ยนแปลง
- อักขระ
- ตรวจสอบ
- ตรวจสอบแล้ว
- การตรวจสอบ
- สาธารณรัฐประชาชนจีน
- ชาวจีน
- ทางเลือก
- เมือง
- ชัดเจน
- เมฆ
- รหัส
- รวบรวม
- COM
- การผสมผสาน
- การสื่อสาร
- บริษัท
- เมื่อเทียบกับ
- สมบูรณ์
- ส่วนประกอบ
- ส่วนประกอบ
- ครอบคลุม
- การประนีประนอม
- ที่ถูกบุกรุก
- คำนวณ
- คำนวณ
- คอมพิวเตอร์
- สภาพ
- การดำเนิน
- ความมั่นใจ
- องค์ประกอบ
- การเชื่อมต่อ
- การเชื่อมต่อ
- การเชื่อมต่อ
- ติดต่อเรา
- บรรจุ
- ที่มีอยู่
- มี
- เนื้อหา
- อย่างต่อเนื่อง
- ต่อเนื่องกัน
- การสนทนา
- แก้ไข
- ตรงกัน
- ได้
- ประเทศ
- Crash
- สร้าง
- ที่สร้างขึ้น
- สร้าง
- การอ่านรหัส
- ขณะนี้
- ประเพณี
- ข้อมูล
- โครงสร้างข้อมูล
- วันที่
- วันที่
- วัน
- วัน
- ค่าเริ่มต้น
- ค่าเริ่มต้น
- การป้องกัน
- ส่งมอบ
- การจัดส่ง
- แสดงให้เห็นถึง
- ทั้งนี้ขึ้นอยู่กับ
- ที่ปรากฎ
- ปรับใช้
- นำไปใช้
- ปรับใช้
- Deploys
- อธิบาย
- ลักษณะ
- ปลายทาง
- รายละเอียด
- ตรวจพบ
- ผู้พัฒนา
- พัฒนาการ
- บริษัท พัฒนา
- เครื่อง
- ต่าง
- ย่อยอาหาร
- ดิจิตอล
- ไดเรกทอรี
- ไดเรกทอรี
- ค้นพบ
- การค้นพบ
- การกระจาย
- แบ่งออก
- do
- เอกสาร
- ทำ
- Dont
- ลง
- ดาวน์โหลด
- ดาวน์โหลด
- ดาวน์โหลด
- ขับรถ
- คนขับรถ
- ไดรฟ์
- หล่น
- ปรับตัวลดลง
- หยด
- แต่ละ
- ที่เก่าแก่ที่สุด
- ความสะดวก
- ตะวันออก
- การศึกษา
- XNUMX
- ทั้ง
- ที่ฝัง
- ที่มีการเข้ารหัส
- ปลาย
- ชั้นเยี่ยม
- เสริม
- ที่ล่อลวง
- ทั้งหมด
- หน่วยงาน
- เท่ากัน
- ความผิดพลาด
- การวิจัย ESET
- สร้าง
- ฯลฯ
- เหตุการณ์
- ทุกๆ
- เผง
- ตัวอย่าง
- โดยเฉพาะ
- ดำเนินการ
- ดำเนินการ
- รัน
- การปฏิบัติ
- การกรอง
- ที่คาดหวัง
- ส่งออก
- ขยาย
- นามสกุล
- ล้มเหลว
- เทียม
- กุมภาพันธ์
- งานเทศกาล
- สนาม
- สาขา
- รูป
- คิด
- เนื้อไม่มีมัน
- ไฟล์
- สุดท้าย
- หา
- ไฟร์วอลล์
- ชื่อจริง
- แก้ไขปัญหา
- ไหล
- ตาม
- ดังต่อไปนี้
- ดังต่อไปนี้
- สำหรับ
- รูป
- สูตร
- พบ
- สี่
- กรอบ
- ฟรี
- ราคาเริ่มต้นที่
- เต็ม
- ฟังก์ชัน
- ฟังก์ชันการทำงาน
- ฟังก์ชั่น
- ฟังก์ชั่น
- ต่อไป
- การรวบรวม
- สร้าง
- สร้าง
- จอร์เจีย
- ได้รับ
- ได้รับ
- ได้รับ
- ไป
- รัฐบาล
- หน่วยงานของรัฐ
- กราฟฟิค
- บัญชีกลุ่ม
- กลุ่ม
- การจัดการ
- ฮาร์ดแวร์
- กัญชา
- แฮช
- hashing
- มี
- จัดขึ้น
- จุดสูง
- ประวัติดี
- สูงกว่า
- รู
- หลุม
- ฮ่องกง
- ฮ่องกง
- เจ้าภาพ
- เป็นเจ้าภาพ
- โฮสติ้ง
- อย่างไรก็ตาม
- HTML
- ที่ http
- HTTPS
- ID
- ระบุ
- ระบุ
- รหัส
- if
- แสดงให้เห็นถึง
- ภาพ
- สำคัญ
- in
- ในอื่น ๆ
- รวม
- รวมทั้ง
- ดัชนี
- อินเดีย
- ตัวชี้วัด
- บุคคล
- มีอิทธิพล
- ข้อมูล
- โครงสร้างพื้นฐาน
- ฉีด
- อินพุต
- กำลังป้อนข้อมูล
- สอบถามข้อมูล
- ภายใน
- ติดตั้ง
- การติดตั้ง
- การติดตั้ง
- แทน
- สถาบัน
- แบบบูรณาการ
- อินเทล
- Intelligence
- ตั้งใจว่า
- อยากเรียนรู้
- ภายใน
- International
- ในระดับนานาชาติ
- เข้าไป
- IP
- ที่อยู่ IP
- ที่อยู่ IP
- ทุนที่ออก
- IT
- ITS
- มกราคม
- ประเทศญี่ปุ่น
- JavaScript
- Jio
- jQuery
- JSON
- เพียงแค่
- เก็บไว้
- คีย์
- กุญแจ
- ทราบ
- ความรู้
- ที่รู้จักกัน
- ฮ่องกง
- ภาษา
- ปลาย
- ต่อมา
- ล่าสุด
- เปิดตัว
- เปิดตัว
- การเปิดตัว
- ชั้น
- น้อยที่สุด
- ถูกกฎหมาย
- ยกระดับ
- ห้องสมุด
- กดไลก์
- รายการ
- จดทะเบียน
- ฟัง
- รายการ
- ชีวิต
- โหลด
- loader
- โหลด
- ในประเทศ
- ที่ตั้งอยู่
- ที่ตั้ง
- ดู
- Mac
- เครื่อง
- MacOS
- มายากล
- หลัก
- แผ่นดินใหญ่
- สำคัญ
- ส่วนใหญ่
- มาเลเซีย
- ที่เป็นอันตราย
- มัลแวร์
- จัดการ
- หลาย
- สวมหน้ากาก
- การจับคู่
- ที่ตรงกัน
- การจับคู่
- อาจ..
- MD5
- me
- ความหมาย
- มีความหมาย
- หมายความว่า
- กลไก
- หน่วยความจำ
- ข่าวสาร
- ข้อความ
- เมตาดาต้า
- วิธี
- อาจ
- หายไป
- การแก้ไข
- แก้ไข
- โมดูลาร์
- โมดูล
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- หลาย
- ต้อง
- พม่า
- ชื่อ
- ที่มีชื่อ
- จำเป็น
- จำเป็น
- เครือข่าย
- เครือข่าย
- ใหม่
- ข่าว
- ถัดไป
- ประเทศไนจีเรีย
- ไม่
- หมายเหตุ
- การประกาศ
- จำนวน
- วัตถุ
- ได้รับ
- ที่ได้รับ
- การได้รับ
- ได้รับ
- โอกาส
- of
- เสนอ
- เป็นทางการ
- เว็บไซต์อย่างเป็นทางการ
- เก่า
- เก่ากว่า
- on
- ครั้งเดียว
- ONE
- เพียง
- ไปยัง
- การดำเนินงาน
- ระบบปฏิบัติการ
- การดำเนินการ
- ผู้ประกอบการ
- or
- organizacja
- องค์กร
- OS
- อื่นๆ
- มิฉะนั้น
- ของเรา
- ออก
- เอาท์พุต
- เกิน
- ของตนเอง
- แพ็คเกจ
- แพคเกจ
- หน้า
- พารามิเตอร์
- อดีต
- เส้นทาง
- เส้นทาง
- รูปแบบไฟล์ PDF
- วิริยะ
- ฟิลิปปินส์
- ชิ้น
- ชิ้น
- สถานที่
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- กรุณา
- จุด
- ถูกวาง
- ที่มีศักยภาพ
- นำเสนอ
- นำเสนอ
- ป้องกัน
- ดูตัวอย่าง
- ก่อน
- ก่อนหน้านี้
- ส่วนตัว
- ปัญหา
- เงินที่ได้
- กระบวนการ
- กระบวนการ
- ผลิต
- ผลิตภัณฑ์
- โปรไฟล์
- โปรแกรม
- ส่งเสริม
- โปรโตคอล
- ให้
- หนังสือมอบฉันทะ
- สาธารณะ
- สาธารณชน
- การตีพิมพ์
- วัตถุประสงค์
- คุณภาพ
- กักกัน
- การสอบถาม
- พิสัย
- ช่วง
- ถึง
- รับ
- รีจิสทรี
- ที่เกี่ยวข้อง
- ที่เหลืออยู่
- การกำจัด
- ลบออก
- ผล
- การแสดงผล
- วาทกรรม
- ตอบ
- รายงาน
- รายงาน
- แสดงให้เห็นถึง
- ขอ
- ต้อง
- การวิจัย
- นักวิจัย
- รับผิดชอบ
- ย้อนกลับ
- กฎระเบียบ
- วิ่ง
- วิ่ง
- สนิม
- เกลือ
- เดียวกัน
- ตัวอย่าง
- ที่กำหนดไว้
- ต้นฉบับ
- ที่สอง
- รอง
- Section
- ปลอดภัย
- ความปลอดภัย
- เห็น
- เห็น
- การเลือก
- ส่ง
- กันยายน
- ให้บริการ
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- บริการ
- บริการ
- หลาย
- ที่ใช้ร่วมกัน
- ใช้งานร่วมกัน
- เปลือก
- น่า
- แสดง
- แสดงให้เห็นว่า
- ด้าน
- ลายเซ็น
- ลงนาม
- การลงชื่อ
- คล้ายคลึงกัน
- ตั้งแต่
- ขนาด
- So
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ทางออก
- ทิศตะวันออกเฉียงใต้
- ช่องว่าง
- โดยเฉพาะ
- เฉพาะ
- ที่ระบุไว้
- ระยะ
- ขั้นตอน
- ดาว
- คำแถลง
- สหรัฐอเมริกา
- จัดเก็บ
- เก็บไว้
- ยุทธศาสตร์
- เชือก
- โครงสร้าง
- โครงสร้าง
- ความสำเร็จ
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ที่สนับสนุน
- พิรุธ
- สวิตซ์
- ระบบ
- ตาราง
- ไต้หวัน
- นำ
- ใช้เวลา
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- งาน
- งาน
- ทีม
- เทคโนโลยี
- เทคโนโลยี
- สถานีปลายทาง
- ดินแดน
- กว่า
- ที่
- พื้นที่
- ข้อมูล
- ฟิลิปปินส์
- ของพวกเขา
- พวกเขา
- ตัวเอง
- แล้วก็
- ที่นั่น
- ดังนั้น
- พวกเขา
- นี้
- เหล่านั้น
- การคุกคาม
- สาม
- ตลอด
- ตลอด
- เวลา
- ไทม์ไลน์
- การประทับเวลา
- ไปยัง
- ร่วมกัน
- โทเค็น
- เครื่องมือ
- เครื่องมือ
- รวม
- การแปลภาษา
- จริง
- วางใจ
- สอง
- ชนิด
- ตามแบบฉบับ
- ไม่สามารถ
- ภายใต้
- เข้าใจ
- เป็นเอกลักษณ์
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- มหาวิทยาลัย
- ไม่ทราบ
- ที่กำลังมา
- การปรับปรุง
- URL
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- ใช้
- การใช้
- มักจะ
- ความคุ้มค่า
- ความคุ้มค่า
- ตัวแปร
- รุ่น
- รุ่น
- มาก
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เวียดนาม
- เยี่ยมชมร้านค้า
- เข้าเยี่ยมชม
- ผู้มาเยือน
- ผู้เข้าชม
- จำนวนการเข้าชม
- คือ
- we
- เว็บ
- Website
- เว็บไซต์
- ดี
- คือ
- อะไร
- เมื่อ
- ว่า
- ที่
- WHO
- กว้าง
- ช่วงกว้าง
- ความกว้าง
- วิกิพีเดีย
- จะ
- หน้าต่าง
- กับ
- ภายใน
- คำ
- เขียน
- ยัง
- ลมทะเล
- รหัสไปรษณีย์