ESET کے محققین نے ایک سائبر جاسوسی مہم دریافت کی ہے جو کم از کم ستمبر 2023 سے تبتیوں کو نشانہ بنا کر پانی دینے والے سوراخ (جسے اسٹریٹجک ویب کمپرومائز بھی کہا جاتا ہے) کے ذریعے تبتی زبان کے ترجمے کے سافٹ ویئر کے ٹروجنائزڈ انسٹالرز کی فراہمی کے لیے ایک سپلائی چین سمجھوتہ کر رہا ہے۔ حملہ آوروں کا مقصد MgBot اور بیک ڈور کے ساتھ ویب سائٹ کے زائرین سے سمجھوتہ کرنے کے لیے Windows اور macOS کے لیے نقصان دہ ڈاؤنلوڈرز کو تعینات کرنا تھا، جو کہ ہمارے بہترین علم کے مطابق، ابھی تک عوامی طور پر دستاویز نہیں کیا گیا ہے۔ ہم نے اسے نائٹ ڈور کا نام دیا ہے۔
اس بلاگ پوسٹ میں اہم نکات:
- ہم نے ایک سائبر جاسوسی مہم دریافت کی ہے جو کئی ممالک اور خطوں میں تبتیوں کو نشانہ بنانے کے لیے مونلام فیسٹیول – ایک مذہبی اجتماع – سے فائدہ اٹھاتی ہے۔
- حملہ آوروں نے ہندوستان میں منعقد ہونے والے سالانہ میلے کے منتظم کی ویب سائٹ سے سمجھوتہ کیا، اور مخصوص نیٹ ورکس سے جڑنے والے صارفین کو نشانہ بنانے کے لیے واٹرنگ ہول اٹیک بنانے کے لیے بدنیتی پر مبنی کوڈ شامل کیا۔
- ہم نے یہ بھی دریافت کیا کہ ایک سافٹ ویئر ڈویلپر کی سپلائی چین سے سمجھوتہ کیا گیا تھا اور Windows اور macOS کے لیے trojanized انسٹالرز صارفین کو پیش کیے گئے تھے۔
- حملہ آوروں نے آپریشن کے لیے متعدد بدنیتی پر مبنی ڈاؤن لوڈرز اور مکمل خصوصیات والے بیک ڈور میدان میں اتارے، بشمول ونڈوز کے لیے عوامی طور پر غیر دستاویزی بیک ڈور جسے ہم نے نائٹ ڈور کا نام دیا ہے۔
- ہم اس مہم کو بڑے اعتماد کے ساتھ چین کے ساتھ منسلک ایویسیو پانڈا اے پی ٹی گروپ سے منسوب کرتے ہیں۔
ایویسیو پانڈا پروفائل
ایویزیو پانڈا (بھی طور پر جانا جاتا ہے کانسی کا پہاڑی علاقہ اور خنجر) ایک چینی بولنے والا APT گروپ ہے، کم از کم 2012 سے فعال. ESET ریسرچ نے سرزمین چین، ہانگ کانگ، مکاؤ اور نائجیریا میں افراد کے خلاف سائبر جاسوسی کرنے والے گروپ کا مشاہدہ کیا ہے۔ جنوب مشرقی اور مشرقی ایشیا میں حکومتی اداروں کو نشانہ بنایا گیا، خاص طور پر چین، مکاؤ، میانمار، فلپائن، تائیوان اور ویتنام۔ چین اور ہانگ کانگ میں دیگر تنظیموں کو بھی نشانہ بنایا گیا۔ عوامی رپورٹس کے مطابق اس گروپ نے ہانگ کانگ، انڈیا اور ملائیشیا میں نامعلوم اداروں کو بھی نشانہ بنایا ہے۔
یہ گروپ ماڈیولر فن تعمیر کے ساتھ اپنا حسب ضرورت میلویئر فریم ورک استعمال کرتا ہے جو اس کے بیک ڈور، جسے MgBot کے نام سے جانا جاتا ہے، کو اپنے متاثرین کی جاسوسی کرنے اور اس کی صلاحیتوں کو بڑھانے کے لیے ماڈیول حاصل کرنے کی اجازت دیتا ہے۔ 2020 کے بعد سے ہم نے یہ بھی مشاہدہ کیا ہے کہ Evasive Panda میں یہ صلاحیتیں ہیں کہ وہ مخالف کے درمیان میں حملوں کے ذریعے اپنے پچھلے دروازوں کو پہنچا سکتا ہے۔ جائز سافٹ ویئر کی اپ ڈیٹس کو ہائی جیک کرنا.
مہم کا جائزہ
جنوری 2024 میں، ہمیں ایک سائبر جاسوسی آپریشن کا پتہ چلا جس میں حملہ آوروں نے کم از کم تین ویب سائٹس کو واٹرنگ ہول حملے کرنے کے ساتھ ساتھ تبتی سافٹ ویئر کمپنی کے سپلائی چین کے ساتھ سمجھوتہ کیا۔
واٹرنگ ہول کے طور پر غلط استعمال کی گئی سمجھوتہ شدہ ویب سائٹ کاگیو انٹرنیشنل مونلم ٹرسٹ سے تعلق رکھتی ہے، جو ہندوستان میں مقیم ایک تنظیم ہے جو بین الاقوامی سطح پر تبتی بدھ مت کو فروغ دیتی ہے۔ حملہ آوروں نے ویب سائٹ میں ایک اسکرپٹ رکھا جو ممکنہ شکار کے آئی پی ایڈریس کی تصدیق کرتا ہے اور اگر یہ پتے کی ہدف کردہ حدود میں سے کسی ایک کے اندر ہے تو، صارف کو "فکس" نامی ڈاؤن لوڈ کرنے کے لیے آمادہ کرنے کے لیے ایک جعلی غلطی کا صفحہ دکھاتا ہے۔ سرٹیفکیٹ (ایک .exe توسیع کے ساتھ اگر وزیٹر ونڈوز استعمال کر رہا ہے یا .pkg اگر macOS)۔ یہ فائل ایک بدنیتی پر مبنی ڈاؤنلوڈر ہے جو سمجھوتہ کے سلسلے میں اگلے مرحلے پر تعینات کرتی ہے۔
آئی پی ایڈریس کی حدود کی بنیاد پر جو کوڈ چیک کرتا ہے، ہم نے دریافت کیا کہ حملہ آوروں نے ہندوستان، تائیوان، ہانگ کانگ، آسٹریلیا اور ریاستہائے متحدہ میں صارفین کو نشانہ بنایا۔ اس حملے کا مقصد کاگیو مونلم فیسٹیول (شکل 1) میں بین الاقوامی دلچسپی کا فائدہ اٹھانا ہو سکتا ہے جو ہر سال جنوری میں بھارت کے شہر بودھ گیا میں منعقد ہوتا ہے۔
دلچسپ بات یہ ہے کہ ریاستہائے متحدہ میں جارجیا انسٹی ٹیوٹ آف ٹیکنالوجی (جو جارجیا ٹیک کے نام سے بھی جانا جاتا ہے) کا نیٹ ورک ہدف شدہ IP ایڈریس کی حدود میں شناخت شدہ اداروں میں شامل ہے۔ ماضی میں، یونیورسٹی کا ذکر کیا گیا۔ امریکہ میں تعلیمی اداروں پر چینی کمیونسٹ پارٹی کے اثر و رسوخ کے سلسلے میں۔
ستمبر 2023 کے آس پاس، حملہ آوروں نے ہندوستان میں واقع ایک سافٹ ویئر ڈویلپمنٹ کمپنی کی ویب سائٹ سے سمجھوتہ کیا جو تبتی زبان میں ترجمہ سافٹ ویئر تیار کرتی ہے۔ حملہ آوروں نے وہاں کئی ٹروجنائزڈ ایپلی کیشنز رکھی ہیں جو ونڈوز یا میک او ایس کے لیے نقصان دہ ڈاؤنلوڈر تعینات کرتی ہیں۔
اس کے علاوہ حملہ آوروں نے اسی ویب سائٹ اور تبت پوسٹ کے نام سے ایک تبتی نیوز ویب سائٹ کو بھی گالی دی۔ تبت پوسٹ[.] نیٹ - بدنیتی پر مبنی ڈاؤن لوڈز کے ذریعے حاصل کردہ پے لوڈز کی میزبانی کرنے کے لیے، بشمول ونڈوز کے لیے دو مکمل خصوصیات والے بیک ڈور اور macOS کے لیے پے لوڈز کی ایک نامعلوم تعداد۔
بڑے اعتماد کے ساتھ ہم اس مہم کا انتساب Evasive Panda APT گروپ سے کرتے ہیں، اس میلویئر کی بنیاد پر جو استعمال کیا گیا تھا: MgBot اور Nightdoor۔ ماضی میں، ہم نے تائیوان میں ایک مذہبی تنظیم کے خلاف غیر متعلقہ حملے میں دونوں بیک ڈوروں کو ایک ساتھ تعینات دیکھا ہے، جس میں انہوں نے ایک ہی C&C سرور کا اشتراک بھی کیا تھا۔ دونوں نکات اس بلاگ پوسٹ میں بیان کردہ مہم پر بھی لاگو ہوتے ہیں۔
پانی سوراخ
14 جنوریth, 2024، پر ہمیں ایک مشکوک اسکرپٹ کا پتہ چلا https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
نقصان دہ مبہم کوڈ کو ایک جائز میں شامل کیا گیا تھا۔ jQuery کے جاوا اسکرپٹ لائبریری اسکرپٹ، جیسا کہ شکل 2 میں دیکھا گیا ہے۔
اسکرپٹ لوکل ہوسٹ ایڈریس پر ایک HTTP درخواست بھیجتا ہے۔ http://localhost:63403/?callback=handleCallback یہ چیک کرنے کے لیے کہ آیا حملہ آور کا انٹرمیڈیٹ ڈاؤنلوڈر پہلے سے ہی ممکنہ شکار مشین پر چل رہا ہے (شکل 3 دیکھیں)۔ پہلے سے سمجھوتہ شدہ مشین پر، امپلانٹ اس کے ساتھ جواب دیتا ہے۔ ہینڈل کال بیک ({"کامیابی":سچ }) (شکل 4 دیکھیں) اور اسکرپٹ کے ذریعہ مزید کوئی کارروائی نہیں کی گئی ہے۔
اگر مشین متوقع ڈیٹا کے ساتھ جواب نہیں دیتی ہے، تو ثانوی سرور سے MD5 ہیش حاصل کرکے نقصان دہ کوڈ جاری رہتا ہے۔ https://update.devicebug[.]com/getVersion.php. پھر ہیش کو 74 ہیش ویلیوز کی فہرست کے خلاف چیک کیا جاتا ہے، جیسا کہ شکل 6 میں دیکھا گیا ہے۔
اگر کوئی مماثلت ہے، تو اسکرپٹ ایک HTML صفحہ کو ایک جعلی کریش نوٹیفکیشن (شکل 7) کے ساتھ رینڈر کرے گا جس کا مقصد آنے والے صارف کو مسئلہ کو حل کرنے کے لیے حل ڈاؤن لوڈ کرنے کی طرف راغب کرنا ہے۔ صفحہ عام "اوہ، سنیپ!" کی نقل کرتا ہے۔ سے انتباہات گوگل کروم.
"فوری طور پر درست کریں" بٹن ایک اسکرپٹ کو متحرک کرتا ہے جو صارف کے آپریٹنگ سسٹم کی بنیاد پر ایک پے لوڈ ڈاؤن لوڈ کرتا ہے (شکل 8)۔
ہیش توڑنا
پے لوڈ ڈیلیوری کی شرط کے لیے سرور سے صحیح ہیش پر پر حاصل کرنا ضروری ہے۔ update.devicebug[.]com، لہذا 74 ہیش حملہ آور کے شکار کے انتخاب کے طریقہ کار کی کلید ہیں۔ تاہم، چونکہ ہیش کی گنتی سرور سائیڈ پر کی جاتی ہے، اس لیے اس نے ہمارے لیے یہ جاننا ایک چیلنج پیش کیا کہ اس کی گنتی کے لیے کون سا ڈیٹا استعمال کیا جاتا ہے۔
ہم نے مختلف IP پتے اور سسٹم کنفیگریشنز کے ساتھ تجربہ کیا اور MD5 الگورتھم کے ان پٹ کو صارف کے IP ایڈریس کے پہلے تین آکٹٹس کے فارمولے تک محدود کر دیا۔ دوسرے لفظوں میں، مثال کے طور پر، ایک ہی نیٹ ورک کے سابقہ کا اشتراک کرنے والے IP پتے داخل کرکے 192.168.0.1 اور 192.168.0.50، C&C سرور سے وہی MD5 ہیش وصول کرے گا۔
تاہم، حروف کا ایک نامعلوم مجموعہ، یا a نمک, ہیش کو معمولی طور پر زبردستی ہونے سے روکنے کے لیے ہیش کرنے سے پہلے پہلے تین IP آکٹیٹس کی سٹرنگ کے ساتھ شامل کیا جاتا ہے۔ لہٰذا، ہمیں ان پٹ فارمولے کو محفوظ بنانے کے لیے نمک کو زبردستی استعمال کرنے کی ضرورت تھی اور تب ہی آئی پی وی 4 ایڈریسز کی پوری رینج کا استعمال کرتے ہوئے مماثل 74 ہیشز تلاش کرنے کے لیے ہیشز تیار کریں۔
کبھی کبھی ستارے سیدھ میں آتے ہیں، اور ہمیں پتہ چلا کہ نمک تھا۔ 1qaz0okm!@#. MD5 ان پٹ فارمولے کے تمام ٹکڑوں کے ساتھ (مثال کے طور پر، 192.168.1.1qaz0okm!@#)، ہم نے آسانی کے ساتھ 74 ہیشوں کو زبردستی استعمال کیا اور اہداف کی فہرست تیار کی۔ دیکھیں معاہدہ مکمل فہرست کے لیے۔
جیسا کہ شکل 9 میں دکھایا گیا ہے، ہدف بنائے گئے IP ایڈریس رینجز کی اکثریت ہندوستان میں ہے، اس کے بعد تائیوان، آسٹریلیا، امریکہ اور ہانگ کانگ ہیں۔ نوٹ کریں کہ زیادہ تر تبتی باشندے بھارت میں رہتا ہے.
ونڈوز پے لوڈ
ونڈوز پر، حملے کے متاثرین کو ایک بدنیتی پر مبنی ایگزیکیوٹیبل کے ساتھ پیش کیا جاتا ہے۔ https://update.devicebug[.]com/fixTools/certificate.exe. شکل 10 عملدرآمد کا سلسلہ دکھاتا ہے جو اس وقت ہوتا ہے جب صارف نقصان دہ فکس کو ڈاؤن لوڈ اور اس پر عمل درآمد کرتا ہے۔
Certificate.exe ایک ڈراپر ہے جو انٹرمیڈیٹ ڈاؤنلوڈر کو لوڈ کرنے کے لیے سائیڈ لوڈنگ چین تعینات کرتا ہے، memmgrset.dll (اندرونی نام http_dy.dll)۔ یہ DLL پر C&C سرور سے JSON فائل حاصل کرتا ہے۔ https://update.devicebug[.]com/assets_files/config.json، جس میں اگلے مرحلے کو ڈاؤن لوڈ کرنے کی معلومات شامل ہیں (شکل 11 دیکھیں)۔
جب اگلے مرحلے کو ڈاؤن لوڈ اور عمل میں لایا جاتا ہے، تو یہ نائٹ ڈور کو حتمی پے لوڈ کے طور پر فراہم کرنے کے لیے ایک اور سائیڈ لوڈنگ چین تعینات کرتا ہے۔ نائٹ ڈور کا تجزیہ ذیل میں فراہم کیا گیا ہے۔ رات کا دروازہ سیکشن پر ایک اقتصادی کینڈر سکین کر لیں۔
macOS پے لوڈ
macOS میلویئر وہی ڈاؤنلوڈر ہے جسے ہم مزید تفصیل سے دستاویز کرتے ہیں۔ سپلائی چین سمجھوتہ. تاہم، یہ ایک اضافی Mach-O ایگزیکیوٹیبل ڈراپ کرتا ہے، جو TCP پورٹ 63403 پر سنتا ہے۔ اس کا واحد مقصد اس کے ساتھ جواب دینا ہے۔ ہینڈل کال بیک ({"کامیابی":سچ }) بدنیتی پر مبنی JavaScript کوڈ کی درخواست پر، لہذا اگر صارف دوبارہ watering-hole ویب سائٹ پر جاتا ہے، تو JavaScript کوڈ وزیٹر سے دوبارہ سمجھوتہ کرنے کی کوشش نہیں کرے گا۔
یہ ڈاؤنلوڈر سرور سے JSON فائل حاصل کرتا ہے اور اگلے مرحلے میں ڈاؤن لوڈ کرتا ہے، بالکل اسی طرح جیسے پہلے بیان کیا گیا Windows ورژن۔
سپلائی چین سمجھوتہ
18 جنوریth، ہم نے دریافت کیا کہ ایک سے زیادہ پلیٹ فارمز کے لیے تبتی زبان کے ترجمے والے سافٹ ویئر پروڈکٹ کی آفیشل ویب سائٹ (شکل 12) جائز سافٹ ویئر کے لیے ٹروجنائزڈ انسٹالرز پر مشتمل ZIP پیکجز کی میزبانی کر رہی ہے جو Windows اور macOS کے لیے بدنیتی پر مبنی ڈاؤن لوڈرز کو تعینات کرتے ہیں۔
ہمیں جاپان سے ایک شکار ملا جس نے ونڈوز کے لیے ایک پیکج ڈاؤن لوڈ کیا۔ جدول 1 میں یو آر ایل اور گرائے گئے امپلانٹس کی فہرست دی گئی ہے۔
ٹیبل 1. سمجھوتہ شدہ ویب سائٹ پر بدنیتی پر مبنی پیکیجز کے URLs اور سمجھوتہ شدہ ایپلیکیشن میں پے لوڈ کی قسم
بدنیتی پر مبنی پیکیج URL |
پے لوڈ کی قسم |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Win32 ڈاؤنلوڈر |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32 ڈاؤنلوڈر |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Win32 ڈاؤنلوڈر |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
macOS ڈاؤنلوڈر |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
macOS ڈاؤنلوڈر |
ونڈوز پیکجز
شکل 13 پیکج سے ٹروجنائزڈ ایپلیکیشن کی لوڈنگ چین کو واضح کرتا ہے۔ monlam-bodyig3.zip.
ٹروجنائزڈ ایپلیکیشن میں ایک نقصان دہ ڈراپر ہوتا ہے جسے کہتے ہیں۔ autorun.exe جو دو اجزاء کو تعینات کرتا ہے:
- ایک قابل عمل فائل کا نام ہے۔ MonlamUpdate.exe، جو ایمولیٹر کا ایک سافٹ ویئر جزو ہے۔ C64 ہمیشہ کے لیے اور DLL سائڈ لوڈنگ کے لیے زیادتی کی جاتی ہے، اور
- RPHost.dll، سائیڈ لوڈڈ DLL، جو اگلے مرحلے کے لیے ایک بدنیتی پر مبنی ڈاؤنلوڈر ہے۔
جب ڈاؤنلوڈر DLL میموری میں لوڈ ہوتا ہے، تو یہ ایک طے شدہ کام بناتا ہے۔ Demovale ہر بار جب کوئی صارف لاگ ان ہوتا ہے تو اس پر عمل درآمد کا ارادہ رکھتا ہے۔ تاہم، چونکہ ٹاسک ایک فائل کو عمل میں لانے کے لیے متعین نہیں کرتا ہے، اس لیے یہ استقامت قائم کرنے میں ناکام رہتا ہے۔
اس کے بعد، اس DLL کو اپنی مرضی کے مطابق صارف ایجنٹ بنانے کے لیے UUID اور آپریٹنگ سسٹم کا ورژن ملتا ہے اور اسے GET کی درخواست بھیجتا ہے۔ https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat ایک JSON فائل حاصل کرنے کے لیے جس میں یو آر ایل پر مشتمل ایک پے لوڈ کو ڈاؤن لوڈ کرنے اور اس پر عمل درآمد کرنے کے لیے اس پر گرا دیا جاتا ہے۔ ٪ ٹیمپ٪ ڈائریکٹری ہم سمجھوتہ شدہ ویب سائٹ سے JSON آبجیکٹ ڈیٹا کا نمونہ حاصل کرنے سے قاصر تھے۔ لہذا ہم نہیں جانتے کہ کہاں سے ہے۔ default_ico.exe ڈاؤن لوڈ کیا جاتا ہے، جیسا کہ تصویر 13 میں دکھایا گیا ہے۔
ESET ٹیلی میٹری کے ذریعے، ہم نے دیکھا کہ ناجائز MonlamUpdate.exe مختلف مواقع پر کم از کم چار بدنیتی پر مبنی فائلوں کو ڈاؤن لوڈ اور عمل میں لایا گیا۔ %TEMP%default_ico.exe. جدول 2 ان فائلوں اور ان کے مقصد کی فہرست دیتا ہے۔
ٹیبل 2۔ ہیش آف دی default_ico.exe ڈاؤنلوڈر/ڈراپر، رابطہ کردہ C&C URL، اور ڈاؤنلوڈر کی تفصیل
ان شاء 1 |
رابطہ شدہ URL |
مقصد |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
سرور سے ایک نامعلوم پے لوڈ ڈاؤن لوڈ کرتا ہے۔ |
F0F8F60429E3316C463F |
سرور سے ایک نامعلوم پے لوڈ ڈاؤن لوڈ کرتا ہے۔ یہ نمونہ زنگ میں لکھا گیا تھا۔ |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
تصادفی طور پر نائٹ ڈور ڈراپر ڈاؤن لوڈ کرتا ہے۔ |
BFA2136336D845184436 |
N / A |
اوپن سورس ٹول SystemInfo، جس میں حملہ آوروں نے اپنے بدنیتی پر مبنی کوڈ کو ضم کیا اور ایک انکرپٹڈ بلاب کو سرایت کیا جو، ایک بار ڈکرپٹ اور عمل میں آنے کے بعد، MgBot کو انسٹال کرتا ہے۔ |
آخر میں، default_ico.exe ڈاؤنلوڈر یا ڈراپر یا تو سرور سے پے لوڈ حاصل کریں گے یا اسے چھوڑ دیں گے، پھر اسے شکار مشین پر چلائیں گے، یا تو نائٹ ڈور انسٹال کریں گے (دیکھیں رات کا دروازہ سیکشن) یا MgBot (ہمارا دیکھیں پچھلے تجزیہ).
دو بقیہ ٹروجنائزڈ پیکجز بہت ملتے جلتے ہیں، ایک ہی نقصان دہ ڈاؤنلوڈر DLL کو تعینات کرتے ہیں جو جائز ایگزیکیوٹیبل کے ذریعے سائیڈ لوڈ کیا جاتا ہے۔
macOS پیکیجز
آفیشل ایپ اسٹور سے ڈاؤن لوڈ کردہ زپ آرکائیو میں ایک ترمیم شدہ انسٹالر پیکج شامل ہے (.pkg فائل)، جہاں ایک Mach-O قابل عمل اور ایک پوسٹ انسٹالیشن اسکرپٹ شامل کیا گیا تھا۔ انسٹالیشن کے بعد کا اسکرپٹ Mach-O فائل کو کاپی کرتا ہے۔ $HOME/Library/containers/CalendarFocusEXT/ اور میں لانچ ایجنٹ کو انسٹال کرنے کے لیے آگے بڑھتا ہے۔ $HOME/Library/LaunchAgents/com.Terminal.us.plist استقامت کے لیے شکل 14 اسکرپٹ کو دکھاتا ہے جو بدنیتی پر مبنی لانچ ایجنٹ کو انسٹال اور لانچ کرنے کے لیے ذمہ دار ہے۔
بدنیتی پر مبنی Mach-O، Monlam-bodyig_Keyboard_2017 شکل 13 میں ایک ڈویلپر سرٹیفکیٹ کا استعمال کرتے ہوئے دستخط کیے گئے ہیں، لیکن نوٹریائز نہیں کیے گئے ہیں (نہیں a سرٹیفکیٹ کی قسم عام طور پر تقسیم کے لیے استعمال کیا جاتا ہے) نام اور ٹیم کے شناخت کنندہ کے ساتھ یا نی یانگ (2289F6V4BN)۔ دستخط میں ٹائم اسٹیمپ سے پتہ چلتا ہے کہ اس پر 7 جنوری کو دستخط کیے گئے تھے۔th, 2024. یہ تاریخ زپ آرکائیو کے میٹا ڈیٹا میں بدنیتی پر مبنی فائلوں کے تبدیل شدہ ٹائم اسٹیمپ میں بھی استعمال ہوتی ہے۔ سرٹیفکیٹ صرف تین دن پہلے جاری کیا گیا تھا۔ مکمل سرٹیفکیٹ میں دستیاب ہے۔ آئی او سیز سیکشن ہماری ٹیم 25 جنوری کو ایپل تک پہنچی۔th اور سرٹیفکیٹ اسی دن منسوخ کر دیا گیا۔
یہ پہلے مرحلے کا میلویئر ایک JSON فائل کو ڈاؤن لوڈ کرتا ہے جس میں اگلے مرحلے کا URL ہوتا ہے۔ فن تعمیر (ARM یا Intel)، macOS ورژن، اور ہارڈویئر UUID (ہر میک کے لیے منفرد شناخت کنندہ) کی اطلاع User-Agent HTTP درخواست کے ہیڈر میں دی گئی ہے۔ ونڈوز ورژن جیسا یو آر ایل اس کنفیگریشن کو بازیافت کرنے کے لیے استعمال کیا جاتا ہے: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. تاہم، macOS ورژن JSON آبجیکٹ کی mac کلید کے نیچے موجود ڈیٹا کو دیکھے گا۔ جیت کلیدی
میک کلید کے نیچے آبجیکٹ میں درج ذیل چیزیں ہونی چاہئیں۔
- یو آر ایل: اگلے مرحلے کا URL۔
- md5: پے لوڈ کا MD5 مجموعہ۔
- vernow: ہارڈ ویئر UUIDs کی فہرست۔ اگر موجود ہو تو پے لوڈ صرف ان Macs پر انسٹال کیا جائے گا جن میں درج کردہ ہارڈویئر UUIDs میں سے ایک ہو۔ اگر فہرست خالی یا غائب ہے تو یہ چیک چھوڑ دیا جاتا ہے۔
- ورژن: ایک عددی قدر جو پہلے ڈاؤن لوڈ کیے گئے دوسرے مرحلے کے "ورژن" سے زیادہ ہونی چاہیے۔ پے لوڈ دوسری صورت میں ڈاؤن لوڈ نہیں ہوتا ہے۔ فی الحال چل رہے ورژن کی قیمت ایپلی کیشن میں رکھی گئی ہے۔ صارف کی ڈیفالٹس.
میلویئر کی طرف سے curl کا استعمال کرتے ہوئے مخصوص URL سے فائل ڈاؤن لوڈ کرنے کے بعد، فائل کو MD5 کا استعمال کرتے ہوئے ہیش کیا جاتا ہے اور اس کا موازنہ ہیکساڈیسیمل ڈائجسٹ کے نیچے md5 چابی. اگر یہ میل کھاتا ہے، تو اس کی توسیع شدہ صفات کو ہٹا دیا جاتا ہے (com.apple.quarantine وصف کو صاف کرنے کے لیے)، فائل کو منتقل کر دیا جاتا ہے۔ $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower، اور استعمال کرتے ہوئے لانچ کیا گیا ہے۔ execvp دلیل چلانے کے ساتھ.
ونڈوز ورژن کے برعکس، ہمیں میک او ایس ویرینٹ کے بعد کے مراحل میں سے کوئی بھی نہیں مل سکا۔ ایک JSON کنفیگریشن میں ایک MD5 ہیش (3C5739C25A9B85E82E0969EE94062F40)، لیکن URL کا فیلڈ خالی تھا۔
رات کا دروازہ
بیک ڈور جسے ہم نے نائٹ ڈور کا نام دیا ہے (اور PDB پاتھز کے مطابق میلویئر مصنفین نے NetMM کا نام دیا ہے) Evasive Panda کے ٹول سیٹ میں دیر سے اضافہ ہے۔ نائٹ ڈور کے بارے میں ہماری ابتدائی معلومات 2020 میں واپس آتی ہے، جب ایوایسیو پانڈا نے اسے ویتنام میں ایک ہائی پروفائل ٹارگٹ کی مشین پر تعینات کیا۔ بیک ڈور اپنے C&C سرور کے ساتھ UDP یا Google Drive API کے ذریعے بات چیت کرتا ہے۔ اس مہم کے نائٹ ڈور امپلانٹ نے بعد کا استعمال کیا۔ یہ گوگل API کو خفیہ کرتا ہے۔ OAuth 2.0 ڈیٹا سیکشن میں ٹوکن اور حملہ آور کی گوگل ڈرائیو تک رسائی کے لیے ٹوکن کا استعمال کرتا ہے۔ ہم نے درخواست کی ہے کہ اس ٹوکن سے وابستہ گوگل اکاؤنٹ کو ہٹا دیا جائے۔
سب سے پہلے، نائٹ ڈور گوگل ڈرائیو میں ایک فولڈر بناتا ہے جس میں متاثرہ کا میک ایڈریس ہوتا ہے، جو شکار کی شناخت کے طور پر بھی کام کرتا ہے۔ یہ فولڈر امپلانٹ اور C&C سرور کے درمیان تمام پیغامات پر مشتمل ہوگا۔ نائٹ ڈور اور سی اینڈ سی سرور کے درمیان ہر پیغام کو ایک فائل کے طور پر تشکیل دیا گیا ہے اور اسے فائل کے نام اور فائل ڈیٹا میں الگ کیا گیا ہے، جیسا کہ شکل 15 میں دکھایا گیا ہے۔
ہر فائل کا نام آٹھ اہم صفات پر مشتمل ہے، جو ذیل کی مثال میں دکھایا گیا ہے۔
: مثال کے طور پر
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: جادوئی قدر۔
- 0C64C2BAEF534C8E9058797BCD783DE5: کا ہیڈر pbuf ڈیٹا ڈھانچہ.
- 168: پیغام آبجیکٹ کا سائز یا بائٹس میں فائل کا سائز۔
- 0: فائل کا نام، جو ہمیشہ 0 (null) کا ڈیفالٹ ہوتا ہے۔
- 1: کمانڈ کی قسم، نمونے کے لحاظ سے 1 یا 0 پر ہارڈ کوڈ۔
- 4116: کمانڈ ID
- 0: سروس کا معیار (QoS)۔
- 00-00-00-00-00-00: کا مطلب منزل کا میک ایڈریس ہے لیکن ہمیشہ ڈیفالٹ ہوتا ہے۔ 00-00-00-00-00-00.
ہر فائل کے اندر موجود ڈیٹا بیک ڈور کے لیے کنٹرولر کی کمانڈ اور اس پر عمل کرنے کے لیے ضروری پیرامیٹرز کی نمائندگی کرتا ہے۔ شکل 16 فائل ڈیٹا کے بطور محفوظ کردہ C&C سرور پیغام کی ایک مثال دکھاتا ہے۔
ریورس انجینئرنگ نائٹ ڈور کے ذریعے، ہم فائل میں پیش کردہ اہم فیلڈز کے معنی کو سمجھنے کے قابل ہو گئے، جیسا کہ شکل 17 میں دکھایا گیا ہے۔
ہم نے پایا کہ اس مہم میں استعمال ہونے والے نائٹ ڈور ورژن میں بہت سی معنی خیز تبدیلیاں شامل کی گئی ہیں، ان میں سے ایک کمانڈ آئی ڈی کی تنظیم ہے۔ پچھلے ورژنوں میں، ہر کمانڈ ID ایک ایک کرکے ہینڈلر فنکشن کو تفویض کیا گیا تھا، جیسا کہ شکل 18 میں دکھایا گیا ہے۔ نمبر دینے کے انتخاب، جیسے کہ سے 0x2001 کرنے کے لئے 0x2006، سے 0x2201 کرنے کے لئے 0x2203، سے 0x4001 کرنے کے لئے 0x4003، اور سے 0x7001 کرنے کے لئے 0x7005، تجویز کیا کہ کمانڈز کو اسی طرح کی خصوصیات والے گروپوں میں تقسیم کیا گیا تھا۔
تاہم، اس ورژن میں، نائٹ ڈور تمام کمانڈ آئی ڈیز کو ان کے متعلقہ ہینڈلرز کے ساتھ ترتیب دینے کے لیے برانچ ٹیبل کا استعمال کرتا ہے۔ کمانڈ آئی ڈیز مسلسل ہیں اور برانچ ٹیبل میں ان کے متعلقہ ہینڈلرز کے لیے اشاریہ کے طور پر کام کرتی ہیں، جیسا کہ شکل 19 میں دکھایا گیا ہے۔
جدول 3 C&C سرور کمانڈز اور ان کے افعال کا پیش نظارہ ہے۔ اس جدول میں نئے کمانڈ آئی ڈیز کے ساتھ ساتھ پرانے ورژنز کے مساوی آئی ڈی بھی شامل ہیں۔
ٹیبل 3. اس مہم میں استعمال ہونے والے نائٹ ڈور کی مختلف قسموں کے ذریعے تعاون یافتہ کمانڈز۔
کمانڈ ID |
پچھلی کمانڈ ID |
Description |
|
0x1001 |
0x2001 |
سسٹم پروفائل کی بنیادی معلومات جمع کریں جیسے: - OS ورژن - IPv4 نیٹ ورک اڈاپٹر، MAC ایڈریس، اور IP ایڈریس - سی پی یو کا نام - کمپیوٹر کا نام - صارف نام - ڈیوائس ڈرائیور کے نام - سے تمام صارف نام C:صارفین* - مقامی وقت - عوامی IP ایڈریس کا استعمال کرتے ہوئے ifconfig.me or ipinfo.io ویب سروس |
|
0x1007 |
0x2002 |
ڈسک ڈرائیوز کے بارے میں معلومات جمع کریں جیسے: - ڈرائیو کا نام - خالی جگہ اور کل جگہ - فائل سسٹم کی قسم: NTFS، FAT32، وغیرہ۔ |
|
0x1004 |
0x2003 |
ونڈوز رجسٹری کیز کے تحت تمام انسٹال کردہ ایپلی کیشنز کے بارے میں معلومات جمع کریں: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
چلانے کے عمل کے بارے میں معلومات جمع کریں، جیسے: - عمل کا نام - دھاگوں کی تعداد - صارف نام - ڈسک پر فائل کا مقام - ڈسک پر فائل کی تفصیل |
|
0x1006 |
0x4001 |
ایک ریورس شیل بنائیں اور گمنام پائپوں کے ذریعے ان پٹ اور آؤٹ پٹ کا نظم کریں۔ |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N / A |
خود ان انسٹال کریں۔ |
|
0x100C۔ |
0x6001 |
فائل منتقل کریں۔ راستہ C&C سرور فراہم کرتا ہے۔ |
|
0x100B |
0x6002 |
فائل کو ڈیلیٹ کریں. راستہ C&C سرور فراہم کرتا ہے۔ |
|
0x1016 |
0x6101 |
فائل کی خصوصیات حاصل کریں۔ راستہ C&C سرور فراہم کرتا ہے۔ |
نتیجہ
ہم نے چین سے منسلک APT Evasive Panda کی ایک مہم کا تجزیہ کیا ہے جس نے کئی ممالک اور خطوں میں تبتیوں کو نشانہ بنایا تھا۔ ہمیں یقین ہے کہ حملہ آوروں نے اس وقت، 2024 کے جنوری اور فروری میں آنے والے مونلم فیسٹیول کے موقع پر استعمال کرنے والوں سے سمجھوتہ کرنے کے لیے فائدہ اٹھایا جب وہ فیسٹیول کی ویب سائٹ سے واٹرنگ ہول پر گئے تھے۔ اس کے علاوہ، حملہ آوروں نے تبتی زبان میں ترجمہ کرنے والی ایپس کے سافٹ ویئر ڈویلپر کی سپلائی چین سے سمجھوتہ کیا۔
حملہ آوروں نے کئی ڈاؤن لوڈرز، ڈراپرز، اور بیک ڈورز کو میدان میں اتارا، بشمول MgBot - جو خصوصی طور پر Evasive Panda کے ذریعہ استعمال کیا جاتا ہے - اور Nightdoor: گروپ کی ٹول کٹ میں تازہ ترین اہم اضافہ اور جسے مشرقی ایشیا میں متعدد نیٹ ورکس کو نشانہ بنانے کے لیے استعمال کیا گیا ہے۔
سمجھوتہ کے اشارے (IoCs) کی ایک جامع فہرست اور نمونے ہمارے GitHub ذخیرہ.
WeLiveSecurity پر شائع ہونے والی ہماری تحقیق کے بارے میں کسی بھی استفسار کے لیے، براہ کرم ہم سے رابطہ کریں۔ ਧਮਕੀینٹیل@eset.com.
ESET ریسرچ نجی APT انٹیلی جنس رپورٹس اور ڈیٹا فیڈز پیش کرتا ہے۔ اس سروس کے بارے میں کسی بھی استفسار کے لیے، ملاحظہ کریں۔ ای ایس ای ٹی تھریٹ انٹیلی جنس صفحہ.
آئی او سیز
فائلوں
ان شاء 1 |
فائل کا نام |
کھوج |
Description |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
آفیشل انسٹالر پیکج میں ڈراپر جزو شامل کیا گیا۔ |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agent.AGFN |
انٹرمیڈیٹ ڈاؤنلوڈر۔ |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agent.DLY |
رسٹ میں پروگرام شدہ انٹرمیڈیٹ ڈاؤنلوڈر۔ |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
نائٹ ڈور ڈاؤنلوڈر۔ |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
نائٹ ڈور ڈراپر۔ |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
انٹرمیڈیٹ لوڈر۔ |
5273B45C5EABE64EDBD0 |
Certificate.pkg |
OSX/Agent.DJ |
MacOS ڈراپر جزو۔ |
5E5274C7D931C1165AA5 |
Certificate.exe |
Win32/Agent.AGES |
سمجھوتہ شدہ ویب سائٹ سے ڈراپر جزو۔ |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
نائٹ ڈور ڈراپر جزو۔ |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
نائٹ ڈور ڈاؤنلوڈر جزو کے لیے انٹرمیڈیٹ لوڈر۔ |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
نائٹ ڈور کے لیے انٹرمیڈیٹ لوڈر۔ |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
ٹروجنائزڈ انسٹالر۔ |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
نقصان دہ JavaScript سمجھوتہ شدہ ویب سائٹ میں شامل کر دیا گیا۔ |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
ٹروجنائزڈ انسٹالر۔ |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
ٹروجنائزڈ انسٹالر پیکیج۔ |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
ٹروجنائزڈ انسٹالر پیکیج۔ |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
MacOS ٹروجنائزڈ انسٹالر پیکج۔ |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
MacOS ٹروجنائزڈ انسٹالر پیکج۔ |
C0575AF04850EB1911B0 |
سیکورٹی~.x64 |
OSX/Agent.DJ |
MacOS ڈاؤنلوڈر۔ |
7C3FD8EE5D660BBF43E4 |
سیکورٹی~.arm64 |
OSX/Agent.DJ |
MacOS ڈاؤنلوڈر۔ |
FA78E89AB95A0B49BC06 |
سیکورٹی. چربی |
OSX/Agent.DJ |
MacOS ڈاؤنلوڈر جزو۔ |
5748E11C87AEAB3C19D1 |
Monlam_Grand_Dictionary برآمد فائل |
OSX/Agent.DJ |
macOS ٹروجنائزڈ انسٹالر پیکج سے بدنیتی پر مبنی جزو۔ |
سرٹیفکیٹس
سیریل نمبر |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
انگوٹھا نشان |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
موضوع CN |
ایپل ڈویلپمنٹ: یا نی یانگ (2289F6V4BN) |
موضوع O |
یا نی یانگ |
موضوع ایل |
N / A |
موضوع ایس |
N / A |
موضوع سی |
US |
سے درست |
2024-01-04 05:26:45 |
اس تاریخ تک کارآمد ہ |
2025-01-03 05:26:44 |
سیریل نمبر |
6014B56E4FFF35DC4C948452B77C9AA9 |
انگوٹھا نشان |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
موضوع CN |
کے پی موبائل |
موضوع O |
کے پی موبائل |
موضوع ایل |
N / A |
موضوع ایس |
N / A |
موضوع سی |
KR |
سے درست |
2021-10-25 00:00:00 |
اس تاریخ تک کارآمد ہ |
2022-10-25 23:59:59 |
IP |
ڈومین |
ہوسٹنگ فراہم کنندہ |
پہلی بار دیکھا |
تفصیلات دیکھیں |
N / A |
تبت پوسٹ[.] نیٹ |
N / A |
2023-11-29 |
سمجھوتہ شدہ ویب سائٹ۔ |
N / A |
www.monlamit[.]com |
N / A |
2024-01-24 |
سمجھوتہ شدہ ویب سائٹ۔ |
N / A |
update.devicebug[.]com |
N / A |
2024-01-14 |
ڈی سی. |
188.208.141[.]204 |
N / A |
امول ہنگاڑے |
2024-02-01 |
نائٹ ڈور ڈراپر جزو کے لیے سرور ڈاؤن لوڈ کریں۔ |
MITER ATT&CK تکنیک
یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 14 MITER ATT&CK فریم ورک کا.
حربہ |
ID |
نام |
Description |
وسائل کی ترقی |
انفراسٹرکچر حاصل کریں: سرور |
Evasive Panda نے Nightdoor، MgBot، اور macOS ڈاؤنلوڈر جزو کے C&C انفراسٹرکچر کے لیے سرور حاصل کیے ہیں۔ |
|
انفراسٹرکچر حاصل کریں: ویب سروسز |
Evasive Panda نے Nightdoor کے C&C انفراسٹرکچر کے لیے Google Drive کی ویب سروس کا استعمال کیا۔ |
||
کمپرومائز انفراسٹرکچر: سرور |
ایویسیو پانڈا آپریٹرز نے کئی سرورز کو واٹرنگ ہولز کے طور پر استعمال کرنے، سپلائی چین اٹیک کے لیے، اور پے لوڈز کی میزبانی کرنے اور C&C سرورز کے طور پر استعمال کرنے کے لیے سمجھوتہ کیا۔ |
||
اکاؤنٹس قائم کریں: کلاؤڈ اکاؤنٹس |
Evasive Panda نے Google Drive اکاؤنٹ بنایا اور اسے C&C انفراسٹرکچر کے طور پر استعمال کیا۔ |
||
صلاحیتوں کو تیار کریں: میلویئر |
Evasive Panda نے اپنی مرضی کے مطابق امپلانٹس جیسے MgBot، Nightdoor، اور macOS ڈاؤنلوڈر جزو کو تعینات کیا۔ |
||
T1588.003 |
صلاحیتیں حاصل کریں: کوڈ پر دستخط کرنے والے سرٹیفکیٹ |
Evasive Panda نے کوڈ پر دستخط کرنے والے سرٹیفکیٹ حاصل کیے۔ |
|
اسٹیج کی صلاحیتیں: ہدف کے ذریعے ڈرائیو |
Evasive Panda آپریٹرز نے JavaScript کوڈ کا ایک ٹکڑا شامل کرنے کے لیے ایک ہائی پروفائل ویب سائٹ میں ترمیم کی ہے جو میلویئر کو ڈاؤن لوڈ کرنے کے لیے جعلی اطلاع فراہم کرتا ہے۔ |
||
ابتدائی رسائی |
ڈرائیو از کمپرومائز |
سمجھوتہ کرنے والی ویب سائٹس کے زائرین کو میلویئر ڈاؤن لوڈ کرنے پر آمادہ کرنے والا ایک جعلی غلطی کا پیغام موصول ہو سکتا ہے۔ |
|
سپلائی چین کمپرومائز: کمپرومائز سافٹ ویئر سپلائی چین |
Evasive Panda نے ایک سافٹ ویئر کمپنی سے آفیشل انسٹالر پیکجوں کو ٹروجنائز کیا۔ |
||
پھانسی |
آبائی API |
نائٹ ڈور، ایم جی بوٹ، اور ان کے درمیانی ڈاؤنلوڈر اجزاء پروسیس بنانے کے لیے Windows APIs کا استعمال کرتے ہیں۔ |
|
شیڈول ٹاسک/نوکری: شیڈول ٹاسک |
نائٹ ڈور اور ایم جی بوٹ کے لوڈر اجزاء طے شدہ کام بنا سکتے ہیں۔ |
||
مسلسل |
سسٹم کے عمل کو بنائیں یا اس میں ترمیم کریں: ونڈوز سروس |
نائٹ ڈور اور ایم جی بوٹ کے لوڈر اجزاء ونڈوز سروسز بنا سکتے ہیں۔ |
|
ہائی جیک ایگزیکیوشن فلو: ڈی ایل ایل سائیڈ لوڈنگ |
نائٹ ڈور اور ایم جی بوٹ کے ڈراپر پرزے ایک جائز ایگزیکیوٹیبل فائل تعینات کرتے ہیں جو نقصان دہ لوڈر کو سائیڈ لوڈ کرتی ہے۔ |
||
دفاعی چوری |
فائلوں یا معلومات کو ڈیوبفسکیٹ/ڈی کوڈ کریں۔ |
نائٹ ڈور امپلانٹ کے DLL اجزاء میموری میں ڈکرپٹ ہوتے ہیں۔ |
|
دفاع کو خراب کریں: سسٹم فائر وال کو غیر فعال یا اس میں ترمیم کریں۔ |
نائٹ ڈور نے اپنے HTTP پراکسی سرور کی فعالیت کے لیے ان باؤنڈ اور آؤٹ باؤنڈ کمیونیکیشن کی اجازت دینے کے لیے ونڈوز فائر وال کے دو اصول شامل کیے ہیں۔ |
||
اشارے کو ہٹانا: فائل کو حذف کرنا |
نائٹ ڈور اور ایم جی بوٹ فائلوں کو ڈیلیٹ کر سکتے ہیں۔ |
||
اشارے کو ہٹانا: واضح استقامت |
نائٹ ڈور اور ایم جی بوٹ خود ان انسٹال کر سکتے ہیں۔ |
||
Masquerading: بہانا کام یا خدمت |
نائٹ ڈور کے لوڈر نے اپنے کام کو netsvcs کے طور پر بھیس بدلا۔ |
||
ماسکریڈنگ: جائز نام یا مقام سے ملائیں۔ |
نائٹ ڈور کا انسٹالر اپنے اجزاء کو نظام کی جائز ڈائریکٹریوں میں تعینات کرتا ہے۔ |
||
مبہم فائلیں یا معلومات: ایمبیڈڈ پے لوڈز |
نائٹ ڈور کے ڈراپر جزو میں سرایت شدہ بدنیتی پر مبنی فائلیں ہوتی ہیں جو ڈسک پر لگائی جاتی ہیں۔ |
||
پروسیس انجیکشن: ڈائنامک لنک لائبریری انجیکشن |
نائٹ ڈور اور ایم جی بوٹ کے لوڈرز کے اجزاء خود کو svchost.exe میں انجیکشن دیتے ہیں۔ |
||
عکاس کوڈ لوڈ ہو رہا ہے۔ |
نائٹ ڈور اور ایم جی بوٹ کے لوڈر اجزاء خود کو svchost.exe میں داخل کرتے ہیں، جہاں سے وہ نائٹ ڈور یا ایم جی بوٹ بیک ڈور لوڈ کرتے ہیں۔ |
||
ڈسکوری |
اکاؤنٹ کی دریافت: مقامی اکاؤنٹ |
Nightdoor اور MgBot سمجھوتہ کرنے والے سسٹم سے صارف کے اکاؤنٹ کی معلومات اکٹھا کرتے ہیں۔ |
|
فائل اور ڈائرکٹری کی دریافت |
نائٹ ڈور اور ایم جی بوٹ ڈائریکٹریز اور فائلوں سے معلومات اکٹھا کر سکتے ہیں۔ |
||
عمل دریافت |
نائٹ ڈور اور ایم جی بوٹ عمل کے بارے میں معلومات اکٹھا کرتے ہیں۔ |
||
استفسار رجسٹری |
نائٹ ڈور اور ایم جی بوٹ انسٹال کردہ سافٹ ویئر کے بارے میں معلومات حاصل کرنے کے لیے ونڈوز رجسٹری سے استفسار کرتے ہیں۔ |
||
سافٹ ویئر ڈسکوری |
Nightdoor اور MgBot انسٹال کردہ سافٹ ویئر اور خدمات کے بارے میں معلومات اکٹھا کرتے ہیں۔ |
||
سسٹم کے مالک/صارف کی دریافت |
Nightdoor اور MgBot سمجھوتہ کرنے والے سسٹم سے صارف کے اکاؤنٹ کی معلومات اکٹھا کرتے ہیں۔ |
||
سسٹم انفارمیشن ڈسکوری |
نائٹ ڈور اور ایم جی بوٹ کمپرومائزڈ سسٹم کے بارے میں معلومات کی ایک وسیع رینج جمع کرتے ہیں۔ |
||
سسٹم نیٹ ورک کنکشنز کی دریافت |
Nightdoor اور MgBot سمجھوتہ شدہ مشین پر تمام فعال TCP اور UDP کنکشنز سے ڈیٹا اکٹھا کر سکتے ہیں۔ |
||
جمعکاری |
جمع کردہ ڈیٹا کو محفوظ کریں۔ |
Nightdoor اور MgBot اسٹور نے انکرپٹڈ فائلوں میں ڈیٹا اکٹھا کیا۔ |
|
خودکار مجموعہ |
نائٹ ڈور اور ایم جی بوٹ خودکار طور پر سمجھوتہ شدہ مشین کے بارے میں سسٹم اور نیٹ ورک کی معلومات اکٹھا کرتے ہیں۔ |
||
لوکل سسٹم سے ڈیٹا |
نائٹ ڈور اور ایم جی بوٹ آپریٹنگ سسٹم اور صارف کے ڈیٹا کے بارے میں معلومات اکٹھا کرتے ہیں۔ |
||
ڈیٹا سٹیجڈ: لوکل ڈیٹا سٹیجنگ |
نائٹ ڈور ڈسک پر موجود فائلوں کو نکالنے کے لیے ڈیٹا کا مرحلہ کرتا ہے۔ |
||
کمانڈ اور کنٹرول |
ایپلیکیشن لیئر پروٹوکول: ویب پروٹوکول |
نائٹ ڈور HTTP کا استعمال کرتے ہوئے C&C سرور کے ساتھ بات چیت کرتا ہے۔ |
|
نان ایپلیکیشن لیئر پروٹوکول |
نائٹ ڈور UDP کا استعمال کرتے ہوئے C&C سرور سے رابطہ کرتا ہے۔ MgBot TCP کا استعمال کرتے ہوئے C&C سرور کے ساتھ بات چیت کرتا ہے۔ |
||
غیر معیاری پورٹ |
MgBot TCP پورٹ 21010 استعمال کرتا ہے۔ |
||
پروٹوکول ٹنلنگ |
نائٹ ڈور ایک HTTP پراکسی سرور کے طور پر کام کر سکتا ہے، TCP مواصلت کو سرنگ کرتا ہے۔ |
||
ویب سروس |
نائٹ ڈور C&C کمیونیکیشن کے لیے Google Drive کا استعمال کرتا ہے۔ |
||
جلاوطنی |
خودکار اخراج |
نائٹ ڈور اور ایم جی بوٹ خود بخود جمع کردہ ڈیٹا کو نکال دیتے ہیں۔ |
|
ویب سروس کے ذریعے ایکسفلٹریشن: کلاؤڈ سٹوریج میں ایکسفلٹریشن |
نائٹ ڈور اپنی فائلوں کو گوگل ڈرائیو پر نکال سکتا ہے۔ |
معاہدہ
ھدف شدہ IP ایڈریس کی حدود درج ذیل جدول میں فراہم کی گئی ہیں۔
سی آئی ڈی آر۔ |
آئی ایس پی |
شہر |
ملک |
124.171.71.0/24 |
iiNet |
سڈنی |
آسٹریلیا |
125.209.157.0/24 |
iiNet |
سڈنی |
آسٹریلیا |
1.145.30.0/24 |
Telstra |
سڈنی |
آسٹریلیا |
193.119.100.0/24 |
ٹی پی جی ٹیلی کام |
سڈنی |
آسٹریلیا |
14.202.220.0/24 |
ٹی پی جی ٹیلی کام |
سڈنی |
آسٹریلیا |
123.243.114.0/24 |
ٹی پی جی ٹیلی کام |
سڈنی |
آسٹریلیا |
45.113.1.0/24 |
HK 92server ٹیکنالوجی |
ہانگ کانگ |
ہانگ کانگ |
172.70.191.0/24 |
CloudFlare کے |
احمد آباد |
بھارت |
49.36.224.0/24 |
ریلائنس جیو انفوکوم |
ایرولی |
بھارت |
106.196.24.0/24 |
بھاری ایٹیل |
بنگلور |
بھارت |
106.196.25.0/24 |
بھاری ایٹیل |
بنگلور |
بھارت |
14.98.12.0/24 |
ٹاٹا ٹیلی سرویسز |
بنگلور |
بھارت |
172.70.237.0/24 |
CloudFlare کے |
چاندگڑھ |
بھارت |
117.207.51.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
ڈلہوزی |
بھارت |
103.214.118.0/24 |
ایئر نیٹ بورڈ بینڈ |
دلی |
بھارت |
45.120.162.0/24 |
اینی بورڈ بینڈ |
دلی |
بھارت |
103.198.173.0/24 |
اینونیٹ |
دلی |
بھارت |
103.248.94.0/24 |
اینونیٹ |
دلی |
بھارت |
103.198.174.0/24 |
اینونیٹ |
دلی |
بھارت |
43.247.41.0/24 |
اینونیٹ |
دلی |
بھارت |
122.162.147.0/24 |
بھاری ایٹیل |
دلی |
بھارت |
103.212.145.0/24 |
ایکسائٹل |
دلی |
بھارت |
45.248.28.0/24 |
اومکار الیکٹرانکس |
دلی |
بھارت |
49.36.185.0/24 |
ریلائنس جیو انفوکوم |
دلی |
بھارت |
59.89.176.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
دھرمشالہ |
بھارت |
117.207.57.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
دھرمشالہ |
بھارت |
103.210.33.0/24 |
وایودوت |
دھرمشالہ |
بھارت |
182.64.251.0/24 |
بھاری ایٹیل |
گندربل |
بھارت |
117.255.45.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
ہلیال |
بھارت |
117.239.1.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
ہمیرپور |
بھارت |
59.89.161.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
جے پور |
بھارت |
27.60.20.0/24 |
بھاری ایٹیل |
لکھنؤ |
بھارت |
223.189.252.0/24 |
بھاری ایٹیل |
لکھنؤ |
بھارت |
223.188.237.0/24 |
بھاری ایٹیل |
میروت |
بھارت |
162.158.235.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
162.158.48.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
162.158.191.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
162.158.227.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
172.69.87.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
172.70.219.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
172.71.198.0/24 |
CloudFlare کے |
ممبئی |
بھارت |
172.68.39.0/24 |
CloudFlare کے |
نئی دہلی |
بھارت |
59.89.177.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
پالم پور |
بھارت |
103.195.253.0/24 |
پروٹو ایکٹ ڈیجیٹل نیٹ ورک |
رانچی |
بھارت |
169.149.224.0/24 |
ریلائنس جیو انفوکوم |
شملہ |
بھارت |
169.149.226.0/24 |
ریلائنس جیو انفوکوم |
شملہ |
بھارت |
169.149.227.0/24 |
ریلائنس جیو انفوکوم |
شملہ |
بھارت |
169.149.229.0/24 |
ریلائنس جیو انفوکوم |
شملہ |
بھارت |
169.149.231.0/24 |
ریلائنس جیو انفوکوم |
شملہ |
بھارت |
117.255.44.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
سرسی |
بھارت |
122.161.241.0/24 |
بھاری ایٹیل |
سرینگر |
بھارت |
122.161.243.0/24 |
بھاری ایٹیل |
سرینگر |
بھارت |
122.161.240.0/24 |
بھاری ایٹیل |
سرینگر |
بھارت |
117.207.48.0/24 |
بھارتی سانچار نیشنل لمیٹڈ |
راستہ |
بھارت |
175.181.134.0/24 |
نیو سنچری انفارمیشن کام |
Hschu |
تائیوان |
36.238.185.0/24 |
چنگوا ٹیلی کام |
Kaohsiung |
تائیوان |
36.237.104.0/24 |
چنگوا ٹیلی کام |
تینان |
تائیوان |
36.237.128.0/24 |
چنگوا ٹیلی کام |
تینان |
تائیوان |
36.237.189.0/24 |
چنگوا ٹیلی کام |
تینان |
تائیوان |
42.78.14.0/24 |
چنگوا ٹیلی کام |
تینان |
تائیوان |
61.216.48.0/24 |
چنگوا ٹیلی کام |
تینان |
تائیوان |
36.230.119.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
114.43.219.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
114.44.214.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
114.45.2.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
118.163.73.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
118.167.21.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
220.129.70.0/24 |
چنگوا ٹیلی کام |
تائپی |
تائیوان |
106.64.121.0/24 |
فار ایسٹون ٹیلی کمیونیکیشنز |
تاویووان شہر |
تائیوان |
1.169.65.0/24 |
چنگوا ٹیلی کام |
زیزی |
تائیوان |
122.100.113.0/24 |
تائیوان موبائل۔ |
یوآن |
تائیوان |
185.93.229.0/24 |
سوکوری سیکورٹی |
Ashburn |
ریاست ہائے متحدہ امریکہ |
128.61.64.0/24 |
ٹیکنالوجی کے جارجیا انسٹیٹیوٹ |
اٹلانٹا |
ریاست ہائے متحدہ امریکہ |
216.66.111.0/24 |
ورمونٹ ٹیلی فون |
والنگفورڈ |
ریاست ہائے متحدہ امریکہ |
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- : ہے
- : ہے
- : نہیں
- :کہاں
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15٪
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26٪
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- اکاؤنٹس
- حاصل
- ایکٹ
- اعمال
- فعال
- کام کرتا ہے
- شامل کریں
- شامل کیا
- اس کے علاوہ
- ایڈیشنل
- پتہ
- پتے
- جوڑتا ہے
- پھر
- کے خلاف
- ایجنٹ
- مقصد
- یلگورتم
- سیدھ کریں
- تمام
- کی اجازت
- کی اجازت دیتا ہے
- پہلے ہی
- بھی
- ہمیشہ
- کے درمیان
- an
- تجزیہ
- تجزیہ کیا
- اور
- سالانہ
- سالانہ
- گمنام
- ایک اور
- جواب
- کوئی بھی
- اے پی آئی
- APIs
- اپلی کیشن
- اپلی کیشن سٹور
- ایپل
- درخواست
- ایپلی کیشنز
- کا اطلاق کریں
- ایپس
- اے پی ٹی
- فن تعمیر
- محفوظ شدہ دستاویزات
- کیا
- دلیل
- بازو
- لڑی
- AS
- ایشیا
- تفویض
- منسلک
- At
- حملہ
- حملے
- کرنے کی کوشش
- اوصاف
- آسٹریلیا
- مصنفین
- خود کار طریقے سے
- دستیاب
- واپس
- پچھلے دروازے
- گھر کے دروازے
- چارہ
- کی بنیاد پر
- بنیادی
- BE
- رہا
- اس سے پہلے
- کیا جا رہا ہے
- یقین ہے کہ
- تعلق رکھتا ہے
- نیچے
- BEST
- کے درمیان
- دونوں
- برانچ
- تعمیر
- لیکن
- بٹن
- by
- کہا جاتا ہے
- مہم
- کر سکتے ہیں
- صلاحیتوں
- فائدہ
- دارالحکومت
- لے جانے کے
- صدی
- سرٹیفکیٹ
- سرٹیفکیٹ
- چین
- چیلنج
- تبدیلیاں
- حروف
- چیک کریں
- جانچ پڑتال
- چیک
- چین
- چینی
- انتخاب
- شہر
- واضح
- بادل
- کوڈ
- جمع
- COM
- مجموعہ
- مواصلات
- کمپنی کے
- مقابلے میں
- مکمل
- جزو
- اجزاء
- وسیع
- سمجھوتہ
- سمجھوتہ کیا
- کمپیوٹنگ
- شمار
- کمپیوٹر
- شرط
- چل رہا ہے
- آپکا اعتماد
- ترتیب
- مربوط
- کنکشن
- کنکشن
- رابطہ کریں
- پر مشتمل ہے
- پر مشتمل ہے
- پر مشتمل ہے
- مواد
- جاری ہے
- مسلسل
- بات چیت
- درست
- اسی کے مطابق
- سکتا ہے
- ممالک
- ناکام، ناکامی
- تخلیق
- بنائی
- پیدا
- کرپٹپٹ
- اس وقت
- اپنی مرضی کے
- اعداد و شمار
- ڈیٹا کی ساخت
- تاریخ
- تواریخ
- دن
- دن
- پہلے سے طے شدہ
- غلطی
- دفاع
- نجات
- ترسیل
- demonstrated,en
- منحصر ہے
- دکھایا گیا ہے
- تعیناتی
- تعینات
- تعینات
- تعینات کرتا ہے
- بیان کیا
- تفصیل
- منزل
- تفصیل
- پتہ چلا
- ڈیولپر
- ترقی
- ڈویلپمنٹ کمپنی
- آلہ
- مختلف
- ڈائجسٹ
- ڈیجیٹل
- ڈائریکٹریز
- ڈائرکٹری
- دریافت
- دریافت
- تقسیم
- تقسیم
- do
- دستاویز
- کرتا
- نہیں
- نیچے
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈ کرنے
- ڈاؤن لوڈز
- ڈرائیو
- ڈرائیور
- ڈرائیوز
- چھوڑ
- گرا دیا
- قطرے
- ہر ایک
- جلد ہی
- کو کم
- وسطی
- تعلیم
- آٹھ
- یا تو
- ایمبیڈڈ
- خفیہ کردہ
- آخر
- انجنیئرنگ
- بڑھانے کے
- دلکش
- پوری
- اداروں
- مساوی
- خرابی
- ای ایس ای ٹی ریسرچ
- قائم کرو
- وغیرہ
- واقعات
- ہر کوئی
- بالکل
- مثال کے طور پر
- خاص طور سے
- عملدرآمد
- پھانسی
- پھانسی
- پھانسی
- exfiltration
- توقع
- برآمد
- توسیع
- مدت ملازمت میں توسیع
- ناکام رہتا ہے
- جعلی
- فروری
- تہوار
- میدان
- قطعات
- اعداد و شمار
- سمجھا
- فائل
- فائلوں
- فائنل
- مل
- فائروال
- پہلا
- درست کریں
- بہاؤ
- پیچھے پیچھے
- کے بعد
- مندرجہ ذیل ہے
- کے لئے
- فارمیٹ
- فارمولا
- ملا
- چار
- فریم ورک
- مفت
- سے
- مکمل
- تقریب
- افعال
- فعالیت
- افعال
- مزید
- جمع
- پیدا
- پیدا
- جارجیا
- حاصل
- ملتا
- حاصل کرنے
- جاتا ہے
- گوگل
- حکومت
- سرکاری ادارے
- گرافک
- گروپ
- گروپ کا
- ہینڈلنگ
- ہارڈ ویئر
- ہیش
- ہیشڈ
- ہیشنگ
- ہے
- Held
- ہائی
- ہائی پروفائل
- اعلی
- چھید
- سوراخ
- ہانگ
- ہانگ کانگ
- میزبان
- میزبانی کی
- ہوسٹنگ
- تاہم
- HTML
- HTTP
- HTTPS
- ID
- کی نشاندہی
- شناخت
- شناخت
- if
- وضاحت کرتا ہے
- تصویر
- اہم
- in
- دیگر میں
- شامل
- سمیت
- انڈیکس
- بھارت
- انڈیکیٹر
- افراد
- اثر و رسوخ
- معلومات
- انفراسٹرکچر
- انجکشن
- ان پٹ
- داخل کرنا
- انکوائری
- کے اندر
- انسٹال
- نصب
- انسٹال کرنا
- کے بجائے
- انسٹی ٹیوٹ
- ضم
- انٹیل
- انٹیلی جنس
- ارادہ
- دلچسپی
- اندرونی طور پر
- بین الاقوامی سطح پر
- بین الاقوامی سطح پر
- میں
- IP
- IP ایڈریس
- آئی پی پتے
- جاری
- IT
- میں
- جنوری
- جاپان
- جاوا سکرپٹ
- Jio کی
- jQuery کے
- JSON
- صرف
- رکھی
- کلیدی
- چابیاں
- جان
- علم
- جانا جاتا ہے
- کانگ
- زبان
- مرحوم
- بعد
- تازہ ترین
- شروع
- شروع
- شروع
- پرت
- کم سے کم
- جائز
- لیتا ہے
- لائبریری
- کی طرح
- لسٹ
- فہرست
- سنتا ہے
- فہرستیں
- زندگی
- لوڈ
- بارک
- لوڈ کر رہا ہے
- مقامی
- واقع ہے
- محل وقوع
- دیکھو
- میک
- مشین
- MacOS کے
- ماجک
- مین
- خشکی کا بڑا ٹکڑا
- اہم
- اکثریت
- ملائیشیا
- بدقسمتی سے
- میلویئر
- انتظام
- بہت سے
- بہانا
- میچ
- میچ
- کے ملاپ
- مئی..
- MD5
- me
- مطلب
- بامعنی
- مراد
- میکانزم
- یاد داشت
- پیغام
- پیغامات
- میٹا ڈیٹا
- طریقہ
- شاید
- لاپتہ
- نظر ثانی کی
- نظر ثانی کرنے
- ماڈیولر
- ماڈیولز
- زیادہ
- سب سے زیادہ
- منتقل ہوگیا
- ایک سے زیادہ
- ضروری
- میانمار
- نام
- نامزد
- ضروری
- ضرورت
- نیٹ ورک
- نیٹ ورک
- نئی
- خبر
- اگلے
- نائیجیریا
- نہیں
- براہ مہربانی نوٹ کریں
- نوٹیفیکیشن
- تعداد
- اعتراض
- حاصل
- حاصل کی
- حاصل کرنا
- حاصل
- مواقع
- of
- تجویز
- سرکاری
- سرکاری ویب سائٹ
- پرانا
- بڑی عمر کے
- on
- ایک بار
- ایک
- صرف
- پر
- کام
- آپریٹنگ سسٹم
- آپریشن
- آپریٹرز
- or
- تنظیم
- تنظیمیں
- OS
- دیگر
- دوسری صورت میں
- ہمارے
- باہر
- پیداوار
- پر
- خود
- پیکج
- پیکجوں کے
- صفحہ
- پیرامیٹرز
- گزشتہ
- راستہ
- راستے
- مسلسل
- فلپائن
- ٹکڑا
- ٹکڑے ٹکڑے
- مقام
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مہربانی کرکے
- پوائنٹس
- درپیش
- ممکنہ
- حال (-)
- پیش
- کی روک تھام
- پیش نظارہ
- پچھلا
- پہلے
- نجی
- مسئلہ
- آگے بڑھتا ہے
- عمل
- عمل
- پیدا کرتا ہے
- مصنوعات
- پروفائل
- پروگرام
- فروغ دیتا ہے
- پروٹوکول
- فراہم
- پراکسی
- عوامی
- عوامی طور پر
- شائع
- مقصد
- معیار
- الگ تھلگ
- استفسار میں
- رینج
- حدود
- پہنچ گئی
- وصول
- رجسٹری
- متعلقہ
- باقی
- ہٹانے
- ہٹا دیا گیا
- برآمد
- فراہم کی
- دیتا
- جواب
- اطلاع دی
- رپورٹیں
- کی نمائندگی کرتا ہے
- درخواست
- کی ضرورت ہے
- تحقیق
- محققین
- ذمہ دار
- ریورس
- قوانین
- رن
- چل رہا ہے
- مورچا
- نمک
- اسی
- نمونہ
- شیڈول کے مطابق
- اسکرپٹ
- دوسری
- ثانوی
- سیکشن
- محفوظ بنانے
- سیکورٹی
- دیکھنا
- دیکھا
- انتخاب
- بھیجتا ہے
- ستمبر
- خدمت کی
- سرور
- سرورز
- سروس
- سروسز
- کئی
- مشترکہ
- اشتراک
- شیل
- ہونا چاہئے
- دکھایا گیا
- شوز
- کی طرف
- دستخط
- دستخط
- دستخط کی
- اسی طرح
- بعد
- سائز
- So
- سافٹ ویئر کی
- سوفٹ ویئر کی نشوونما
- حل
- جنوب مشرقی
- خلا
- مخصوص
- خاص طور پر
- مخصوص
- اسٹیج
- مراحل
- ستارے
- بیان
- امریکہ
- ذخیرہ
- ذخیرہ
- حکمت عملی
- سلک
- ساخت
- منظم
- کامیابی
- اس طرح
- فراہمی
- فراہمی کا سلسلہ
- تائید
- مشکوک
- سوئچ کریں
- کے نظام
- ٹیبل
- تائیوان
- لیا
- لیتا ہے
- ہدف
- ھدف بنائے گئے
- ھدف بندی
- اہداف
- ٹاسک
- کاموں
- ٹیم
- ٹیک
- ٹیکنالوجی
- ٹرمنل
- خطے
- سے
- کہ
- ۔
- کے بارے میں معلومات
- فلپائن
- ان
- ان
- خود
- تو
- وہاں.
- لہذا
- وہ
- اس
- ان
- خطرہ
- تین
- کے ذریعے
- بھر میں
- وقت
- ٹائم لائن
- ٹائمسٹیمپ
- کرنے کے لئے
- مل کر
- ٹوکن
- کے آلے
- ٹول کٹ
- کل
- ترجمہ
- سچ
- بھروسہ رکھو
- دو
- قسم
- ٹھیٹھ
- قابل نہیں
- کے تحت
- سمجھ
- منفرد
- متحدہ
- ریاست ہائے متحدہ امریکہ
- یونیورسٹی
- نامعلوم
- آئندہ
- تازہ ترین معلومات
- URL
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- عام طور پر
- قیمت
- اقدار
- مختلف
- ورژن
- ورژن
- بہت
- کی طرف سے
- وکٹم
- متاثرین
- ویت نام
- دورہ
- کا دورہ کیا
- وزیٹر
- زائرین
- دورے
- تھا
- we
- ویب
- ویب سائٹ
- ویب سائٹ
- اچھا ہے
- تھے
- کیا
- جب
- چاہے
- جس
- ڈبلیو
- وسیع
- وسیع رینج
- چوڑائی
- وکیپیڈیا
- گے
- کھڑکیاں
- ساتھ
- کے اندر
- الفاظ
- لکھا
- ابھی
- زیفیرنیٹ
- زپ