डेडग्लिफ़ बैकडोर

साइबर सुरक्षा विश्लेषकों ने हाल ही में "डेडग्लिफ़" नामक एक उन्नत पिछले दरवाजे का पता लगाया है, जिसका पहले दस्तावेजीकरण नहीं किया गया था। इस परिष्कृत मैलवेयर को "स्टील्थ फाल्कन" नामक एक खतरनाक अभिनेता ने अपने साइबर जासूसी अभियान के हिस्से के रूप में नियोजित किया था।

जो चीज़ डेडग्लिफ़ को अलग करती है, वह इसकी अपरंपरागत वास्तुकला है, जिसमें दो सहयोगी घटक शामिल हैं। एक मूल x64 बाइनरी है, जबकि दूसरा .NET असेंबली है। मानक से यह विचलन उल्लेखनीय है क्योंकि अधिकांश मैलवेयर आमतौर पर अपने घटकों के लिए एकल प्रोग्रामिंग भाषा पर निर्भर होते हैं। इस दोहरे भाषा दृष्टिकोण को अपनाने से प्रत्येक प्रोग्रामिंग भाषा की अद्वितीय क्षमताओं का लाभ उठाते हुए, इन दो घटकों के लिए अलग-अलग विकास प्रयासों की संभावना का पता चलता है।

इसके अलावा, यह संदेह है कि विभिन्न प्रोग्रामिंग भाषाओं का जानबूझकर उपयोग विश्लेषण प्रयासों को बाधित करने के लिए एक रणनीतिक रणनीति के रूप में कार्य करता है। इससे सुरक्षा शोधकर्ताओं के लिए मैलवेयर को नेविगेट करना और डीबग करना काफी चुनौतीपूर्ण हो जाता है, जिसमें इसकी पहचान और शमन की जटिलता की एक और परत शामिल है।

डेडग्लिफ़ बैकडोर असामान्य विशेषताएं प्रदर्शित करता है

डेडग्लिफ़ मध्य पूर्व में एक अज्ञात सरकारी इकाई में संचालित स्टील्थ फाल्कन के शस्त्रागार में नवीनतम वृद्धि का प्रतिनिधित्व करता है। इसे पारंपरिक बैकडोर से अलग करते हुए, यह धमकी देने वाला उपकरण खतरे वाले अभिनेता द्वारा नियंत्रित सर्वर से कमांड प्राप्त करता है। ये आदेश पूरक मॉड्यूल के रूप में आते हैं, जो डेडग्लिफ़ को नई प्रक्रियाएँ शुरू करने, फ़ाइलों तक पहुँचने और समझौता किए गए सिस्टम से डेटा प्राप्त करने की क्षमता प्रदान करते हैं।

इम्प्लांट डिलीवरी की सटीक विधि एक रहस्य बनी हुई है। हालाँकि, इसके निष्पादन के लिए प्रारंभिक ट्रिगर एक शेलकोड लोडर है जो विंडोज रजिस्ट्री से शेलकोड को पुनर्प्राप्त और लोड करता है। यह, बदले में, डेडग्लिफ़ के मूल x64 घटक के निष्पादन की शुरुआत करता है, जिसे "निष्पादक" के रूप में जाना जाता है।

डेडग्लिफ़ संक्रमण के पीड़ितों के लिए विनाशकारी परिणाम हो सकते हैं

एक बार सक्रिय होने पर निष्पादक, "ऑर्केस्ट्रेटर" नामक .NET घटक को लोड करने के लिए आगे बढ़ता है। ऑर्केस्ट्रेटर कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार स्थापित करता है, आगे के निर्देशों की प्रतीक्षा करता है। यह मैलवेयर रडार से नीचे रहने के लिए चोरी की कई युक्तियों का भी उपयोग करता है, यहां तक कि स्वयं-अनइंस्टॉल करने की क्षमता भी रखता है। सर्वर से प्राप्त आदेशों को निष्पादन के लिए कतारबद्ध किया जाता है, जो तीन अलग-अलग श्रेणियों में आते हैं: ऑर्केस्ट्रेटर कार्य, निष्पादक कार्य और अपलोड कार्य।

निष्पादक कार्य पिछले दरवाजे के प्रबंधन और अतिरिक्त मॉड्यूल के निष्पादन पर नियंत्रण प्रदान करते हैं। दूसरी ओर, ऑर्केस्ट्रेटर कार्य, नेटवर्क और टाइमर मॉड्यूल के कॉन्फ़िगरेशन को प्रबंधित करते हैं और लंबित कार्यों को रद्द कर सकते हैं।

प्रक्रियाओं के निर्माण, फ़ाइल पहुंच और सिस्टम मेटाडेटा के संग्रह सहित कई निष्पादक कार्यों की पहचान की गई है। टाइमर मॉड्यूल समय-समय पर नेटवर्क मॉड्यूल के साथ C2 सर्वर से संपर्क करता है, जिससे HTTPS POST अनुरोधों के माध्यम से C2 संचार की सुविधा मिलती है। अपलोड कार्य, जैसा कि उनके नाम से पता चलता है, पिछले दरवाजे को आदेशों के परिणामों और किसी भी सामने आई त्रुटियों को प्रसारित करने में सक्षम बनाता है।

डेडग्लिफ़ एंटी-डिटेक्शन तंत्रों की एक श्रृंखला का दावा करता है, जिसमें सिस्टम प्रक्रियाओं की निरंतर निगरानी और यादृच्छिक नेटवर्क पैटर्न का कार्यान्वयन शामिल है। इसके अलावा, इसमें पहचान की संभावना को कम करने के लिए कुछ परिदृश्यों में स्वयं-अनइंस्टॉल करने की क्षमता होती है।

स्टेल्थ फाल्कन साइबर क्राइम ग्रुप करीब एक दशक से काम कर रहा है

स्टील्थ फाल्कन, जिसे फ्रूटीआर्मर के नाम से भी जाना जाता है, शुरुआत में 2016 में लोगों के ध्यान में आया जब शोधकर्ताओं ने मध्य पूर्व के भीतर लक्षित स्पाइवेयर हमलों में इसकी भागीदारी का खुलासा किया। ये हमले संयुक्त अरब अमीरात (यूएई) में पत्रकारों, कार्यकर्ताओं और असंतुष्टों पर निर्देशित थे। धमकी देने वाले अभिनेताओं ने स्पीयर-फ़िशिंग रणनीति अपनाई, ईमेल में एम्बेडेड भ्रामक लिंक के साथ पीड़ितों को लुभाया, जिससे मैक्रो-भरे दस्तावेज़ तैयार हुए। ये दस्तावेज़ मनमाने आदेशों को निष्पादित करने में सक्षम कस्टम इम्प्लांट के लिए वितरण तंत्र के रूप में कार्य करते थे।

2019 में एक बाद की जांच में प्रोजेक्ट रेवेन नामक एक गुप्त ऑपरेशन का खुलासा हुआ, जिसमें डार्कमैटर नामक साइबर सुरक्षा फर्म द्वारा भर्ती किए गए पूर्व अमेरिकी खुफिया पेशेवरों के एक समूह को शामिल किया गया था। उनका मिशन अरब राजशाही की आलोचना करने वाले व्यक्तियों पर निगरानी रखना था। उल्लेखनीय रूप से, स्टील्थ फाल्कन और प्रोजेक्ट रेवेन एक ही प्रतीत होते हैं, जैसा कि उनकी साझा रणनीति और लक्ष्यों से पता चलता है।

समय के साथ, इस समूह को CVE-2018-8611 और CVE-2019-0797 सहित विंडोज़ में शून्य-दिन की कमजोरियों के शोषण से जोड़ा गया है। सूचना सुरक्षा शोधकर्ताओं ने नोट किया है कि, 2016 और 2019 के बीच, इस जासूसी समूह ने किसी भी अन्य इकाई की तुलना में शून्य-दिन की कमजोरियों का अधिक व्यापक उपयोग किया।

इसी अवधि के आसपास, प्रतिद्वंद्वी को Win32/StealthFalcon नामक पिछले दरवाजे का उपयोग करते हुए देखा गया था। इस खतरे ने कमांड-एंड-कंट्रोल (C2) संचार के लिए विंडोज बैकग्राउंड इंटेलिजेंट ट्रांसफर सर्विस (BITS) का लाभ उठाया, जिससे हमलावरों को समझौता किए गए एंडपॉइंट पर पूर्ण नियंत्रण मिल गया।