Дослідження ESET виявили кампанію групи APT, відомої як Evasive Panda, спрямовану на міжнародну неурядову організацію в Китаї зі зловмисним програмним забезпеченням, доставленим через оновлення популярного китайського програмного забезпечення.
Дослідники ESET виявили кампанію, яку ми приписуємо групі APT, відомій як Evasive Panda, де канали оновлення законних програм були таємничим чином викрадені для доставки інсталятора для шкідливого програмного забезпечення MgBot, флагманського бекдору Evasive Panda.
- Користувачі в материковому Китаї були мішенню зловмисного програмного забезпечення, доставленого через оновлення програмного забезпечення, розробленого китайськими компаніями.
- Ми аналізуємо конкуруючі гіпотези про те, як зловмисне програмне забезпечення могло бути доставлено цільовим користувачам.
- З високою впевненістю ми приписуємо цю діяльність групі Evasive Panda APT.
- Ми пропонуємо огляд фірмового бекдора MgBot від Evasive Panda та його набір модулів плагінів.
Профіль Evasive Panda
Ухильна панда (також відомий як БРОНЗОВЕ ВИСОЧИНЯ та кинджал) є китайськомовною групою APT, активний щонайменше з 2012 року. Дослідження ESET спостерігали за групою, яка здійснювала кібершпигунство проти осіб у материковому Китаї, Гонконгу, Макао та Нігерії. Мішенями були державні установи в Китаї, Макао та країнах Південно-Східної та Східної Азії, зокрема М’янмі, Філіппінах, Тайвані та В’єтнамі, а також інші організації в Китаї та Гонконгу. Згідно з оприлюдненими повідомленнями, група також націлилася на невідомі організації в Гонконзі, Індії та Малайзії.
Група впроваджує власну спеціальну структуру зловмисного програмного забезпечення з модульною архітектурою, яка дозволяє її бекдору, відомому як MgBot, отримувати модулі для стеження за своїми жертвами та розширювати свої можливості.
Огляд кампанії
У січні 2022 року ми виявили, що під час оновлення законна китайська програма отримала інсталятор для бекдора Evasive Panda MgBot. Під час нашого розслідування ми виявили, що зловмисна активність почалася з 2020 року.
Китайські користувачі були в центрі уваги цієї зловмисної активності, яку показує телеметрія ESET, починаючи з 2020 року та триваючи протягом 2021 року. Цільові користувачі перебували в провінціях Ганьсу, Гуандун і Цзянсу, як показано на малюнку 1.
Більшість китайських жертв є членами міжнародної неурядової організації, яка діє у двох із зазначених раніше провінцій.
Було виявлено, що ще одна жертва перебуває в Нігерії.
приписування
Evasive Panda використовує спеціальний бекдор, відомий як MgBot, який був публічно задокументовані у 2014 році, і з того часу він не змінився; Наскільки нам відомо, бекдор не використовувався жодною іншою групою. У цьому кластері зловмисної активності було помічено лише зловмисне програмне забезпечення MgBot, розгорнуте на заражених машинах, разом із його набором плагінів. Тому ми з високою впевненістю приписуємо цю діяльність Evasive Panda.
Технічний аналіз
Під час нашого розслідування ми виявили, що під час виконання автоматичних оновлень законний компонент прикладного програмного забезпечення завантажував бекдор-інсталятори MgBot із законних URL-адрес та IP-адрес.
У таблиці 1 ми надаємо URL-адресу, з якої почалося завантаження, згідно з телеметричними даними ESET, включаючи IP-адреси серверів, визначені на той час системою користувача; тому ми вважаємо, що ці IP-адреси є законними. Відповідно до пасивних записів DNS, усі ці IP-адреси відповідають досліджуваним доменам, тому ми вважаємо, що ці IP-адреси є законними.
Таблиця 1. Місця зловмисного завантаження за даними телеметрії ESET
URL | Перший побачений | IP домену | ASN | завантажувач |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall.exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Гіпотези компромісу
Коли ми проаналізували ймовірність кількох методів, які могли б пояснити, як зловмисникам вдалося доставити зловмисне програмне забезпечення за допомогою легітимних оновлень, у нас залишилося два сценарії: компрометація ланцюга постачання та атаки противника посередині. Для обох сценаріїв ми також візьмемо до уваги попередні подібні атаки інших китайськомовних груп APT.
Tencent QQ — популярний китайський чат і сервіс соціальних мереж. У наступних розділах ми будемо використовувати засіб оновлення клієнтського програмного забезпечення Windows Tencent QQ, QQUrlMgr.exe (наведено в таблиці 1), для наших прикладів, враховуючи, що ми маємо найбільшу кількість виявлень із завантажень саме цим компонентом.
Сценарій компромісу в ланцюзі поставок
Враховуючи цілеспрямований характер атак, ми припускаємо, що зловмисникам потрібно було б скомпрометувати сервери оновлень QQ, щоб запровадити механізм ідентифікації цільових користувачів для доставки їм зловмисного програмного забезпечення, фільтрації нецільових користувачів і доставки їм законних оновлень – ми зареєстрували випадки, коли законні оновлення завантажувалися через ті самі зловживані протоколи.
Хоча це не справа Evasive Panda, яскравий приклад такого компромісу наведено в нашому звіті Operation NightScout: атака на ланцюг поставок спрямована на онлайн-ігри в Азії, де зловмисники скомпрометували сервери оновлень компанії-розробника програмного забезпечення, що базується в Гонконгу. Згідно з нашими телеметричними даними, понад 100,000 XNUMX користувачів мали встановлене програмне забезпечення BigNox, але лише п’ять мали зловмисне програмне забезпечення, доставлене через оновлення. Ми підозрюємо, що зловмисники скомпрометували BigNox API на сервері оновлень, щоб відповісти компоненту оновлення на машинах цільових користувачів із URL-адресою сервера, де зловмисники розмістили своє шкідливе програмне забезпечення; нецільовим користувачам було надіслано законну URL-адресу оновлення.
Базуючись на цьому попередньому прикладі, на малюнку 2 ми показуємо, як міг розгортатися сценарій порушення ланцюга постачання згідно з нашими спостереженнями телеметрії. Проте ми повинні попередити читача, що це суто припущення, яке базується на нашому статичному аналізі з дуже обмеженою інформацією QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Варто також зазначити, що під час нашого дослідження ми жодного разу не змогли отримати зразок даних «оновлення» XML – ані законний, ані зловмисний зразок XML – із сервера, з яким зв’язався QQUrlMgr.exe. URL-адреса «перевірки оновлень» жорстко закодована в обфусцованому вигляді у виконуваному файлі, як показано на малюнку 3.
Повна URL-адреса перевірки оновлень деобфускована:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Сервер відповідає даними у форматі XML, закодованими за допомогою base64 і зашифрованими за допомогою реалізації алгоритму TEA з використанням 128-бітного ключа. Ці дані містять інструкції щодо завантаження та виконання файлу разом з іншою інформацією. Оскільки ключ дешифрування також жорстко закодований, як показано на малюнку 4, він може бути відомий зловмисникам.
QQUrlMgr.exe потім завантажує вказаний файл у незашифрованому вигляді через HTTP та хешує його вміст за допомогою алгоритму MD5. Результат перевіряється на хеш, присутній у XML-даних відповіді перевірки оновлення, як показано на малюнку 5. Якщо хеші збігаються, QQUrlMgr.exe виконує завантажений файл. Це підтверджує нашу гіпотезу про те, що зловмисникам потрібно буде контролювати серверний механізм XML на сервері оновлення, щоб мати можливість надати правильний хеш MD5 інсталятора зловмисного програмного забезпечення.
Ми вважаємо, що цей сценарій пояснює наші спостереження; однак багато запитань залишилися без відповіді. Ми звернулися до компанії Tencent Центр безпеки підтвердити легітимність повної URL-адреси, звідки було завантажено шкідливе програмне забезпечення; update.browser.qq[.]com на момент написання статті недоступний, але Tencent не зміг підтвердити, чи повна URL-адреса була законною.
Сценарій «Супротивник посередині».
2022 Kaspersky опублікував a дослідження звіт про можливості китайськомовної групи LuoYu APT та їхнього шкідливого програмного забезпечення WinDealer. Подібно до того, що ми спостерігали на цьому кластері жертв Evasive Panda, їхні дослідники виявили, що з 2020 року жертви LuoYu отримували зловмисне програмне забезпечення WinDealer через оновлення через законну програму qgametool.exe від PPTV програмне забезпечення, також розроблене китайською компанією.
WinDealer має загадкову можливість: замість того, щоб передавати список встановлених C&C серверів, до яких можна звернутись у разі успішного зламу, він генерує випадкові IP-адреси в 13.62.0.0/15 та 111.120.0.0/14 варіюється від China Telecom AS4134. Незважаючи на невеликий збіг, ми помітили, що IP-адреси цільових китайських користувачів на момент отримання шкідливого програмного забезпечення MgBot були в діапазоні IP-адрес AS4134 і AS4135.
Можливі пояснення того, що забезпечує ці можливості для своєї інфраструктури C&C, полягають у тому, що LuoYu або контролює велику кількість пристроїв, пов’язаних із IP-адресами в цих діапазонах, або може робити супротивник-посередині (AitM) або перехоплення зловмисником на стороні інфраструктури цієї конкретної AS.
Стилі перехоплення AitM були б можливими, якби зловмисники – або LuoYu, або Evasive Panda – змогли зламати вразливі пристрої, такі як маршрутизатори чи шлюзи. Як попередник, у 2019р Дослідники ESET виявили що китайська група APT, відома як BlackTech, здійснювала атаки AitM через скомпрометовані маршрутизатори ASUS і доставляла зловмисне програмне забезпечення Plead через оновлення програмного забезпечення ASUS WebStorage.
Маючи доступ до магістральної інфраструктури провайдера – законними чи незаконними способами – Evasive Panda зможе перехоплювати запити на оновлення, що надсилаються через HTTP, і відповідати на них, або навіть змінювати пакети на льоту. У квітні 2023 року дослідники Symantec повідомляє про Evasive Panda, спрямовану на телекомунікаційну організацію в Африці.
Коротке зведення новин
Зрештою, без додаткових доказів ми не можемо довести або відкинути одну гіпотезу на користь іншої, враховуючи, що такі можливості доступні китайським групам APT.
Набір інструментів
MgBot
MgBot — це основний бекдор Windows, який використовує Evasive Panda, який, згідно з нашими висновками, існує принаймні з 2012 року та, як зазначено в цій публікації блогу, був публічним задокументовано на VirusBulletin у 2014 році. Він був розроблений на C++ з об’єктно-орієнтованим дизайном і має можливості для зв’язку через TCP і UDP, а також розширює свою функціональність за допомогою модулів плагінів.
Інсталятор і бекдор MgBot, а також їхня функціональність не зазнали суттєвих змін з моменту вперше задокументованого. Його ланцюжок виконання такий самий, як описано в цьому звітом від Malwarebytes з 2020 року.
Плагіни MgBot
Модульна архітектура MgBot дозволяє розширити його функціональність, отримуючи та розгортаючи модулі на скомпрометованій машині. У таблиці 2 перераховані відомі плагіни та їхні функції. Важливо зауважити, що плагіни не мають унікальних внутрішніх ідентифікаційних номерів; тому ми ідентифікуємо їх тут за їхніми назвами DLL на диску, які ми ніколи не змінювали.
Таблиця 2. Список файлів DLL плагіна
Назва DLL плагіна | огляд |
---|---|
Kstrcs.dll | Кейлоггер. Він активно реєструє натискання клавіш, лише якщо вікно на передньому плані належить процесу під назвою QQ.exe і заголовок вікна збігається QQEdit. Ціллю ймовірно є додаток для чату Tencent QQ. |
sebasek.dll | Викрадач файлів. Має файл конфігурації, який дозволяє збирати файли з різних джерел: жорстких дисків, флеш-накопичувачів USB та компакт-дисків; а також критерії на основі властивостей файлу: назва файлу має містити ключове слово з попередньо визначеного списку, розмір файлу має бути між визначеним мінімальним і максимальним розміром. |
Cbmrpa.dll | Зберігає текст, скопійований у буфер обміну, і записує інформацію з розділу реєстру USBSTOR. |
pRsm.dll | Захоплює вхідні та вихідні аудіопотоки. |
mailLFPassword.dll | Викрадач облікових даних. Викрадає облікові дані з програмного забезпечення поштового клієнта Outlook і Foxmail. |
agentpwd.dll | Викрадач облікових даних. Викрадає облікові дані в Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla та WinSCP тощо. |
qmsdp.dll | Складний плагін, призначений для викрадення вмісту з бази даних Tencent QQ, яка зберігає історію повідомлень користувача. Це досягається за допомогою виправлення програмного компонента в пам’яті KernelUtils.dll і скинути підробку userenv.dll DLL. |
wcdbcrk.dll | Викрадач інформації для Tencent WeChat. |
Gmck.dll | Викрадач файлів cookie для Firefox, Chrome і Edge. |
Більшість плагінів призначені для крадіжки інформації з дуже популярних китайських програм, таких як QQ, WeChat, QQBrowser і Foxmail – усі вони розроблені Tencent.
Висновок
Ми виявили кампанію, яку ми приписуємо групі Evasive Panda APT, націлену на користувачів у материковому Китаї, доставляючи їхній бекдор MgBot через протоколи оновлення програм від відомих китайських компаній. Ми також проаналізували плагіни бекдору MgBot і виявили, що більшість із них призначені для шпигування за користувачами китайського програмного забезпечення шляхом крадіжки облікових даних та інформації.
IoCs
Файли
SHA-1 | ім'я файлу | Виявлення | Опис |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | Плагін викрадача інформації MgBot. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | Плагін викрадача файлів MgBot. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | Плагін кейлоггера MgBot. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | Плагін викрадача файлів cookie MgBot. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | Плагін викрадача інформації MgBot. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | Плагін захоплення аудіо MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | Плагін для захоплення тексту буфера обміну MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | Плагін викрадача облікових даних MgBot. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | Плагін викрадача облікових даних MgBot. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | Інсталятор MgBot. |
мережу
IP | Provider | Вперше побачили | ПОДРОБИЦІ |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | C&C сервер MgBot. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | C&C сервер MgBot. |
Методи MITER ATT & CK
Ця таблиця була побудована за допомогою версія 12 рамки MITER ATT & CK.
Тактика | ID | ІМ'Я | Опис |
---|---|---|---|
Розвиток ресурсів | T1583.004 | Придбати інфраструктуру: сервер | Evasive Panda придбала сервери для використання в інфраструктурі C&C. |
T1587.001 | Розвивайте можливості: шкідливі програми | Evasive Panda розробляє власний бекдор MgBot і плагіни, включаючи обфусковані завантажувачі. | |
Виконання | T1059.003 | Інтерпретатор команд та сценаріїв: командна оболонка Windows | Інсталятор MgBot запускає службу з файлів BAT за допомогою команди net start AppMgmt |
T1106 | Native API | Інсталятор MgBot використовує CreateProcessInternalW API для виконання rundll32.exe щоб завантажити бекдор DLL. | |
T1569.002 | Системні послуги: Виконання послуг | MgBot виконується як служба Windows. | |
Наполегливість | T1543.003 | Створення або зміна системного процесу: служба Windows | MgBot замінює шлях існуючої DLL служби керування програмами власним. |
Ескалація привілеїв | T1548.002 | Механізм контролю підвищення рівня зловживань: обійти контроль облікових записів користувачів | MgBot виконує UAC Bypass. |
Ухилення від захисту | T1140 | Деобфускація/декодування файлів або інформації | Інсталятор MgBot розшифровує вбудований CAB-файл, який містить бекдор-DLL. |
T1112 | Змінити реєстр | MgBot змінює реєстр для збереження. | |
T1027 | Заплутані файли або інформація | Інсталятор MgBot містить вбудовані файли зловмисного програмного забезпечення та зашифровані рядки. MgBot містить зашифровані рядки. Плагіни MgBot містять вбудовані файли DLL. | |
T1055.002 | Впровадження процесу: впровадження портативного виконуваного файлу | MgBot може вставляти портативні виконувані файли у віддалені процеси. | |
Доступ до облікових даних | T1555.003 | Облікові дані зі сховищ паролів: облікові дані з веб-браузерів | Модуль плагіна MgBot agentpwd.dll краде облікові дані з веб-браузерів. |
T1539 | Викрасти файли cookie веб-сеансу | Модуль плагіна MgBot Gmck.dll краде печиво. | |
Відкриття | T1082 | Виявлення системної інформації | MgBot збирає системну інформацію. |
T1016 | Виявлення конфігурації мережі | MgBot має можливість відновлювати мережеву інформацію. | |
T1083 | Виявлення файлів і каталогів | MgBot має можливість створювати списки файлів. | |
COLLECTION | T1056.001 | Захоплення введення: Keylogging | Модуль плагіна MgBot kstrcs.dll це кейлоггер. |
T1560.002 | Архів зібраних даних: Архів через бібліотеку | Модуль плагіна MgBot sebasek.dll використовує aPLib для стиснення файлів, призначених для вилучення. | |
T1123 | Зйомка звуку | Модуль плагіна MgBot pRsm.dll захоплює вхідні та вихідні аудіопотоки. | |
T1119 | Автоматизований збір | Модулі плагінів MgBot збирають дані з різних джерел. | |
T1115 | Дані буфера обміну | Модуль плагіна MgBot Cbmrpa.dll фіксує текст, скопійований у буфер обміну. | |
T1025 | Дані зі знімного носія | Модуль плагіна MgBot sebasek.dll збирає файли зі знімних носіїв. | |
T1074.001 | Поетапні дані: Постановка локальних даних | Модулі плагінів MgBot створюють дані локально на диску. | |
T1114.001 | Колекція електронної пошти: локальна колекція електронної пошти | Модулі плагінів MgBot призначені для викрадення облікових даних і електронної пошти з кількох програм. | |
T1113 | Screen Capture | MgBot може робити скріншоти. | |
Управління та контроль | T1095 | Протокол не прикладного рівня | MgBot спілкується зі своїм C&C через протоколи TCP і UDP. |
ексфільтраціі | T1041 | Ексфільтрація по каналу С2 | MgBot виконує ексфільтрацію зібраних даних через C&C. |
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- джерело: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- : має
- :є
- : ні
- :де
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Здатний
- МЕНЮ
- доступ
- За
- рахунки
- досягнутий
- придбаний
- активно
- діяльність
- Додатковий
- адреси
- Африка
- проти
- алгоритм
- ВСІ
- дозволяє
- по
- Також
- хоча
- серед
- кількість
- an
- аналіз
- аналізувати
- та
- будь-який
- API
- додаток
- застосування
- квітня
- APT
- архітектура
- архів
- ЕСТЬ
- AS
- азіатський
- асоційований
- At
- атака
- нападки
- аудіо
- Автоматизований
- назад
- Хребет
- закулісний
- заснований
- НИМ
- BE
- було
- Вірити
- належить
- КРАЩЕ
- між
- Блог
- обидва
- браузер
- браузери
- побудований
- але
- by
- C + +
- Кампанія
- CAN
- не може
- можливості
- захоплення
- захвати
- проведення
- випадок
- випадків
- ланцюг
- зміна
- канали
- перевірка
- перевірено
- Китай
- китайський
- Chrome
- клієнт
- кластер
- код
- збіг
- збір
- спілкуватися
- Компанії
- компанія
- конкурують
- повний
- комплекс
- компонент
- компроміс
- Компрометація
- Проведення
- довіра
- конфігурація
- підтвердити
- контакт
- містити
- містить
- зміст
- зміст
- триває
- контроль
- печиво
- може
- країни
- країна
- створення
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- Критерії
- виготовлений на замовлення
- дані
- Database
- певний
- доставляти
- поставляється
- надання
- постачає
- розгорнути
- розгортання
- описаний
- дизайн
- призначений
- розвиненою
- Розробник
- розвивається
- прилади
- різний
- відкритий
- DNS
- do
- домени
- Не знаю
- скачати
- завантажень
- Випадання
- під час
- Схід
- край
- або
- вбудований
- дозволяє
- зашифрованих
- підвищувати
- юридичні особи
- Дослідження ESET
- встановлений
- Навіть
- докази
- еволюція
- приклад
- Приклади
- виконувати
- Виконує
- виконання
- ексфільтрація
- існуючий
- Пояснювати
- продовжити
- підроблений
- на користь
- Рисунок
- філе
- Файли
- фільтрація
- Firefox
- Перший
- Флагман
- Сфокусувати
- для
- форма
- знайдений
- Рамки
- від
- Повний
- функціональність
- далі
- азартні ігри
- генерує
- даний
- Уряд
- Державні органи
- Group
- Групи
- Гуандун
- було
- рука
- мішанина
- Мати
- тут
- Високий
- найвищий
- дуже
- історія
- Гонконг
- Гонконг
- відбувся
- Як
- Однак
- HTTP
- HTTPS
- Ідентифікація
- ідентифікувати
- ідентифікує
- if
- незаконний
- реалізація
- implements
- важливо
- in
- У тому числі
- Індію
- зазначений
- осіб
- інформація
- Інфраструктура
- вхід
- встановлений
- замість
- інструкції
- внутрішній
- Міжнародне покриття
- в
- вводити
- дослідження
- IP
- IP-адреси
- ISP
- IT
- ЙОГО
- січня
- Kaspersky
- ключ
- знання
- відомий
- Гонконг
- великий
- запуски
- шар
- легальний
- легітимність
- законний
- Ймовірно
- обмеженою
- список
- Перераховані
- оголошення
- списки
- трохи
- загрузка
- місцевий
- локально
- розташований
- місць
- машина
- Машинки для перманенту
- материк
- Більшість
- Малайзія
- шкідливих програм
- Malwarebytes
- вдалося
- управління
- багато
- карта
- матч
- макс-ширина
- максимальний
- MD5
- засоби
- механізм
- Медіа
- члени
- згаданий
- повідомлення
- методика
- мінімальний
- змінювати
- модульний
- Модулі
- Модулі
- більше
- М'янма
- Названий
- Імена
- природа
- Необхідність
- необхідний
- ні
- мережу
- наступний
- Нго
- Нігерія
- номер
- номера
- of
- on
- ONE
- онлайн
- онлайн-ігор
- тільки
- Opera
- працює
- or
- організація
- організації
- виникла
- Інше
- інші
- наші
- з
- прогноз
- вихід
- над
- огляд
- власний
- пакети
- приватність
- пасивний
- Пароль
- Виправлення
- шлях
- виконанні
- виступає
- наполегливість
- Філіппіни
- plato
- Інформація про дані Платона
- PlatoData
- молитися
- підключати
- plugins
- точок
- популярний
- це можливо
- пошта
- представити
- раніше
- первинний
- Prime
- процес
- процеси
- властивості
- протоколи
- Доведіть
- забезпечувати
- провінція
- громадськість
- публічно
- опублікований
- суто
- питань
- випадковий
- досяг
- читач
- отримати
- отримано
- отримання
- облік
- Відновлювати
- зареєстрований
- реєстру
- віддалений
- відповісти
- звітом
- Звіти
- запитів
- дослідження
- Дослідники
- вирішене
- відповідь
- результат
- s
- то ж
- сценарій
- сценарії
- скріншоти
- розділам
- безпеку
- бачив
- Послідовність
- Сервери
- обслуговування
- Послуги
- Сесія
- кілька
- показаний
- Шоу
- істотно
- аналогічний
- з
- Розмір
- невеликий
- соціальна
- соціальні медіа
- Софтвер
- Джерела
- конкретно
- спекуляції
- Стажування
- старт
- Починаючи
- крадеться
- Як і раніше
- магазинів
- потоки
- успішний
- такі
- система
- таблиця
- Taiwan
- Приймати
- Мета
- цільове
- націлювання
- цілі
- чай
- телеком
- зв'язок
- Tencent
- ніж
- Що
- Команда
- Філіппіни
- їх
- Їх
- потім
- отже
- Ці
- вони
- це
- ті
- через
- по всьому
- час
- назва
- до
- Інструментарій
- тип
- створеного
- недосяжні
- Оновити
- Updates
- URL
- USB
- використання
- використовуваний
- користувач
- користувачі
- використання
- різний
- дуже
- через
- Жертва
- жертви
- В'єтнам
- Вразливий
- було
- we
- Web
- Веб-браузери
- ДОБРЕ
- добре відомі
- були
- Що
- коли
- Чи
- який
- в той час як
- широкий
- Вікіпедія
- волі
- windows
- з
- без
- вартість
- б
- лист
- XML
- зефірнет