WhiskerSpy ਬੈਕਡੋਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਵਿਸਕਰਸਪੀ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਨਵੇਂ ਬੈਕਡੋਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸ ਨੂੰ ਅਰਥ ਕਿਟਸੂਨ ਨਾਮਕ ਇੱਕ ਮੁਕਾਬਲਤਨ ਨਵੇਂ ਪਰ ਉੱਨਤ ਧਮਕੀ ਅਭਿਨੇਤਾ ਸਮੂਹ ਦੁਆਰਾ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸਮੂਹ ਉਨ੍ਹਾਂ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਮਸ਼ਹੂਰ ਹੋ ਗਿਆ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ਉੱਤਰੀ ਕੋਰੀਆ ਵਿੱਚ ਦਿਲਚਸਪੀ ਦਿਖਾਈ ਹੈ।
ਉਹਨਾਂ ਦੇ ਹਮਲੇ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ, ਧਰਤੀ ਕਿਟਸੂਨ ਸਮੂਹ ਨੇ ਇੱਕ ਵਾਟਰਿੰਗ ਹੋਲ ਅਟੈਕ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਟੀਚੇ ਦੇ ਸਿਸਟਮ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਸਾਬਤ ਅਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਣਨੀਤੀ ਹੈ। ਇਸ ਹਮਲੇ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਇੱਕ ਵੈਬਸਾਈਟ ਦੀ ਪਛਾਣ ਕਰਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਦੇ ਨਿਸ਼ਾਨੇ ਵਾਲੇ ਦਰਸ਼ਕਾਂ ਦੁਆਰਾ ਅਕਸਰ ਵਿਜ਼ਿਟ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਇਸਨੂੰ ਮਾਲਵੇਅਰ ਨਾਲ ਸੰਕਰਮਿਤ ਕਰਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਨੂੰ ਸਾਈਟ 'ਤੇ ਜਾਣ 'ਤੇ ਵਿਜ਼ਟਰਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਖਾਸ ਮਾਮਲੇ ਵਿੱਚ, ਜਿਸ ਵੈੱਬਸਾਈਟ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਉਹ ਉੱਤਰੀ ਕੋਰੀਆ ਪੱਖੀ ਵੈੱਬਸਾਈਟ ਹੈ, ਜਿਸ ਨੂੰ ਦੇਸ਼ ਵਿੱਚ ਦਿਲਚਸਪੀ ਰੱਖਣ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਦੁਆਰਾ ਅਕਸਰ ਦੇਖਿਆ ਜਾਂਦਾ ਹੈ।
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ 2019 ਤੋਂ ਧਰਤੀ ਕਿਟਸੂਨ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ ਅਤੇ ਪਿਛਲੇ ਸਾਲ ਦੇ ਅੰਤ ਵਿੱਚ ਇਸ ਨਵੀਨਤਮ ਮੁਹਿੰਮ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ। ਇਹ ਖੋਜ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਇਸ ਤੱਥ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿ ਮੁਕਾਬਲਤਨ ਨਵੇਂ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਵੀ ਤੇਜ਼ੀ ਨਾਲ ਉੱਨਤ ਹੋ ਰਹੇ ਹਨ ਅਤੇ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਗਠਨਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣ ਰਹੇ ਹਨ।
WhiskerSpy ਇਨਫੈਕਸ਼ਨ ਵਾਟਰਿੰਗ ਹੋਲ ਅਟੈਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ
WhiskerSpy ਬੈਕਡੋਰ ਉਹਨਾਂ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੀ ਗਈ ਵੈੱਬਸਾਈਟ 'ਤੇ ਵੀਡੀਓ ਦੇਖਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ। ਹਮਲਾਵਰ ਨੇ ਵੈਬਸਾਈਟ ਵਿੱਚ ਇੱਕ ਖਰਾਬ ਸਕ੍ਰਿਪਟ ਨੂੰ ਇੰਜੈਕਟ ਕੀਤਾ ਹੈ, ਜੋ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਇੱਕ ਵੀਡੀਓ ਕੋਡੇਕ ਸਥਾਪਤ ਕਰਨ ਲਈ ਪ੍ਰੇਰਦਾ ਹੈ ਜੋ ਪ੍ਰਦਰਸ਼ਿਤ ਵੀਡੀਓ ਸਮੱਗਰੀ ਨੂੰ ਚਲਾਉਣ ਲਈ ਲੋੜੀਂਦਾ ਹੈ। ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, ਹਮਲਾਵਰ ਨੇ ਇੱਕ ਜਾਇਜ਼ ਕੋਡੇਕ ਇੰਸਟਾਲਰ ਨੂੰ ਸੰਸ਼ੋਧਿਤ ਕੀਤਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਆਖਰਕਾਰ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਪਹਿਲਾਂ ਅਣਦੇਖੇ ਬੈਕਡੋਰ ਨੂੰ ਲੋਡ ਕਰੇ।
ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਵੈਬਸਾਈਟ 'ਤੇ ਸਿਰਫ ਉਨ੍ਹਾਂ ਵਿਜ਼ਿਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਿਨ੍ਹਾਂ ਕੋਲ ਸ਼ੇਨਯਾਂਗ, ਚੀਨ, ਨਾਗੋਆ, ਜਾਪਾਨ ਅਤੇ ਬ੍ਰਾਜ਼ੀਲ ਦੇ IP ਐਡਰੈੱਸ ਸਨ। ਇਹ ਸ਼ੱਕ ਹੈ ਕਿ ਬ੍ਰਾਜ਼ੀਲ ਨੂੰ ਇੱਕ VPN ਕੁਨੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਾਟਰਿੰਗ ਹੋਲ ਹਮਲੇ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਵਰਤਿਆ ਗਿਆ ਸੀ, ਅਤੇ ਅਸਲ ਨਿਸ਼ਾਨਾ ਚੀਨ ਅਤੇ ਜਾਪਾਨ ਦੇ ਦੋ ਸ਼ਹਿਰਾਂ ਦੇ ਸੈਲਾਨੀ ਸਨ। ਸੰਬੰਧਿਤ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਜਾਅਲੀ ਗਲਤੀ ਸੁਨੇਹਾ ਪ੍ਰਾਪਤ ਹੋਵੇਗਾ ਜਿਸ ਨੇ ਉਹਨਾਂ ਨੂੰ ਵੀਡੀਓ ਦੇਖਣ ਲਈ ਇੱਕ ਕੋਡੇਕ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕਿਹਾ। ਹਾਲਾਂਕਿ, ਕੋਡੇਕ, ਅਸਲ ਵਿੱਚ, ਇੱਕ MSI ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਸੀ ਜੋ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ 'ਤੇ ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਸਥਾਪਤ ਕਰਦਾ ਸੀ, ਪਾਵਰਸ਼ੇਲ ਕਮਾਂਡਾਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਸੀ ਜੋ ਆਖਰਕਾਰ WhiskerSpy ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਸੀ।
ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ, ਧਰਤੀ ਕਿਟਸੂਨ ਨੇ ਅਣਪਛਾਤੇ ਰਹਿਣ ਲਈ ਕਈ ਲਗਾਤਾਰ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਅਜਿਹਾ ਇੱਕ ਤਰੀਕਾ ਹੈ ਗੂਗਲ ਕਰੋਮ ਵਿੱਚ ਨੇਟਿਵ ਮੈਸੇਜਿੰਗ ਹੋਸਟ ਦੀ ਦੁਰਵਰਤੋਂ, ਜਿਸ ਨੇ ਗੂਗਲ ਕਰੋਮ ਹੈਲਪਰ ਨਾਮਕ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤਾ ਗੂਗਲ ਕਰੋਮ ਐਕਸਟੈਂਸ਼ਨ ਸਥਾਪਤ ਕੀਤਾ ਸੀ। ਹਰ ਵਾਰ ਬ੍ਰਾਊਜ਼ਰ ਸ਼ੁਰੂ ਹੋਣ 'ਤੇ ਪੇਲੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਐਕਸਟੈਂਸ਼ਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਹੋਰ ਵਰਤੀ ਗਈ ਤਕਨੀਕ OneDrive ਸਾਈਡ-ਲੋਡਿੰਗ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਲੈਂਦੀ ਹੈ, ਜਿਸ ਨੇ OneDrive ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਫਾਈਲ (ਜਾਅਲੀ 'vcruntime140.dll') ਨੂੰ ਛੱਡਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ।
WhiskerSpy ਕੋਲ ਧਮਕੀ ਭਰੇ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸੂਚੀ ਹੈ
WhiskerSpy ਅਰਥ Kitsune ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਅੰਤਮ ਪੇਲੋਡ ਹੈ। ਬੈਕਡੋਰ ਰਿਮੋਟ ਓਪਰੇਟਰਾਂ ਨੂੰ ਵੱਖ-ਵੱਖ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਇੱਕ ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ, ਫਾਈਲਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ, ਅਪਲੋਡ ਕਰਨ ਅਤੇ ਮਿਟਾਉਣ ਦੀ ਸਮਰੱਥਾ, ਫਾਈਲਾਂ ਦੀ ਸੂਚੀ ਬਣਾਉਣ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਲੈਣ, ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲੋਡ ਕਰਨ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ।
ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਬਣਾਈ ਰੱਖਣ ਲਈ, WhiskerSpy ਏਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਇੱਕ 16-ਬਾਈਟ AES ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਬੈਕਡੋਰ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਆਪਣੀ ਸਥਿਤੀ ਬਾਰੇ ਅੱਪਡੇਟ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ C2 ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ, ਅਤੇ ਸਰਵਰ ਮਾਲਵੇਅਰ ਲਈ ਹਿਦਾਇਤਾਂ ਦੇ ਨਾਲ ਜਵਾਬ ਦੇ ਸਕਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, ਕੋਡ ਨੂੰ ਕਿਸੇ ਹੋਰ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨਾ, ਖਾਸ ਫਾਈਲਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਜਾਂ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣਾ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ WhiskerSpy ਦੇ ਇੱਕ ਪੁਰਾਣੇ ਸੰਸਕਰਣ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ ਜੋ C2 ਸੰਚਾਰ ਲਈ HTTP ਦੀ ਬਜਾਏ FTP ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਸੀ। ਇਸ ਪੁਰਾਣੇ ਵੇਰੀਐਂਟ ਨੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ ਡੀਬਗਰ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਵੀ ਜਾਂਚ ਕੀਤੀ ਅਤੇ C2 ਨੂੰ ਉਚਿਤ ਸਥਿਤੀ ਕੋਡ ਦੀ ਜਾਣਕਾਰੀ ਦਿੱਤੀ। ਇਹ ਖੋਜਾਂ ਮਾਲਵੇਅਰ ਦੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਉਹਨਾਂ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਆਪਣੇ ਸਾਧਨਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਨੂੰ ਅਨੁਕੂਲ ਅਤੇ ਸੁਧਾਰਦੇ ਹਨ। ਇਹ ਅਜਿਹੇ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਮਜ਼ਬੂਤ ਅਤੇ ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਲੋੜ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ।
