स्टिल्थ सैनिक मालवेयर
\
साइबरसेक्युरिटी समुदायले हालै नयाँ पहिचान गरिएको कस्टम ब्याकडोर पत्ता लगाएको छ जसलाई स्टिल्थ सोल्जर भनिन्छ, जुन उत्तर अफ्रिकामा परिष्कृत र विशेष गरी लक्षित जासुसी अभियानहरूको श्रृंखलामा प्रयोग गरिएको छ।
द स्टेल्थ सोल्जर एउटा कागजविहीन ब्याकडोर मालवेयर हो जसले निगरानी क्षमताहरूको दायरा प्रदर्शन गर्दछ, जसको उद्देश्य सम्झौता गरिएका प्रणालीहरूबाट संवेदनशील जानकारी सङ्कलन गर्ने हो। यसले विभिन्न निगरानी कार्यहरू गर्दछ, जस्तै संक्रमित उपकरणबाट फाइलहरू निकाल्ने, स्क्रिन र माइक्रोफोनमा गतिविधिहरू रेकर्ड गर्ने, किस्ट्रोकहरू लग गर्ने, र ब्राउजिङ-सम्बन्धित डाटा चोरी गर्ने।
यस आक्रमण अपरेशनको एउटा उल्लेखनीय पक्ष भनेको कमाण्ड-एन्ड-कन्ट्रोल (C&C) सर्भरहरूको प्रयोग हो जसले लिबियाको विदेश मन्त्रालयसँग सम्बन्धित वेबसाइटहरूको नक्कल गर्दछ। यी वैध साइटहरूको नक्कल गरेर, आक्रमणकारीहरूले भ्रामक वातावरण सिर्जना गर्छन् जसले तिनीहरूको दुर्भावनापूर्ण गतिविधिहरूको कार्यान्वयनमा मद्दत गर्दछ। यस स्टिल्थ सोल्जर अभियानको प्रारम्भिक ट्रेसहरू अक्टोबर 2022 मा पत्ता लगाउन सकिन्छ, जसले आक्रमणकारीहरू सक्रिय रूपमा सक्रिय रूपमा लामो समयदेखि सञ्चालन गरिरहेको संकेत गर्दछ।
स्टिल्थ सोल्जर मालवेयर अपरेटरहरूले सामाजिक ईन्जिनियरिङ् रणनीतिहरू प्रयोग गर्छन्
आक्रमण अभियान सामाजिक ईन्जिनियरिङ् रणनीति मार्फत मालिसियस डाउनलोडर बाइनरीहरू डाउनलोड गर्न ठगिएको सम्भावित लक्ष्यहरूको साथ सुरु हुन्छ। यी भ्रामक बाइनरीहरूले स्टिल्थ सोल्जर मालवेयरलाई डेलिभर गर्ने माध्यमको रूपमा सेवा गर्छन्, जबकि एकैसाथ पीडितहरूलाई विचलित गर्नको लागि हानिरहित डिको पीडीएफ फाइल प्रदर्शन गर्दछ।
एक पटक स्टेल्थ सोल्जर मालवेयर सफलतापूर्वक तैनात भएपछि, यसको कस्टम मोड्युलर इम्प्लान्ट सक्रिय हुन्छ। यो प्रत्यारोपण, पत्ता लगाउनबाट बच्न थोरै प्रयोग गरिन्छ भन्ने विश्वास गरिन्छ, यसले मालवेयरलाई निगरानी क्षमताहरूको दायरासँग सुसज्जित गर्दछ। यसले डाइरेक्टरी सूचीहरू र ब्राउजर प्रमाणहरू सङ्कलन गर्दछ, किस्ट्रोकहरू लग गर्दछ, यन्त्रको माइक्रोफोनबाट अडियो रेकर्ड गर्दछ, स्क्रिनसटहरू खिच्दछ, फाइलहरू अपलोड गर्दछ र PowerShell आदेशहरू कार्यान्वयन गर्दछ।
मालवेयरले विभिन्न प्रकारका आदेशहरू प्रयोग गर्दछ। केही आदेशहरू कमाण्ड-एण्ड-कन्ट्रोल (C&C) सर्भरबाट डाउनलोड गरिएका प्लगइनहरू हुन्, जबकि अरूहरू मालवेयर भित्र इम्बेड गरिएका मोड्युलहरू हुन्। यो मोड्युलर दृष्टिकोणले मालवेयरको कार्यक्षमतामा लचिलोपन र अनुकूलनताको लागि अनुमति दिन्छ। यसले यो पनि संकेत गर्दछ कि अपरेटरहरूले सक्रिय रूपमा मालवेयरलाई कायम राख्छन् र अद्यावधिक गर्छन्, जस्तो कि स्टिल्थ सोल्जरको तीन भिन्न संस्करणहरूको खोजबाट प्रमाणित हुन्छ।
यद्यपि स्टेल्थ सोल्जरका केही कम्पोनेन्टहरू अब पहुँचयोग्य छैनन्, विश्लेषणले खुलासा गरेको छ कि केहि प्रकार्यताहरू, जस्तै स्क्रिन क्याप्चर र ब्राउजर क्रेडेन्सियल चोरी, GitHub मा उपलब्ध खुला स्रोत परियोजनाहरूबाट प्रेरित थिए। यसले सुझाव दिन्छ कि स्टिल्थ सोल्जर पछिका खतरा अभिनेताहरूले अवस्थित उपकरणहरूबाट प्रेरणा लिए र तिनीहरूको क्षमता र प्रभावकारिता बढाउनको लागि तिनीहरूको अनुकूलन मालवेयरमा समावेश गरे।
अघिल्लो रेकर्ड गरिएको मालवेयर सञ्चालनहरूसँग समानताहरू
यसबाहेक, यो पत्ता लगाइएको छ कि स्टिल्थ सोल्जरले प्रयोग गरेको पूर्वाधारले नाइलमा आइको रूपमा चिनिने अघिल्लो फिसिङ अभियानसँग जोडिएको पूर्वाधारसँग मिल्दोजुल्दो छ। द आई अन द नाइल अभियानले सन् २०१९ मा इजिप्टका पत्रकार र मानवअधिकारकर्मीहरूलाई लक्षित गरेको थियो।
यो विकासले दुबै अभियानका लागि जिम्मेवार खतरा अभिनेताको सम्भावित पुनरुत्थानलाई संकेत गर्दछ। यसले सुझाव दिन्छ कि समूह विशेष गरी इजिप्ट र लिबियामा व्यक्तिहरूलाई लक्षित गरी निगरानी गतिविधिहरू सञ्चालन गर्नमा केन्द्रित छ।
मालवेयरको मोड्युलर प्रकृति र धेरै संक्रमण चरणहरूको उपयोगलाई ध्यानमा राख्दै, आक्रमणकारीहरूले उनीहरूको रणनीति र प्रविधिहरू अनुकूलन गर्न जारी राख्ने सम्भावना धेरै छ। यो अनुकूलनताले संकेत गर्दछ कि खतरा अभिनेताले निकट भविष्यमा मालवेयरको अद्यावधिक संस्करणहरू रिलिज गर्नेछ, सम्भावित रूपमा नयाँ प्रकार्यताहरू र तिनीहरूको निगरानी उद्देश्यहरूलाई अगाडि बढाउनको लागि भ्रामक चालहरू प्रस्तुत गर्नेछ।
