DroxiDat ਮਾਲਵੇਅਰ
ਇੱਕ ਅਣਪਛਾਤੇ ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਅਭਿਨੇਤਾ ਦੱਖਣੀ ਅਫਰੀਕਾ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਬਿਜਲੀ ਉਤਪਾਦਨ ਕੰਪਨੀ ਉੱਤੇ ਸਾਈਬਰ ਹਮਲੇ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਹਮਲੇ ਨੇ ਡਰਾਕਸੀਡਾਟ ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਮਾਲਵੇਅਰ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਹੈ ਕਿ ਇਹ ਪਹਿਲਾਂ ਖੋਜੇ ਗਏ SystemBC ਦਾ ਇੱਕ ਨਵਾਂ ਦੁਹਰਾਓ ਹੈ ਅਤੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਅਨੁਮਾਨਿਤ ਰੈਨਸਮਵੇਅਰ ਹਮਲੇ ਲਈ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਕਦਮ ਵਜੋਂ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ।
DroxiDat ਦੀ ਤੈਨਾਤੀ, ਪ੍ਰੌਕਸੀ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਇੱਕ ਬੈਕਡੋਰ, ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਦੀ ਵਰਤੋਂ ਦੇ ਨਾਲ ਨਾਲ ਹੋਈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਹ ਨਿਰਧਾਰਿਤ ਕੀਤਾ ਹੈ ਕਿ ਇਹ ਘਟਨਾ ਮਾਰਚ 2023 ਦੇ ਅਖੀਰ ਵਿੱਚ ਵਾਪਰੀ ਸੀ। ਇਸ ਸਮੇਂ ਦੌਰਾਨ, ਇਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਹਮਲਾ ਕਾਰਵਾਈ ਆਪਣੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਵਾਂ ਵਿੱਚ ਸੀ, ਸਿਸਟਮ ਪ੍ਰੋਫਾਈਲਿੰਗ ਅਤੇ ਕਮਾਂਡ ਨਾਲ ਸੰਚਾਰ ਦੀ ਸਹੂਲਤ ਲਈ SOCKS5 ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਪ੍ਰੌਕਸੀ ਨੈਟਵਰਕ ਦੀ ਸਥਾਪਨਾ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਤ ਕੀਤਾ ਗਿਆ ਸੀ। -ਅਤੇ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚਾ।
DroxiDat ਦੇ ਸਿਰਜਣਹਾਰਾਂ ਨੇ SystemBC ਮਾਲਵੇਅਰ ਨੂੰ ਆਧਾਰ ਵਜੋਂ ਵਰਤਿਆ
ਸਿਸਟਮਬੀਸੀ ਇੱਕ ਵਸਤੂ ਮਾਲਵੇਅਰ ਅਤੇ ਰਿਮੋਟ ਪ੍ਰਬੰਧਕੀ ਟੂਲ ਹੈ ਜੋ C/C++ ਵਿੱਚ ਕੋਡ ਕੀਤਾ ਗਿਆ ਹੈ। ਖ਼ਤਰਾ ਸ਼ੁਰੂ ਵਿੱਚ 2019 ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ। ਇਸ ਦੇ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ SOCKS5 ਪ੍ਰੌਕਸੀ ਸਥਾਪਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਪ੍ਰੌਕਸੀ ਮਾਲਵੇਅਰ ਦੇ ਦੂਜੇ ਰੂਪਾਂ ਨਾਲ ਜੁੜੇ ਜਾਅਲੀ ਟ੍ਰੈਫਿਕ ਲਈ ਨਲੀ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ। ਇਸ ਖਾਸ ਮਾਲਵੇਅਰ ਦੇ ਹਾਲੀਆ ਦੁਹਰਾਓ ਨੇ ਸਮਰੱਥਾਵਾਂ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ, ਜਿਸ ਨਾਲ ਅਤਿਰਿਕਤ ਧਮਕੀ ਪੇਲੋਡਾਂ ਦੀ ਮੁੜ ਪ੍ਰਾਪਤੀ ਅਤੇ ਅਮਲ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ ਹੈ।
ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਲਈ ਇੱਕ ਨਦੀ ਵਜੋਂ ਸਿਸਟਮਬੀਸੀ ਦੀ ਇਤਿਹਾਸਕ ਤੈਨਾਤੀ ਚੰਗੀ ਤਰ੍ਹਾਂ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਕੀਤੀ ਗਈ ਹੈ। ਦਸੰਬਰ 2020 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ Ryuk ਅਤੇ Egregor Ransomware ਲਾਗਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਇੱਕ ਆਸਾਨੀ ਨਾਲ ਉਪਲਬਧ ਟੋਰ-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਵਜੋਂ SystemBC ਦਾ ਸਹਾਰਾ ਲੈਣ ਵਾਲੇ ਰੈਨਸਮਵੇਅਰ ਆਪਰੇਟਰਾਂ ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ।
ਸਿਸਟਮਬੀਸੀ ਦੀ ਅਪੀਲ ਅਜਿਹੇ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਅੰਦਰ ਇਸਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਵਿੱਚ ਹੈ, ਜਿਸ ਨਾਲ ਸਵੈਚਲਿਤ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੁਆਰਾ ਕਈ ਟੀਚਿਆਂ ਨਾਲ ਇੱਕੋ ਸਮੇਂ ਵਿੱਚ ਸ਼ਮੂਲੀਅਤ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਇਹ, ਬਦਲੇ ਵਿੱਚ, ਨੇਟਿਵ ਵਿੰਡੋਜ਼ ਟੂਲਸ ਦੁਆਰਾ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਕੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਉਚਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦਾ ਪ੍ਰਬੰਧ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
DroxiDat ਨੂੰ Ransomware ਹਮਲਿਆਂ ਦੇ ਪੂਰਵ-ਸੂਚਕ ਵਜੋਂ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ
ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਲਈ DroxiDat ਦੇ ਕਨੈਕਸ਼ਨ ਸਿਹਤ ਸੰਭਾਲ-ਸੰਬੰਧੀ ਘਟਨਾ ਤੋਂ ਪੈਦਾ ਹੁੰਦੇ ਹਨ ਜਿਸ ਵਿੱਚ DroxiDat ਸ਼ਾਮਲ ਸੀ। ਇਹ ਘਟਨਾ ਇੱਕ ਸਮਾਨ ਸਮਾਂ ਸੀਮਾ ਦੇ ਦੌਰਾਨ ਸਾਹਮਣੇ ਆਈ ਜਿਸ ਵਿੱਚ ਨੋਕੋਆਵਾ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਦੇ ਨਾਲ ਵੰਡਿਆ ਗਿਆ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।
ਇਸ ਹਮਲੇ ਵਿੱਚ ਵਰਤੇ ਗਏ ਮਾਲਵੇਅਰ ਵਿੱਚ ਅਸਲ SystemBC ਦੇ ਉਲਟ ਇੱਕ ਸੁਚਾਰੂ ਅਤੇ ਕੁਸ਼ਲ ਸੁਭਾਅ ਹੈ। ਇਸਦੇ ਡਿਵੈਲਪਰਾਂ ਨੇ ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਘਟਾ ਦਿੱਤਾ ਹੈ, ਸਿਸਟਮਬੀਸੀ ਵਿੱਚ ਪਾਈਆਂ ਗਈਆਂ ਜ਼ਿਆਦਾਤਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਛੱਡ ਦਿੱਤਾ ਹੈ, ਇੱਕ ਬੁਨਿਆਦੀ ਸਿਸਟਮ ਪ੍ਰੋਫਾਈਲਰ ਵਜੋਂ ਇਸਦੇ ਕਾਰਜ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਬਣਾਉਣ ਲਈ। ਇਸਦੀ ਭੂਮਿਕਾ ਵਿੱਚ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ ਅਤੇ ਇਸਨੂੰ ਰਿਮੋਟ ਸਰਵਰ ਤੇ ਪ੍ਰਸਾਰਿਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
ਨਤੀਜੇ ਵਜੋਂ, DroxiDat ਵਿੱਚ ਵਾਧੂ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਦੀ ਘਾਟ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਰਿਮੋਟ ਸਰੋਤਿਆਂ ਨਾਲ ਲਿੰਕ ਸਥਾਪਤ ਕਰ ਸਕਦਾ ਹੈ, ਦੁਵੱਲੇ ਡੇਟਾ ਟ੍ਰਾਂਸਫਰ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਦੀ ਸਿਸਟਮ ਰਜਿਸਟਰੀ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।
ਹਮਲਿਆਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੀ ਪਛਾਣ ਅਣਜਾਣ ਹੈ। ਫਿਰ ਵੀ, ਮੌਜੂਦਾ ਸੰਕੇਤ ਰੂਸੀ ਹੈਕਰ ਸਮੂਹਾਂ, ਖਾਸ ਤੌਰ 'ਤੇ FIN12 (ਜਿਸ ਨੂੰ ਪਿਸਤਾਚਿਓ ਟੈਂਪੇਸਟ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੀ ਸੰਭਾਵੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਜ਼ੋਰਦਾਰ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਆਪਣੀ ਰਣਨੀਤੀ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਦੇ ਨਾਲ ਸਿਸਟਮਬੀਸੀ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
