ESET Research phát hiện ra một chiến dịch của nhóm APT được gọi là Evasive Panda nhắm mục tiêu vào một tổ chức phi chính phủ quốc tế ở Trung Quốc bằng phần mềm độc hại được phân phối thông qua các bản cập nhật phần mềm phổ biến của Trung Quốc
Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch mà chúng tôi gán cho nhóm APT được gọi là Evasive Panda, trong đó các kênh cập nhật của các ứng dụng hợp pháp đã bị tấn công một cách bí ẩn để cung cấp trình cài đặt cho phần mềm độc hại MgBot, cửa hậu hàng đầu của Evasive Panda.
- Người dùng ở Trung Quốc đại lục là mục tiêu của phần mềm độc hại được phân phối thông qua các bản cập nhật cho phần mềm do các công ty Trung Quốc phát triển.
- Chúng tôi phân tích các giả thuyết cạnh tranh về cách phần mềm độc hại có thể đã được gửi đến người dùng được nhắm mục tiêu.
- Với độ tin cậy cao, chúng tôi gán hoạt động này cho nhóm Evasive Panda APT.
- Chúng tôi cung cấp tổng quan về MgBot cửa hậu đặc trưng của Evasive Panda và bộ công cụ gồm các mô-đun plugin của nó.
hồ sơ gấu trúc lảng tránh
gấu trúc lảng tránh (còn được biết là ĐỒ ĐỒNG TÂY NGUYÊN và dao găm) là một nhóm APT nói tiếng Trung Quốc, hoạt động kể từ ít nhất 2012. Nghiên cứu của ESET đã quan sát thấy nhóm tiến hành gián điệp mạng chống lại các cá nhân ở Trung Quốc đại lục, Hồng Kông, Macao và Nigeria. Các tổ chức chính phủ là mục tiêu ở Trung Quốc, Macao, các nước Đông Nam Á và Đông Á, cụ thể là Myanmar, Philippines, Đài Loan và Việt Nam, trong khi các tổ chức khác ở Trung Quốc và Hồng Kông cũng là mục tiêu. Theo các báo cáo công khai, nhóm này cũng đã nhắm mục tiêu vào các thực thể không xác định ở Hồng Kông, Ấn Độ và Malaysia.
Nhóm triển khai khung phần mềm độc hại tùy chỉnh của riêng mình với kiến trúc mô-đun cho phép cửa hậu của nó, được gọi là MgBot, nhận các mô-đun để theo dõi nạn nhân và nâng cao khả năng của nó.
Tổng quan về chiến dịch
Vào tháng 2022 năm 2020, chúng tôi phát hiện ra rằng trong khi thực hiện cập nhật, một ứng dụng hợp pháp của Trung Quốc đã nhận được trình cài đặt cho cửa hậu Evasive Panda MgBot. Trong quá trình điều tra, chúng tôi phát hiện ra rằng hoạt động độc hại đã có từ năm XNUMX.
Người dùng Trung Quốc là trọng tâm của hoạt động độc hại này, mà phép đo từ xa của ESET cho thấy bắt đầu từ năm 2020 và tiếp tục trong suốt năm 2021. Người dùng được nhắm mục tiêu sống ở các tỉnh Cam Túc, Quảng Đông và Giang Tô, như trong Hình 1.
Phần lớn nạn nhân người Trung Quốc là thành viên của một tổ chức phi chính phủ quốc tế hoạt động ở hai trong số các tỉnh đã đề cập trước đó.
Thêm một nạn nhân nữa cũng được phát hiện nằm ở quốc gia Nigeria.
Ghi công
Evasive Panda sử dụng một cửa hậu tùy chỉnh được gọi là MgBot, tài liệu công khai vào năm 2014 và đã có rất ít tiến triển kể từ đó; theo hiểu biết tốt nhất của chúng tôi, cửa sau chưa được sử dụng bởi bất kỳ nhóm nào khác. Trong cụm hoạt động độc hại này, chỉ quan sát thấy phần mềm độc hại MgBot được triển khai trên các máy nạn nhân, cùng với bộ công cụ bổ trợ của nó. Do đó, với độ tin cậy cao, chúng tôi quy kết hoạt động này cho Evasive Panda.
Phân tích kỹ thuật
Trong quá trình điều tra, chúng tôi đã phát hiện ra rằng khi thực hiện cập nhật tự động, một thành phần phần mềm ứng dụng hợp pháp đã tải xuống trình cài đặt cửa hậu MgBot từ các URL và địa chỉ IP hợp pháp.
Trong Bảng 1, chúng tôi cung cấp URL từ nơi tải xuống bắt nguồn, theo dữ liệu đo từ xa của ESET, bao gồm địa chỉ IP của máy chủ, như được hệ thống của người dùng giải quyết tại thời điểm đó; do đó, chúng tôi tin rằng những địa chỉ IP này là hợp pháp. Theo bản ghi DNS thụ động, tất cả các địa chỉ IP này khớp với các miền được quan sát, do đó chúng tôi tin rằng các địa chỉ IP này là hợp pháp.
Bảng 1. Các vị trí tải xuống độc hại theo phép đo từ xa của ESET
URL | Lần đầu tiên nhìn thấy | IP miền | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020‑11‑02 | 123.151.72 [.] 74 | AS58542 | QQrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96 [.] 107 | AS56040 | |||
61.129.7 [.] 35 | AS4811 |
Giả thuyết về sự thỏa hiệp
Khi chúng tôi phân tích khả năng xảy ra một số phương pháp có thể giải thích cách những kẻ tấn công quản lý để phân phối phần mềm độc hại thông qua các bản cập nhật hợp pháp, chúng tôi có hai kịch bản: thỏa hiệp chuỗi cung ứng và tấn công kẻ thù ở giữa. Đối với cả hai kịch bản, chúng tôi cũng sẽ tính đến tiền đề của các cuộc tấn công tương tự của các nhóm APT nói tiếng Trung Quốc khác.
Tencent QQ là một dịch vụ truyền thông xã hội và trò chuyện phổ biến của Trung Quốc. Trong các phần tiếp theo, chúng tôi sẽ sử dụng trình cập nhật phần mềm máy khách Tencent QQ Windows, QQrlMgr.exe (được liệt kê trong Bảng 1), đối với các ví dụ của chúng tôi, với điều kiện là chúng tôi có số lần phát hiện cao nhất từ các lượt tải xuống của thành phần cụ thể này.
Kịch bản thỏa hiệp chuỗi cung ứng
Do tính chất nhắm mục tiêu của các cuộc tấn công, chúng tôi suy đoán rằng những kẻ tấn công cần phải thỏa hiệp các máy chủ cập nhật QQ để đưa ra cơ chế xác định người dùng được nhắm mục tiêu để cung cấp phần mềm độc hại cho họ, lọc ra những người dùng không được nhắm mục tiêu và cung cấp cho họ các bản cập nhật hợp pháp – chúng tôi đã đăng ký trường hợp các bản cập nhật hợp pháp được tải xuống thông qua cùng một giao thức bị lạm dụng.
Mặc dù không phải là trường hợp của Evasive Panda, nhưng một ví dụ điển hình về kiểu thỏa hiệp này nằm trong báo cáo của chúng tôi Chiến dịch NightScout: Tấn công chuỗi cung ứng nhắm vào trò chơi trực tuyến ở châu Á, nơi những kẻ tấn công đã xâm phạm máy chủ cập nhật của một công ty phát triển phần mềm có trụ sở tại Hồng Kông. Theo dữ liệu từ xa của chúng tôi, hơn 100,000 người dùng đã cài đặt phần mềm BigNox, nhưng chỉ năm người có phần mềm độc hại được phân phối thông qua một bản cập nhật. Chúng tôi nghi ngờ rằng những kẻ tấn công đã xâm phạm API BigNox trên máy chủ cập nhật để trả lời thành phần trình cập nhật trên máy của người dùng được nhắm mục tiêu bằng một URL tới máy chủ nơi những kẻ tấn công lưu trữ phần mềm độc hại của chúng; người dùng không được nhắm mục tiêu đã được gửi URL cập nhật hợp pháp.
Dựa trên tiền đề đó, trong Hình 2, chúng tôi minh họa cách kịch bản thỏa hiệp chuỗi cung ứng có thể diễn ra theo các quan sát trong phép đo từ xa của chúng tôi. Tuy nhiên, chúng tôi phải cảnh báo độc giả rằng đây hoàn toàn là suy đoán và dựa trên phân tích tĩnh của chúng tôi, với thông tin rất hạn chế, về QQrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Cũng cần lưu ý rằng trong quá trình nghiên cứu của mình, chúng tôi chưa bao giờ có thể truy xuất một mẫu dữ liệu “cập nhật” XML - không phải mẫu XML hợp pháp hay độc hại - từ máy chủ được liên hệ bởi QQrlMgr.exe. URL “kiểm tra cập nhật” được mã hóa cứng, ở dạng bị xáo trộn, trong tệp thực thi, như thể hiện trong Hình 3.
Đã giải mã nguồn, URL kiểm tra cập nhật hoàn chỉnh là:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
Máy chủ phản hồi bằng dữ liệu có định dạng XML được mã hóa bằng base64 và được mã hóa bằng cách triển khai thuật toán TEA bằng khóa 128 bit. Dữ liệu này chứa các hướng dẫn để tải xuống và thực thi một tệp, cùng với các thông tin khác. Vì khóa giải mã cũng được mã hóa cứng, như thể hiện trong Hình 4, nên những kẻ tấn công có thể biết được.
QQrlMgr.exe sau đó tải xuống tệp được chỉ định, không được mã hóa, qua HTTP và băm nội dung của nó bằng thuật toán MD5. Kết quả được kiểm tra đối với một hàm băm có trong dữ liệu XML phản hồi kiểm tra cập nhật, như trong Hình 5. Nếu các hàm băm khớp, QQrlMgr.exe thực thi tệp đã tải xuống. Điều này củng cố giả thuyết của chúng tôi rằng những kẻ tấn công sẽ cần kiểm soát cơ chế phía máy chủ XML trong máy chủ cập nhật để có thể cung cấp hàm băm MD5 chính xác của trình cài đặt phần mềm độc hại.
Chúng tôi tin rằng kịch bản này sẽ giải thích những quan sát của chúng tôi; tuy nhiên, nhiều câu hỏi vẫn chưa được trả lời. Chúng tôi đã liên hệ với Tencent Trung tâm ứng phó an ninh để xác nhận tính hợp pháp của URL đầy đủ từ nơi phần mềm độc hại được tải xuống; update.browser.qq[.]com là – tại thời điểm viết bài – không thể truy cập được, nhưng Tencent không thể xác nhận liệu URL đầy đủ có hợp pháp hay không.
Kịch bản kẻ thù ở giữa
Vào ngày 2022-06-02, Kaspersky đã xuất bản một nghiên cứu báo cáo về khả năng của nhóm LuoYu APT nói tiếng Trung Quốc và phần mềm độc hại WinDealer của họ. Tương tự như những gì chúng tôi quan sát thấy trên nhóm nạn nhân Evasive Panda này, các nhà nghiên cứu của họ phát hiện ra rằng, kể từ năm 2020, nạn nhân của LuoYu đã nhận được phần mềm độc hại WinDealer thông qua các bản cập nhật thông qua ứng dụng hợp pháp qgametool.exe từ PPTV phần mềm, cũng được phát triển bởi một công ty Trung Quốc.
WinDealer có một khả năng khó hiểu: thay vì mang theo danh sách các máy chủ C&C đã thiết lập để liên hệ trong trường hợp thỏa hiệp thành công, nó tạo ra các địa chỉ IP ngẫu nhiên trong 13.62.0.0/15 và 111.120.0.0/14 dao động từ China Telecom AS4134. Mặc dù chỉ là một sự trùng hợp nhỏ, nhưng chúng tôi nhận thấy rằng địa chỉ IP của người dùng Trung Quốc được nhắm mục tiêu tại thời điểm nhận được phần mềm độc hại MgBot nằm trong dải địa chỉ IP AS4134 và AS4135.
Những lời giải thích có thể có cho những gì kích hoạt các khả năng này cho cơ sở hạ tầng C&C của nó là LuoYu kiểm soát một lượng lớn thiết bị được liên kết với các địa chỉ IP trên các phạm vi đó hoặc chúng có thể thực hiện đối thủ ở giữa (AitM) hoặc đánh chặn từ bên tấn công trên cơ sở hạ tầng của AS cụ thể đó.
Các kiểu đánh chặn của AitM sẽ có thể thực hiện được nếu những kẻ tấn công – LuoYu hoặc Evasive Panda – có thể xâm phạm các thiết bị dễ bị tổn thương như bộ định tuyến hoặc cổng. Như một tiền đề, vào năm 2019 Các nhà nghiên cứu của ESET đã phát hiện ra rằng nhóm APT Trung Quốc có tên BlackTech đang thực hiện các cuộc tấn công AitM thông qua các bộ định tuyến ASUS bị xâm nhập và phát tán phần mềm độc hại Plead thông qua các bản cập nhật phần mềm ASUS WebStorage.
Với quyền truy cập vào cơ sở hạ tầng xương sống của ISP – thông qua các phương tiện hợp pháp hoặc bất hợp pháp – Evasive Panda sẽ có thể chặn và trả lời các yêu cầu cập nhật được thực hiện qua HTTP hoặc thậm chí sửa đổi các gói một cách nhanh chóng. Vào tháng 2023 năm XNUMX, các nhà nghiên cứu của Symantec báo cáo trên Evasive Panda nhắm mục tiêu vào một tổ chức viễn thông ở Châu Phi.
Tổng kết
Cuối cùng, nếu không có thêm bằng chứng, chúng ta không thể chứng minh hoặc bác bỏ giả thuyết này để ủng hộ giả thuyết kia, vì các nhóm APT Trung Quốc có khả năng như vậy.
Bộ công cụ
MgBot
MgBot là cửa hậu Windows chính được sử dụng bởi Evasive Panda, theo phát hiện của chúng tôi, nó đã tồn tại ít nhất từ năm 2012 và, như đã đề cập trong bài đăng trên blog này, đã được công khai. được ghi lại tại VirusBulletin vào năm 2014. Nó được phát triển bằng C++ với thiết kế hướng đối tượng và có khả năng giao tiếp qua TCP và UDP, đồng thời mở rộng chức năng của nó thông qua các mô-đun plugin.
Trình cài đặt và cửa hậu của MgBot cũng như chức năng của chúng không thay đổi đáng kể kể từ lần đầu tiên nó được ghi lại. Chuỗi thực hiện của nó giống như được mô tả trong this báo cáo bởi Malwarebytes từ năm 2020.
Plugin MgBot
Kiến trúc mô-đun của MgBot cho phép nó mở rộng chức năng bằng cách nhận và triển khai các mô-đun trên máy bị xâm nhập. Bảng 2 liệt kê các plugin đã biết và chức năng của chúng. Điều quan trọng cần lưu ý là các plugin không có số nhận dạng nội bộ duy nhất; do đó, chúng tôi đang xác định chúng ở đây bằng tên DLL của chúng trên đĩa, điều mà chúng tôi chưa bao giờ thấy thay đổi.
Bảng 2. Danh sách các tệp DLL plugin
Tên plugin DLL | Giới thiệu chung |
---|---|
Kstrcs.dll | Keylogger. Nó chỉ tích cực ghi lại các lần nhấn phím khi cửa sổ nền trước thuộc về một quy trình có tên QQ.exe và tiêu đề cửa sổ phù hợp QQSửa đổi. Có khả năng mục tiêu là ứng dụng trò chuyện Tencent QQ. |
sebasek.dll | Kẻ đánh cắp tập tin. Có tệp cấu hình cho phép thu thập tệp từ các nguồn khác nhau: ổ cứng, ổ USB và CD-ROM; cũng như các tiêu chí dựa trên thuộc tính tệp: tên tệp phải chứa từ khóa từ danh sách được xác định trước, kích thước tệp phải nằm trong khoảng giữa kích thước tối thiểu và tối đa đã xác định. |
Cbmrpa.dll | Ghi lại văn bản được sao chép vào khay nhớ tạm và ghi lại thông tin từ khóa đăng ký USBSTOR. |
pRsm.dll | Ghi lại các luồng âm thanh đầu vào và đầu ra. |
mailLFPassword.dll | Kẻ đánh cắp thông tin xác thực. Đánh cắp thông tin đăng nhập từ phần mềm ứng dụng email khách Outlook và Foxmail. |
đại lýpwd.dll | Kẻ đánh cắp thông tin xác thực. Đánh cắp thông tin đăng nhập từ Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla và WinSCP, trong số những người khác. |
qmsdp.dll | Một plugin phức tạp được thiết kế để đánh cắp nội dung từ cơ sở dữ liệu Tencent QQ lưu trữ lịch sử tin nhắn của người dùng. Điều này đạt được bằng cách vá trong bộ nhớ của thành phần phần mềm KernelUtils.dll và thả một giả userrenv.dll ĐLL. |
wcdbcrk.dll | Kẻ đánh cắp thông tin cho Tencent WeChat. |
Gmck.dll | Trình đánh cắp cookie cho Firefox, Chrome và Edge. |
Phần lớn các plugin được thiết kế để đánh cắp thông tin từ các ứng dụng rất phổ biến của Trung Quốc như QQ, WeChat, QQBrowser và Foxmail – tất cả đều là các ứng dụng do Tencent phát triển.
Kết luận
Chúng tôi đã phát hiện ra một chiến dịch mà chúng tôi gán cho nhóm Evasive Panda APT, nhắm mục tiêu người dùng ở Trung Quốc đại lục, cung cấp cửa hậu MgBot của họ thông qua các giao thức cập nhật ứng dụng từ các công ty nổi tiếng của Trung Quốc. Chúng tôi cũng đã phân tích các plugin của cửa hậu MgBot và nhận thấy phần lớn chúng được thiết kế để theo dõi người dùng phần mềm Trung Quốc bằng cách đánh cắp thông tin và thông tin xác thực.
IoC
Các tập tin
SHA-1 | Tên tập tin | Phát hiện | Mô tả |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agent.VFT | Plugin đánh cắp thông tin MgBot. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agent.VFT | Plugin đánh cắp tập tin MgBot. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agent.VFT | Trình cắm keylogger MgBot. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agent.VFT | Plugin đánh cắp cookie MgBot. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agent.VFT | Plugin đánh cắp thông tin MgBot. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agent.VFT | Plugin thu âm thanh MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | Plugin chụp văn bản bảng tạm MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | đại lýpwd.dll | Win32/Agent.VFT | Plugin đánh cắp thông tin xác thực MgBot. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agent.VFT | Plugin đánh cắp thông tin xác thực MgBot. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | Trình cài đặt MgBot. |
mạng
IP | Provider | Lần đầu tiên nhìn thấy | Chi tiết |
---|---|---|---|
122.10.88 [.] 226 | AS55933 Cloudie Limited | 2020-07-09 | Máy chủ MgBot C&C. |
122.10.90 [.] 12 | AS55933 Cloudie Limited | 2020-09-14 | Máy chủ MgBot C&C. |
Kỹ thuật MITER ATT & CK
Bảng này được tạo bằng cách sử dụng phiên bản 12 của khuôn khổ MITER ATT & CK.
Chiến thuật | ID | Họ tên | Mô tả |
---|---|---|---|
Phát triển nguồn lực | T1583.004 | Có được cơ sở hạ tầng: Máy chủ | Evasive Panda đã mua các máy chủ để sử dụng cho cơ sở hạ tầng C&C. |
T1587.001 | Phát triển khả năng: Phần mềm độc hại | Evasive Panda phát triển các plugin và cửa hậu MgBot tùy chỉnh của nó, bao gồm cả các trình tải bị xáo trộn. | |
Thực hiện | T1059.003 | Bộ thông dịch lệnh và tập lệnh: Windows Command Shell | Trình cài đặt của MgBot khởi chạy dịch vụ từ các tệp BAT bằng lệnh bắt đầu mạng AppMgmt |
T1106 | API gốc | Trình cài đặt của MgBot sử dụng CreateProcessInternalW API để thực thi rundll32.exe để tải DLL backdoor. | |
T1569.002 | Dịch vụ hệ thống: Thực thi dịch vụ | MgBot được thực thi như một dịch vụ Windows. | |
Persistence | T1543.003 | Tạo hoặc sửa đổi quy trình hệ thống: Dịch vụ Windows | MgBot thay thế đường dẫn của DLL dịch vụ Quản lý ứng dụng hiện có bằng đường dẫn của chính nó. |
Nâng cao đặc quyền | T1548.002 | Cơ chế kiểm soát độ cao lạm dụng: Bỏ qua kiểm soát tài khoản người dùng | MgBot thực hiện Bỏ qua UAC. |
Phòng thủ né tránh | T1140 | Giải mã / giải mã tệp hoặc thông tin | Trình cài đặt của MgBot giải mã một tệp CAB được nhúng có chứa DLL cửa sau. |
T1112 | Sửa đổi sổ đăng ký | MgBot sửa đổi sổ đăng ký để duy trì. | |
T1027 | Tệp hoặc thông tin bị xáo trộn | Trình cài đặt của MgBot chứa các tệp phần mềm độc hại được nhúng và các chuỗi được mã hóa. MgBot chứa các chuỗi được mã hóa. Plugin MgBot chứa các tệp DLL được nhúng. | |
T1055.002 | Quá trình tiêm: Portable Executable Injection | MgBot có thể đưa các tệp Portable Executable vào các quy trình từ xa. | |
Quyền truy cập thông tin xác thực | T1555.003 | Thông tin đăng nhập từ Cửa hàng mật khẩu: Thông tin đăng nhập từ Trình duyệt web | Mô-đun plugin MgBot đại lýpwd.dll đánh cắp thông tin xác thực từ trình duyệt web. |
T1539 | Đánh cắp cookie phiên web | Mô-đun plugin MgBot Gmck.dll ăn cắp bánh quy. | |
khám phá | T1082 | Khám phá thông tin hệ thống | MgBot thu thập thông tin hệ thống. |
T1016 | Khám phá cấu hình mạng hệ thống | MgBot có khả năng khôi phục thông tin mạng. | |
T1083 | Khám phá tệp và thư mục | MgBot có khả năng tạo danh sách tệp. | |
Bộ sưu tập | T1056.001 | Chụp đầu vào: Keylogging | Mô-đun plugin MgBot kstrcs.dll là một keylogger. |
T1560.002 | Lưu trữ dữ liệu đã thu thập: Lưu trữ qua Thư viện | Mô-đun plugin của MgBot sebasek.dll sử dụng aPLib để nén các tệp được dàn dựng để lọc. | |
T1123 | Chụp âm thanh | Mô-đun plugin của MgBot pRsm.dll ghi lại các luồng âm thanh đầu vào và đầu ra. | |
T1119 | Bộ sưu tập tự động | Các mô-đun plugin của MgBot thu thập dữ liệu từ nhiều nguồn khác nhau. | |
T1115 | Dữ liệu Clipboard | Mô-đun plugin của MgBot Cbmrpa.dll chụp văn bản được sao chép vào clipboard. | |
T1025 | Dữ liệu từ phương tiện có thể tháo rời | Mô-đun plugin của MgBot sebasek.dll thu thập các tập tin từ phương tiện di động. | |
T1074.001 | Giai đoạn dữ liệu: Giai đoạn dữ liệu cục bộ | Các mô-đun plugin của MgBot tạo dữ liệu cục bộ trên đĩa. | |
T1114.001 | Thu thập Email: Thu thập Email Địa phương | Các mô-đun plugin của MgBot được thiết kế để đánh cắp thông tin đăng nhập và thông tin email từ một số ứng dụng. | |
T1113 | Chụp màn hình | MgBot có thể chụp ảnh màn hình. | |
Lệnh và kiểm soát | T1095 | Giao thức lớp không ứng dụng | MgBot giao tiếp với C&C của nó thông qua các giao thức TCP và UDP. |
Lọc | T1041 | Lọc qua kênh C2 | MgBot thực hiện trích xuất dữ liệu đã thu thập thông qua C&C. |
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- : có
- :là
- :không phải
- :Ở đâu
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Có khả năng
- Giới thiệu
- truy cập
- Theo
- Tài khoản
- đạt được
- mua lại
- tích cực
- hoạt động
- thêm vào
- địa chỉ
- Châu Phi
- chống lại
- thuật toán
- Tất cả
- cho phép
- dọc theo
- Ngoài ra
- Mặc dù
- trong số
- số lượng
- an
- phân tích
- phân tích
- và
- bất kì
- api
- Các Ứng Dụng
- các ứng dụng
- Tháng Tư
- APT
- kiến trúc
- lưu trữ
- LÀ
- AS
- Asian
- liên kết
- At
- tấn công
- Các cuộc tấn công
- âm thanh
- Tự động
- trở lại
- Xương sống
- cửa sau
- dựa
- Bát
- BE
- được
- Tin
- thuộc
- BEST
- giữa
- Blog
- cả hai
- trình duyệt
- trình duyệt
- xây dựng
- nhưng
- by
- C + +
- Chiến dịch
- CAN
- không thể
- khả năng
- nắm bắt
- chụp
- thực
- trường hợp
- trường hợp
- chuỗi
- thay đổi
- kênh
- kiểm tra
- đã kiểm tra
- Trung Quốc
- Trung Quốc
- cơ rôm
- khách hàng
- cụm
- mã
- sự trùng hợp
- bộ sưu tập
- giao tiếp
- Các công ty
- công ty
- cạnh tranh
- hoàn thành
- phức tạp
- thành phần
- thỏa hiệp
- Thỏa hiệp
- Tiến hành
- sự tự tin
- Cấu hình
- Xác nhận
- liên lạc
- chứa
- chứa
- nội dung
- nội dung
- tiếp tục
- điều khiển
- bánh quy
- có thể
- nước
- đất nước
- Tạo
- CHỨNG CHỈ
- Credentials
- tiêu chuẩn
- khách hàng
- dữ liệu
- Cơ sở dữ liệu
- xác định
- cung cấp
- giao
- phân phối
- cung cấp
- triển khai
- triển khai
- mô tả
- Thiết kế
- thiết kế
- phát triển
- Nhà phát triển
- phát triển
- Thiết bị (Devices)
- khác nhau
- phát hiện
- dns
- do
- lĩnh vực
- dont
- tải về
- Tải xuống
- Rơi
- suốt trong
- Đông
- Cạnh
- hay
- nhúng
- cho phép
- mã hóa
- nâng cao
- thực thể
- Nghiên cứu ESET
- thành lập
- Ngay cả
- bằng chứng
- sự tiến hóa
- ví dụ
- ví dụ
- thi hành
- Thi công
- thực hiện
- sự lọc ra
- hiện tại
- Giải thích
- thêm
- giả mạo
- ủng hộ
- Hình
- Tập tin
- Các tập tin
- lọc
- Firefox
- Tên
- Hàng đầu
- Tập trung
- Trong
- hình thức
- tìm thấy
- Khung
- từ
- Full
- chức năng
- xa hơn
- chơi game
- tạo
- được
- Chính phủ
- Các cơ quan chính phủ
- Nhóm
- Các nhóm
- Quảng Đông
- có
- tay
- băm
- Có
- tại đây
- Cao
- cao nhất
- cao
- lịch sử
- Hồng
- Hồng Kông
- tổ chức
- Độ đáng tin của
- Tuy nhiên
- http
- HTTPS
- Xác định
- xác định
- xác định
- if
- Bất hợp pháp
- thực hiện
- thực hiện
- quan trọng
- in
- Bao gồm
- Ấn Độ
- chỉ ra
- các cá nhân
- thông tin
- Cơ sở hạ tầng
- đầu vào
- cài đặt
- thay vì
- hướng dẫn
- nội bộ
- Quốc Tế
- trong
- giới thiệu
- điều tra
- IP
- Địa chỉ IP
- ISP
- IT
- ITS
- Tháng một
- Kaspersky
- Key
- kiến thức
- nổi tiếng
- Kông
- lớn
- ra mắt
- lớp
- Hợp pháp
- hợp pháp
- hợp pháp
- Có khả năng
- Hạn chế
- Danh sách
- Liệt kê
- Các bảng liệt kê
- Chức năng
- ít
- tải
- địa phương
- tại địa phương
- nằm
- . Các địa điểm
- máy
- Máy móc
- đất liền
- Đa số
- Malaysia
- phần mềm độc hại
- Malwarebytes
- quản lý
- quản lý
- nhiều
- bản đồ
- Trận đấu
- max-width
- tối đa
- MD5
- có nghĩa
- cơ chế
- Phương tiện truyền thông
- Các thành viên
- đề cập
- tin nhắn
- phương pháp
- tối thiểu
- sửa đổi
- mô-đun
- Mô-đun
- Modules
- chi tiết
- Myanmar
- Được đặt theo tên
- tên
- Thiên nhiên
- Cần
- cần thiết
- Cũng không
- mạng
- tiếp theo
- Ngô
- Nigeria
- con số
- số
- of
- on
- ONE
- Trực tuyến
- chơi game trực tuyến
- có thể
- Opera
- hoạt động
- or
- cơ quan
- tổ chức
- nguồn gốc
- Nền tảng khác
- Khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- Outlook
- đầu ra
- kết thúc
- tổng quan
- riêng
- gói
- riêng
- thụ động
- Mật khẩu
- Vá
- con đường
- biểu diễn
- thực hiện
- kiên trì
- Philippines
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- biện hộ
- Plugin
- bổ sung
- điểm
- Phổ biến
- có thể
- Bài đăng
- trình bày
- trước đây
- chính
- Thủ tướng Chính phủ
- quá trình
- Quy trình
- tài sản
- giao thức
- Chứng minh
- cho
- tỉnh
- công khai
- công khai
- công bố
- hoàn toàn
- Câu hỏi
- ngẫu nhiên
- đạt
- Người đọc
- nhận
- nhận
- nhận
- hồ sơ
- Phục hồi
- đăng ký
- đăng ký
- xa
- trả lời
- báo cáo
- Báo cáo
- yêu cầu
- nghiên cứu
- nhà nghiên cứu
- quyết định
- phản ứng
- kết quả
- s
- tương tự
- kịch bản
- kịch bản
- ảnh chụp màn hình
- phần
- an ninh
- đã xem
- Trình tự
- Các máy chủ
- dịch vụ
- DỊCH VỤ
- Phiên
- một số
- thể hiện
- Chương trình
- đáng kể
- tương tự
- kể từ khi
- Kích thước máy
- nhỏ
- Mạng xã hội
- truyền thông xã hội
- Phần mềm
- nguồn
- đặc biệt
- suy đoán
- Traineeship
- Bắt đầu
- Bắt đầu
- ăn trộm
- Vẫn còn
- cửa hàng
- dòng
- thành công
- như vậy
- hệ thống
- bàn
- Đài Loan
- Hãy
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- Trà
- viễn thông
- viễn thông
- Tencent
- hơn
- việc này
- Sản phẩm
- Philippines
- cung cấp their dịch
- Them
- sau đó
- vì thế
- Kia là
- họ
- điều này
- những
- Thông qua
- khắp
- thời gian
- Yêu sách
- đến
- bộ công cụ
- kiểu
- độc đáo
- không thể tiếp cận
- Cập nhật
- Cập nhật
- URL
- usb
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- khác nhau
- rất
- thông qua
- nạn nhân
- nạn nhân
- Việt Nam
- Dễ bị tổn thương
- là
- we
- web
- Trình duyệt web
- TỐT
- nổi tiếng
- là
- Điều gì
- khi nào
- liệu
- cái nào
- trong khi
- rộng
- Wikipedia
- sẽ
- cửa sổ
- với
- không có
- giá trị
- sẽ
- viết
- XML
- zephyrnet