DownEx ਮਾਲਵੇਅਰ
infosec ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਮੱਧ ਏਸ਼ੀਆ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਇੱਕ ਨਿਸ਼ਾਨਾ ਅਤੇ ਗੁੰਝਲਦਾਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਕੇਂਦਰ ਬਣ ਗਈਆਂ ਹਨ। ਇਹ ਕਾਰਵਾਈ ਡਾਊਨਐਕਸ ਨਾਮਕ ਇੱਕ ਨਵੀਂ ਕਿਸਮ ਦੇ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜੋ ਪਹਿਲਾਂ ਮਾਹਰਾਂ ਲਈ ਅਣਜਾਣ ਸੀ। ਹਮਲਿਆਂ ਦਾ ਹੁਣ ਤੱਕ ਕਿਸੇ ਖਾਸ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ) ਜਾਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਨਹੀਂ ਠਹਿਰਾਇਆ ਗਿਆ ਹੈ, ਪਰ ਸਬੂਤ ਰੂਸ ਵਿੱਚ ਸਥਿਤ ਅਦਾਕਾਰਾਂ ਦੀ ਸ਼ਮੂਲੀਅਤ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ।
DownEx ਮਾਲਵੇਅਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀ ਪਹਿਲੀ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਘਟਨਾ ਕਜ਼ਾਕਿਸਤਾਨ ਵਿੱਚ ਵਾਪਰੀ, ਜਿੱਥੇ 2022 ਦੇ ਅਖੀਰ ਵਿੱਚ ਵਿਦੇਸ਼ੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਉੱਚ ਨਿਸ਼ਾਨਾ ਹਮਲਾ ਕੀਤਾ ਗਿਆ ਸੀ। ਬਾਅਦ ਵਿੱਚ ਅਫਗਾਨਿਸਤਾਨ ਵਿੱਚ ਇੱਕ ਹੋਰ ਹਮਲਾ ਦੇਖਿਆ ਗਿਆ। ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਕੂਟਨੀਤਕ ਥੀਮ ਵਾਲੇ ਦਸਤਾਵੇਜ਼ ਦੀ ਵਰਤੋਂ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ 'ਤੇ ਹਮਲਾਵਰਾਂ ਦਾ ਧਿਆਨ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਸਮੂਹ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਜ਼ੋਰਦਾਰ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਅਜੇ ਤੱਕ ਹੈਕਿੰਗ ਸੰਗਠਨ ਦੀ ਪਛਾਣ ਦੀ ਪੁਸ਼ਟੀ ਨਹੀਂ ਹੋਈ ਹੈ। ਓਪਰੇਸ਼ਨ ਅਜੇ ਵੀ ਜਾਰੀ ਹੈ, ਅਤੇ ਹੋਰ ਹਮਲੇ ਹੋ ਸਕਦੇ ਹਨ, ਬਿਟਡੇਫੈਂਡਰ ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਨੇ ਧਮਕੀ ਅਤੇ ਇਸ ਨਾਲ ਸੰਬੰਧਿਤ ਹਮਲੇ ਦੀ ਗਤੀਵਿਧੀ 'ਤੇ ਇੱਕ ਰਿਪੋਰਟ ਜਾਰੀ ਕੀਤੀ ਹੈ।
DownEx Malware ਅਟੈਕ ਚੇਨ ਲਾਲਚ ਸੰਦੇਸ਼ਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ
ਇਹ ਸ਼ੱਕ ਹੈ ਕਿ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਲਈ ਘੁਸਪੈਠ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸਾਧਨਾਂ ਵਿੱਚ ਇੱਕ ਧਮਕੀ ਭਰੀ ਪੇਲੋਡ ਵਾਲੀ ਇੱਕ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਸ਼ਾਮਲ ਸੀ। ਕਿਹਾ ਗਿਆ ਪੇਲੋਡ ਇੱਕ ਲੋਡਰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ ਜੋ ਮਾਈਕਰੋਸਾਫਟ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਹੈ। ਇੱਕ ਵਾਰ ਅਟੈਚਮੈਂਟ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਦੋ ਫਾਈਲਾਂ ਕੱਢੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਜਾਅਲੀ ਦਸਤਾਵੇਜ਼ ਹੈ ਜੋ ਪੀੜਤ ਨੂੰ ਧੋਖੇ ਵਜੋਂ ਦਿਖਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਸਦੇ ਨਾਲ ਹੀ, VBScript ਕੋਡ ਵਾਲੀ ਇੱਕ ਖਤਰਨਾਕ HTML ਐਪਲੀਕੇਸ਼ਨ (.HTA) ਫਾਈਲ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਚੱਲਦੀ ਹੈ।
HTA ਫਾਈਲ ਨੂੰ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਟੂਲ ਦੀ ਸਹੀ ਪ੍ਰਕਿਰਤੀ ਦਾ ਅਜੇ ਤੱਕ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ, ਪਰ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਨਿਰੰਤਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਬੈਕਡੋਰ ਕੰਮ ਹੈ। ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਇੱਕ ਉੱਚ ਸੰਗਠਿਤ ਅਤੇ ਸੂਝਵਾਨ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਚਲਾਈ ਜਾ ਰਹੀ ਹੈ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਸਮੂਹ, ਵਿਦੇਸ਼ੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਤੋਂ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।
DownEx ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ-ਨਾਲ ਵਾਧੂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਟੂਲ ਤਾਇਨਾਤ ਕੀਤੇ ਗਏ ਹਨ
DownEx ਮਾਲਵੇਅਰ ਦੇ ਦੋ ਵੱਖ-ਵੱਖ ਸੰਸਕਰਣ ਦੇਖੇ ਗਏ ਹਨ। ਪਹਿਲਾ ਰੂਪ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨੂੰ ਫਾਈਲਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਭੇਜਣ ਲਈ ਇੱਕ ਵਿਚਕਾਰਲੇ VBScript ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਦੂਜਾ ਵੇਰੀਐਂਟ slmgr.vibe ਨਾਮਕ VBE ਸਕ੍ਰਿਪਟ ਰਾਹੀਂ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ C++ ਦੀ ਬਜਾਏ VBScript ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਵੱਖ-ਵੱਖ ਪ੍ਰੋਗ੍ਰਾਮਿੰਗ ਭਾਸ਼ਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਦੂਜਾ ਸੰਸਕਰਣ ਪਹਿਲੇ ਵਰਗੀਆਂ ਹੀ ਖਤਰਨਾਕ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦਾ ਹੈ।
ਦੂਜਾ DownEx ਮਾਲਵੇਅਰ ਵੇਰੀਐਂਟ ਇੱਕ ਫਾਈਲ ਰਹਿਤ ਅਟੈਕ ਤਕਨੀਕ ਦਾ ਇਸਤੇਮਾਲ ਕਰਦਾ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਡਾਊਨਐਕਸ ਸਕ੍ਰਿਪਟ ਸਿਰਫ਼ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਈ ਜਾਂਦੀ ਹੈ ਅਤੇ ਕਦੇ ਵੀ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਦੀ ਡਿਸਕ ਨੂੰ ਨਹੀਂ ਛੂਹਦੀ ਹੈ। ਇਹ ਤਕਨੀਕ ਆਧੁਨਿਕ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਵਧ ਰਹੀ ਸੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਅਤੇ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਸਾਈਬਰ ਅਪਰਾਧੀ ਆਪਣੇ ਹਮਲਿਆਂ ਨੂੰ ਵਧੇਰੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਅਤੇ ਖੋਜਣ ਲਈ ਔਖਾ ਬਣਾਉਣ ਲਈ ਨਵੇਂ ਤਰੀਕੇ ਵਿਕਸਿਤ ਕਰ ਰਹੇ ਹਨ।
