BIOPASS RAT
वाटरिंग होल हमले में चीनी ऑनलाइन जुआ कंपनियों को लक्षित एक हानिकारक ऑपरेशन के हिस्से के रूप में एक पूर्व अज्ञात रिमोट एक्सेस ट्रोजन (आरएटी) खतरे की खोज की गई है। शोधकर्ताओं ने मैलवेयर BIOPASS RAT का नाम दिया और इसकी क्षमताओं का विवरण देते हुए एक रिपोर्ट जारी की। एक मैलवेयर लोडर के माध्यम से छेड़छाड़ की गई साइटों के आगंतुकों को खतरा दिया गया था, जो वैध और प्रसिद्ध है लेकिन अब तक बहिष्कृत सॉफ़्टवेयर उत्पादों के रूप में है। लोडर को एडोब फ्लैश प्लेयर या माइक्रोसॉफ्ट सिल्वरलाइट के लिए खुद को इंस्टॉलर के रूप में पास करने के लिए देखा गया है। धमकी देने वाले अभिनेता ने आमतौर पर संक्रमित साइट के ऑनलाइन सहायता पृष्ठ पर संक्रमण स्क्रिप्ट को रखा। जब लोडर को पीड़ित की मशीन पर क्रियान्वित किया जाता है, तो वह या तो Cobalt बीकन या बायोपास रैट पेलोड गिरा देता है।
BIOPASS RAT पीड़ित की स्क्रीन को स्ट्रीम कर सकता है
पायथन प्रोग्रामिंग भाषा का उपयोग करके लिखा गया, बायोपास आरएटी कुछ ट्विस्ट के साथ एक पूरी तरह से रिमोट एक्सेस खतरा है। यह फाइल सिस्टम में हेरफेर कर सकता है - निर्देशिकाओं को हटा सकता है या बना सकता है, फाइलों को हटा सकता है, डाउनलोड कर सकता है या अपलोड कर सकता है, साथ ही चुनी हुई प्रक्रियाओं को मार सकता है और मनमानी कमांड निष्पादित कर सकता है। हालाँकि, BIOPASS RAT कई उपकरण डाउनलोड करता है जो इसे अपने बुरे दिमाग वाले लक्ष्यों में सहायता करता है, जैसे कि सिस्टम के स्क्रीनशॉट को कैप्चर करना। हालांकि खतरा इससे भी आगे जाता है। लोकप्रिय स्ट्रीमिंग और वीडियो रिकॉर्डिंग उत्पाद ओबीएस (ओपन ब्रॉडकास्टर सॉफ्टवेयर) स्टूडियो के ढांचे को छोड़कर, बायोपास आरटीएमपी (रीयल-टाइम मैसेजिंग प्रोटोकॉल) के माध्यम से क्लाउड सेवा में भंग डिवाइस की स्क्रीन को लाइव स्ट्रीमिंग करने में सक्षम है।
इसके अलावा, BIOPASS को चीन में लोकप्रिय कई वेब ब्राउज़र और इंस्टेंट मैसेजिंग एप्लिकेशन से संवेदनशील निजी डेटा के एक बड़े सेट तक पहुंचने का आदेश दिया जा सकता है। लक्षित अनुप्रयोगों में QQ ब्राउज़र , सोगौ एक्सप्लोरर , 2345 एक्सप्लोरर , वीचैट, 360 सुरक्षित ब्राउज़र, क्यूक्यू और अलीवांगवांग हैं। सभी बहिष्कृत उपयोगकर्ता डेटा, BIOPASS RAT पायथन स्क्रिप्ट के साथ, अलीबाबा क्लाउड (अलियुन) पर इसकी ऑब्जेक्ट स्टोरेज सर्विस (OSS) का उपयोग करके संग्रहीत किया जाता है।
खतरे का रोपण
हालांकि यह निर्णायक नहीं है, लेकिन बायोपास रैट और विन्न्टी ग्रुप ( APT41 ) के बीच कुछ लिंक खोजे गए हैं, जो एक परिष्कृत चीनी-संबंधित खतरा अभिनेता है जो साइबर जासूसी हमलों में माहिर है। BIOPASS RAT लोडर बायनेरिज़ पर हस्ताक्षर करने के लिए उपयोग किए गए प्रमाणपत्रों के माध्यम से दोनों के बीच एक कनेक्शन स्थापित किया जा सकता है। उनमें से बहुत से दक्षिण कोरियाई या ताइवानी गेम स्टूडियो से सबसे अधिक संभावना थी। यह Winnti हैकर्स की एक स्थापित विशेषता है, जिन्होंने अपने पिछले दुर्भावनापूर्ण कार्यों में गेम स्टडीज से संबंधित गलत प्रमाणपत्रों को शामिल किया है।
BIOPASS RAT लोडर प्रमाणपत्रों में से एक का उपयोग Derusbi मैलवेयर के सर्वर-साइड संस्करण पर हस्ताक्षर करने के लिए भी किया गया था। यह विशेष खतरा कई एपीटी (एडवांस पर्सिस्टेंट थ्रेट) समूहों के धमकाने वाले टूलकिट का हिस्सा रहा है। हालाँकि, सर्वर-साइड संस्करण को Winnti Group द्वारा हमलों में लोडर के रूप में देखा गया है। ट्रेंड माइक्रो शोधकर्ताओं ने पीबीडी स्ट्रिंग और सी एंड सी डोमेन के साथ एक कोबाल्ट स्ट्राइक लोडर का भी खुलासा किया, जिसे पहले से ही विन्ती के हैकर्स के लिए जिम्मेदार ठहराया गया है।
BIOPASS RAT को अभी भी सक्रिय विकास के अधीन माना जाता है, इसलिए यह खतरा भविष्य में खतरे के और भी अधिक परिष्कृत संस्करणों को जारी करने के साथ और भी बड़ा हो सकता है।
