Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch gián điệp mạng, kể từ ít nhất là tháng 2023 năm XNUMX, đã tấn công người Tây Tạng thông qua một lỗ hổng có chủ đích (còn được gọi là xâm phạm web chiến lược) và xâm phạm chuỗi cung ứng để cung cấp trình cài đặt trojan cho phần mềm dịch tiếng Tây Tạng. Những kẻ tấn công nhằm mục đích triển khai các trình tải xuống độc hại cho Windows và macOS để xâm phạm khách truy cập trang web bằng MgBot và một cửa hậu mà theo hiểu biết tốt nhất của chúng tôi, vẫn chưa được ghi lại công khai; chúng tôi đã đặt tên nó là Nightdoor.
Các điểm chính trong blogpost này:
- Chúng tôi đã phát hiện ra một chiến dịch gián điệp mạng lợi dụng Lễ hội Monlam – một cuộc tụ họp tôn giáo – để nhắm mục tiêu vào người Tây Tạng ở một số quốc gia và vùng lãnh thổ.
- Những kẻ tấn công đã xâm nhập trang web của nhà tổ chức lễ hội thường niên diễn ra ở Ấn Độ và thêm mã độc để tạo ra một cuộc tấn công nhỏ giọt nhắm vào người dùng kết nối từ các mạng cụ thể.
- Chúng tôi cũng phát hiện ra rằng chuỗi cung ứng của một nhà phát triển phần mềm đã bị xâm phạm và các trình cài đặt chứa trojan cho Windows và macOS đã được cung cấp cho người dùng.
- Những kẻ tấn công đã tạo ra một số trình tải xuống độc hại và các cửa hậu đầy đủ tính năng cho hoạt động này, bao gồm một cửa hậu không có giấy tờ công khai dành cho Windows mà chúng tôi đặt tên là Nightdoor.
- Chúng tôi tin tưởng rằng chiến dịch này thuộc về nhóm Evasive Panda APT có liên kết với Trung Quốc.
hồ sơ gấu trúc lảng tránh
gấu trúc lảng tránh (còn được biết là ĐỒ ĐỒNG TÂY NGUYÊN và dao găm) là một nhóm APT nói tiếng Trung Quốc, hoạt động kể từ ít nhất 2012. ESET Research đã quan sát thấy nhóm tiến hành hoạt động gián điệp mạng nhằm vào các cá nhân ở Trung Quốc đại lục, Hồng Kông, Macao và Nigeria. Các tổ chức chính phủ bị nhắm mục tiêu ở Đông Nam và Đông Á, đặc biệt là Trung Quốc, Macao, Myanmar, Philippines, Đài Loan và Việt Nam. Các tổ chức khác ở Trung Quốc và Hồng Kông cũng là mục tiêu. Theo báo cáo công khai, nhóm này cũng đã nhắm mục tiêu vào các thực thể không xác định ở Hồng Kông, Ấn Độ và Malaysia.
Nhóm này sử dụng khung phần mềm độc hại tùy chỉnh của riêng mình với kiến trúc mô-đun cho phép cửa hậu của nó, được gọi là MgBot, nhận các mô-đun để theo dõi nạn nhân và nâng cao khả năng của nó. Kể từ năm 2020, chúng tôi cũng đã quan sát thấy Evasive Panda có khả năng phát tán các cửa hậu của mình thông qua các cuộc tấn công trung gian của đối thủ chiếm quyền cập nhật phần mềm hợp pháp.
Tổng quan về chiến dịch
Vào tháng 2024 năm XNUMX, chúng tôi đã phát hiện ra một hoạt động gián điệp mạng trong đó những kẻ tấn công đã xâm phạm ít nhất ba trang web để thực hiện các cuộc tấn công vào lỗ tưới nước cũng như xâm phạm chuỗi cung ứng của một công ty phần mềm Tây Tạng.
Trang web bị xâm phạm bị lạm dụng làm nơi tưới nước thuộc về Kagyu International Monlam Trust, một tổ chức có trụ sở tại Ấn Độ nhằm quảng bá Phật giáo Tây Tạng ra quốc tế. Những kẻ tấn công đã đặt một tập lệnh vào trang web để xác minh địa chỉ IP của nạn nhân tiềm năng và nếu nó nằm trong một trong các phạm vi địa chỉ được nhắm mục tiêu, thì sẽ hiển thị một trang lỗi giả để lôi kéo người dùng tải xuống một bản “sửa lỗi” có tên Giấy chứng nhận (với phần mở rộng .exe nếu khách truy cập đang sử dụng Windows hoặc .pkg nếu là macOS). Tệp này là một trình tải xuống độc hại sẽ triển khai giai đoạn tiếp theo trong chuỗi xâm phạm.
Dựa trên dải địa chỉ IP mà mã kiểm tra, chúng tôi phát hiện ra rằng những kẻ tấn công nhắm mục tiêu vào người dùng ở Ấn Độ, Đài Loan, Hồng Kông, Úc và Hoa Kỳ; cuộc tấn công có thể nhằm mục đích lợi dụng sự quan tâm của quốc tế đối với Lễ hội Kagyu Monlam (Hình 1) được tổ chức hàng năm vào tháng Giêng tại thành phố Bodhgaya, Ấn Độ.
Điều thú vị là mạng lưới của Viện Công nghệ Georgia (còn được gọi là Georgia Tech) ở Hoa Kỳ nằm trong số các thực thể được xác định trong phạm vi địa chỉ IP được nhắm mục tiêu. Trong quá khứ, trường đại học đã được đề cập liên quan đến ảnh hưởng của Đảng Cộng sản Trung Quốc đối với các cơ sở giáo dục ở Mỹ.
Vào khoảng tháng 2023 năm XNUMX, những kẻ tấn công đã xâm nhập trang web của một công ty phát triển phần mềm có trụ sở tại Ấn Độ chuyên sản xuất phần mềm dịch tiếng Tây Tạng. Những kẻ tấn công đã đặt một số ứng dụng chứa trojan vào đó để triển khai trình tải xuống độc hại cho Windows hoặc macOS.
Ngoài ra, những kẻ tấn công còn lạm dụng trang web tương tự và một trang web tin tức Tây Tạng có tên là Tibetanpost – tibetpost[.]net – để lưu trữ các tải trọng thu được từ các lượt tải xuống độc hại, bao gồm hai cửa hậu đầy đủ tính năng dành cho Windows và một số tải trọng không xác định dành cho macOS.
Với độ tin cậy cao, chúng tôi quy kết chiến dịch này cho nhóm Evasive Panda APT, dựa trên phần mềm độc hại đã được sử dụng: MgBot và Nightdoor. Trước đây, chúng ta đã thấy cả hai cửa hậu được triển khai cùng nhau trong một cuộc tấn công không liên quan nhằm vào một tổ chức tôn giáo ở Đài Loan, trong đó chúng cũng dùng chung máy chủ C&C. Cả hai điểm cũng áp dụng cho chiến dịch được mô tả trong bài đăng trên blog này.
Lỗ tưới nước
Vào ngày 14 tháng XNUMXth, 2024, chúng tôi đã phát hiện một tập lệnh đáng ngờ tại https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
Mã bị xáo trộn độc hại đã được thêm vào một mã hợp pháp jQuery Tập lệnh thư viện JavaScript, như trong Hình 2.
Tập lệnh gửi yêu cầu HTTP đến địa chỉ localhost http://localhost:63403/?callback=handleCallback để kiểm tra xem trình tải xuống trung gian của kẻ tấn công có đang chạy trên máy nạn nhân tiềm năng hay không (xem Hình 3). Trên máy bị xâm nhập trước đó, bộ cấy sẽ trả lời bằng handCallback({“thành công”:true }) (xem Hình 4) và tập lệnh không thực hiện thêm hành động nào.
Nếu máy không phản hồi với dữ liệu mong đợi, mã độc sẽ tiếp tục bằng cách lấy hàm băm MD5 từ máy chủ phụ tại https://update.devicebug[.]com/getVersion.php. Sau đó, hàm băm được kiểm tra dựa trên danh sách 74 giá trị băm, như trong Hình 6.
Nếu có sự trùng khớp, tập lệnh sẽ hiển thị một trang HTML có thông báo sự cố giả mạo (Hình 7) nhằm dụ người dùng truy cập tải xuống giải pháp để khắc phục sự cố. Trang này bắt chước thông thường "Ôi, hỏng!" cảnh báo từ Google Chrome.
Nút “Khắc phục ngay lập tức” kích hoạt tập lệnh tải xuống tải trọng dựa trên hệ điều hành của người dùng (Hình 8).
Phá vỡ hàm băm
Điều kiện để phân phối tải trọng yêu cầu nhận được hàm băm chính xác từ máy chủ tại update.devicebug[.]com, vì vậy 74 giá trị băm là chìa khóa cho cơ chế lựa chọn nạn nhân của kẻ tấn công. Tuy nhiên, vì hàm băm được tính toán ở phía máy chủ nên chúng tôi gặp khó khăn trong việc biết dữ liệu nào được sử dụng để tính toán nó.
Chúng tôi đã thử nghiệm với các địa chỉ IP và cấu hình hệ thống khác nhau, đồng thời thu hẹp đầu vào cho thuật toán MD5 thành công thức gồm ba octet đầu tiên trong địa chỉ IP của người dùng. Nói cách khác, bằng cách nhập các địa chỉ IP có chung tiền tố mạng chẳng hạn 192.168.0.1 và 192.168.0.50, sẽ nhận được hàm băm MD5 tương tự từ máy chủ C&C.
Tuy nhiên, sự kết hợp không xác định của các ký tự hoặc một muối, được bao gồm trong chuỗi ba octet IP đầu tiên trước khi băm để ngăn các giá trị băm không bị ép buộc một cách tầm thường. Do đó, chúng tôi cần phải ép buộc muối để bảo mật công thức đầu vào và chỉ sau đó tạo các giá trị băm bằng cách sử dụng toàn bộ phạm vi địa chỉ IPv4 để tìm ra 74 giá trị băm phù hợp.
Đôi khi các ngôi sao thẳng hàng và chúng tôi phát hiện ra rằng muối 1qaz0okm!@#. Với tất cả các phần của công thức đầu vào MD5 (ví dụ: 192.168.1.1qaz0okm!@#), chúng tôi đã ép buộc 74 hàm băm một cách dễ dàng và tạo ra một danh sách các mục tiêu. Xem Phụ lục để có một danh sách đầy đủ.
Như được hiển thị trong Hình 9, phần lớn các dải địa chỉ IP được nhắm mục tiêu là ở Ấn Độ, tiếp theo là Đài Loan, Úc, Hoa Kỳ và Hồng Kông. Lưu ý rằng hầu hết các cộng đồng người Tây Tạng hải ngoại sống ở Ấn Độ.
Tải trọng của Windows
Trên Windows, nạn nhân của cuộc tấn công được cung cấp một tệp thực thi độc hại có tại https://update.devicebug[.]com/fixTools/certificate.exe. Hình 10 cho thấy chuỗi thực thi diễn ra sau khi người dùng tải xuống và thực thi bản sửa lỗi độc hại.
chứng chỉ.exe là một công cụ nhỏ giọt triển khai chuỗi tải bên để tải trình tải xuống trung gian, memmgrset.dll (tên nội bộ http_dy.dll). DLL này tìm nạp tệp JSON từ máy chủ C&C tại https://update.devicebug[.]com/assets_files/config.json, chứa thông tin để tải xuống giai đoạn tiếp theo (xem Hình 11).
Khi giai đoạn tiếp theo được tải xuống và thực thi, nó sẽ triển khai một chuỗi tải bên khác để phân phối Nightdoor làm tải trọng cuối cùng. Một phân tích về Nightdoor được cung cấp dưới đây trong phần Cửa đêm phần.
tải trọng macOS
Phần mềm độc hại trên macOS chính là trình tải xuống mà chúng tôi ghi lại chi tiết hơn trong Thỏa hiệp chuỗi cung ứng. Tuy nhiên, cái này bỏ đi một tệp thực thi Mach-O bổ sung, nghe trên cổng TCP 63403. Mục đích duy nhất của nó là trả lời bằng handCallback({“thành công”:true }) đối với yêu cầu mã JavaScript độc hại, vì vậy nếu người dùng truy cập lại trang web Watering Hole, mã JavaScript sẽ không cố gắng xâm phạm lại khách truy cập.
Trình tải xuống này lấy tệp JSON từ máy chủ và tải xuống giai đoạn tiếp theo, giống như phiên bản Windows được mô tả trước đó.
Thỏa hiệp chuỗi cung ứng
Vào ngày 18 tháng XNUMXth, chúng tôi phát hiện ra rằng trang web chính thức (Hình 12) của một sản phẩm phần mềm dịch tiếng Tây Tạng cho nhiều nền tảng đang lưu trữ các gói ZIP chứa trình cài đặt trojan dành cho phần mềm hợp pháp triển khai các trình tải xuống độc hại cho Windows và macOS.
Chúng tôi tìm thấy một nạn nhân đến từ Nhật Bản đã tải xuống một trong các gói dành cho Windows. Bảng 1 liệt kê các URL và các phần cấy ghép bị loại bỏ.
Bảng 1. URL của các gói độc hại trên trang web bị xâm nhập và loại tải trọng trong ứng dụng bị xâm nhập
URL gói độc hại |
Loại tải trọng |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Trình tải xuống Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Trình tải xuống Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Trình tải xuống Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
trình tải xuống macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
trình tải xuống macOS |
Gói Windows
Hình 13 minh họa chuỗi tải của ứng dụng bị trojan hóa từ gói monlam-bodyig3.zip.
Ứng dụng bị trojan hóa chứa một phần mềm độc hại có tên là autorun.exe triển khai hai thành phần:
- một tập tin thực thi có tên MonlamUpdate.exe, là một thành phần phần mềm từ trình mô phỏng có tên là C64 Mãi Mãi và bị lạm dụng để tải phụ DLL, và
- RPHost.dll, DLL được tải bên cạnh, là một trình tải xuống độc hại cho giai đoạn tiếp theo.
Khi DLL của trình tải xuống được tải vào bộ nhớ, nó sẽ tạo một tác vụ theo lịch trình có tên phá hủy dự định sẽ được thực thi mỗi khi người dùng đăng nhập. Tuy nhiên, vì tác vụ không chỉ định tệp để thực thi nên nó không thể thiết lập tính bền vững.
Tiếp theo, DLL này nhận UUID và phiên bản hệ điều hành để tạo Tác nhân người dùng tùy chỉnh và gửi yêu cầu GET tới https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat để có được tệp JSON chứa URL để tải xuống và thực thi tải trọng mà nó thả xuống % TEMP% danh mục. Chúng tôi không thể lấy mẫu dữ liệu đối tượng JSON từ trang web bị xâm nhập; do đó chúng tôi không biết chính xác từ đâu mặc định_ico.exe được tải xuống, như minh họa trong Hình 13.
Thông qua phép đo từ xa của ESET, chúng tôi nhận thấy rằng giao dịch bất hợp pháp MonlamUpdate.exe xử lý được tải xuống và thực thi vào những dịp khác nhau ít nhất bốn tệp độc hại để %TEMP%default_ico.exe. Bảng 2 liệt kê các tập tin đó và mục đích của chúng.
Bảng 2. Hàm băm của mặc định_ico.exe trình tải xuống/người nhỏ giọt, URL C&C đã liên hệ và mô tả về trình tải xuống
SHA-1 |
URL đã liên hệ |
Mục đích |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Tải xuống một tải trọng không xác định từ máy chủ. |
F0F8F60429E3316C463F |
Tải xuống một tải trọng không xác định từ máy chủ. Mẫu này được viết bằng Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Tải xuống một ống nhỏ giọt Nightdoor có tên ngẫu nhiên. |
BFA2136336D845184436 |
N/A |
Công cụ nguồn mở Thông tin hệ thống, trong đó những kẻ tấn công đã tích hợp mã độc hại của chúng và nhúng một blob được mã hóa, sau khi được giải mã và thực thi, sẽ cài đặt MgBot. |
Cuối cùng, mặc định_ico.exe trình tải xuống hoặc trình nhỏ giọt sẽ lấy tải trọng từ máy chủ hoặc thả nó xuống, sau đó thực thi nó trên máy nạn nhân, cài đặt Nightdoor (xem phần Cửa đêm phần) hoặc MgBot (xem phân tích trước).
Hai gói bị nhiễm trojan còn lại rất giống nhau, triển khai cùng một trình tải xuống độc hại DLL được tải phụ bởi tệp thực thi hợp pháp.
gói macOS
Kho lưu trữ ZIP được tải xuống từ cửa hàng ứng dụng chính thức chứa gói cài đặt đã sửa đổi (.pkg tệp), trong đó tập lệnh thực thi Mach-O và tập lệnh sau cài đặt đã được thêm vào. Tập lệnh sau cài đặt sao chép tệp Mach-O vào $HOME/Thư viện/Vùng chứa/LịchFocusEXT/ và tiến hành cài đặt Tác nhân khởi chạy trong $HOME/Thư viện/LaunchAgents/com.Terminal.us.plist cho sự kiên trì. Hình 14 hiển thị tập lệnh chịu trách nhiệm cài đặt và khởi chạy Launch Agent độc hại.
Mach-O độc hại, Monlam-bodyig_Keyboard_2017 trong Hình 13 được ký nhưng không được công chứng, sử dụng chứng chỉ của nhà phát triển (không phải chứng chỉ loại chứng chỉ thường được sử dụng để phân phối) với tên và mã định danh nhóm ya ni yang (2289F6V4BN). Dấu thời gian trong chữ ký cho thấy nó được ký vào ngày 7 tháng XNUMXth, 2024. Ngày này cũng được sử dụng trong dấu thời gian đã sửa đổi của các tệp độc hại trong siêu dữ liệu của kho lưu trữ ZIP. Giấy chứng nhận chỉ được cấp ba ngày trước đó. Giấy chứng nhận đầy đủ có sẵn trong IoC phần. Nhóm của chúng tôi đã liên hệ với Apple vào ngày 25 tháng XNUMXth và chứng chỉ đã bị thu hồi trong cùng ngày.
Phần mềm độc hại giai đoạn đầu tiên này tải xuống tệp JSON chứa URL cho giai đoạn tiếp theo. Kiến trúc (ARM hoặc Intel), phiên bản macOS và UUID phần cứng (mã định danh duy nhất cho mỗi máy Mac) được báo cáo trong tiêu đề yêu cầu HTTP Tác nhân Người dùng. URL tương tự như phiên bản Windows được sử dụng để truy xuất cấu hình đó: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Tuy nhiên, phiên bản macOS sẽ xem dữ liệu dưới khóa mac của đối tượng JSON thay vì giành chiến thắng Chìa khóa.
Đối tượng bên dưới khóa mac phải chứa các mục sau:
- url: URL tới giai đoạn tiếp theo.
- md5: Tổng MD5 của tải trọng.
- vernow: Danh sách UUID phần cứng. Nếu có, tải trọng sẽ chỉ được cài đặt trên máy Mac có một trong các UUID phần cứng được liệt kê. Việc kiểm tra này sẽ bị bỏ qua nếu danh sách trống hoặc bị thiếu.
- phiên bản: Giá trị số phải cao hơn “phiên bản” giai đoạn thứ hai đã tải xuống trước đó. Tải trọng không được tải xuống nếu không. Giá trị của phiên bản hiện đang chạy được lưu giữ trong ứng dụng mặc định của người dùng.
Sau khi phần mềm độc hại tải tệp xuống từ URL được chỉ định bằng cách sử dụng Curl, tệp sẽ được băm bằng MD5 và được so sánh với bản tóm tắt thập lục phân trong phần md5 chìa khóa. Nếu khớp, các thuộc tính mở rộng của nó sẽ bị xóa (để xóa thuộc tính com.apple.quarantine), tệp sẽ được chuyển đến $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, và được khởi chạy bằng cách sử dụng thi hành với việc chạy đối số.
Không giống như phiên bản Windows, chúng tôi không thể tìm thấy bất kỳ giai đoạn nào sau này của biến thể macOS. Một cấu hình JSON chứa hàm băm MD5 (3C5739C25A9B85E82E0969EE94062F40), nhưng trường URL trống.
Cửa đêm
Cửa hậu mà chúng tôi đặt tên là Nightdoor (và được các tác giả phần mềm độc hại đặt tên là NetMM theo đường dẫn PDB) là một bổ sung muộn cho bộ công cụ của Evasive Panda. Kiến thức sớm nhất của chúng tôi về Nightdoor có từ năm 2020, khi Evasive Panda triển khai nó trên máy của một mục tiêu nổi tiếng ở Việt Nam. Cửa sau giao tiếp với máy chủ C&C của nó thông qua UDP hoặc API Google Drive. Bộ cấy Nightdoor từ chiến dịch này đã sử dụng cái sau. Nó mã hóa API Google OAuth 2.0 mã thông báo trong phần dữ liệu và sử dụng mã thông báo để truy cập Google Drive của kẻ tấn công. Chúng tôi đã yêu cầu gỡ bỏ tài khoản Google được liên kết với mã thông báo này.
Đầu tiên, Nightdoor tạo một thư mục trong Google Drive chứa địa chỉ MAC của nạn nhân, địa chỉ này cũng đóng vai trò là ID nạn nhân. Thư mục này sẽ chứa tất cả các tin nhắn giữa bộ cấy và máy chủ C&C. Mỗi tin nhắn giữa Nightdoor và máy chủ C&C được cấu trúc dưới dạng một tệp và được phân tách thành tên tệp và dữ liệu tệp, như được mô tả trong Hình 15.
Mỗi tên tệp chứa tám thuộc tính chính, được minh họa trong ví dụ bên dưới.
Ví dụ:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: giá trị kỳ diệu.
- 0C64C2BAEF534C8E9058797BCD783DE5: tiêu đề của pbuf cấu trúc dữ liệu.
- 168: kích thước của đối tượng tin nhắn hoặc kích thước tệp tính bằng byte.
- 0: tên tệp, luôn có giá trị mặc định là 0 (null).
- 1: loại lệnh, được mã hóa cứng thành 1 hoặc 0 tùy theo mẫu.
- 4116: ID lệnh.
- 0: chất lượng dịch vụ (QoS).
- 00-00-00-00-00-00: có nghĩa là địa chỉ MAC của đích nhưng luôn được mặc định là 00-00-00-00-00-00.
Dữ liệu bên trong mỗi tệp thể hiện lệnh của bộ điều khiển dành cho cửa sau và các tham số cần thiết để thực thi lệnh đó. Hình 16 cho thấy một ví dụ về thông báo máy chủ C&C được lưu trữ dưới dạng dữ liệu tệp.
Bằng kỹ thuật đảo ngược Nightdoor, chúng tôi có thể hiểu ý nghĩa của các trường quan trọng được trình bày trong tệp, như trong Hình 17.
Chúng tôi nhận thấy rằng nhiều thay đổi có ý nghĩa đã được thêm vào phiên bản Nightdoor được sử dụng trong chiến dịch này, một trong số đó là việc tổ chức ID lệnh. Trong các phiên bản trước, mỗi ID lệnh được gán lần lượt cho một hàm xử lý, như trong Hình 18. Các lựa chọn đánh số, chẳng hạn như từ 0x2001 đến 0x2006, Từ 0x2201 đến 0x2203, Từ 0x4001 đến 0x4003, Và từ 0x7001 đến 0x7005, gợi ý rằng các lệnh được chia thành các nhóm có chức năng tương tự.
Tuy nhiên, trong phiên bản này, Nightdoor sử dụng bảng nhánh để sắp xếp tất cả ID lệnh bằng trình xử lý tương ứng của chúng. ID lệnh liên tục xuyên suốt và đóng vai trò là chỉ mục cho các trình xử lý tương ứng của chúng trong bảng nhánh, như trong Hình 19.
Bảng 3 là bản xem trước của các lệnh máy chủ C&C và chức năng của chúng. Bảng này chứa các ID lệnh mới cũng như các ID tương đương từ các phiên bản cũ hơn.
Bảng 3. Các lệnh được hỗ trợ bởi các biến thể Nightdoor được sử dụng trong chiến dịch này.
ID lệnh |
ID lệnh trước đó |
Mô tả |
|
0x1001 |
0x2001 |
Thu thập thông tin hồ sơ hệ thống cơ bản như: - Phiên bản của hệ điều hành – Bộ điều hợp mạng IPv4, địa chỉ MAC và địa chỉ IP – Tên CPU - Tên máy tính - Tên tài khoản – Tên trình điều khiển thiết bị – Tất cả tên người dùng từ C:Người dùng* - Giờ địa phương – Địa chỉ IP công cộng sử dụng ifconfig.me or ipinfo.io dịch vụ web |
|
0x1007 |
0x2002 |
Thu thập thông tin về ổ đĩa như: – Tên ổ đĩa – Không gian trống và tổng không gian – Loại hệ thống tập tin: NTFS, FAT32, v.v. |
|
0x1004 |
0x2003 |
Thu thập thông tin về tất cả các ứng dụng đã cài đặt trong khóa đăng ký Windows: – PHẦN MỀM HKLM – WOW6432NodeMicrosoftWindows – MicrosoftWindowsCurrentVersionUninstall (x86) |
|
0x1003 |
0x2004 |
Thu thập thông tin về các tiến trình đang chạy, chẳng hạn như: – Tên tiến trình - Số của chủ đề - Tên tài khoản – Vị trí tập tin trên đĩa – Mô tả file trên đĩa |
|
0x1006 |
0x4001 |
Tạo một trình bao đảo ngược và quản lý đầu vào và đầu ra thông qua các đường dẫn ẩn danh. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N/A |
Tự gỡ cài đặt. |
|
0x100C |
0x6001 |
Di chuyển tập tin. Đường dẫn được cung cấp bởi máy chủ C&C. |
|
0x100B |
0x6002 |
Xóa tài liệu. Đường dẫn được cung cấp bởi máy chủ C&C. |
|
0x1016 |
0x6101 |
Nhận thuộc tính tập tin. Đường dẫn được cung cấp bởi máy chủ C&C. |
Kết luận
Chúng tôi đã phân tích một chiến dịch của APT Evasive Panda do Trung Quốc liên kết nhằm vào người Tây Tạng ở một số quốc gia và vùng lãnh thổ. Chúng tôi tin rằng vào thời điểm đó, những kẻ tấn công đã lợi dụng lễ hội Monlam sắp diễn ra vào tháng 2024 và tháng XNUMX năm XNUMX để xâm phạm người dùng khi họ truy cập vào lỗ tưới nước trên trang web của lễ hội. Ngoài ra, những kẻ tấn công đã xâm phạm chuỗi cung ứng của một nhà phát triển phần mềm ứng dụng dịch tiếng Tây Tạng.
Những kẻ tấn công đã tạo ra một số phần mềm tải xuống, phần mềm nhỏ giọt và cửa hậu, bao gồm cả MgBot – được sử dụng độc quyền bởi Evasive Panda – và Nightdoor: phần bổ sung chính mới nhất cho bộ công cụ của nhóm và đã được sử dụng để nhắm mục tiêu vào một số mạng ở Đông Á.
Bạn có thể tìm thấy danh sách đầy đủ các Chỉ số Thỏa hiệp (IoC) và các mẫu trong Kho GitHub.
Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .
IoC
Các tập tin
SHA-1 |
Tên tập tin |
Phát hiện |
Mô tả |
0A88C3B4709287F70CA2 |
autorun.exe |
Win32/Agent.AGFU |
Thành phần nhỏ giọt được thêm vào gói cài đặt chính thức. |
1C7DF9B0023FB97000B7 |
mặc định_ico.exe |
Win32/Agent.AGFN |
Trình tải xuống trung gian. |
F0F8F60429E3316C463F |
mặc định_ico.exe |
Win64/Agent.DLY |
Trình tải xuống trung gian được lập trình trong Rust. |
7A3FC280F79578414D71 |
mặc định_ico.exe |
Win32/Agent.AGFQ |
Trình tải xuống Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agent.AGFS |
Ống nhỏ giọt cửa đêm. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Trình tải trung gian. |
5273B45C5EABE64EDBD0 |
chứng chỉ.pkg |
OSX/Agent.DJ |
Thành phần nhỏ giọt MacOS. |
5E5274C7D931C1165AA5 |
chứng chỉ.exe |
Win32/Agent.AGES |
Thành phần nhỏ giọt từ trang web bị xâm nhập. |
59AA9BE378371183ED41 |
mặc định_ico_1.exe |
Win32/Agent.AGFO |
Thành phần nhỏ giọt cửa đêm. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Trình tải trung gian cho thành phần trình tải xuống Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Trình tải trung gian cho Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Trình cài đặt bị Trojan hóa. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript độc hại được thêm vào trang web bị xâm nhập. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Trình cài đặt bị Trojan hóa. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agent.WSK |
Gói cài đặt bị Trojan hóa. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Gói cài đặt bị Trojan hóa. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agent.DJ |
Gói cài đặt bị nhiễm trojan MacOS. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agent.DJ |
Gói cài đặt bị nhiễm trojan MacOS. |
C0575AF04850EB1911B0 |
Bảo mật~.x64 |
OSX/Agent.DJ |
Trình tải xuống MacOS. |
7C3FD8EE5D660BBF43E4 |
Bảo mật~.arm64 |
OSX/Agent.DJ |
Trình tải xuống MacOS. |
FA78E89AB95A0B49BC06 |
Bảo mật.fat |
OSX/Agent.DJ |
Thành phần tải xuống MacOS. |
5748E11C87AEAB3C19D1 |
Tệp xuất Monlam_Grand_Dictionary |
OSX/Agent.DJ |
Thành phần độc hại từ gói cài đặt bị nhiễm trojan của macOS. |
Giấy chứng nhận
số serial |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Dấu tay |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
chủ đề CN |
Phát triển Apple: ya ni yang (2289F6V4BN) |
chủ đề O |
ya ni yang |
Chủ đề L |
N/A |
Đối tượng |
N/A |
môn C |
US |
Có hiệu lực từ |
2024-01-04 05:26:45 |
Có hiệu lực đến |
2025-01-03 05:26:44 |
số serial |
6014B56E4FFF35DC4C948452B77C9AA9 |
Dấu tay |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
chủ đề CN |
KP DI ĐỘNG |
chủ đề O |
KP DI ĐỘNG |
Chủ đề L |
N/A |
Đối tượng |
N/A |
môn C |
KR |
Có hiệu lực từ |
2021-10-25 00:00:00 |
Có hiệu lực đến |
2022-10-25 23:59:59 |
IP |
miền |
Nhà cung cấp dịch vụ lưu trữ |
Lần đầu tiên nhìn thấy |
Chi tiết |
N/A |
tibetpost[.]net |
N/A |
2023-11-29 |
Trang web bị xâm phạm. |
N/A |
www.monlamit[.]com |
N/A |
2024-01-24 |
Trang web bị xâm phạm. |
N/A |
update.devicebug[.]com |
N/A |
2024-01-14 |
DC. |
188.208.141 [.] 204 |
N/A |
Bản lề Amol |
2024-02-01 |
Máy chủ tải xuống cho thành phần nhỏ giọt Nightdoor. |
Kỹ thuật MITER ATT & CK
Bảng này được tạo bằng cách sử dụng phiên bản 14 của khuôn khổ MITER ATT & CK.
Chiến thuật |
ID |
Họ tên |
Mô tả |
Phát triển nguồn lực |
Có được cơ sở hạ tầng: Máy chủ |
Evasive Panda đã mua lại máy chủ cho cơ sở hạ tầng C&C của Nightdoor, MgBot và thành phần trình tải xuống macOS. |
|
Có được cơ sở hạ tầng: Dịch vụ web |
Evasive Panda đã sử dụng dịch vụ web của Google Drive cho cơ sở hạ tầng C&C của Nightdoor. |
||
Cơ sở hạ tầng thỏa hiệp: Máy chủ |
Các nhà khai thác Evasive Panda đã xâm phạm một số máy chủ để sử dụng làm lỗ tưới nước, tấn công chuỗi cung ứng cũng như lưu trữ tải trọng và sử dụng làm máy chủ C&C. |
||
Thiết lập tài khoản: Tài khoản đám mây |
Evasive Panda đã tạo một tài khoản Google Drive và sử dụng nó làm cơ sở hạ tầng C&C. |
||
Phát triển khả năng: Phần mềm độc hại |
Evasive Panda đã triển khai các phần cấy ghép tùy chỉnh như MgBot, Nightdoor và thành phần trình tải xuống macOS. |
||
T1588.003 |
Đạt được khả năng: Chứng chỉ ký mã |
Evasive Panda đã nhận được chứng chỉ ký mã. |
|
Khả năng giai đoạn: Từng bước một |
Những kẻ điều hành Evasive Panda đã sửa đổi một trang web nổi tiếng để thêm một đoạn mã JavaScript hiển thị thông báo giả mạo để tải xuống phần mềm độc hại. |
||
Quyền truy cập ban đầu |
Thỏa hiệp theo từng ổ đĩa |
Khách truy cập vào các trang web bị xâm nhập có thể nhận được thông báo lỗi giả mạo lôi kéo họ tải xuống phần mềm độc hại. |
|
Thỏa hiệp chuỗi cung ứng: Thỏa hiệp chuỗi cung ứng phần mềm |
Evasive Panda đã tấn công các gói cài đặt chính thức của một công ty phần mềm. |
||
Thực hiện |
API gốc |
Nightdoor, MgBot và các thành phần tải xuống trung gian của chúng sử dụng API Windows để tạo quy trình. |
|
Nhiệm vụ / Công việc đã lên lịch: Nhiệm vụ đã lên lịch |
Các thành phần trình tải của Nightdoor và MgBot có thể tạo các tác vụ theo lịch trình. |
||
Persistence |
Tạo hoặc sửa đổi quy trình hệ thống: Dịch vụ Windows |
Các thành phần trình tải của Nightdoor và MgBot có thể tạo ra các dịch vụ Windows. |
|
Luồng thực thi tấn công: Tải bên DLL |
Các thành phần nhỏ giọt của Nightdoor và MgBot triển khai một tệp thực thi hợp pháp để tải phụ một trình tải độc hại. |
||
Phòng thủ né tránh |
Giải mã / giải mã tệp hoặc thông tin |
Các thành phần DLL của bộ cấy Nightdoor được giải mã trong bộ nhớ. |
|
Làm suy yếu khả năng phòng thủ: Vô hiệu hóa hoặc sửa đổi tường lửa hệ thống |
Nightdoor bổ sung thêm hai quy tắc Tường lửa của Windows để cho phép liên lạc trong và ngoài nước đối với chức năng máy chủ proxy HTTP của nó. |
||
Loại bỏ chỉ báo: Xóa tệp |
Nightdoor và MgBot có thể xóa các tập tin. |
||
Loại bỏ chỉ báo: Xóa tính bền bỉ |
Nightdoor và MgBot có thể tự gỡ cài đặt. |
||
Giả trang: Nhiệm vụ hoặc Dịch vụ giả trang |
Trình tải của Nightdoor đã ngụy trang nhiệm vụ của nó thành netsvcs. |
||
Giả mạo: Khớp tên hoặc vị trí hợp pháp |
Trình cài đặt của Nightdoor triển khai các thành phần của nó vào các thư mục hệ thống hợp pháp. |
||
Tệp hoặc thông tin bị xáo trộn: Tải trọng được nhúng |
Thành phần nhỏ giọt của Nightdoor chứa các tệp độc hại được nhúng được triển khai trên đĩa. |
||
Quá trình chèn: Chèn thư viện liên kết động |
Các thành phần bộ tải của Nightdoor và MgBot tự đưa chúng vào svchost.exe. |
||
Đang tải mã phản chiếu |
Các thành phần trình tải của Nightdoor và MgBot tự đưa chúng vào svchost.exe, từ đó chúng tải cửa sau Nightdoor hoặc MgBot. |
||
khám phá |
Khám phá tài khoản: Tài khoản cục bộ |
Nightdoor và MgBot thu thập thông tin tài khoản người dùng từ hệ thống bị xâm nhập. |
|
Khám phá tệp và thư mục |
Nightdoor và MgBot có thể thu thập thông tin từ các thư mục và tập tin. |
||
Khám phá quy trình |
Nightdoor và MgBot thu thập thông tin về các quy trình. |
||
Sổ đăng ký truy vấn |
Nightdoor và MgBot truy vấn sổ đăng ký Windows để tìm thông tin về phần mềm đã cài đặt. |
||
Khám phá phần mềm |
Nightdoor và MgBot thu thập thông tin về phần mềm và dịch vụ đã cài đặt. |
||
Chủ sở hữu hệ thống / Khám phá người dùng |
Nightdoor và MgBot thu thập thông tin tài khoản người dùng từ hệ thống bị xâm nhập. |
||
Khám phá thông tin hệ thống |
Nightdoor và MgBot thu thập nhiều thông tin về hệ thống bị xâm nhập. |
||
Khám phá kết nối mạng hệ thống |
Nightdoor và MgBot có thể thu thập dữ liệu từ tất cả các kết nối TCP và UDP đang hoạt động trên máy bị xâm nhập. |
||
Bộ sưu tập |
Lưu trữ dữ liệu đã thu thập |
Cửa hàng Nightdoor và MgBot thu thập dữ liệu trong các tệp được mã hóa. |
|
Bộ sưu tập tự động |
Nightdoor và MgBot tự động thu thập thông tin hệ thống và mạng về máy bị xâm nhập. |
||
Dữ liệu từ Hệ thống cục bộ |
Nightdoor và MgBot thu thập thông tin về hệ điều hành và dữ liệu người dùng. |
||
Giai đoạn dữ liệu: Giai đoạn dữ liệu cục bộ |
Nightdoor phân chia dữ liệu để lọc các tập tin trên đĩa. |
||
Lệnh và kiểm soát |
Giao thức lớp ứng dụng: Giao thức web |
Nightdoor giao tiếp với máy chủ C&C bằng HTTP. |
|
Giao thức lớp không ứng dụng |
Nightdoor giao tiếp với máy chủ C&C bằng UDP. MgBot giao tiếp với máy chủ C&C bằng TCP. |
||
Cổng không chuẩn |
MgBot sử dụng cổng TCP 21010. |
||
Giao thức đường hầm |
Nightdoor có thể hoạt động như một máy chủ proxy HTTP, tạo đường hầm cho giao tiếp TCP. |
||
Dịch vụ web |
Nightdoor sử dụng Google Drive để liên lạc bằng C&C. |
||
Lọc |
Lọc tự động |
Nightdoor và MgBot tự động lọc dữ liệu đã thu thập. |
|
Lọc qua dịch vụ web: Lọc vào lưu trữ đám mây |
Nightdoor có thể trích xuất các tập tin của nó vào Google Drive. |
Phụ lục
Phạm vi địa chỉ IP được nhắm mục tiêu được cung cấp trong bảng sau.
CIDR |
ISP |
City |
Quốc gia |
124.171.71.0/24 |
iiNet |
Sydney |
Châu Úc |
125.209.157.0/24 |
iiNet |
Sydney |
Châu Úc |
1.145.30.0/24 |
Telstra |
Sydney |
Châu Úc |
193.119.100.0/24 |
Viễn thông TPG |
Sydney |
Châu Úc |
14.202.220.0/24 |
Viễn thông TPG |
Sydney |
Châu Úc |
123.243.114.0/24 |
Viễn thông TPG |
Sydney |
Châu Úc |
45.113.1.0/24 |
Công nghệ máy chủ HK 92 |
Hồng Kông |
Hồng Kông |
172.70.191.0/24 |
CloudFlare |
Ahmedabad |
Ấn Độ |
49.36.224.0/24 |
Sự phụ thuộc của Jio Infocomm |
Airoli |
Ấn Độ |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
Ấn Độ |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
Ấn Độ |
14.98.12.0/24 |
Dịch vụ viễn thông Tata |
Bengaluru |
Ấn Độ |
172.70.237.0/24 |
CloudFlare |
Chandīgarh |
Ấn Độ |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
Ấn Độ |
103.214.118.0/24 |
Băng thông Airnet |
Delhi |
Ấn Độ |
45.120.162.0/24 |
Ani Boardband |
Delhi |
Ấn Độ |
103.198.173.0/24 |
Anonet |
Delhi |
Ấn Độ |
103.248.94.0/24 |
Anonet |
Delhi |
Ấn Độ |
103.198.174.0/24 |
Anonet |
Delhi |
Ấn Độ |
43.247.41.0/24 |
Anonet |
Delhi |
Ấn Độ |
122.162.147.0/24 |
Bharti Airtel |
Delhi |
Ấn Độ |
103.212.145.0/24 |
kích thích |
Delhi |
Ấn Độ |
45.248.28.0/24 |
Điện tử Omkar |
Delhi |
Ấn Độ |
49.36.185.0/24 |
Sự phụ thuộc của Jio Infocomm |
Delhi |
Ấn Độ |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Ấn Độ |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Ấn Độ |
103.210.33.0/24 |
vayudoot |
Dharamsala |
Ấn Độ |
182.64.251.0/24 |
Bharti Airtel |
Gāndarbal |
Ấn Độ |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
Ấn Độ |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamīrpur |
Ấn Độ |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
Ấn Độ |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
Ấn Độ |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
Ấn Độ |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Ấn Độ |
162.158.235.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
162.158.48.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
162.158.191.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
162.158.227.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
172.69.87.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
172.70.219.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
172.71.198.0/24 |
CloudFlare |
Mumbai |
Ấn Độ |
172.68.39.0/24 |
CloudFlare |
New Delhi |
Ấn Độ |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Palampur |
Ấn Độ |
103.195.253.0/24 |
Mạng kỹ thuật số Protoact |
Ranchi |
Ấn Độ |
169.149.224.0/24 |
Sự phụ thuộc của Jio Infocomm |
Shimla |
Ấn Độ |
169.149.226.0/24 |
Sự phụ thuộc của Jio Infocomm |
Shimla |
Ấn Độ |
169.149.227.0/24 |
Sự phụ thuộc của Jio Infocomm |
Shimla |
Ấn Độ |
169.149.229.0/24 |
Sự phụ thuộc của Jio Infocomm |
Shimla |
Ấn Độ |
169.149.231.0/24 |
Sự phụ thuộc của Jio Infocomm |
Shimla |
Ấn Độ |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
thưa ngài |
Ấn Độ |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Ấn Độ |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Ấn Độ |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Ấn Độ |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
đường |
Ấn Độ |
175.181.134.0/24 |
Thông tin thế kỷ mới |
Tân Cương |
Đài Loan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Đài Loan |
36.237.104.0/24 |
Chunghwa Telecom |
Đài Nam |
Đài Loan |
36.237.128.0/24 |
Chunghwa Telecom |
Đài Nam |
Đài Loan |
36.237.189.0/24 |
Chunghwa Telecom |
Đài Nam |
Đài Loan |
42.78.14.0/24 |
Chunghwa Telecom |
Đài Nam |
Đài Loan |
61.216.48.0/24 |
Chunghwa Telecom |
Đài Nam |
Đài Loan |
36.230.119.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
114.43.219.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
114.44.214.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
114.45.2.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
118.163.73.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
118.167.21.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
220.129.70.0/24 |
Chunghwa Telecom |
Đài Bắc |
Đài Loan |
106.64.121.0/24 |
Far EasTone Viễn thông |
Thành phố Đào Viên |
Đài Loan |
1.169.65.0/24 |
Chunghwa Telecom |
Tây Chi |
Đài Loan |
122.100.113.0/24 |
Di động Đài Loan |
Yilan |
Đài Loan |
185.93.229.0/24 |
Sucuri An ninh |
Ashburn |
Hoa Kỳ |
128.61.64.0/24 |
Viện Công nghệ Georgia |
Atlanta |
Hoa Kỳ |
216.66.111.0/24 |
Điện thoại Vermont |
Wallingford |
Hoa Kỳ |
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- : có
- :là
- :không phải
- :Ở đâu
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Có khả năng
- Giới thiệu
- truy cập
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- mua lại
- Hành động
- hành động
- hoạt động
- hành vi
- thêm vào
- thêm
- Ngoài ra
- thêm vào
- địa chỉ
- địa chỉ
- Thêm
- một lần nữa
- chống lại
- Đại lý
- nhằm vào
- thuật toán
- sắp xếp
- Tất cả
- cho phép
- cho phép
- Đã
- Ngoài ra
- luôn luôn
- trong số
- an
- phân tích
- phân tích
- và
- hàng năm
- Hàng năm
- Nặc Danh
- Một
- trả lời
- bất kì
- api
- API
- ứng dụng
- ứng dụng cửa hàng
- Apple
- Các Ứng Dụng
- các ứng dụng
- Đăng Nhập
- ứng dụng
- APT
- kiến trúc
- lưu trữ
- LÀ
- đối số
- ARM
- Mảng
- AS
- Á
- giao
- liên kết
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- thuộc tính
- Châu Úc
- tác giả
- tự động
- có sẵn
- trở lại
- cửa sau
- Backdoors
- mồi
- dựa
- cơ bản
- BE
- được
- trước
- được
- Tin
- thuộc
- phía dưới
- BEST
- giữa
- cả hai
- Chi nhánh
- xây dựng
- nhưng
- nút
- by
- gọi là
- Chiến dịch
- CAN
- khả năng
- tận
- viết hoa
- mang
- Thế kỷ
- Giấy chứng nhận
- Giấy chứng nhận
- chuỗi
- thách thức
- Những thay đổi
- nhân vật
- kiểm tra
- đã kiểm tra
- Séc
- Trung Quốc
- Trung Quốc
- lựa chọn
- City
- trong sáng
- đám mây
- mã
- thu thập
- COM
- kết hợp
- Giao tiếp
- công ty
- so
- hoàn thành
- thành phần
- các thành phần
- toàn diện
- thỏa hiệp
- Thỏa hiệp
- Tính
- tính toán
- máy tính
- điều kiện
- Tiến hành
- sự tự tin
- Cấu hình
- Kết nối
- liên quan
- Kết nối
- liên lạc
- chứa
- chứa
- chứa
- nội dung
- liên tiếp
- liên tục
- Conversation
- sửa chữa
- Tương ứng
- có thể
- nước
- Crash
- tạo
- tạo ra
- tạo ra
- mật mã
- Hiện nay
- khách hàng
- dữ liệu
- Cấu trúc dữ liệu
- Ngày
- Ngày
- ngày
- Ngày
- Mặc định
- mặc định
- phòng thủ
- cung cấp
- giao hàng
- chứng minh
- Tùy
- miêu tả
- triển khai
- triển khai
- triển khai
- triển khai
- mô tả
- Mô tả
- điểm đến
- chi tiết
- phát hiện
- Nhà phát triển
- Phát triển
- Công ty phát triển
- thiết bị
- khác nhau
- Tiêu
- kỹ thuật số
- thư mục
- thư mục
- phát hiện
- phát hiện
- phân phối
- Chia
- do
- tài liệu
- làm
- dont
- xuống
- tải về
- đang tải xuống
- Tải xuống
- lái xe
- trình điều khiển
- ổ đĩa
- Rơi
- hủy bỏ
- Giọt
- mỗi
- sớm nhất
- dễ dàng
- Đông
- Đào tạo
- tám
- hay
- nhúng
- mã hóa
- cuối
- Kỹ Sư
- nâng cao
- lôi cuốn
- Toàn bộ
- thực thể
- Tương đương
- lôi
- Nghiên cứu ESET
- thành lập
- vv
- sự kiện
- Mỗi
- chính xác
- ví dụ
- độc quyền
- thi hành
- Thực thi
- Thi công
- thực hiện
- sự lọc ra
- dự kiến
- xuất khẩu
- gia tăng
- mở rộng
- không
- giả mạo
- Tháng Hai
- LỄ HỘI
- lĩnh vực
- Lĩnh vực
- Hình
- hình
- Tập tin
- Các tập tin
- cuối cùng
- Tìm kiếm
- tường lửa
- Tên
- Sửa chữa
- dòng chảy
- sau
- tiếp theo
- sau
- Trong
- định dạng
- công thức
- tìm thấy
- 4
- Khung
- Miễn phí
- từ
- Full
- chức năng
- chức năng
- chức năng
- chức năng
- xa hơn
- thu thập
- tạo ra
- tạo ra
- Georgia
- được
- được
- nhận được
- Đi
- Chính phủ
- Các cơ quan chính phủ
- Đồ họa
- Nhóm
- Các nhóm
- Xử lý
- phần cứng
- băm
- băm
- băm
- Có
- Được tổ chức
- Cao
- tầm cỡ
- cao hơn
- Lô
- Holes
- Hồng
- Hồng Kông
- chủ nhà
- tổ chức
- lưu trữ
- Tuy nhiên
- HTML
- http
- HTTPS
- ID
- xác định
- định danh
- id
- if
- minh họa
- hình ảnh
- quan trọng
- in
- Mặt khác
- bao gồm
- Bao gồm
- chỉ số
- Ấn Độ
- Các chỉ số
- các cá nhân
- ảnh hưởng
- thông tin
- Cơ sở hạ tầng
- chích
- đầu vào
- nhập liệu
- Yêu cầu
- trong
- cài đặt, dựng lên
- cài đặt
- Cài đặt
- thay vì
- Viện
- tích hợp
- Intel
- Sự thông minh
- dự định
- quan tâm
- nội bộ
- Quốc Tế
- quốc tế
- trong
- IP
- Địa chỉ IP
- Địa chỉ IP
- Ban hành
- IT
- ITS
- Tháng một
- Nhật Bản
- JavaScript
- jio
- jQuery
- json
- chỉ
- giữ
- Key
- phím
- Biết
- kiến thức
- nổi tiếng
- Kông
- Ngôn ngữ
- Trễ, muộn
- một lát sau
- mới nhất
- phóng
- phát động
- ra mắt
- lớp
- ít nhất
- hợp pháp
- đòn bẩy
- Thư viện
- Lượt thích
- Danh sách
- Liệt kê
- lắng nghe
- Chức năng
- cuộc sống
- tải
- loader
- tải
- địa phương
- nằm
- địa điểm thư viện nào
- Xem
- mac
- máy
- hệ điều hành Mac
- ma thuật
- Chủ yếu
- đất liền
- chính
- Đa số
- Malaysia
- độc hại
- phần mềm độc hại
- quản lý
- nhiều
- giả trang
- Trận đấu
- diêm
- phù hợp
- Có thể..
- MD5
- me
- có nghĩa là
- có ý nghĩa
- có nghĩa là
- cơ chế
- Bộ nhớ
- tin nhắn
- tin nhắn
- Siêu dữ liệu
- phương pháp
- Might
- mất tích
- sửa đổi
- sửa đổi
- mô-đun
- Modules
- chi tiết
- hầu hết
- chuyển
- nhiều
- phải
- Myanmar
- tên
- Được đặt theo tên
- cần thiết
- cần thiết
- mạng
- mạng
- Mới
- tin tức
- tiếp theo
- Nigeria
- Không
- ghi
- thông báo
- con số
- vật
- được
- thu được
- có được
- thu được
- dịp
- of
- Cung cấp
- chính thức
- Trang web chinh thưc
- Xưa
- cũ
- on
- hàng loạt
- ONE
- có thể
- trên
- hoạt động
- hệ điều hành
- hoạt động
- khai thác
- or
- cơ quan
- tổ chức
- OS
- Nền tảng khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- đầu ra
- kết thúc
- riêng
- gói
- gói
- trang
- thông số
- qua
- con đường
- đường dẫn
- kiên trì
- Philippines
- mảnh
- miếng
- Nơi
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- xin vui lòng
- điểm
- đặt ra
- tiềm năng
- trình bày
- trình bày
- ngăn chặn
- Xem trước
- trước
- trước đây
- riêng
- Vấn đề
- tiền thu được
- quá trình
- Quy trình
- sản xuất
- Sản phẩm
- Hồ sơ
- lập trình
- quảng bá
- giao thức
- cung cấp
- Proxy
- công khai
- công khai
- công bố
- mục đích
- chất lượng
- sự cách ly
- truy vấn
- phạm vi
- các dãy
- đạt
- nhận
- đăng ký
- liên quan
- còn lại
- loại bỏ
- Đã loại bỏ
- sản lượng
- trả lại
- Trình bày
- trả lời
- Báo cáo
- Báo cáo
- đại diện cho
- yêu cầu
- đòi hỏi
- nghiên cứu
- nhà nghiên cứu
- chịu trách nhiệm
- đảo ngược
- quy tắc
- chạy
- chạy
- Rust
- muối
- tương tự
- mẫu
- lên kế hoạch
- kịch bản
- Thứ hai
- trung học
- Phần
- an toàn
- an ninh
- xem
- đã xem
- lựa chọn
- gửi
- Tháng Chín
- phục vụ
- máy chủ
- Các máy chủ
- dịch vụ
- DỊCH VỤ
- một số
- chia sẻ
- chia sẻ
- Shell
- nên
- thể hiện
- Chương trình
- bên
- chữ ký
- Ký kết
- ký
- tương tự
- kể từ khi
- Kích thước máy
- So
- Phần mềm
- phát triển phần mềm
- giải pháp
- Đông Nam
- Không gian
- riêng
- đặc biệt
- quy định
- Traineeship
- giai đoạn
- Sao
- Tuyên bố
- Bang
- hàng
- lưu trữ
- Chiến lược
- Chuỗi
- cấu trúc
- cấu trúc
- thành công
- như vậy
- cung cấp
- chuỗi cung ứng
- Hỗ trợ
- đáng ngờ
- Công tắc điện
- hệ thống
- bàn
- Đài Loan
- Lấy
- mất
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- Nhiệm vụ
- nhiệm vụ
- nhóm
- công nghệ cao
- Công nghệ
- Thiết bị đầu cuối
- vùng lãnh thổ
- hơn
- việc này
- Sản phẩm
- thông tin
- Philippines
- cung cấp their dịch
- Them
- tự
- sau đó
- Đó
- vì thế
- họ
- điều này
- những
- mối đe dọa
- số ba
- Thông qua
- khắp
- thời gian
- timeline
- dấu thời gian
- đến
- bên nhau
- mã thông báo
- công cụ
- bộ công cụ
- Tổng số:
- Dịch
- đúng
- NIỀM TIN
- hai
- kiểu
- điển hình
- không thể
- Dưới
- hiểu
- độc đáo
- Kỳ
- Hoa Kỳ
- trường đại học
- không xác định
- sắp tới
- Cập nhật
- URL
- us
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- thường
- giá trị
- Các giá trị
- biến thể
- phiên bản
- phiên bản
- rất
- thông qua
- nạn nhân
- nạn nhân
- Việt Nam
- Truy cập
- đến thăm
- Lượt truy cập
- du khách
- Thăm
- là
- we
- web
- Website
- trang web
- TỐT
- là
- Điều gì
- khi nào
- liệu
- cái nào
- CHÚNG TÔI LÀ
- rộng
- Phạm vi rộng
- chiều rộng
- Wikipedia
- sẽ
- cửa sổ
- với
- ở trong
- từ
- viết
- nhưng
- zephyrnet
- Zip