ESET ریسرچ نے APT گروپ کی ایک مہم کا پردہ فاش کیا جسے Evasive Panda کے نام سے جانا جاتا ہے جس میں چین میں ایک بین الاقوامی این جی او کو نشانہ بنایا گیا ہے جس میں مشہور چینی سافٹ ویئر کی اپ ڈیٹس کے ذریعے مالویئر فراہم کیا گیا ہے۔
ESET کے محققین نے ایک مہم دریافت کی ہے جسے ہم APT گروپ سے منسوب کرتے ہیں جسے Evasive Panda کے نام سے جانا جاتا ہے، جہاں Evasive Panda کے فلیگ شپ بیک ڈور MgBot میلویئر کے انسٹالر کی فراہمی کے لیے جائز ایپلیکیشنز کے اپ ڈیٹ چینلز کو پراسرار طریقے سے ہائی جیک کر لیا گیا تھا۔
- مین لینڈ چین میں صارفین کو چینی کمپنیوں کے تیار کردہ سافٹ ویئر کے اپ ڈیٹس کے ذریعے ڈیلیور کردہ مالویئر کے ذریعے نشانہ بنایا گیا۔
- ہم مسابقتی مفروضوں کا تجزیہ کرتے ہیں کہ کس طرح میلویئر کو ہدف بنائے گئے صارفین تک پہنچایا جا سکتا تھا۔
- With high confidence we attribute this activity to the Evasive Panda APT group.
- ہم Evasive Panda کے سگنیچر بیک ڈور MgBot اور اس کے پلگ ان ماڈیولز کی ٹول کٹ کا ایک جائزہ فراہم کرتے ہیں۔
ایویسیو پانڈا پروفائل
ایویزیو پانڈا (بھی طور پر جانا جاتا ہے کانسی کا پہاڑی علاقہ اور خنجر) ایک چینی بولنے والا APT گروپ ہے، کم از کم 2012 سے فعال. ESET ریسرچ نے سرزمین چین، ہانگ کانگ، مکاؤ اور نائجیریا میں افراد کے خلاف سائبر جاسوسی کرنے والے گروپ کا مشاہدہ کیا ہے۔ چین، مکاؤ، اور جنوب مشرقی اور مشرقی ایشیائی ممالک، خاص طور پر میانمار، فلپائن، تائیوان اور ویتنام میں سرکاری اداروں کو نشانہ بنایا گیا، جبکہ چین اور ہانگ کانگ میں دیگر تنظیموں کو بھی نشانہ بنایا گیا۔ عوامی رپورٹس کے مطابق اس گروپ نے ہانگ کانگ، انڈیا اور ملائیشیا میں نامعلوم اداروں کو بھی نشانہ بنایا ہے۔
یہ گروپ ایک ماڈیولر فن تعمیر کے ساتھ اپنا حسب ضرورت میلویئر فریم ورک نافذ کرتا ہے جو اس کے بیک ڈور، جسے MgBot کے نام سے جانا جاتا ہے، کو اپنے متاثرین کی جاسوسی کرنے اور اس کی صلاحیتوں کو بڑھانے کے لیے ماڈیول حاصل کرنے کی اجازت دیتا ہے۔
مہم کا جائزہ
In January 2022, we discovered that while performing updates, a legitimate Chinese application had received an installer for the Evasive Panda MgBot backdoor. During our investigation, we discovered that the malicious activity went back to 2020.
Chinese users were the focus of this malicious activity, which ESET telemetry shows starting in 2020 and continuing throughout 2021. The targeted users were located in the Gansu, Guangdong, and Jiangsu provinces, as shown in Figure 1.
چینی متاثرین میں سے زیادہ تر ایک بین الاقوامی این جی او کے ممبر ہیں جو پہلے ذکر کردہ دو صوبوں میں کام کرتی ہے۔
ایک اضافی شکار بھی نائیجیریا کے ملک میں پایا گیا۔
انتساب
Evasive Panda ایک حسب ضرورت بیک ڈور استعمال کرتا ہے جسے MgBot کہا جاتا ہے، جو کہ تھا۔ عوامی طور پر دستاویزی 2014 میں اور اس کے بعد سے بہت کم ارتقاء دیکھا ہے؛ ہماری بہترین معلومات کے مطابق، پچھلے دروازے کو کسی دوسرے گروپ نے استعمال نہیں کیا ہے۔ بدنیتی پر مبنی سرگرمیوں کے اس جھرمٹ میں، صرف MgBot میلویئر کو متاثرہ مشینوں پر، اس کے پلگ انز کی ٹول کٹ کے ساتھ تعینات دیکھا گیا۔ لہٰذا، بڑے اعتماد کے ساتھ ہم اس سرگرمی کا انتساب Evasive Panda سے کرتے ہیں۔
تکنیکی تجزیہ
اپنی تحقیقات کے دوران، ہم نے دریافت کیا کہ خودکار اپ ڈیٹس کرتے وقت، ایک جائز ایپلیکیشن سوفٹ ویئر کا جزو MgBot بیک ڈور انسٹالرز کو جائز URLs اور IP پتوں سے ڈاؤن لوڈ کرتا ہے۔
جدول 1 میں، ہم یو آر ایل فراہم کرتے ہیں جہاں سے ڈاؤن لوڈ شروع ہوا، ESET ٹیلی میٹری ڈیٹا کے مطابق، بشمول سرورز کے IP پتے، جیسا کہ صارف کے سسٹم کے ذریعے حل کیا گیا ہے۔ لہذا، ہم سمجھتے ہیں کہ یہ IP پتے جائز ہیں۔ غیر فعال DNS ریکارڈز کے مطابق، یہ تمام IP پتے مشاہدہ شدہ ڈومینز سے مماثل ہیں، اس لیے ہم سمجھتے ہیں کہ یہ IP پتے جائز ہیں۔
ٹیبل 1. ESET ٹیلی میٹری کے مطابق نقصان دہ ڈاؤن لوڈ مقامات
URL | پہلی بار دیکھا | ڈومین آئی پی | ASN | ڈاؤنلوڈر |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11‑02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Hypotheses of compromise
جب ہم نے کئی طریقوں کے امکان کا تجزیہ کیا جو یہ بتا سکتے ہیں کہ حملہ آور کس طرح جائز اپ ڈیٹس کے ذریعے میلویئر ڈیلیور کرنے میں کامیاب ہوئے، تو ہمارے پاس دو منظرنامے رہ گئے: سپلائی چین سمجھوتہ، اور مخالف کے درمیان میں ہونے والے حملے۔ دونوں منظرناموں کے لیے ہم دوسرے چینی بولنے والے اے پی ٹی گروپس کے اسی طرح کے حملوں کے سابقہ واقعات کو بھی مدنظر رکھیں گے۔
Tencent QQ ایک مشہور چینی چیٹ اور سوشل میڈیا سروس ہے۔ اگلے حصوں میں، ہم Tencent QQ ونڈوز کلائنٹ سافٹ ویئر اپڈیٹر استعمال کریں گے، QQUrlMgr.exe (ٹیبل 1 میں درج ہے)، ہماری مثالوں کے لیے، یہ دیکھتے ہوئے کہ ہمارے پاس اس خاص جزو کے ذریعے ڈاؤن لوڈز سے سب سے زیادہ تعداد کا پتہ لگانا ہے۔
Supply-chain compromise scenario
Given the targeted nature of the attacks, we speculate that attackers would have needed to compromise the QQ update servers to introduce a mechanism to identify the targeted users to deliver them the malware, filtering out non-targeted users and delivering them legitimate updates – we registered cases where legitimate updates were downloaded through the same abused protocols.
While not an Evasive Panda case, a prime example of this type of compromise is in our report آپریشن نائٹ اسکاؤٹ: سپلائی چین حملہ ایشیا میں آن لائن گیمنگ کو نشانہ بناتا ہے۔, where attackers compromised the update servers of a software developer company based in Hong Kong. According to our telemetry, more than 100,000 users had the BigNox software installed, but only five had malware delivered through an update. We suspect that the attackers compromised the BigNox API on the update server to reply to the updater component on the machines of targeted users with a URL to a server where the attackers hosted their malware; non-targeted users were sent the legitimate update URL.
Based on that antecedent, in Figure 2 we illustrate how the supply-chain compromise scenario could have unfolded according to observations in our telemetry. Still, we must warn the reader that this is purely speculation and based on our static analysis, with very limited information, of QQUrlMgr.exe (sha-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
یہ بات بھی قابل توجہ ہے کہ ہماری تحقیق کے دوران ہم کبھی بھی XML "اپ ڈیٹ" ڈیٹا کا نمونہ حاصل کرنے کے قابل نہیں رہے - نہ تو کوئی جائز، اور نہ ہی کوئی نقصان دہ، XML نمونہ - جس کے ذریعے رابطہ کیا گیا سرور سے QQUrlMgr.exe. "اپ ڈیٹ چیک" URL کو ہارڈ کوڈ کیا گیا ہے، مبہم شکل میں، قابل عمل میں، جیسا کہ شکل 3 میں دکھایا گیا ہے۔
غیر واضح، مکمل اپ ڈیٹ چیک URL یہ ہے:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
سرور XML فارمیٹ شدہ ڈیٹا کے ساتھ جواب دیتا ہے جسے بیس 64 کے ساتھ انکوڈ کیا گیا ہے اور 128 بٹ کلید کا استعمال کرتے ہوئے TEA الگورتھم کے نفاذ کے ساتھ انکرپٹ کیا گیا ہے۔ اس ڈیٹا میں دیگر معلومات کے ساتھ فائل کو ڈاؤن لوڈ کرنے اور اس پر عمل کرنے کی ہدایات شامل ہیں۔ چونکہ ڈکرپشن کلید بھی ہارڈ کوڈ شدہ ہے، جیسا کہ شکل 4 میں دکھایا گیا ہے، یہ حملہ آوروں کو معلوم ہو سکتا ہے۔
QQUrlMgr.exe پھر اشارہ شدہ فائل کو، غیر خفیہ کردہ، HTTP کے ذریعے ڈاؤن لوڈ کرتا ہے اور اس کے مواد کو MD5 الگورتھم کے ساتھ ہیش کرتا ہے۔ نتیجہ کو اپ ڈیٹ چیک ریسپانس XML ڈیٹا میں موجود ہیش کے خلاف چیک کیا جاتا ہے، جیسا کہ شکل 5 میں دیکھا گیا ہے۔ اگر ہیشز میچ کرتی ہیں، QQUrlMgr.exe ڈاؤن لوڈ کی گئی فائل کو چلاتا ہے۔ اس سے ہمارے مفروضے کو تقویت ملتی ہے کہ حملہ آوروں کو میلویئر انسٹالر کی درست MD5 ہیش فراہم کرنے کے لیے اپ ڈیٹ سرور میں XML سرور سائڈ میکانزم کو کنٹرول کرنے کی ضرورت ہوگی۔
We believe that this scenario would explain our observations; however, many questions are left unanswered. We reached out to Tencent’s سیکیورٹی رسپانس سینٹر مکمل یو آر ایل کی قانونی حیثیت کی تصدیق کرنے کے لیے جہاں سے میلویئر ڈاؤن لوڈ کیا گیا تھا۔ update.browser.qq[.]com ہے - تحریر کے وقت - ناقابل رسائی، لیکن Tencent اس بات کی تصدیق نہیں کر سکا کہ آیا مکمل URL جائز تھا۔
درمیانی منظر نامے میں مخالف
2022-06-02 کو، کاسپرسکی نے ایک شائع کیا۔ تحقیق چینی بولنے والے LuoYu APT گروپ اور ان کے WinDealer میلویئر کی صلاحیتوں کے بارے میں رپورٹ کریں۔ Evasive Panda کے متاثرین کے اس جھرمٹ پر ہم نے جو مشاہدہ کیا اسی طرح، ان کے محققین نے پایا کہ، 2020 سے، LuoYu کے متاثرین نے WinDealer میلویئر کو اپ ڈیٹس کے ذریعے جائز ایپلیکیشن qgametool.exe کے ذریعے حاصل کیا تھا۔ پی پی ٹی وی سافٹ ویئر بھی ایک چینی کمپنی نے تیار کیا ہے۔
WinDealer میں ایک حیران کن صلاحیت ہے: کامیاب سمجھوتہ ہونے کی صورت میں رابطہ کرنے کے لیے قائم کردہ C&C سرورز کی فہرست لے جانے کے بجائے، یہ بے ترتیب IP پتے تیار کرتا ہے۔ 13.62.0.0/15 اور 111.120.0.0/14 چین ٹیلی کام AS4134 سے رینجز۔ اگرچہ ایک چھوٹا سا اتفاق ہے، ہم نے دیکھا کہ MgBot میلویئر وصول کرنے کے وقت ہدف بنائے گئے چینی صارفین کے IP پتے AS4134 اور AS4135 IP پتوں کی حدود میں تھے۔
اس کے C&C انفراسٹرکچر کے لیے ان صلاحیتوں کو کس چیز کے قابل بناتا ہے اس کی ممکنہ وضاحتیں یہ ہیں کہ LuoYu یا تو ان رینجز پر آئی پی ایڈریسز کے ساتھ منسلک آلات کی ایک بڑی مقدار کو کنٹرول کرتا ہے، یا یہ کہ وہ ایسا کرنے کے قابل ہیں۔ درمیان میں مخالف (AitM) یا اس مخصوص AS کے بنیادی ڈھانچے پر حملہ آور کی طرف سے مداخلت۔
اگر حملہ آور - یا تو LuoYu یا Evasive Panda - کمزور آلات جیسے کہ راؤٹرز یا گیٹ ویز سے سمجھوتہ کرنے کے قابل ہوتے تو AitM کی روک تھام کے انداز ممکن ہوں گے۔ بطور سابقہ، 2019 میں ESET محققین نے دریافت کیا۔ کہ بلیک ٹیک کے نام سے جانا جاتا چینی APT گروپ سمجھوتہ شدہ ASUS راؤٹرز کے ذریعے AitM حملے کر رہا تھا اور ASUS WebStorage سافٹ ویئر اپ ڈیٹس کے ذریعے Plead میلویئر فراہم کر رہا تھا۔
ISP ریڑھ کی ہڈی کے بنیادی ڈھانچے تک رسائی کے ساتھ - قانونی یا غیر قانونی ذرائع سے - Evasive Panda HTTP کے ذریعے انجام دی گئی اپ ڈیٹ کی درخواستوں کو روکنے اور جواب دینے کے قابل ہو جائے گا، یا یہاں تک کہ فلائی پر پیکٹ میں ترمیم کر سکے گا۔ اپریل 2023 میں، Symantec محققین رپورٹ کے مطابق ایویسیو پانڈا افریقہ میں ٹیلی کمیونیکیشن تنظیم کو نشانہ بنا رہا ہے۔
لپیٹ اپ
بالآخر، مزید شواہد کے بغیر، ہم ایک مفروضے کو دوسرے کے حق میں ثابت یا رد نہیں کر سکتے، یہ دیکھتے ہوئے کہ چینی اے پی ٹی گروپس کے لیے ایسی صلاحیتیں موجود ہیں۔
ٹول سیٹ
ایم جی بوٹ
MgBot بنیادی ونڈوز کا بیک ڈور ہے جسے Evasive Panda استعمال کرتا ہے، جو ہماری تلاش کے مطابق کم از کم 2012 سے موجود ہے اور جیسا کہ اس بلاگ پوسٹ میں ذکر کیا گیا ہے، عوامی طور پر تھا۔ documented at VirusBulletin in 2014. اسے C++ میں آبجیکٹ پر مبنی ڈیزائن کے ساتھ تیار کیا گیا تھا، اور TCP اور UDP کے ذریعے بات چیت کرنے اور پلگ ان ماڈیولز کے ذریعے اس کی فعالیت کو بڑھانے کی صلاحیت رکھتا ہے۔
MgBot کا انسٹالر اور بیک ڈور، اور ان کی فعالیت، اس کے پہلے دستاویزی ہونے کے بعد سے نمایاں طور پر تبدیل نہیں ہوئی ہے۔ اس پر عمل درآمد کا سلسلہ وہی ہے جیسا کہ اس میں بیان کیا گیا ہے۔ رپورٹ by Malwarebytes from 2020.
MgBot پلگ انز
MgBot کا ماڈیولر فن تعمیر اسے سمجھوتہ شدہ مشین پر ماڈیولز وصول کرکے اور تعینات کرکے اپنی فعالیت کو بڑھانے کی اجازت دیتا ہے۔ جدول 2 میں معلوم پلگ ان اور ان کی فعالیت کی فہرست دی گئی ہے۔ یہ نوٹ کرنا ضروری ہے کہ پلگ ان میں منفرد داخلی شناختی نمبر نہیں ہوتے ہیں۔ لہذا ہم یہاں ان کی شناخت ڈسک پر ان کے DLL ناموں سے کر رہے ہیں، جس میں ہم نے کبھی تبدیلی نہیں دیکھی۔
جدول 2۔ پلگ ان DLL فائلوں کی فہرست
پلگ ان DLL نام | مجموعی جائزہ |
---|---|
Kstrcs.dll | کیلوگر۔ It only actively logs keystrokes when the foreground window belongs to a process named QQ.exe اور ونڈو کا عنوان مماثل ہے۔ QQEdit. It’s likely target is the Tencent QQ chat application. |
sebasek.dll | فائل چوری کرنے والا۔ Has a configuration file that enables the collection of files from different sources: HDDs, USB thumb drives, and CD-ROMs; as well as criteria based on the file properties: filename must contain a keyword from a predefined list, file size must be between a defined a minimum and maximum size. |
Cbmrpa.dll | کلپ بورڈ پر کاپی کردہ ٹیکسٹ کیپچر کرتا ہے اور USBSTOR رجسٹری کلید سے معلومات کو لاگ کرتا ہے۔ |
pRsm.dll | ان پٹ اور آؤٹ پٹ آڈیو اسٹریمز کیپچر کرتا ہے۔ |
mailLFPassword.dll | Credential stealer. آؤٹ لک اور فاکس میل ای میل کلائنٹ سافٹ ویئر سے اسناد چراتا ہے۔ |
agentpwd.dll | Credential stealer. کروم، اوپیرا، فائر فاکس، فاکس میل، کیو کیو براؤزر، فائل زیلا، اور ون ایس سی پی سمیت دیگر سے اسناد چراتا ہے۔ |
qmsdp.dll | Tencent QQ ڈیٹا بیس سے مواد چوری کرنے کے لیے ڈیزائن کیا گیا ایک پیچیدہ پلگ ان جو صارف کے پیغام کی سرگزشت کو اسٹور کرتا ہے۔ یہ سافٹ ویئر کے جزو کی ان میموری پیچنگ کے ذریعے حاصل کیا جاتا ہے۔ KernelUtils.dll and dropping a fake userenv.dll ڈی ایل ایل۔ |
wcdbcrk.dll | Information stealer for Tencent WeChat. |
Gmck.dll | فائر فاکس، کروم، اور ایج کے لیے کوکیز چوری کرنے والا۔ |
زیادہ تر پلگ انز کو انتہائی مقبول چینی ایپلی کیشنز جیسے QQ، WeChat، QQBrowser، اور Foxmail سے معلومات چرانے کے لیے ڈیزائن کیا گیا ہے - یہ سبھی ایپلیکیشنز Tencent کے ذریعے تیار کی گئی ہیں۔
نتیجہ
ہم نے ایک مہم دریافت کی جسے ہم ایوایسیو پانڈا اے پی ٹی گروپ سے منسوب کرتے ہیں، مین لینڈ چین میں صارفین کو ہدف بناتے ہوئے، معروف چینی کمپنیوں کی ایپلی کیشنز کے اپ ڈیٹ پروٹوکولز کے ذریعے اپنے MgBot بیک ڈور فراہم کرتے ہیں۔ ہم نے MgBot بیک ڈور کے پلگ ان کا بھی تجزیہ کیا اور پایا کہ ان میں سے زیادہ تر کو اسناد اور معلومات چوری کرکے چینی سافٹ ویئر کے صارفین کی جاسوسی کے لیے ڈیزائن کیا گیا ہے۔
آئی او سیز
فائلوں
ان شاء 1 | فائل کا نام | کھوج | Description |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | MgBot معلومات چوری کرنے والا پلگ ان۔ |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | MgBot فائل چوری کرنے والا پلگ ان۔ |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | MgBot keylogger پلگ ان۔ |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | MgBot کوکی اسٹیلر پلگ ان۔ |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | MgBot معلومات چوری کرنے والا پلگ ان۔ |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | MgBot آڈیو کیپچر پلگ ان۔ |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | MgBot کلپ بورڈ ٹیکسٹ کیپچر پلگ ان۔ |
970BABE49945B98EFADA72B2314B25A008F75843 | agentpwd.dll | Win32/Agent.VFT | MgBot کریڈینشل اسٹیلر پلگ ان۔ |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | MgBot کریڈینشل اسٹیلر پلگ ان۔ |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | MgBot انسٹالر۔ |
نیٹ ورک
IP | فراہم کرنے والے | پہلی بار دیکھا | تفصیلات دیکھیں |
---|---|---|---|
122.10.88[.]226 | AS55933 کلاؤڈی لمیٹڈ | 2020-07-09 | MgBot C&C سرور۔ |
122.10.90[.]12 | AS55933 کلاؤڈی لمیٹڈ | 2020-09-14 | MgBot C&C سرور۔ |
MITER ATT&CK تکنیک
یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 12 MITER ATT&CK فریم ورک کا.
حربہ | ID | نام | Description |
---|---|---|---|
وسائل کی ترقی | T1583.004 | انفراسٹرکچر حاصل کریں: سرور | Evasive Panda نے C&C انفراسٹرکچر کے لیے استعمال کیے جانے والے سرورز حاصل کیے ہیں۔ |
T1587.001 | صلاحیتوں کو تیار کریں: میلویئر | Evasive Panda اپنی مرضی کے مطابق MgBot بیک ڈور اور پلگ ان تیار کرتا ہے، بشمول مبہم لوڈرز۔ | |
پھانسی | T1059.003 | کمانڈ اور اسکرپٹنگ ترجمان: ونڈوز کمانڈ شیل | MgBot کا انسٹالر کمانڈ کے ساتھ BAT فائلوں سے سروس شروع کرتا ہے۔ net start AppMgmt |
T1106 | آبائی API | MgBot کا انسٹالر استعمال کرتا ہے۔ CreateProcessInternalW عمل کرنے کے لیے API rundll32.exe بیک ڈور DLL لوڈ کرنے کے لیے۔ | |
T1569.002 | سسٹم سروسز: سروس ایگزیکیوشن | MgBot کو ونڈوز سروس کے طور پر عمل میں لایا جاتا ہے۔ | |
مسلسل | T1543.003 | سسٹم کے عمل کو بنائیں یا اس میں ترمیم کریں: ونڈوز سروس | MgBot replaces the path of the existing Application Management service DLL with its own. |
استحقاق میں اضافہ | T1548.002 | غلط استعمال کی بلندی پر قابو پانے کا طریقہ کار: صارف اکاؤنٹ کنٹرول کو بائی پاس کریں۔ | MgBot UAC بائی پاس انجام دیتا ہے۔ |
دفاعی چوری | T1140 | فائلوں یا معلومات کو ڈیوبفسکیٹ/ڈی کوڈ کریں۔ | MgBot کا انسٹالر ایک ایمبیڈڈ CAB فائل کو ڈیکرپٹ کرتا ہے جس میں بیک ڈور DLL ہوتا ہے۔ |
T1112 | رجسٹری میں ترمیم کریں۔ | MgBot modifies the registry for persistence. | |
T1027 | مبہم فائلیں یا معلومات | MgBot کے انسٹالر میں ایمبیڈڈ میلویئر فائلیں اور انکرپٹڈ سٹرنگز شامل ہیں۔ MgBot میں خفیہ کردہ تار شامل ہیں۔ MgBot پلگ ان میں سرایت شدہ DLL فائلیں ہوتی ہیں۔ | |
T1055.002 | پروسیس انجکشن: پورٹیبل ایگزیکیوٹیبل انجکشن | MgBot پورٹ ایبل ایگزیکیوٹیبل فائلوں کو دور دراز کے عمل میں انجیکشن کرسکتا ہے۔ | |
اسناد تک رسائی | T1555.003 | پاس ورڈ اسٹورز سے اسناد: ویب براؤزرز سے اسناد | MgBot پلگ ان ماڈیول agentpwd.dll ویب براؤزرز سے اسناد چوری کرتا ہے۔ |
T1539 | ویب سیشن کوکی چوری کریں۔ | MgBot پلگ ان ماڈیول Gmck.dll کوکیز چوری کرتا ہے۔ | |
ڈسکوری | T1082 | سسٹم انفارمیشن ڈسکوری | MgBot سسٹم کی معلومات اکٹھا کرتا ہے۔ |
T1016 | سسٹم نیٹ ورک کنفیگریشن ڈسکوری | MgBot نیٹ ورک کی معلومات کو بازیافت کرنے کی صلاحیت رکھتا ہے۔ | |
T1083 | فائل اور ڈائرکٹری کی دریافت | MgBot has the capability of creating file listings. | |
جمعکاری | T1056.001 | ان پٹ کیپچر: کیلاگنگ | MgBot پلگ ان ماڈیول kstrcs.dll is a keylogger. |
T1560.002 | جمع شدہ ڈیٹا کو محفوظ کریں: لائبریری کے ذریعے آرکائیو کریں۔ | MgBot’s plugin module sebasek.dll uses aPLib to compress files staged for exfiltration. | |
T1123 | آڈیو کیپچر۔ | MgBot’s plugin module pRsm.dll ان پٹ اور آؤٹ پٹ آڈیو اسٹریمز کو کیپچر کرتا ہے۔ | |
T1119 | خودکار مجموعہ | MgBot کے پلگ ان ماڈیول مختلف ذرائع سے ڈیٹا حاصل کرتے ہیں۔ | |
T1115 | کلپ بورڈ ڈیٹا | MgBot’s plugin module Cbmrpa.dll کلپ بورڈ پر کاپی شدہ متن کو کیپچر کرتا ہے۔ | |
T1025 | ہٹنے والا میڈیا سے ڈیٹا | MgBot’s plugin module sebasek.dll ہٹانے کے قابل میڈیا سے فائلیں جمع کرتا ہے۔ | |
T1074.001 | ڈیٹا سٹیجڈ: لوکل ڈیٹا سٹیجنگ | MgBot کا پلگ ان مقامی طور پر ڈسک پر ڈیٹا کو اسٹیج کرتا ہے۔ | |
T1114.001 | ای میل مجموعہ: مقامی ای میل مجموعہ | MgBot کے پلگ ان ماڈیولز کو کئی ایپلی کیشنز سے اسناد اور ای میل کی معلومات چرانے کے لیے ڈیزائن کیا گیا ہے۔ | |
T1113 | سکرین کی گرفتاری | MgBot can capture screenshots. | |
کمانڈ اور کنٹرول | T1095 | نان ایپلیکیشن لیئر پروٹوکول | MgBot communicates with its C&C through TCP and UDP protocols. |
جلاوطنی | T1041 | C2 چینل کے اوپر Exfiltration | MgBot C&C کے ذریعے جمع کیے گئے ڈیٹا کی افزائش کرتا ہے۔ |
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- : ہے
- : ہے
- : نہیں
- :کہاں
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- حاصل کیا
- حاصل
- فعال طور پر
- سرگرمی
- ایڈیشنل
- پتے
- افریقہ
- کے خلاف
- یلگورتم
- تمام
- کی اجازت دیتا ہے
- ساتھ
- بھی
- اگرچہ
- کے درمیان
- رقم
- an
- تجزیہ
- تجزیے
- اور
- کوئی بھی
- اے پی آئی
- درخواست
- ایپلی کیشنز
- اپریل
- اے پی ٹی
- فن تعمیر
- محفوظ شدہ دستاویزات
- کیا
- AS
- ایشیائی
- منسلک
- At
- حملہ
- حملے
- آڈیو
- آٹومیٹڈ
- واپس
- ریڑھ کی ہڈی
- پچھلے دروازے
- کی بنیاد پر
- بلے بازی
- BE
- رہا
- یقین ہے کہ
- تعلق رکھتا ہے
- BEST
- کے درمیان
- بلاگ
- دونوں
- براؤزر
- براؤزر
- تعمیر
- لیکن
- by
- C ++
- مہم
- کر سکتے ہیں
- نہیں کر سکتے ہیں
- صلاحیتوں
- قبضہ
- قبضہ
- لے جانے والا۔
- کیس
- مقدمات
- چین
- تبدیل
- چینل
- چیک کریں
- جانچ پڑتال
- چین
- چینی
- کروم
- کلائنٹ
- کلسٹر
- کوڈ
- اتفاق
- مجموعہ
- ابلاغ
- کمپنیاں
- کمپنی کے
- مقابلہ کرنا
- مکمل
- پیچیدہ
- جزو
- سمجھوتہ
- سمجھوتہ کیا
- چل رہا ہے
- آپکا اعتماد
- ترتیب
- کی توثیق
- رابطہ کریں
- پر مشتمل ہے
- پر مشتمل ہے
- مواد
- مندرجات
- جاری
- کنٹرول
- کوکیز
- سکتا ہے
- ممالک
- ملک
- تخلیق
- کریڈینٹل
- اسناد
- معیار
- اپنی مرضی کے
- اعداد و شمار
- ڈیٹا بیس
- کی وضاحت
- نجات
- ڈیلیور
- ترسیل
- فراہم کرتا ہے
- تعینات
- تعینات
- بیان کیا
- ڈیزائن
- ڈیزائن
- ترقی یافتہ
- ڈیولپر
- تیار ہے
- کے الات
- مختلف
- دریافت
- DNS
- do
- ڈومینز
- نہیں
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- چھوڑنا
- کے دوران
- وسطی
- ایج
- یا تو
- ای میل
- ایمبیڈڈ
- کے قابل بناتا ہے
- خفیہ کردہ
- بڑھانے کے
- اداروں
- ای ایس ای ٹی ریسرچ
- قائم
- بھی
- ثبوت
- ارتقاء
- مثال کے طور پر
- مثال کے طور پر
- عملدرآمد
- پھانسی
- پھانسی
- exfiltration
- موجودہ
- وضاحت
- توسیع
- جعلی
- کی حمایت
- اعداد و شمار
- فائل
- فائلوں
- فلٹرنگ
- فائر فاکس
- پہلا
- فلیگ شپ
- توجہ مرکوز
- کے لئے
- فارم
- ملا
- فریم ورک
- سے
- مکمل
- فعالیت
- مزید
- گیمنگ
- پیدا ہوتا ہے
- دی
- حکومت
- سرکاری ادارے
- گروپ
- گروپ کا
- گآنگڈونگ
- تھا
- ہاتھ
- ہیش
- ہے
- یہاں
- ہائی
- سب سے زیادہ
- انتہائی
- تاریخ
- ہانگ
- ہانگ کانگ
- میزبانی کی
- کس طرح
- تاہم
- HTTP
- HTTPS
- شناخت
- شناخت
- کی نشاندہی
- if
- غیر قانونی
- نفاذ
- عمل
- اہم
- in
- سمیت
- بھارت
- اشارہ کیا
- افراد
- معلومات
- انفراسٹرکچر
- ان پٹ
- نصب
- کے بجائے
- ہدایات
- اندرونی
- بین الاقوامی سطح پر
- میں
- متعارف کرانے
- تحقیقات
- IP
- آئی پی پتے
- آئی ایس پی
- IT
- میں
- جنوری
- Kaspersky
- کلیدی
- علم
- جانا جاتا ہے
- کانگ
- بڑے
- آغاز
- پرت
- قانونی
- مشروعیت
- جائز
- امکان
- لمیٹڈ
- لسٹ
- فہرست
- لسٹنگس
- فہرستیں
- تھوڑا
- لوڈ
- مقامی
- مقامی طور پر
- واقع ہے
- مقامات
- مشین
- مشینیں
- خشکی کا بڑا ٹکڑا
- اکثریت
- ملائیشیا
- میلویئر
- Malwarebytes کی
- میں کامیاب
- انتظام
- بہت سے
- نقشہ
- میچ
- زیادہ سے زیادہ چوڑائی
- زیادہ سے زیادہ
- MD5
- کا مطلب ہے کہ
- میکانزم
- میڈیا
- اراکین
- ذکر کیا
- پیغام
- طریقوں
- کم سے کم
- نظر ثانی کرنے
- ماڈیولر
- ماڈیول
- ماڈیولز
- زیادہ
- میانمار
- نامزد
- نام
- فطرت، قدرت
- ضرورت ہے
- ضرورت
- نہ ہی
- نیٹ ورک
- اگلے
- این جی او
- نائیجیریا
- تعداد
- تعداد
- of
- on
- ایک
- آن لائن
- آن لائن گیمنگ
- صرف
- اوپرا
- چل رہا ہے
- or
- تنظیم
- تنظیمیں
- پیدا ہوا
- دیگر
- دیگر
- ہمارے
- باہر
- آؤٹ لک
- پیداوار
- پر
- مجموعی جائزہ
- خود
- کے پیکٹ
- خاص طور پر
- غیر فعال
- پاس ورڈ
- پیچ کرنا
- راستہ
- کارکردگی کا مظاہرہ
- کارکردگی کا مظاہرہ
- مسلسل
- فلپائن
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- درخواست
- رابطہ بحال کرو
- پلگ ان
- پوائنٹس
- مقبول
- ممکن
- پوسٹ
- حال (-)
- پہلے
- پرائمری
- وزیر اعظم
- عمل
- عمل
- خصوصیات
- پروٹوکول
- ثابت کریں
- فراہم
- صوبوں
- عوامی
- عوامی طور پر
- شائع
- خالص
- سوالات
- بے ترتیب
- پہنچ گئی
- ریڈر
- وصول
- موصول
- وصول کرنا
- ریکارڈ
- بازیافت
- رجسٹرڈ
- رجسٹری
- ریموٹ
- جواب
- رپورٹ
- رپورٹیں
- درخواستوں
- تحقیق
- محققین
- حل کیا
- جواب
- نتیجہ
- s
- اسی
- منظر نامے
- منظرنامے
- اسکرین شاٹس
- سیکشنز
- سیکورٹی
- دیکھا
- تسلسل
- سرورز
- سروس
- سروسز
- اجلاس
- کئی
- دکھایا گیا
- شوز
- نمایاں طور پر
- اسی طرح
- بعد
- سائز
- چھوٹے
- سماجی
- سوشل میڈیا
- سافٹ ویئر کی
- ذرائع
- خاص طور پر
- قیاس
- اسٹیج
- شروع کریں
- شروع
- چراغ
- ابھی تک
- پردہ
- اسٹریمز
- کامیاب
- اس طرح
- کے نظام
- ٹیبل
- تائیوان
- لے لو
- ہدف
- ھدف بنائے گئے
- ھدف بندی
- اہداف
- چائے
- ٹیلی کام
- ٹیلی کمیونیکیشن کی
- Tencent کے
- سے
- کہ
- ۔
- فلپائن
- ان
- ان
- تو
- لہذا
- یہ
- وہ
- اس
- ان
- کے ذریعے
- بھر میں
- وقت
- عنوان
- کرنے کے لئے
- ٹول کٹ
- قسم
- منفرد
- ناقابل رسائ
- اپ ڈیٹ کریں
- تازہ ترین معلومات
- URL
- USB
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- مختلف
- بہت
- کی طرف سے
- وکٹم
- متاثرین
- ویت نام
- قابل اطلاق
- تھا
- we
- ویب
- ویب براؤزر
- اچھا ہے
- اچھی طرح سے جانا جاتا ہے
- تھے
- کیا
- جب
- چاہے
- جس
- جبکہ
- وسیع
- وکیپیڈیا
- گے
- کھڑکیاں
- ساتھ
- بغیر
- قابل
- گا
- تحریری طور پر
- XML
- زیفیرنیٹ