चुपके सैनिक मैलवेयर
\
साइबर सुरक्षा समुदाय ने हाल ही में स्टील्थ सोल्जर नामक एक नए पहचाने गए कस्टम बैकडोर की खोज की है, जिसका उपयोग उत्तरी अफ्रीका में परिष्कृत और विशेष रूप से लक्षित जासूसी अभियानों की एक श्रृंखला में किया गया है।
स्टील्थ सोल्जर एक अप्रमाणित बैकडोर मालवेयर है जो कई तरह की निगरानी क्षमताओं को प्रदर्शित करता है, जिसका उद्देश्य समझौता किए गए सिस्टम से संवेदनशील जानकारी एकत्र करना है। यह विभिन्न निगरानी कार्य करता है, जैसे संक्रमित डिवाइस से फ़ाइलें निकालना, स्क्रीन और माइक्रोफ़ोन पर रिकॉर्डिंग गतिविधियां, कीस्ट्रोक्स लॉग करना और ब्राउज़िंग-संबंधित डेटा चोरी करना।
इस हमले के ऑपरेशन का एक उल्लेखनीय पहलू कमांड-एंड-कंट्रोल (C&C) सर्वर का उपयोग है जो लीबिया के विदेश मामलों के मंत्रालय से जुड़ी वेबसाइटों की नकल करता है। इन वैध साइटों की नकल करके, हमलावर एक भ्रामक वातावरण बनाते हैं जो उनकी दुर्भावनापूर्ण गतिविधियों को अंजाम देने में सहायता करता है। इस स्टील्थ सोल्जर अभियान के शुरुआती निशान अक्टूबर 2022 तक देखे जा सकते हैं, जो दर्शाता है कि हमलावर काफी समय से सक्रिय रूप से काम कर रहे हैं।
स्टील्थ सोल्जर मैलवेयर ऑपरेटर्स सोशल इंजीनियरिंग रणनीति का उपयोग करते हैं
हमला अभियान सामाजिक इंजीनियरिंग रणनीति के माध्यम से दुर्भावनापूर्ण डाउनलोडर बायनेरिज़ को डाउनलोड करने में संभावित लक्ष्यों के साथ शुरू होता है। ये भ्रामक बायनेरिज़ स्टील्थ सोल्जर मालवेयर डिलीवर करने के साधन के रूप में काम करते हैं, साथ ही पीड़ितों को विचलित करने के लिए एक हानिरहित डिकॉय पीडीएफ फाइल प्रदर्शित करते हैं।
एक बार स्टील्थ सोल्जर मैलवेयर सफलतापूर्वक तैनात हो जाने के बाद, इसका कस्टम मॉड्यूलर इम्प्लांट सक्रिय हो जाता है। माना जाता है कि इस इम्प्लांट का पता लगाने से बचने के लिए किफायत से इस्तेमाल किया जाता है, मैलवेयर को निगरानी क्षमताओं की एक श्रृंखला से लैस करता है। यह निर्देशिका सूची और ब्राउज़र क्रेडेंशियल्स एकत्र करता है, कीस्ट्रोक्स लॉग करता है, डिवाइस के माइक्रोफ़ोन से ऑडियो रिकॉर्ड करता है, स्क्रीनशॉट कैप्चर करता है, फ़ाइलें अपलोड करता है और PowerShell कमांड निष्पादित करता है।
मैलवेयर विभिन्न प्रकार के आदेशों को नियोजित करता है। कुछ आदेश प्लगइन्स होते हैं जिन्हें कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर से डाउनलोड किया जाता है, जबकि अन्य मैलवेयर के भीतर एम्बेडेड मॉड्यूल होते हैं। यह मॉड्यूलर दृष्टिकोण मैलवेयर की कार्यक्षमता में लचीलापन और अनुकूलता की अनुमति देता है। यह यह भी इंगित करता है कि ऑपरेटर सक्रिय रूप से मालवेयर को बनाए रखते हैं और अपडेट करते हैं, जैसा कि स्टील्थ सोल्जर के तीन अलग-अलग संस्करणों की खोज से स्पष्ट होता है।
हालांकि स्टील्थ सोल्जर के कुछ घटक अब पहुंच योग्य नहीं हैं, विश्लेषण से पता चला है कि स्क्रीन कैप्चर और ब्राउज़र क्रेडेंशियल चोरी जैसी कुछ कार्यात्मकताएं गिटहब पर उपलब्ध ओपन-सोर्स प्रोजेक्ट्स से प्रेरित थीं। इससे पता चलता है कि स्टील्थ सोल्जर के पीछे के खतरे वाले अभिनेताओं ने मौजूदा उपकरणों से प्रेरणा ली और उन्हें अपनी क्षमताओं और प्रभावशीलता को बढ़ाने के लिए अपने कस्टम मैलवेयर में शामिल किया।
पहले से रिकॉर्ड किए गए मालवेयर ऑपरेशंस के साथ समानताएं
इसके अलावा, यह पता चला है कि स्टील्थ सोल्जर द्वारा उपयोग किया जाने वाला बुनियादी ढांचा पिछले फ़िशिंग अभियान से जुड़े बुनियादी ढांचे के साथ समानता साझा करता है जिसे आई ऑन द नाइल कहा जाता है। द आई ऑन द नाइल अभियान ने 2019 में मिस्र के पत्रकारों और मानवाधिकार कार्यकर्ताओं को निशाना बनाया।
यह विकास दोनों अभियानों के लिए जिम्मेदार थ्रेट एक्टर के संभावित पुनरुत्थान को इंगित करता है। यह सुझाव देता है कि समूह विशेष रूप से मिस्र और लीबिया में व्यक्तियों को लक्षित करने वाली निगरानी गतिविधियों के संचालन पर केंद्रित है।
मैलवेयर की मॉड्यूलर प्रकृति और कई संक्रमण चरणों के उपयोग को ध्यान में रखते हुए, यह अत्यधिक संभावना है कि हमलावर अपनी रणनीति और तकनीकों को अपनाना जारी रखेंगे। इस अनुकूलनशीलता का अर्थ है कि खतरा अभिनेता निकट भविष्य में मैलवेयर के अद्यतन संस्करण जारी करेगा, संभावित रूप से नई कार्यक्षमताओं को पेश करेगा और अपने निगरानी उद्देश्यों को आगे बढ़ाने के लिए युद्धाभ्यास करेगा।
