ความคล้ายคลึงกันกับมัลแวร์ลินุกซ์ที่เพิ่งค้นพบซึ่งใช้ใน Operation DreamJob ยืนยันทฤษฎีที่ว่ากลุ่มแนวร่วมเกาหลีเหนือที่น่าอับอายอยู่เบื้องหลังการโจมตีห่วงโซ่อุปทาน 3CX
นักวิจัยของ ESET ได้ค้นพบแคมเปญ Lazarus Operation DreamJob ใหม่ที่มีเป้าหมายเป็นผู้ใช้ Linux Operation DreamJob เป็นชื่อของชุดแคมเปญที่กลุ่มใช้เทคนิควิศวกรรมสังคมเพื่อประนีประนอมเป้าหมาย โดยมีการเสนองานปลอมเป็นตัวล่อ ในกรณีนี้ เราสามารถสร้างเชนเต็มรูปแบบขึ้นใหม่ จากไฟล์ ZIP ที่ส่งข้อเสนองาน HSBC ปลอมเป็นตัวล่อ จนถึงเพย์โหลดสุดท้าย: แบ็คดอร์ SimplexTea Linux ที่เผยแพร่ผ่าน OpenDrive บัญชีที่เก็บข้อมูลบนคลาวด์ ตามที่เราทราบ นี่เป็นการกล่าวถึงต่อสาธารณะเป็นครั้งแรกเกี่ยวกับผู้คุกคามรายใหญ่ที่เป็นแนวร่วมในเกาหลีเหนือโดยใช้มัลแวร์ Linux เป็นส่วนหนึ่งของปฏิบัติการนี้
นอกจากนี้ การค้นพบนี้ยังช่วยให้เรายืนยันด้วยความมั่นใจในระดับสูงว่าแท้จริงแล้วการโจมตีห่วงโซ่อุปทาน 3CX ล่าสุดนั้นดำเนินการโดย Lazarus ซึ่งเป็นลิงก์ที่ต้องสงสัยตั้งแต่เริ่มต้นและแสดงให้เห็นโดยนักวิจัยด้านความปลอดภัยหลายคนตั้งแต่นั้นเป็นต้นมา ในบล็อกโพสต์นี้ เรายืนยันการค้นพบนี้และแสดงหลักฐานเพิ่มเติมเกี่ยวกับความเชื่อมโยงระหว่าง Lazarus และการโจมตีห่วงโซ่อุปทาน 3CX
การโจมตีห่วงโซ่อุปทาน 3CX
3CX เป็นผู้พัฒนาและจัดจำหน่ายซอฟต์แวร์ VoIP ระหว่างประเทศที่ให้บริการระบบโทรศัพท์แก่องค์กรหลายแห่ง ตามเว็บไซต์ของบริษัท 3CX มีลูกค้ามากกว่า 600,000 รายและผู้ใช้ 12,000,000 รายในภาคส่วนต่าง ๆ รวมถึงการบินและอวกาศ การดูแลสุขภาพ และการต้อนรับ ให้บริการซอฟต์แวร์ไคลเอ็นต์เพื่อใช้ระบบผ่านเว็บเบราว์เซอร์ แอปบนอุปกรณ์เคลื่อนที่ หรือแอปพลิเคชันบนเดสก์ท็อป ปลายเดือนมีนาคม พ.ศ. 2023 พบว่าแอปพลิเคชันเดสก์ท็อปสำหรับทั้ง Windows และ macOS มีรหัสที่เป็นอันตรายซึ่งทำให้กลุ่มผู้โจมตีสามารถดาวน์โหลดและเรียกใช้รหัสโดยอำเภอใจบนเครื่องทุกเครื่องที่ติดตั้งแอปพลิเคชัน อย่างรวดเร็ว มีการระบุว่ารหัสที่เป็นอันตรายนี้ไม่ใช่สิ่งที่ 3CX เพิ่มเข้ามาเอง แต่ 3CX ถูกบุกรุกและซอฟต์แวร์ของมันถูกใช้ในการโจมตีห่วงโซ่อุปทานที่ขับเคลื่อนโดยผู้คุกคามภายนอกเพื่อกระจายมัลแวร์เพิ่มเติมไปยังลูกค้า 3CX ที่เฉพาะเจาะจง
เหตุการณ์ในโลกไซเบอร์นี้ได้พาดหัวข่าวในช่วงไม่กี่วันมานี้ เริ่มรายงานตัววันที่ 29 มี.คthพ.ศ. 2023 ใน ก Reddit เธรดโดยวิศวกรของ CrowdStrike ตามด้วยรายงานอย่างเป็นทางการโดย CrowdStrikeโดยระบุด้วยความมั่นใจอย่างสูงว่า LABIRINTH CHOLLIMA ซึ่งเป็นชื่อรหัสของบริษัทว่า Lazarus อยู่เบื้องหลังการโจมตี (แต่ไม่มีหลักฐานใดๆ ที่สนับสนุนคำกล่าวอ้าง) เนื่องจากความร้ายแรงของเหตุการณ์ บริษัทรักษาความปลอดภัยหลายแห่งจึงเริ่มให้ข้อมูลสรุปของเหตุการณ์ดังกล่าว กล่าวคือ Sophos, Check Point, Broadcom, เทรนด์ไมโครและอื่น ๆ
นอกจากนี้ ส่วนหนึ่งของการโจมตีที่ส่งผลกระทบต่อระบบที่ใช้ macOS ได้กล่าวถึงรายละเอียดใน a Twitter ด้ายและ โพสต์บล็อก โดย แพทริก วอร์เดิล
ไทม์ไลน์ของเหตุการณ์
เส้นเวลาแสดงให้เห็นว่าผู้กระทำความผิดได้วางแผนการโจมตีไว้นานก่อนที่จะมีการประหารชีวิต เร็วสุดในเดือนธันวาคม 2022 ซึ่งบ่งชี้ว่าพวกเขามีหลักในเครือข่ายของ 3CX แล้วเมื่อปลายปีที่แล้ว
แม้ว่าแอปพลิเคชัน 3CX macOS ที่ถูกโทรจันแสดงว่าได้รับการลงชื่อเมื่อปลายเดือนมกราคม แต่เราไม่เห็นแอปพลิเคชันที่เสียหายใน telemetry ของเราจนกระทั่งวันที่ 14 กุมภาพันธ์thพ.ศ. 2023 ยังไม่ชัดเจนว่ามีการแจกจ่ายอัปเดตที่เป็นอันตรายสำหรับ macOS ก่อนวันที่ดังกล่าวหรือไม่
แม้ว่าการวัดและส่งข้อมูลทางไกลของ ESET จะแสดงการมีอยู่ของเพย์โหลดขั้นที่สองของ macOS อย่างเร็วที่สุดในเดือนกุมภาพันธ์ แต่เราไม่มีตัวอย่างหรือข้อมูลเมตาที่จะบอกเราเกี่ยวกับความชั่วร้ายของมัน เราใส่ข้อมูลนี้เพื่อช่วยให้ผู้ป้องกันทราบว่าระบบด้านหลังอาจถูกโจมตีได้ไกลเพียงใด
หลายวันก่อนที่การโจมตีจะถูกเปิดเผยต่อสาธารณะ โปรแกรมดาวน์โหลด Linux ลึกลับถูกส่งไปยัง VirusTotal มันดาวน์โหลดเพย์โหลด Lazarus ที่เป็นอันตรายใหม่สำหรับ Linux และเราจะอธิบายความสัมพันธ์ของมันกับการโจมตีในภายหลังในข้อความ
แหล่งที่มาของการโจมตีห่วงโซ่อุปทาน 3CX ต่อลาซารัส
สิ่งที่เผยแพร่ไปแล้ว
มีโดเมนหนึ่งที่มีบทบาทสำคัญในการให้เหตุผลในการระบุแหล่งที่มาของเรา: วารสาร[.]org. มีการกล่าวถึงในรายงานผู้ขายบางส่วนที่ลิงก์ด้านบน แต่ไม่มีการอธิบายถึงการมีอยู่ของมัน ที่น่าสนใจ บทความโดย เซนติเนลวัน และ วัตถุประสงค์ดู อย่าพูดถึงโดเมนนี้ ไม่มีบล็อกโพสต์โดย ความกระตือรือร้นซึ่งถึงกับละเว้นจากการระบุแหล่งที่มา โดยระบุ “ปัจจุบัน Volexity ไม่สามารถแมปกิจกรรมที่เปิดเผยกับผู้กระทำการคุกคามใดๆ ได้”. นักวิเคราะห์เป็นหนึ่งในกลุ่มแรกๆ ที่ตรวจสอบการโจมตีในเชิงลึก และสร้างเครื่องมือเพื่อดึงรายชื่อเซิร์ฟเวอร์ C&C จากไอคอนที่เข้ารหัสบน GitHub เครื่องมือนี้มีประโยชน์ เนื่องจากผู้โจมตีไม่ได้ฝังเซิร์ฟเวอร์ C&C โดยตรงในระยะกลาง แต่ใช้ GitHub เป็นตัวแก้ไขเดดดร็อป ขั้นตอนกลางคือตัวดาวน์โหลดสำหรับ Windows และ macOS ที่เราเรียกว่า IconicLoaders และเพย์โหลดที่ได้รับเป็น IconicStealer และ UpdateAgent ตามลำดับ
ในเดือนมีนาคม 30thJoe Desimone นักวิจัยด้านความปลอดภัยจาก ความปลอดภัยแบบยืดหยุ่นเป็นหนึ่งในคนกลุ่มแรกที่ให้บริการใน Twitter เธรด เงื่อนงำมากมายว่าการประนีประนอมที่ขับเคลื่อนด้วย 3CX อาจเชื่อมโยงกับลาซารัส เขาสังเกตเห็นว่าต้นขั้ว shellcode ต่อท้ายเพย์โหลดจาก d3dcompiler_47.dll คล้ายกับต้นขั้วของ AppleJeus loader ที่มาจาก Lazarus โดย ซีไอเอสเอ ย้อนกลับไปในเดือนเมษายน 2021
ในเดือนมีนาคม 31st มันเป็น กำลัง รายงาน ว่า 3CX ได้รักษา Mandiant เพื่อให้บริการตอบสนองเหตุการณ์ที่เกี่ยวข้องกับการโจมตีห่วงโซ่อุปทาน
ในเดือนเมษายน 3rd, Kasperskyผ่านทาง telemetry แสดงให้เห็นความสัมพันธ์โดยตรงระหว่างผู้ที่ตกเป็นเหยื่อของห่วงโซ่อุปทาน 3CX และการติดตั้งระบบแบ็คดอร์ที่เรียกว่า Gopuram ซึ่งทั้งสองเกี่ยวข้องกับ payloads ที่มีชื่อสามัญ guard64.dll. ข้อมูลของ Kaspersky แสดงให้เห็นว่า Gopuram เชื่อมต่อกับ Lazarus เพราะมันอยู่ร่วมกันบนเครื่องของเหยื่อ แอปเปิ้ลจีอุสมัลแวร์ที่มีสาเหตุมาจาก Lazarus อยู่แล้ว ทั้ง Gopuram และ AppleJeus ถูกพบเห็นในการโจมตีบริษัท cryptocurrency
จากนั้นวันที่ 11 เมษายนthCISO ของ 3CX ได้สรุปข้อค้นพบชั่วคราวของ Mandiant ใน โพสต์บล็อก. ตามรายงานนั้น ตัวอย่างมัลแวร์ Windows สองตัวอย่าง ตัวโหลดเชลล์โค้ดชื่อ TAXHAUL และตัวดาวน์โหลดที่ซับซ้อนชื่อ COLDCAT มีส่วนเกี่ยวข้องในการประนีประนอมของ 3CX ไม่มีการระบุแฮช แต่กฎ YARA ของ Mandiant ที่ชื่อ TAXHAUL ยังทริกเกอร์ตัวอย่างอื่นๆ ที่มีอยู่แล้วใน VirusTotal:
- เอสเอชเอ-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- เอสเอชเอ-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
ชื่อไฟล์ แต่ไม่ใช่ MD5 ของตัวอย่างเหล่านี้ตรงกับชื่อจากบล็อกโพสต์ของ Kaspersky อย่างไรก็ตาม 3CX ระบุอย่างชัดเจนว่า COLDCAT แตกต่างจาก Gopuram
ส่วนถัดไปประกอบด้วยคำอธิบายทางเทคนิคของ Lazarus payload ที่เป็นอันตรายของ Linux ที่เราเพิ่งวิเคราะห์ไปเมื่อเร็วๆ นี้ รวมถึงวิธีที่ช่วยให้เราเสริมความแข็งแกร่งให้กับการเชื่อมโยงที่มีอยู่ระหว่าง Lazarus และการประนีประนอม 3CX
Operation DreamJob พร้อมเพย์โหลด Linux
Operation DreamJob ของกลุ่ม Lazarus เกี่ยวข้องกับการเข้าใกล้เป้าหมายผ่าน LinkedIn และดึงดูดพวกเขาด้วยข้อเสนองานจากผู้นำในอุตสาหกรรม ชื่อนี้ได้รับการประกาศเกียรติคุณจาก ClearSky ใน กระดาษ เผยแพร่ในเดือนสิงหาคม 2020 บทความดังกล่าวอธิบายแคมเปญจารกรรมไซเบอร์ของลาซารัสที่กำหนดเป้าหมายบริษัทด้านการป้องกันประเทศและการบินและอวกาศ กิจกรรมนี้ทับซ้อนกับสิ่งที่เราเรียกว่า Operation In(ter)ception ซึ่งเป็นชุดของการโจมตีแบบจารกรรมทางไซเบอร์ที่ดำเนินมาอย่างต่อเนื่องตั้งแต่อย่างน้อย กันยายน 2019. โดยกำหนดเป้าหมายไปที่บริษัทการบินและอวกาศ การทหาร และการป้องกันประเทศ และใช้เครื่องมือเฉพาะที่เป็นอันตรายเฉพาะ Windows เท่านั้น ในช่วงเดือนกรกฎาคมและสิงหาคม 2022 เราพบ Operation In(ter)ception สองอินสแตนซ์ที่กำหนดเป้าหมายไปที่ macOS ส่งตัวอย่างมัลแวร์หนึ่งรายการไปที่ VirusTotal จากบราซิล และการโจมตีอีกครั้งมุ่งเป้าไปที่ผู้ใช้ ESET ในอาร์เจนตินา เมื่อไม่กี่สัปดาห์ก่อน พบเพย์โหลด Linux ดั้งเดิมบน VirusTotal พร้อมล่อ PDF ธีม HSBC สิ่งนี้ทำให้ความสามารถของ Lazarus สมบูรณ์ในการกำหนดเป้าหมายระบบปฏิบัติการเดสก์ท็อปหลักทั้งหมด
ในเดือนมีนาคม 20thผู้ใช้รายหนึ่งในประเทศจอร์เจียส่งเอกสาร ZIP ที่เรียกว่า VirusTotal ไปยัง VirusTotal ข้อเสนองาน HSBC.pdf.zip. จากแคมเปญ DreamJob อื่นๆ โดย Lazarus เพย์โหลดนี้อาจถูกแจกจ่ายผ่านสเปียร์ฟิชชิงหรือข้อความโดยตรงบน LinkedIn ไฟล์เก็บถาวรมีไฟล์เดียว: ไบนารี Intel Linux แบบเนทีฟ 64 บิตที่เขียนด้วย Go และตั้งชื่อ ข้อเสนองาน HSBC․pdf.
น่าสนใจ นามสกุลไฟล์ไม่ใช่ .pdf. นี่เป็นเพราะอักขระจุดที่ชัดเจนในชื่อไฟล์คือ จุดผู้นำ แทนด้วยอักขระ Unicode U+2024 การใช้จุดตัวนำในชื่อไฟล์อาจเป็นความพยายามที่จะหลอกให้ตัวจัดการไฟล์ถือว่าไฟล์เป็นไฟล์ปฏิบัติการแทน PDF ซึ่งอาจทำให้ไฟล์ทำงานเมื่อดับเบิลคลิกแทนที่จะเปิดด้วยโปรแกรมดู PDF ในการดำเนินการ PDF ล่อจะแสดงให้ผู้ใช้เห็น XDG เปิดซึ่งจะเปิดเอกสารโดยใช้โปรแกรมดู PDF ที่ผู้ใช้ต้องการ (ดูรูปที่ 3) เราตัดสินใจเรียกตัวดาวน์โหลด ELF นี้ว่า OdicLoader เนื่องจากมีบทบาทคล้ายกับ IconicLoaders บนแพลตฟอร์มอื่นๆ และเพย์โหลดจะถูกดึงมาจาก OpenDrive
OdicLoader วางเอกสาร PDF ล่อ แสดงโดยใช้โปรแกรมดู PDF เริ่มต้นของระบบ (ดูรูปที่ 2) จากนั้นดาวน์โหลดแบ็คดอร์ขั้นที่สองจาก OpenDrive บริการคลาวด์ ไฟล์ที่ดาวน์โหลดจะถูกเก็บไว้ใน ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). เราเรียกสิ่งนี้ว่า SimplexTea ประตูหลังขั้นที่สอง
ในขั้นตอนสุดท้ายของการดำเนินการ OdicLoader จะแก้ไข ~ / .bash_profileดังนั้น SimplexTea จึงเปิดตัวด้วย Bash และเอาต์พุตถูกปิดเสียง (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea เป็นแบ็คดอร์ Linux ที่เขียนด้วย C ++ ตามที่เน้นในตารางที่ 1 ชื่อคลาสจะคล้ายกับชื่อฟังก์ชันที่พบในตัวอย่างมาก โดยมีชื่อไฟล์ ซิสเน็ตส่งไปยัง VirusTotal จากโรมาเนีย (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). เนื่องจากความคล้ายคลึงกันของชื่อคลาสและชื่อฟังก์ชันระหว่าง SimplexTea และ ซิสเน็ตเราเชื่อว่า SimplexTea เป็นเวอร์ชันอัปเดต เขียนใหม่จาก C เป็น C++
ตารางที่ 1. การเปรียบเทียบชื่อสัญลักษณ์ดั้งเดิมจากแบ็คดอร์ Linux สองตัวที่ส่งไปยัง VirusTotal
guiconfigd |
ซิสเน็ต |
Cข่าวสารเกี่ยวกับคำสั่ง::Start(โมฆะ) | ผงชูรส_ซม |
Cข่าวสารเกี่ยวกับปลอดภัยของ::Start(โมฆะ) | ผงชูรส_เดล |
Cข่าวสารเกี่ยวกับผอ::Start(โมฆะ) | ผงชูรส_ผบ |
Cข่าวสารเกี่ยวกับลง::Start(โมฆะ) | MSG_ลง |
Cข่าวสารเกี่ยวกับทางออก::Start(โมฆะ) | MSG_ออก |
CMsgReadConfig::Start(โมฆะ) | MSG_ReadConfig |
Cข่าวสารเกี่ยวกับเรียกใช้::Start(โมฆะ) | MSG_เรียกใช้ |
CMsgSetPath::Start(โมฆะ) | MSG_SetPath |
Cข่าวสารเกี่ยวกับSleep::Start(โมฆะ) | ผงชูรส_สลีป |
Cทดสอบข้อความ::Start(โมฆะ) | ผงชูรส_ทดสอบ |
Cข่าวสารเกี่ยวกับ::Start(โมฆะ) | ผงชูรส_Up |
CMsgWriteConfig::Start(โมฆะ) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(โมฆะ) | |
CMsgKeepCon::Start(โมฆะ) | |
CMsgZipDown::Start(โมฆะ) | |
CMsgZip::StartZip(โมฆะ *) | |
CMsgZip::Start(โมฆะ) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,ถ่านที่ลงชื่อ) | |
RecvMsg | |
CHttpWrapper::ส่งMsg(_MSG_STRUCT *) | ส่งMsg |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
อย่างไร ซิสเน็ต เกี่ยวข้องกับลาซารัส? ส่วนต่อไปนี้แสดงความคล้ายคลึงกับประตูหลัง Windows ของ Lazarus ที่เรียกว่า BADCALL
BADCALL สำหรับลินุกซ์
เราแอตทริบิวต์ ซิสเน็ต ถึงลาซารัสเนื่องจากมีความคล้ายคลึงกันกับไฟล์สองไฟล์ต่อไปนี้ (และเราเชื่อเช่นนั้น ซิสเน็ต เป็นตัวแปร Linux ของแบ็คดอร์ของกลุ่มสำหรับ Windows ที่เรียกว่า BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14) ซึ่งแสดงความคล้ายคลึงกันของโค้ดกับ ซิสเน็ต ในรูปแบบของโดเมนที่ใช้เป็นส่วนหน้าสำหรับการเชื่อมต่อ TLS ปลอม (ดูรูปที่ 4) มีสาเหตุมาจากลาซารัสโดย CISA ใน ธันวาคม. จาก กันยายน 2019, CISA เริ่มเรียกมัลแวร์เวอร์ชันใหม่กว่า BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- พริตส์พูล (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F) ซึ่งแสดงความคล้ายคลึงกันของโค้ดกับ ซิสเน็ต (ดูรูปที่ 5) มีสาเหตุมาจากลาซารัสโดย ซีไอเอสเอ ในเดือนกุมภาพันธ์ 2021 โปรดทราบว่า SIMPLESEA ซึ่งเป็นแบ็คดอร์ macOS ที่พบระหว่างการตอบสนองเหตุการณ์ 3CX ดำเนินการ A5 / 1 รหัสสตรีม
แบ็คดอร์ BADCALL เวอร์ชันลินุกซ์นี้ ซิสเน็ตโหลดการกำหนดค่าจากไฟล์ชื่อ /tmp/vgauthsvclog.php. เนื่องจากผู้ให้บริการ Lazarus ได้ปลอมเพย์โหลดของตนก่อนหน้านี้ การใช้ชื่อนี้ซึ่งใช้โดยบริการ VMware Guest Authentication จึงบ่งชี้ว่าระบบเป้าหมายอาจเป็นเครื่องเสมือน Linux VMware ที่น่าสนใจคือ ปุ่ม XOR ในกรณีนี้เหมือนกับปุ่มที่ใช้ใน SIMPLESEA จากการตรวจสอบของ 3CX
ดูที่จำนวนเต็ม 32 บิตสามตัว 0xC2B45678, 0x90ABCDEFและ 0xFE268455 จากรูปที่ 5 ซึ่งแสดงคีย์สำหรับการติดตั้งรหัส A5/1 ที่กำหนดเอง เราตระหนักว่าอัลกอริทึมเดียวกันและคีย์ที่เหมือนกันนั้นถูกใช้ในมัลแวร์ Windows ที่มีอายุย้อนหลังไปถึงสิ้นปี 2014 และมีส่วนเกี่ยวข้องกับมัลแวร์มากที่สุดตัวหนึ่ง คดีลาซารัสฉาวโฉ่: การก่อวินาศกรรมทางไซเบอร์ของ Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
จุดข้อมูลการระบุแหล่งที่มาเพิ่มเติม
เพื่อสรุปสิ่งที่เราได้กล่าวถึงไปแล้ว เราระบุว่าการโจมตีห่วงโซ่อุปทาน 3CX มาจากกลุ่ม Lazarus ด้วยความมั่นใจในระดับสูง ขึ้นอยู่กับปัจจัยต่อไปนี้:
- มัลแวร์ (ชุดการบุกรุก):
- IconicLoader (samcl.dll) ใช้การเข้ารหัสที่แข็งแกร่งประเภทเดียวกัน – AES-GCM – เช่นเดียวกับ SimplexTea (ซึ่งระบุแหล่งที่มาของ Lazarus ถูกสร้างขึ้นผ่านความคล้ายคลึงกันกับ BALLCALL สำหรับ Linux) เฉพาะคีย์และเวกเตอร์การเริ่มต้นเท่านั้นที่แตกต่างกัน
- ขึ้นอยู่กับ PE Rich Headers ทั้ง IconicLoader (samcl.dll) และ IconicStealer (sechost.dll) เป็นโครงการที่มีขนาดใกล้เคียงกันและคอมไพล์ในสภาพแวดล้อม Visual Studio เดียวกันกับไฟล์เรียกทำงาน iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) and iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) รายงานในแคมเปญ Lazarus cryptocurrency โดย ความกระตือรือร้น และ ไมโครซอฟท์. เรารวมไว้ด้านล่างกฎ YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023ซึ่งตั้งค่าสถานะตัวอย่างเหล่านี้ทั้งหมด และไม่มีไฟล์ที่เป็นอันตรายหรือสะอาดที่ไม่เกี่ยวข้อง ตามที่ทดสอบบนฐานข้อมูล ESET ปัจจุบันและการส่ง VirusTotal ล่าสุด
- Payload ของ SimplexTea โหลดการกำหนดค่าด้วยวิธีที่คล้ายกับมัลแวร์ SIMPLESEA จากการตอบกลับอย่างเป็นทางการของ 3CX คีย์ XOR แตกต่าง (0x5E เมื่อเทียบกับ 0x7E) แต่การกำหนดค่ามีชื่อเดียวกัน: apdl.cf (ดูรูปที่ 8)
- โครงสร้างพื้นฐาน:
- มีโครงสร้างพื้นฐานเครือข่ายที่ใช้ร่วมกันกับ SimplexTea ตามที่ใช้ https://journalide[.]org/djour.php เช่นเดียวกับ C&C ซึ่งมีการรายงานโดเมนใน ผลอย่างเป็นทางการ ของการตอบสนองเหตุการณ์ของการประนีประนอม 3CX โดย Mandiant
สรุป
การประนีประนอม 3CX ได้รับความสนใจอย่างมากจากชุมชนความปลอดภัยนับตั้งแต่มีการเปิดเผยเมื่อวันที่ 29 มีนาคมth. ซอฟต์แวร์ที่ถูกบุกรุกนี้ ซึ่งใช้งานบนโครงสร้างพื้นฐานด้านไอทีต่างๆ ซึ่งอนุญาตให้ดาวน์โหลดและดำเนินการเพย์โหลดประเภทใดก็ได้ อาจส่งผลกระทบร้ายแรง น่าเสียดายที่ไม่มีผู้เผยแพร่ซอฟต์แวร์รายใดที่รอดพ้นจากการถูกบุกรุกและแจกจ่ายแอปพลิเคชันเวอร์ชันโทรจันโดยไม่ได้ตั้งใจ
การลอบเร้นของการโจมตีในห่วงโซ่อุปทานทำให้วิธีการกระจายมัลแวร์นี้น่าสนใจมากจากมุมมองของผู้โจมตี ลาซารัสใช้ไปแล้ว เทคนิคนี้ ในอดีตมีเป้าหมายเป็นผู้ใช้ซอฟต์แวร์ WIZVERA VeraPort ชาวเกาหลีใต้ในปี 2020 ความคล้ายคลึงกันกับมัลแวร์ที่มีอยู่จากชุดเครื่องมือ Lazarus และเทคนิคทั่วไปของกลุ่มนั้นแนะนำอย่างยิ่งว่าการประนีประนอม 3CX ล่าสุดเป็นผลงานของ Lazarus เช่นกัน
นอกจากนี้ ยังเป็นที่น่าสนใจที่จะทราบว่า Lazarus สามารถผลิตและใช้มัลแวร์สำหรับระบบปฏิบัติการเดสก์ท็อปหลักๆ ทั้งหมด: Windows, macOS และ Linux ทั้งระบบ Windows และ macOS ตกเป็นเป้าหมายระหว่างเหตุการณ์ 3CX โดยซอฟต์แวร์ VoIP ของ 3CX สำหรับระบบปฏิบัติการทั้งสองถูกโทรจันเพื่อรวมรหัสที่เป็นอันตรายเพื่อดึงเพย์โหลดโดยอำเภอใจ ในกรณีของ 3CX มีทั้งเวอร์ชันมัลแวร์ขั้นที่สองของ Windows และ macOS บทความนี้สาธิตการมีอยู่ของแบ็คดอร์ Linux ที่อาจสอดคล้องกับมัลแวร์ SIMPLESEA macOS ที่พบในเหตุการณ์ 3CX เราตั้งชื่อคอมโพเนนต์ Linux นี้ว่า SimplexTea และแสดงให้เห็นว่าเป็นส่วนหนึ่งของ Operation DreamJob ซึ่งเป็นแคมเปญหลักของ Lazarus โดยใช้การเสนองานเพื่อหลอกล่อและประนีประนอมเหยื่อที่ไม่สงสัย
ESET Research เสนอรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากต้องการสอบถามเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.
ไอโอซี
ไฟล์
SHA-1 | ชื่อไฟล์ | ชื่อการตรวจจับ ESET | รายละเอียด |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea สำหรับลินุกซ์ |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader โปรแกรมดาวน์โหลด 64 บิตสำหรับ Linux เขียนด้วยภาษา Go |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | ไฟล์ ZIP ที่มีเพย์โหลด Linux จาก VirusTotal |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | ซิสเน็ต | ลินุกซ์/NukeSped.G | BADCALL สำหรับลินุกซ์ |
เห็นครั้งแรก | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
ชื่อไฟล์ | guiconfigd |
รายละเอียด | SimplexTea สำหรับลินุกซ์ |
ซีแอนด์ซี | https://journalide[.]org/djour.php |
ดาวน์โหลดได้จาก | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
การตรวจพบ | Linux/NukeSped.E |
การประทับเวลาการรวบรวม PE | N / A |
เห็นครั้งแรก | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
ชื่อไฟล์ | HSBC_job_offer․pdf |
รายละเอียด | OdicLoader ตัวดาวน์โหลด 64 บิตสำหรับ Linux ใน Go |
ซีแอนด์ซี | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
ดาวน์โหลดได้จาก | N / A |
การตรวจพบ | Linux/NukeSped.E |
การประทับเวลาการรวบรวม PE | N / A |
เห็นครั้งแรก | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
ชื่อไฟล์ | HSBC_job_offer.pdf.zip |
รายละเอียด | ไฟล์ ZIP ที่มีเพย์โหลด Linux จาก VirusTotal |
ซีแอนด์ซี | N / A |
ดาวน์โหลดได้จาก | N / A |
การตรวจพบ | Linux/NukeSped.E |
การประทับเวลาการรวบรวม PE | N / A |
เห็นครั้งแรก | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
ชื่อไฟล์ | ซิสเน็ต |
รายละเอียด | BADCALL สำหรับลินุกซ์ |
ซีแอนด์ซี | tcp://23.254.211[.]230 |
ดาวน์โหลดได้จาก | N / A |
การตรวจพบ | ลินุกซ์/NukeSped.G |
การประทับเวลาการรวบรวม PE | N / A |
เครือข่าย
ที่อยู่ IP | โดเมน | ผู้ให้บริการโฮสติ้ง | เห็นครั้งแรก | รายละเอียด |
---|---|---|---|---|
23.254.211[.]230 | N / A | โฮสวินด์ แอลแอลซี | N / A | เซิร์ฟเวอร์ C&C สำหรับ BADCALL สำหรับ Linux |
38.108.185[.]79 38.108.185[.]115 |
อืม[.]ล | โคเจนท์ คอมมูนิเคชั่นส์ | 2023-03-16 | ที่เก็บข้อมูล OpenDrive ระยะไกลที่มี SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | วารสาร[.]org | เน็กออน เทคโนโลยีส์ อิงค์ | 2023-03-29 | เซิร์ฟเวอร์ C&C สำหรับ SimplexTea (/djour.php) |
เทคนิค MITER ATT&CK
ชั้นเชิง | ID | Name | รายละเอียด |
---|---|---|---|
การลาดตระเวน | T1593.001 | ค้นหาเปิดเว็บไซต์/โดเมน: โซเชียลมีเดีย | ผู้โจมตี Lazarus อาจเข้าหาเป้าหมายด้วยการเสนองานปลอมในธีม HSBC ซึ่งตรงกับความสนใจของเป้าหมาย ซึ่งส่วนใหญ่ทำผ่าน LinkedIn ในอดีต |
การพัฒนาทรัพยากร | T1584.001 | รับโครงสร้างพื้นฐาน: โดเมน | ไม่เหมือนกับกรณีก่อนหน้าของ C&C ที่ถูกบุกรุกที่ใช้ใน Operation DreamJob ผู้ให้บริการ Lazarus ลงทะเบียนโดเมนของตนเองสำหรับเป้าหมาย Linux |
T1587.001 | พัฒนาความสามารถ: มัลแวร์ | เครื่องมือที่กำหนดเองจากการโจมตีนั้นน่าจะพัฒนาโดยผู้โจมตี | |
T1585.003 | สร้างบัญชี: บัญชีคลาวด์ | ผู้โจมตีโฮสต์ขั้นตอนสุดท้ายบนบริการคลาวด์ OpenDrive | |
T1608.001 | ความสามารถของเวที: อัปโหลดมัลแวร์ | ผู้โจมตีโฮสต์ขั้นตอนสุดท้ายบนบริการคลาวด์ OpenDrive | |
การกระทำ | T1204.002 | การดำเนินการของผู้ใช้: ไฟล์ที่เป็นอันตราย | OdicLoader ปลอมแปลงเป็นไฟล์ PDF เพื่อหลอกล่อเป้าหมาย |
การเข้าถึงเบื้องต้น | T1566.002 | ฟิชชิง: ลิงก์สเปียร์ฟิชชิง | เป้าหมายน่าจะได้รับลิงก์ไปยังที่เก็บข้อมูลระยะไกลของบุคคลที่สามซึ่งมีไฟล์ ZIP ที่เป็นอันตราย ซึ่งถูกส่งไปยัง VirusTotal ในภายหลัง |
การติดตา | T1546.004 | การดำเนินการทริกเกอร์เหตุการณ์: การแก้ไขการกำหนดค่า Unix Shell | OdicLoader แก้ไขโปรไฟล์ Bash ของเหยื่อ ดังนั้น SimplexTea จึงเปิดขึ้นทุกครั้งที่ Bash ถูกจ้องและปิดเสียงเอาต์พุต |
การหลบหลีกการป้องกัน | T1134.002 | การจัดการโทเค็นการเข้าถึง: สร้างกระบวนการด้วยโทเค็น | SimplexTea สามารถสร้างกระบวนการใหม่ได้ หากได้รับคำสั่งจากเซิร์ฟเวอร์ C&C |
T1140 | ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล | SimplexTea เก็บการกำหนดค่าไว้ในการเข้ารหัส apdl.cf. | |
T1027.009 | ไฟล์หรือข้อมูลที่สับสน: เพย์โหลดที่ฝังไว้ | droppers ของห่วงโซ่ที่เป็นอันตรายทั้งหมดประกอบด้วยอาร์เรย์ข้อมูลแบบฝังพร้อมขั้นตอนเพิ่มเติม | |
T1562.003 | การป้องกันที่บกพร่อง: การบันทึกประวัติคำสั่งที่บกพร่อง | OdicLoader แก้ไขโปรไฟล์ Bash ของเหยื่อ ดังนั้นเอาต์พุตและข้อความแสดงข้อผิดพลาดจาก SimplexTea จึงถูกปิดเสียง SimplexTea ดำเนินกระบวนการใหม่ด้วยเทคนิคเดียวกัน | |
T1070.004 | การลบตัวบ่งชี้: การลบไฟล์ | SimplexTea มีความสามารถในการลบไฟล์อย่างปลอดภัย | |
T1497.003 | Virtualization/Sandbox Evasion: การหลบเลี่ยงตามเวลา | SimplexTea ใช้การหน่วงเวลาสลีปแบบกำหนดเองหลายรายการในการดำเนินการ | |
การค้นพบ | T1083 | การค้นหาไฟล์และไดเรกทอรี | SimplexTea สามารถแสดงรายการเนื้อหาไดเร็กทอรีพร้อมกับชื่อ ขนาด และการประทับเวลา (เลียนแบบไฟล์ ls -la สั่งการ). |
ควบคุมและสั่งการ | T1071.001 | Application Layer Protocol: โปรโตคอลเว็บ | SimplexTea สามารถใช้ HTTP และ HTTPS เพื่อสื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้ไลบรารี Curl ที่เชื่อมโยงแบบคงที่ |
T1573.001 | ช่องที่เข้ารหัส: Symmetric Cryptography | SimplexTea เข้ารหัสการรับส่งข้อมูล C&C โดยใช้อัลกอริทึม AES-GCM | |
T1132.001 | การเข้ารหัสข้อมูล: การเข้ารหัสมาตรฐาน | SimplexTea เข้ารหัสทราฟฟิก C&C โดยใช้ base64 | |
T1090 | หนังสือมอบฉันทะ | SimplexTea สามารถใช้พรอกซีในการสื่อสารได้ | |
การกรอง | T1041 | การกรองผ่านช่อง C2 | SimplexTea สามารถกรองข้อมูลเป็นไฟล์ ZIP ไปยังเซิร์ฟเวอร์ C&C |
ภาคผนวก
กฎ YARA นี้ตั้งค่าสถานะคลัสเตอร์ที่มีทั้ง IconicLoader และ IconicStealer รวมถึงเพย์โหลดที่ใช้ในแคมเปญ cryptocurrency ตั้งแต่เดือนธันวาคม 2022
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 000
- ลูกค้า 000 ราย
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- ความสามารถ
- สามารถ
- เกี่ยวกับเรา
- ข้างบน
- ตาม
- ลงชื่อเข้าใช้
- บัญชี
- อยากทำกิจกรรม
- นักแสดง
- ที่เพิ่ม
- เพิ่มเติม
- การบินและอวกาศ
- น่าสงสาร
- กับ
- ขั้นตอนวิธี
- ทั้งหมด
- ช่วยให้
- คู่ขนาน
- แล้ว
- ด้วย
- ในหมู่
- an
- นักวิเคราะห์
- และ
- อื่น
- ใด
- app
- เห็นได้ชัด
- อุทธรณ์
- การใช้งาน
- การใช้งาน
- ใกล้เข้ามา
- เมษายน
- APT
- เอกสารเก่า
- เป็น
- อาร์เจนตินา
- แถว
- บทความ
- บทความ
- AS
- At
- โจมตี
- การโจมตี
- ความสนใจ
- สิงหาคม
- การยืนยันตัวตน
- ผู้เขียน
- กลับ
- ประตูหลัง
- แบ็ค
- การสนับสนุน
- ไม่ดี
- ตาม
- ทุบตี
- BE
- หมี
- เพราะ
- รับ
- ก่อน
- การเริ่มต้น
- หลัง
- กำลัง
- เชื่อ
- ด้านล่าง
- ระหว่าง
- ทั้งสอง
- บราซิล
- เบราว์เซอร์
- by
- C + +
- โทรศัพท์
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- CAN
- ไม่ได้
- ความสามารถในการ
- กรณี
- กรณี
- ก่อให้เกิด
- โซ่
- ห่วงโซ่
- ช่อง
- ตัวอักษร
- ตัวเลข
- CISO
- ข้อเรียกร้อง
- ชั้น
- ไคลเอนต์
- เมฆ
- การจัดเก็บเมฆ
- Cluster
- รหัส
- ประกาศเกียรติคุณ
- COM
- ร่วมกัน
- การสื่อสาร
- คมนาคม
- ชุมชน
- บริษัท
- บริษัท
- บริษัท
- การเปรียบเทียบ
- เสร็จสิ้น
- ซับซ้อน
- ส่วนประกอบ
- การประนีประนอม
- ที่ถูกบุกรุก
- สภาพ
- ดำเนินการ
- ความมั่นใจ
- องค์ประกอบ
- ยืนยัน
- งานที่เชื่อมต่อ
- การเชื่อมต่อ
- ติดต่อเรา
- บรรจุ
- มี
- เนื้อหา
- สนับสนุน
- สอดคล้อง
- ยืนยัน
- ได้
- ประเทศ
- ปกคลุม
- ครอบคลุม
- สร้าง
- ที่สร้างขึ้น
- cryptocurrency
- ปัจจุบัน
- ขณะนี้
- ประเพณี
- ลูกค้า
- ข้อมูล
- ฐานข้อมูล
- วันที่
- วันที่
- วัน
- ตาย
- ธันวาคม
- ตัดสินใจ
- ค่าเริ่มต้น
- Defenders
- ป้องกัน
- ความล่าช้า
- มอบ
- แสดงให้เห็นถึง
- แสดงให้เห็นถึง
- นำไปใช้
- การใช้งาน
- ความลึก
- ลักษณะ
- เดสก์ท็อป
- รายละเอียด
- การตรวจพบ
- กำหนด
- แน่นอน
- ซึ่งล้างผลาญ
- พัฒนา
- ผู้พัฒนา
- DID
- แตกต่าง
- โดยตรง
- โดยตรง
- การเปิดเผย
- ค้นพบ
- การค้นพบ
- แสดง
- กระจาย
- กระจาย
- จำหน่าย
- การกระจาย
- เอกสาร
- โดเมน
- โดเมน
- DOT
- ดาวน์โหลด
- ดาวน์โหลด
- ขับเคลื่อน
- หล่น
- หยด
- ขนานนามว่า
- ในระหว่าง
- แต่ละ
- ก่อน
- ที่ฝัง
- เปิดการใช้งาน
- ที่มีการเข้ารหัส
- การเข้ารหัสลับ
- วิศวกร
- ชั้นเยี่ยม
- ความบันเทิง
- สิ่งแวดล้อม
- ความผิดพลาด
- การวิจัย ESET
- ที่จัดตั้งขึ้น
- แม้
- เหตุการณ์
- หลักฐาน
- รัน
- การปฏิบัติ
- ที่มีอยู่
- อธิบาย
- อธิบาย
- นามสกุล
- ภายนอก
- สารสกัด
- ปัจจัย
- เทียม
- กุมภาพันธ์
- ดึงข้อมูลแล้ว
- สองสาม
- รูป
- เนื้อไม่มีมัน
- ไฟล์
- สุดท้าย
- ชื่อจริง
- พอดี
- ธง
- เรือธง
- ตาม
- ดังต่อไปนี้
- สำหรับ
- ฟอร์ม
- รูป
- พบ
- ราคาเริ่มต้นที่
- ด้านหน้า
- เต็ม
- ฟังก์ชัน
- จอร์เจีย
- ได้รับ
- GitHub
- กำหนด
- Go
- บัญชีกลุ่ม
- กลุ่ม
- แขก
- กัญชา
- มี
- he
- ส่วนหัว
- พาดหัวข่าว
- การดูแลสุขภาพ
- ช่วย
- ช่วย
- ซ่อน
- จุดสูง
- ไฮไลต์
- ประวัติ
- การต้อนรับขับสู้
- เป็นเจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- เอสบีซี
- HTML
- ที่ http
- HTTPS
- identiques
- ผลกระทบ
- การดำเนินงาน
- การดำเนินการ
- นำเข้า
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- ประกอบด้วย
- รวมทั้ง
- อุตสาหกรรม
- น่าอับอาย
- ข้อมูล
- โครงสร้างพื้นฐาน
- โครงสร้างพื้นฐาน
- ในขั้นต้น
- สอบถามข้อมูล
- การติดตั้ง
- แทน
- อินเทล
- Intelligence
- อยากเรียนรู้
- น่าสนใจ
- International
- เข้าไป
- สอบสวน
- การสอบสวน
- ร่วมมือ
- IT
- ITS
- ตัวเอง
- มกราคม
- การสัมภาษณ์
- JOE
- กรกฎาคม
- Kaspersky
- คีย์
- กุญแจ
- ชนิด
- ความรู้
- เกาหลี
- ชื่อสกุล
- ปีที่แล้ว
- ปลาย
- เปิดตัว
- ชั้น
- ลาซารัส
- กลุ่ม Lazarus
- ผู้นำ
- ผู้นำ
- ชั้น
- ห้องสมุด
- น่าจะ
- LINK
- ที่เชื่อมโยง
- การเชื่อมโยง
- ลินุกซ์
- รายการ
- LLC
- loader
- โหลด
- โหลด
- นาน
- ดู
- Lot
- เครื่อง
- เครื่อง
- MacOS
- ทำ
- สำคัญ
- ทำให้
- มัลแวร์
- ผู้จัดการ
- การจัดการ
- หลาย
- แผนที่
- มีนาคม
- ความกว้างสูงสุด
- อาจ..
- กล่าวถึง
- ข้อความ
- Meta
- เมตาดาต้า
- วิธี
- ไมโครซอฟท์
- อาจ
- ทหาร
- โทรศัพท์มือถือ
- app มือถือ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- ลึกลับ
- ชื่อ
- ที่มีชื่อ
- คือ
- ชื่อ
- พื้นเมือง
- ค่า
- เครือข่าย
- ใหม่
- ถัดไป
- ทางทิศเหนือ
- ฉาวโฉ่
- of
- เสนอ
- เสนอ
- เป็นทางการ
- on
- ONE
- ต่อเนื่อง
- เพียง
- เปิด
- การเปิด
- การดำเนินงาน
- ระบบปฏิบัติการ
- การดำเนินการ
- ผู้ประกอบการ
- or
- ใบสั่ง
- องค์กร
- เป็นต้นฉบับ
- อื่นๆ
- ของเรา
- เอาท์พุต
- เกิน
- ของตนเอง
- วิชาพลศึกษา
- หน้า
- กระดาษ
- ส่วนหนึ่ง
- อดีต
- รูปแบบไฟล์ PDF
- มุมมอง
- โทรศัพท์
- ภาพ
- การวางแผน
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- กรุณา
- ที่ต้องการ
- การมี
- ก่อน
- ก่อนหน้านี้
- ก่อน
- ส่วนตัว
- อาจ
- กระบวนการ
- กระบวนการ
- ก่อ
- โปรไฟล์
- โครงการ
- โปรโตคอล
- ให้
- ให้
- ให้
- การให้
- หนังสือมอบฉันทะ
- สาธารณะ
- สาธารณชน
- การตีพิมพ์
- สำนักพิมพ์
- อย่างรวดเร็ว
- ค่อนข้าง
- ตระหนัก
- ปะยางรถ
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- ลงทะเบียน
- ที่เกี่ยวข้อง
- ความสัมพันธ์
- รีโมท
- การกำจัด
- รายงาน
- รายงาน
- รายงาน
- แสดง
- เป็นตัวแทนของ
- การวิจัย
- นักวิจัย
- นักวิจัย
- คำตอบ
- เปิดเผย
- รวย
- บทบาท
- โรมาเนีย
- กฎ
- วิ่ง
- วิ่ง
- เดียวกัน
- วินาที
- Section
- ภาค
- อย่างปลอดภัย
- ความปลอดภัย
- ชุด
- เซิร์ฟเวอร์
- บริการ
- บริการ
- ชุด
- หลาย
- ที่ใช้ร่วมกัน
- เปลือก
- แสดงให้เห็นว่า
- ลงนาม
- สำคัญ
- คล้ายคลึงกัน
- ความคล้ายคลึงกัน
- ตั้งแต่
- เดียว
- ขนาด
- ขนาด
- นอนหลับ
- So
- จนถึงตอนนี้
- สังคม
- วิศวกรรมทางสังคม
- ซอฟต์แวร์
- บาง
- บางสิ่งบางอย่าง
- โซนี่
- ภาคใต้
- เกาหลีใต้
- โดยเฉพาะ
- ระยะ
- ขั้นตอน
- มาตรฐาน
- ข้อความที่เริ่ม
- สหรัฐอเมริกา
- ขั้นตอน
- การเก็บรักษา
- เก็บไว้
- ร้านค้า
- กระแส
- เสริมสร้าง
- แข็งแรง
- แข็งแรง
- เสถียร
- สตูดิโอ
- ที่ส่ง
- ส่ง
- เป็นกอบเป็นกำ
- ชี้ให้เห็นถึง
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- เครื่องหมาย
- วากยสัมพันธ์
- ระบบ
- ระบบ
- ตาราง
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- วิชาการ
- เทคนิค
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- ของบุคคลที่สาม
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- ตลอด
- เวลา
- ไทม์ไลน์
- ชนิด
- ไปยัง
- ร่วมกัน
- โทเค็น
- เครื่องมือ
- เครื่องมือ
- การจราจร
- การรักษาเยียวยา
- ทริกเกอร์
- ตามแบบฉบับ
- วิชาการพิมพ์
- ยูนิกซ์
- บันทึก
- ให้กับคุณ
- URL
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- นำไปใช้
- ตัวแปร
- ต่างๆ
- ผู้ขาย
- รุ่น
- ผ่านทาง
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- เสมือน
- เครื่องเสมือน
- เยี่ยมชมร้านค้า
- VMware
- vs
- เดิ้ล
- คือ
- ทาง..
- we
- เว็บ
- เว็บเบราเซอร์
- Website
- สัปดาห์ที่ผ่านมา
- ดี
- คือ
- อะไร
- ว่า
- ที่
- กว้าง
- วิกิพีเดีย
- จะ
- หน้าต่าง
- กับ
- งาน
- จะ
- ห่อ
- เขียน
- ปี
- ลมทะเล
- รหัสไปรษณีย์