ESET Araştırması, Evasive Panda olarak bilinen APT grubunun Çin'deki uluslararası bir STK'yı hedef alan ve popüler Çin yazılımlarının güncellemeleri yoluyla yayılan kötü amaçlı yazılımları hedef alan bir kampanyasını ortaya çıkardı
ESET araştırmacıları, Evasive Panda olarak bilinen APT grubuna atfedilen ve meşru uygulamaların güncelleme kanallarının, Evasive Panda'nın amiral gemisi arka kapısı olan MgBot kötü amaçlı yazılımının yükleyicisini sunmak üzere gizemli bir şekilde ele geçirildiği bir kampanya keşfetti.
- Çin ana karasındaki kullanıcılar, Çinli şirketler tarafından geliştirilen yazılımlara yönelik güncellemeler yoluyla gönderilen kötü amaçlı yazılımların hedefi oldu.
- Kötü amaçlı yazılımın hedeflenen kullanıcılara nasıl dağıtılabileceğine dair birbiriyle yarışan hipotezleri analiz ediyoruz.
- Bu aktiviteyi büyük bir güvenle Kaçınma Panda APT grubuna bağlıyoruz.
- Evasive Panda'nın imzalı arka kapısı MgBot'a ve onun eklenti modüllerinden oluşan araç setine genel bir bakış sunuyoruz.
Kaçamak Panda profili
kaçamak Panda (Ayrıca şöyle bilinir BRONZ YAYLASI ve Hançer sineği) Çince konuşan bir APT grubudur, en az 2012'ten beri aktif. ESET Araştırması, grubun Çin anakarası, Hong Kong, Makao ve Nijerya'daki kişilere karşı siber casusluk yaptığını gözlemledi. Çin, Makao ve Güneydoğu ve Doğu Asya ülkeleri başta olmak üzere Myanmar, Filipinler, Tayvan ve Vietnam'daki devlet kurumları hedef alınırken, Çin ve Hong Kong'daki diğer kuruluşlar da hedef alındı. Kamuoyuna yansıyan raporlara göre grup ayrıca Hong Kong, Hindistan ve Malezya'daki bilinmeyen kuruluşları da hedef aldı.
Grup, MgBot olarak bilinen arka kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına olanak tanıyan modüler bir mimariyle kendi özel kötü amaçlı yazılım çerçevesini uyguluyor.
Kampanyaya genel bakış
Ocak 2022'de, yasal bir Çin uygulamasının güncellemeler gerçekleştirirken Evasive Panda MgBot arka kapısı için bir yükleyici aldığını keşfettik. Araştırmamız sırasında kötü niyetli faaliyetin 2020 yılına kadar uzandığını tespit ettik.
ESET telemetri verilerinin 2020'de başlayıp 2021 boyunca devam ettiğini gösteren bu kötü niyetli etkinliğin odak noktası Çinli kullanıcılardı. Hedeflenen kullanıcılar, Şekil 1'de gösterildiği gibi Gansu, Guangdong ve Jiangsu eyaletlerinde bulunuyordu.
Çinli kurbanların çoğunluğu, daha önce bahsedilen iki ilde faaliyet gösteren uluslararası bir STK'nın üyeleridir.
Bir kurbanın daha Nijerya ülkesinde olduğu ortaya çıktı.
atfetme
Kaçınma Panda, MgBot olarak bilinen özel bir arka kapı kullanıyor. kamuya açık olarak belgelenmiş 2014'te ve o zamandan bu yana çok az gelişme görüldü; Bildiğimiz kadarıyla arka kapı başka hiçbir grup tarafından kullanılmadı. Bu kötü amaçlı etkinlik kümesinde, mağdur makinelere yalnızca MgBot kötü amaçlı yazılımının ve eklenti araç setinin dağıtıldığı gözlemlendi. Bu nedenle, bu aktiviteyi büyük bir güvenle Kaçınma Pandasına bağlıyoruz.
Teknik analiz
Araştırmamız sırasında, otomatik güncellemeler gerçekleştirirken meşru bir uygulama yazılımı bileşeninin, meşru URL'lerden ve IP adreslerinden MgBot arka kapı yükleyicilerini indirdiğini keşfettik.
Tablo 1'de, ESET telemetri verilerine göre, sunucuların IP adresleri de dahil olmak üzere, kullanıcının sistemi tarafından o sırada çözümlendiği şekliyle indirmenin kaynaklandığı URL'yi sağlıyoruz; bu nedenle bu IP adreslerinin meşru olduğuna inanıyoruz. Pasif DNS kayıtlarına göre bu IP adreslerinin tümü gözlemlenen alan adlarıyla eşleşiyor, dolayısıyla bu IP adreslerinin meşru olduğuna inanıyoruz.
Tablo 1. ESET telemetrisine göre kötü amaçlı indirme konumları
URL | İlk görüş | Alan IP'si | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQÇağrı .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Uzlaşma hipotezleri
Saldırganların meşru güncellemeler yoluyla kötü amaçlı yazılım yaymayı nasıl başardıklarını açıklayabilecek çeşitli yöntemlerin olasılığını analiz ettiğimizde, iki senaryoyla karşı karşıya kaldık: tedarik zincirinin tehlikeye atılması ve ortadaki düşman saldırıları. Her iki senaryo için de Çince konuşan diğer APT gruplarının geçmişteki benzer saldırılarını dikkate alacağız.
Tencent QQ, popüler bir Çin sohbet ve sosyal medya hizmetidir. Sonraki bölümlerde Tencent QQ Windows istemci yazılımı güncelleyicisini kullanacağız, QQUrlMgr.exe (Tablo 1'de listelenmiştir), örneklerimiz için, bu özel bileşenin indirmelerinde en yüksek sayıda algılamaya sahip olduğumuz göz önüne alındığında.
Tedarik zinciri uzlaşma senaryosu
Saldırıların hedefe yönelik doğası göz önüne alındığında, saldırganların, hedeflenen kullanıcıları tespit ederek onlara kötü amaçlı yazılım dağıtacak, hedeflenmeyen kullanıcıları filtreleyecek ve onlara meşru güncellemeler sunacak bir mekanizma tanıtmak için QQ güncelleme sunucularını tehlikeye atmaları gerekeceğini tahmin ediyoruz. Meşru güncellemelerin aynı kötüye kullanılan protokoller aracılığıyla indirildiği durumlar.
Her ne kadar bir Kaçamak Panda vakası olmasa da, bu tür bir uzlaşmanın en önemli örneği raporumuzda yer alıyor NightScout Operasyonu: Tedarik zinciri saldırısı Asya'daki çevrimiçi oyunları hedef alıyorSaldırganların Hong Kong merkezli bir yazılım geliştirme şirketinin güncelleme sunucularını ele geçirdiği yer. Telemetrimize göre 100,000'den fazla kullanıcıya BigNox yazılımı yüklendi, ancak yalnızca beşinde bir güncelleme yoluyla kötü amaçlı yazılım teslim edildi. Saldırganların, hedeflenen kullanıcıların makinelerindeki güncelleyici bileşenine, saldırganların kötü amaçlı yazılımlarını barındırdığı bir sunucunun URL'sini kullanarak yanıt vermek için güncelleme sunucusundaki BigNox API'sini tehlikeye attıklarından şüpheleniyoruz; Hedeflenmeyen kullanıcılara meşru güncelleme URL'si gönderildi.
Bu öncüle dayanarak Şekil 2'de, telemetrimizdeki gözlemlere göre tedarik zinciri uzlaşma senaryosunun nasıl ortaya çıkabileceğini gösteriyoruz. Yine de okuyucuyu bunun tamamen spekülasyon olduğu ve çok sınırlı bilgiyle statik analizimize dayandığı konusunda uyarmalıyız. QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Araştırmamız sırasında, iletişim kurduğumuz sunucudan XML "güncelleme" verilerinin bir örneğini (ne yasal ne de kötü amaçlı bir XML örneği) hiçbir zaman alamadığımızı da belirtmek gerekir. QQUrlMgr.exe. "Güncelleme kontrolü" URL'si, Şekil 3'te gösterildiği gibi yürütülebilir dosyada gizlenmiş biçimde sabit kodlanmıştır.
Gizlemesi kaldırılmış, tam güncelleme kontrolü URL'si şöyledir:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Sunucu, base64 ile kodlanmış ve 128 bitlik bir anahtar kullanan TEA algoritmasının uygulanmasıyla şifrelenmiş XML biçimli verilerle yanıt verir. Bu veriler, diğer bilgilerin yanı sıra bir dosyayı indirme ve yürütme talimatlarını içerir. Şekil 4'te gösterildiği gibi şifre çözme anahtarı da sabit kodlanmış olduğundan saldırganlar tarafından bilinebilir.
QQUrlMgr.exe daha sonra belirtilen dosyayı şifrelenmemiş olarak HTTP yoluyla indirir ve içeriğini MD5 algoritmasıyla karma hale getirir. Sonuç, Şekil 5'te görüldüğü gibi, güncelleme kontrolü yanıtı XML verilerinde mevcut olan bir karmayla karşılaştırılarak kontrol edilir. Karmaların eşleşmesi durumunda, QQUrlMgr.exe indirilen dosyayı çalıştırır. Bu, saldırganların, kötü amaçlı yazılım yükleyicisinin doğru MD5 karmasını sağlayabilmek için güncelleme sunucusundaki XML sunucusu tarafı mekanizmasını kontrol etmesi gerektiğine dair hipotezimizi güçlendiriyor.
Bu senaryonun gözlemlerimizi açıklayacağına inanıyoruz; ancak birçok soru cevapsız kalıyor. Tencent'e ulaştık Güvenlik Yanıt Merkezi kötü amaçlı yazılımın indirildiği yerin tam URL'sinin meşruluğunu doğrulamak için; update.browser.qq[.]com Bu yazının yazıldığı sırada ulaşılamıyordu, ancak Tencent tam URL'nin meşru olup olmadığını doğrulayamadı.
Ortadaki düşman senaryosu
Kaspersky, 2022-06-02'de bir yayınladı araştırma Çince konuşan LuoYu APT grubunun ve WinDealer kötü amaçlı yazılımlarının yetenekleri hakkında rapor. Bu Kaçınma Panda kurbanları kümesinde gözlemlediğimiz şeye benzer şekilde, araştırmacılar, 2020'den bu yana LuoYu kurbanlarının, WinDealer kötü amaçlı yazılımını, qgametool.exe meşru uygulaması aracılığıyla güncellemeler yoluyla aldıklarını buldu. PPTV yazılım da Çinli bir şirket tarafından geliştirildi.
WinDealer'ın şaşırtıcı bir yeteneği var: Başarılı bir uzlaşma durumunda iletişim kuracak kurulu C&C sunucularının bir listesini taşımak yerine, sunucuda rastgele IP adresleri üretiyor. 13.62.0.0/15 ve 111.120.0.0/14 China Telecom AS4134'ten değişir. Küçük bir tesadüf de olsa, hedeflenen Çinli kullanıcıların MgBot kötü amaçlı yazılımını aldıkları sırada IP adreslerinin AS4134 ve AS4135 IP adresleri aralığında olduğunu fark ettik.
C&C altyapısı için bu yetenekleri neyin mümkün kıldığına dair olası açıklamalar, LuoYu'nun ya bu aralıklardaki IP adresleriyle ilişkili büyük miktarda cihazı kontrol etmesi ya da bunu yapabilmesidir. ortadaki düşman (AitM) veya söz konusu AS'nin altyapısı üzerinde saldırganın yandan müdahalesi.
Saldırganların (LuoYu veya Evasive Panda) yönlendiriciler veya ağ geçitleri gibi savunmasız cihazların güvenliğini aşması durumunda AitM tarzlarında müdahale mümkün olabilir. Bunun bir örneği olarak 2019 yılında ESET araştırmacıları keşfetti BlackTech olarak bilinen Çinli APT grubunun, ele geçirilen ASUS yönlendiricileri aracılığıyla AitM saldırıları gerçekleştirdiği ve Plead kötü amaçlı yazılımını ASUS WebStorage yazılım güncellemeleri aracılığıyla yaydığı ortaya çıktı.
ISP omurga altyapısına yasal veya yasa dışı yollarla erişim sayesinde Evasive Panda, HTTP yoluyla gerçekleştirilen güncelleme isteklerini yakalayıp yanıtlayabilecek, hatta paketleri anında değiştirebilecek. Nisan 2023'te Symantec araştırmacıları rapor Kaçınma Panda'nın Afrika'daki bir telekomünikasyon kuruluşunu hedef almasıyla ilgili.
Toparlama
Sonuçta, daha fazla kanıt olmadan, bu tür yeteneklerin Çinli APT grupları için mevcut olduğu göz önüne alındığında, bir hipotezi diğerinin lehine kanıtlayamayız veya bir kenara atamayız.
Araç Seti
MgBot
MgBot, Evasive Panda tarafından kullanılan birincil Windows arka kapısıdır; bulgularımıza göre en az 2012'den beri mevcuttur ve bu blog yazısında da belirtildiği gibi kamuya açıktır. 2014'te VirusBulletin'de belgelendi. C++ dilinde nesne yönelimli bir tasarımla geliştirilmiş olup, TCP ve UDP üzerinden iletişim kurma ve eklenti modülleri aracılığıyla işlevselliğini genişletme yeteneklerine sahiptir.
MgBot'un yükleyicisi, arka kapısı ve işlevleri, ilk belgelendiğinden bu yana önemli ölçüde değişmedi. Yürütme zinciri bu belgede açıklananla aynıdır. rapor Malwarebytes tarafından 2020'den itibaren.
MgBot Eklentileri
MgBot'un modüler mimarisi, tehlikeye atılan makinedeki modülleri alıp dağıtarak işlevselliğini genişletmesine olanak tanır. Tablo 2'de bilinen eklentiler ve bunların işlevleri listelenmektedir. Eklentilerin benzersiz dahili kimlik numaralarına sahip olmadığını unutmamak önemlidir; bu nedenle onları burada, daha önce hiç değişiklik görmediğimiz, diskteki DLL adlarıyla tanımlıyoruz.
Tablo 2. Eklenti DLL dosyalarının listesi
Eklenti DLL adı | Genel Bakış |
---|---|
Kstrcs.dll | Keylogger. Yalnızca ön plan penceresi adı verilen bir işleme ait olduğunda tuş vuruşlarını aktif olarak günlüğe kaydeder. QQ.exe ve pencere başlığı eşleşiyor QQDüzenle. Muhtemelen hedef Tencent QQ sohbet uygulamasıdır. |
sebasek.dll | Dosya hırsızı. Farklı kaynaklardan dosyaların toplanmasını sağlayan bir yapılandırma dosyası vardır: HDD'ler, USB flash sürücüler ve CD-ROM'lar; dosya özelliklerine dayalı kriterlerin yanı sıra: dosya adı önceden tanımlanmış bir listeden bir anahtar kelime içermelidir, dosya boyutu tanımlanmış bir minimum ve maksimum boyut arasında olmalıdır. |
Cbmrpa.dll | Panoya kopyalanan metni yakalar ve USBSTOR kayıt defteri anahtarındaki bilgileri günlüğe kaydeder. |
pRsm.dll | Giriş ve çıkış ses akışlarını yakalar. |
mailLFPassword.dll | Kimlik bilgileri hırsızı. Outlook ve Foxmail e-posta istemci yazılımından kimlik bilgilerini çalar. |
ajanpwd.dll | Kimlik bilgileri hırsızı. Diğerlerinin yanı sıra Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla ve WinSCP'den kimlik bilgilerini çalar. |
qmsdp.dll | Kullanıcının mesaj geçmişini saklayan Tencent QQ veritabanından içerik çalmak için tasarlanmış karmaşık bir eklenti. Bu, yazılım bileşeninin bellek içi yamalanmasıyla elde edilir KernelUtils.dll ve sahte bir şey bırakıyorum Userenv.dll dll |
wcdbcrk.dll | Tencent WeChat için bilgi çalan program. |
Gmck.dll | Firefox, Chrome ve Edge için çerez hırsızı. |
Eklentilerin çoğu, tümü Tencent tarafından geliştirilen QQ, WeChat, QQBrowser ve Foxmail gibi oldukça popüler Çin uygulamalarından bilgi çalmak üzere tasarlandı.
Sonuç
Evasive Panda APT grubuna atfeddiğimiz, Çin anakarasındaki kullanıcıları hedefleyen ve MgBot arka kapılarını tanınmış Çinli şirketlerin uygulamalarının güncelleme protokolleri aracılığıyla sunan bir kampanya keşfettik. Ayrıca MgBot arka kapısının eklentilerini de analiz ettik ve bunların çoğunun, kimlik bilgilerini ve bilgileri çalarak Çin yazılımı kullanıcılarına casusluk yapmak üzere tasarlandığını gördük.
IOCs
dosyalar
SHA-1 | Dosya adı | Bulma | Açıklama |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBot bilgi çalma eklentisi. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBot dosya çalma eklentisi. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot keylogger eklentisi. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBot çerez çalma eklentisi. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBot bilgi çalma eklentisi. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBot ses yakalama eklentisi. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBot panoya metin yakalama eklentisi. |
970BABE49945B98EFADA72B2314B25A008F75843 | ajanpwd.dll | Win32/Agent.VFT | MgBot kimlik bilgisi hırsızı eklentisi. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | MgBot kimlik bilgisi hırsızı eklentisi. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot yükleyicisi. |
ağ
IP | Provider | İlk görüş | - Detaylar |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Sınırlı | 2020-07-09 | MgBot C&C sunucusu. |
122.10.90[.]12 | AS55933 Cloudie Sınırlı | 2020-09-14 | MgBot C&C sunucusu. |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 12 MITRE ATT&CK çerçevesinin.
taktik | ID | Name | Açıklama |
---|---|---|---|
Kaynak geliştirme | T1583.004 | Altyapı Edinme: Sunucu | Evasive Panda, C&C altyapısı için kullanılacak sunucuları satın aldı. |
T1587.001 | Yetenek Geliştirme: Kötü Amaçlı Yazılım | Evasive Panda, gizlenmiş yükleyiciler de dahil olmak üzere özel MgBot arka kapısını ve eklentilerini geliştiriyor. | |
infaz | T1059.003 | Komut ve Komut Dosyası Yorumlayıcısı: Windows Komut Kabuğu | MgBot'un yükleyicisi hizmeti BAT dosyalarından şu komutla başlatır: net start AppMgmt |
T1106 | Yerel API | MgBot'un yükleyicisi şunları kullanır: CreateProcessDahiliW Yürütülecek API rundll32.exe arka kapı DLL'sini yüklemek için. | |
T1569.002 | Sistem Hizmetleri: Hizmet Yürütme | MgBot bir Windows hizmeti olarak yürütülür. | |
Sebat | T1543.003 | Sistem İşlemini Oluşturun veya Değiştirin: Windows Hizmeti | MgBot, mevcut Uygulama Yönetimi hizmeti DLL dosyasının yolunu kendisininkiyle değiştirir. |
Ayrıcalık Artışı | T1548.002 | Yükseklik Kontrol Mekanizmasını Kötüye Kullanma: Kullanıcı Hesabı Kontrolünü Atlayın | MgBot, UAC Bypass'ı gerçekleştirir. |
Savunmadan Kaçınma | T1140 | Dosyaları veya Bilgileri Gizleme/Kod Çözme | MgBot'un yükleyicisi, arka kapı DLL'sini içeren gömülü bir CAB dosyasının şifresini çözer. |
T1112 | Kayıt Defterini Değiştir | MgBot kalıcılık için kayıt defterini değiştirir. | |
T1027 | Gizlenmiş Dosyalar veya Bilgiler | MgBot'un yükleyicisi, gömülü kötü amaçlı yazılım dosyaları ve şifrelenmiş dizeler içerir. MgBot şifrelenmiş dizeler içerir. MgBot eklentileri gömülü DLL dosyalarını içerir. | |
T1055.002 | Proses Enjeksiyonu: Taşınabilir Yürütülebilir Enjeksiyon | MgBot, Taşınabilir Yürütülebilir dosyaları uzak işlemlere enjekte edebilir. | |
Kimlik Bilgileri Erişimi | T1555.003 | Parola Depolarından Kimlik Bilgileri: Web Tarayıcılarından Kimlik Bilgileri | MgBot eklenti modülü ajanpwd.dll web tarayıcılarından kimlik bilgilerini çalar. |
T1539 | Web Oturumu Çerezini Çal | MgBot eklenti modülü Gmck.dll çerezleri çalıyor. | |
Keşif | T1082 | Sistem Bilgisi Keşfi | MgBot sistem bilgilerini toplar. |
T1016 | Sistem Ağı Yapılandırma Keşfi | MgBot ağ bilgilerini kurtarma özelliğine sahiptir. | |
T1083 | Dosya ve Dizin Bulma | MgBot dosya listeleri oluşturma yeteneğine sahiptir. | |
Koleksiyon | T1056.001 | Giriş Yakalama: Tuş Kaydı | MgBot eklenti modülü kstrcs.dll bir keylogger'dır. |
T1560.002 | Toplanan Verileri Arşivleyin: Kütüphane Üzerinden Arşivleyin | MgBot'un eklenti modülü sebasek.dll Dışarı sızma için hazırlanan dosyaları sıkıştırmak için aPLib'i kullanır. | |
T1123 | Ses Kaydı | MgBot'un eklenti modülü pRsm.dll giriş ve çıkış ses akışlarını yakalar. | |
T1119 | Otomatik Toplama | MgBot'un eklenti modülleri çeşitli kaynaklardan veri yakalar. | |
T1115 | Pano Verileri | MgBot'un eklenti modülü Cbmrpa.dll panoya kopyalanan metni yakalar. | |
T1025 | Çıkarılabilir Ortamdan Veriler | MgBot'un eklenti modülü sebasek.dll çıkarılabilir medyadaki dosyaları toplar. | |
T1074.001 | Aşamalı Veri: Yerel Veri Aşamalandırma | MgBot'un eklenti modülleri verileri yerel olarak diskte hazırlar. | |
T1114.001 | E-posta Koleksiyonu: Yerel E-posta Koleksiyonu | MgBot'un eklenti modülleri, çeşitli uygulamalardan kimlik bilgilerini ve e-posta bilgilerini çalmak için tasarlanmıştır. | |
T1113 | ekran Yakalama | MgBot ekran görüntüleri yakalayabilir. | |
Komuta ve kontrol | T1095 | Uygulama Dışı Katman Protokolü | MgBot, C&C ile TCP ve UDP protokolleri aracılığıyla iletişim kurar. |
dumping | T1041 | C2 Kanalı Üzerinden Sızma | MgBot, toplanan verilerin C&C yoluyla sızmasını gerçekleştirir. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Yapabilmek
- Hakkımızda
- erişim
- Göre
- Hesap
- elde
- edinilen
- aktif
- etkinlik
- Ek
- adresleri
- Afrika
- karşı
- algoritma
- Türkiye
- veriyor
- boyunca
- Ayrıca
- Rağmen
- arasında
- miktar
- an
- analiz
- çözümlemek
- ve
- herhangi
- api
- Uygulama
- uygulamaları
- Nisan
- APT
- mimari
- Arşiv
- ARE
- AS
- Asya
- ilişkili
- At
- saldırı
- saldırılar
- ses
- Otomatik
- Arka
- Omurga
- arka kapı
- merkezli
- BAT
- BE
- olmuştur
- Inanmak
- aittir
- İYİ
- arasında
- Blog
- her ikisi de
- tarayıcı
- tarayıcılar
- yapılı
- fakat
- by
- C + +
- Kampanya
- CAN
- yapamam
- yetenekleri
- ele geçirmek
- yakalar
- taşıma
- dava
- durumlarda
- zincir
- değişiklik
- kanallar
- Kontrol
- kontrol
- Çin
- Çince
- krom
- müşteri
- Küme
- kod
- tesadüf
- Toplamak
- iletişim kurmak
- Şirketler
- şirket
- rakip
- tamamlamak
- karmaşık
- bileşen
- uzlaşma
- Uzlaşılmış
- iletken
- güven
- yapılandırma
- Onaylamak
- UAF ile
- içermek
- içeren
- içerik
- içindekiler
- devam eden
- kontrol
- kurabiye
- olabilir
- ülkeler
- ülke
- Oluşturma
- KİMLİK
- Tanıtım
- kriterleri
- görenek
- veri
- veritabanı
- tanımlı
- teslim etmek
- teslim edilen
- teslim
- sağlıyor
- konuşlandırılmış
- dağıtma
- tarif edilen
- Dizayn
- tasarlanmış
- gelişmiş
- Geliştirici
- geliştirir
- Cihaz
- farklı
- keşfetti
- dns
- do
- etki
- Dont
- indir
- indirme
- Damlama
- sırasında
- Doğu
- kenar
- ya
- E-posta
- gömülü
- sağlar
- şifreli
- artırmak
- kişiler
- ESET Araştırması
- kurulmuş
- Hatta
- kanıt
- evrim
- örnek
- örnekler
- yürütmek
- çalıştırır
- infaz
- dumping
- mevcut
- Açıklamak
- uzatmak
- sahte
- iyilik
- şekil
- fileto
- dosyalar
- süzme
- Firefox
- Ad
- amiral gemisi
- odak
- İçin
- Airdrop Formu
- bulundu
- iskelet
- itibaren
- tam
- işlevsellik
- daha fazla
- kumar
- üretir
- verilmiş
- Hükümet
- Devlet kurumları
- grup
- Grubun
- Guangdong
- vardı
- el
- esrar
- Var
- okuyun
- Yüksek
- en yüksek
- büyük ölçüde
- tarih
- Hong
- Hong Kong
- ev sahipliği yaptı
- Ne kadar
- Ancak
- http
- HTTPS
- Kimlik
- belirlemek
- belirlenmesi
- if
- Yasadışı
- uygulama
- uygular
- önemli
- in
- Dahil olmak üzere
- Hindistan
- belirtilen
- bireyler
- bilgi
- Altyapı
- giriş
- yüklü
- yerine
- talimatlar
- iç
- Uluslararası
- içine
- tanıtmak
- soruşturma
- IP
- IP adresleri
- ISS
- IT
- ONUN
- Ocak
- Kaspersky
- anahtar
- bilgi
- bilinen
- Kong
- büyük
- başlattı
- tabaka
- Yasal Şartlar
- meşruluk
- meşru
- Muhtemelen
- Sınırlı
- Liste
- Listelenmiş
- Deneyimler
- Listeler
- küçük
- yük
- yerel
- lokal olarak
- bulunan
- yerleri
- makine
- Makineler
- anakara
- çoğunluk
- Malezya
- kötü amaçlı yazılım
- Malwarebytes
- yönetilen
- yönetim
- çok
- harita
- Maç
- maksimum genişlik
- maksimum
- MD5
- anlamına geliyor
- mekanizma
- medya
- Üyeler
- adı geçen
- mesaj
- yöntemleri
- asgari
- değiştirmek
- modüler
- modül
- Modüller
- Daha
- Myanmar
- adlı
- isimleri
- Tabiat
- gerek
- gerekli
- ne
- ağ
- sonraki
- Ngo
- Nijerya
- numara
- sayılar
- of
- on
- ONE
- Online
- online oyun
- bir tek
- Opera
- faaliyet
- or
- kuruluşlar
- organizasyonlar
- kökenli
- Diğer
- Diğer
- bizim
- dışarı
- Görünüm
- çıktı
- tekrar
- genel bakış
- kendi
- paketler
- belirli
- pasif
- Şifre
- Yama
- yol
- icra
- gerçekleştirir
- sebat
- Filipinler
- Platon
- Plato Veri Zekası
- PlatoVeri
- savunmak
- fişe takmak
- eklentileri
- noktaları
- Popüler
- mümkün
- Çivi
- mevcut
- Önceden
- birincil
- asal
- süreç
- Süreçler
- özellikleri
- protokolleri
- Kanıtlamak
- sağlamak
- taşra
- halka açık
- alenen
- yayınlanan
- yalnızca
- Sorular
- rasgele
- ulaştı
- Okuyucu
- teslim almak
- Alınan
- alma
- kayıtlar
- Kurtarmak
- kayıtlı
- kayıt
- uzak
- cevap
- rapor
- Raporlar
- isteklerinizi
- araştırma
- Araştırmacılar
- çözüldü
- yanıt
- sonuç
- s
- aynı
- senaryo
- senaryolar
- ekran
- bölümler
- güvenlik
- görüldü
- Dizi
- Sunucular
- hizmet
- Hizmetler
- Oturum
- birkaç
- gösterilen
- Gösteriler
- önemli ölçüde
- benzer
- beri
- beden
- küçük
- Sosyal Medya
- sosyal medya
- Yazılım
- kaynaklar
- özellikle
- spekülasyon
- Aşama
- başlama
- XNUMX dakika içinde!
- top çalma
- Yine
- mağaza
- dere
- başarılı
- böyle
- sistem
- tablo
- Tayvan
- Bizi daha iyi tanımak için
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- Çay
- telekom
- telekomünikasyon
- Tencent
- göre
- o
- The
- Filipinler
- ve bazı Asya
- Onları
- sonra
- bu nedenle
- Bunlar
- onlar
- Re-Tweet
- Bu
- İçinden
- boyunca
- zaman
- Başlık
- için
- araç
- tip
- benzersiz
- ulaşılamaz
- Güncelleme
- Güncellemeler
- URL
- usb
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanma
- çeşitli
- çok
- üzerinden
- Kurban
- kurbanlar
- Vietnam
- Savunmasız
- oldu
- we
- ağ
- internet tarayıcıları
- İYİ
- tanınmış
- vardı
- Ne
- ne zaman
- olup olmadığını
- hangi
- süre
- geniş
- Vikipedi
- irade
- pencereler
- ile
- olmadan
- değer
- olur
- yazı yazıyor
- XML
- zefirnet