डोरा रैट
उत्तर कोरिया से जुड़े खतरे वाले अभिनेता को एंडारियल के रूप में जाना जाता है, जो दक्षिण कोरिया में शैक्षणिक संस्थानों, विनिर्माण फर्मों और निर्माण व्यवसायों को लक्षित करने वाले अपने हमलों में डोरा आरएटी नामक एक नए गोलांग-आधारित बैकडोर का उपयोग करते हुए देखा गया है। हमलों के लिए बैकडोर के शीर्ष पर कीलॉगर, इन्फोस्टीलर और प्रॉक्सी टूल का उपयोग किया गया था। खतरे वाले अभिनेता ने संभवतः इन मैलवेयर स्ट्रेन का उपयोग संक्रमित सिस्टम से डेटा को नियंत्रित करने और चोरी करने के लिए किया था।
दक्षिण कोरियाई साइबर सुरक्षा फर्म ने कहा कि इन हमलों में मैलवेयर वितरित करने के लिए कमजोर अपाचे टॉमकैट सर्वर का उपयोग किया गया है। उसने कहा कि संबंधित सिस्टम अपाचे टॉमकैट के 2013 संस्करण पर चल रहा था, जिससे यह कई कमजोरियों के प्रति संवेदनशील है।
विषयसूची
एन्डारियल एपीटी साइबर अपराध परिदृश्य में एक प्रमुख अभिनेता है
एंडारियल , जिसे निकेट हयात, ओनिक्स स्लीट और साइलेंट चोलिमा जैसे उपनामों से भी जाना जाता है, एक एडवांस्ड पर्सिस्टेंटथ्रेट (APT) समूह है जो कम से कम 2008 से उत्तर कोरिया के रणनीतिक उद्देश्यों के साथ जुड़ा हुआ है।
व्यापक लाजरस समूह के भीतर एक गुट, यह विरोधी स्पीयर-फिशिंग, वाटरिंग होल हमलों को नियोजित करने और प्रारंभिक पहुंच प्राप्त करने और लक्षित नेटवर्क में मैलवेयर फैलाने के लिए ज्ञात सॉफ्टवेयर कमजोरियों का फायदा उठाने का इतिहास प्रदर्शित करता है।
हालांकि शोधकर्ताओं ने मैलवेयर तैनाती के लिए हमले की कार्यप्रणाली के बारे में कोई विशेष जानकारी नहीं दी, लेकिन इस बात पर प्रकाश डाला गया कि स्थापित नेस्टडोर मैलवेयर के एक प्रकार का उपयोग किया गया था। इस प्रकार में ऐसी कार्यक्षमताएं हैं जो इसे रिमोट सर्वर से कमांड प्राप्त करने और निष्पादित करने, फ़ाइलों को स्थानांतरित करने, रिवर्स शेल आरंभ करने, क्लिपबोर्ड डेटा और कीस्ट्रोक्स एकत्र करने और प्रॉक्सी के रूप में काम करने में सक्षम बनाती हैं।
एंडारियल एपीटी ने डोरा आरएटी को समझौता किए गए उपकरणों पर तैनात किया
हमलों में डोरा आरएटी नामक एक अज्ञात बैकडोर का इस्तेमाल किया गया था, जिसका पहले कोई दस्तावेज नहीं था। इसे रिवर्स शेल ऑपरेशन और फ़ाइल ट्रांसफ़र क्षमताओं के लिए कार्यात्मकता के साथ सीधे मैलवेयर के रूप में पहचाना जाता है।
इसके अलावा, हमलावर ने डोरा आरएटी मैलवेयर पर हस्ताक्षर करने और उसे वितरित करने के लिए वैध प्रमाणपत्र का उपयोग किया है। पुष्टि से पता चलता है कि हमलों में इस्तेमाल किए गए डोरा आरएटी के कुछ प्रकारों पर यूनाइटेड किंगडम में एक सॉफ्टवेयर डेवलपर को जारी किए गए वैध प्रमाणपत्र के साथ हस्ताक्षर किए गए थे।
इन हमलों में तैनात मैलवेयर उपभेदों के वर्गीकरण में, नेस्टडोर के एक सुव्यवस्थित संस्करण के माध्यम से पेश किया गया एक कीलॉगर है, साथ ही एक विशेष डेटा-चोरी घटक और एक SOCKS5 प्रॉक्सी टूल है जो 2021 थ्रेटनीडल अभियान में लाजरस समूह द्वारा उपयोग किए गए एक के साथ समानताएं साझा करता है।
एंडारियल समूह कोरिया में सक्रिय सबसे सक्रिय खतरा पैदा करने वाले समूहों में से एक है, किमसुकी और लाजरस समूहों के साथ। शुरू में राष्ट्रीय सुरक्षा से संबंधित खुफिया जानकारी जुटाने पर ध्यान केंद्रित करने वाले समूह ने अपने दायरे का विस्तार करके वित्तीय रूप से प्रेरित हमलों को भी शामिल कर लिया है।
चूहों के संक्रमण से पीड़ितों को भयंकर परिणाम भुगतने पड़ सकते हैं
रिमोट एक्सेस ट्रोजन (RAT) अपने घुसपैठिए और गुप्त स्वभाव के कारण पीड़ितों पर विनाशकारी परिणाम ला सकते हैं। यहाँ बताया गया है कि क्यों:
- अनधिकृत पहुँच : RATs हमलावरों को संक्रमित सिस्टम तक अप्रतिबंधित पहुँच प्रदान करते हैं। यह पहुँच उन्हें कमांड निष्पादित करने, सॉफ़्टवेयर इंस्टॉल या अनइंस्टॉल करने, फ़ाइलों को संशोधित करने और सिस्टम सेटिंग्स को दूरस्थ रूप से हेरफेर करने में सक्षम बनाती है, जिससे उन्हें पीड़ित के डिवाइस पर पूरा नियंत्रण मिल जाता है।
- डेटा चोरी और निगरानी : RAT में अक्सर कीलॉगिंग, स्क्रीन कैप्चरिंग और वेबकैम हाइजैकिंग जैसी विशेषताएं शामिल होती हैं, जिससे हमलावरों को वास्तविक समय में पीड़ितों की गतिविधियों पर नज़र रखने की अनुमति मिलती है। यह निगरानी क्षमता पासवर्ड, वित्तीय डेटा, व्यक्तिगत बातचीत और बौद्धिक संपदा सहित संवेदनशील जानकारी की चोरी को सक्षम बनाती है।
- सिस्टम समझौता : RAT संक्रमित सिस्टम की अखंडता और कार्यक्षमता से समझौता कर सकते हैं। हमलावर सुरक्षा सॉफ़्टवेयर को अक्षम कर सकते हैं, सिस्टम कॉन्फ़िगरेशन को बदल सकते हैं, या अतिरिक्त मैलवेयर पेलोड भी तैनात कर सकते हैं, जिससे सिस्टम अस्थिरता, डेटा भ्रष्टाचार और उत्पादकता में कमी हो सकती है।
- प्रसार और नेटवर्क समझौता : RATs नेटवर्क के भीतर मैलवेयर के प्रसार को सुविधाजनक बना सकते हैं। एक बार एक डिवाइस संक्रमित हो जाने पर, हमलावर समझौता किए गए सिस्टम का उपयोग अन्य कनेक्टेड डिवाइस, सर्वर या इंफ्रास्ट्रक्चर घटकों में घुसपैठ करने के लिए लॉन्चपैड के रूप में कर सकते हैं, जिससे संभावित रूप से व्यापक क्षति और व्यवधान हो सकता है।
- दीर्घकालिक स्थिरता : RAT को संक्रमित सिस्टम तक निरंतर पहुँच बनाए रखने के लिए डिज़ाइन किया गया है। भले ही शुरुआती पहचान और हटाने के प्रयास सफल हों, हमलावर मैलवेयर को फिर से इंस्टॉल या फिर से सक्रिय कर सकते हैं, जिससे लंबे समय तक संक्रमित डिवाइस पर निरंतर पहुँच और नियंत्रण सुनिश्चित हो जाता है।
- प्रतिष्ठा को नुकसान और कानूनी परिणाम : एक सफल RAT हमले से पीड़ितों को गंभीर परिणाम भुगतने पड़ सकते हैं, जिसमें उनकी प्रतिष्ठा को नुकसान, ग्राहकों के भरोसे की हानि और कानूनी दायित्व शामिल हैं। संवेदनशील डेटा के उल्लंघन के परिणामस्वरूप विनियामक जुर्माना, मुकदमे और अन्य कानूनी परिणाम हो सकते हैं, जिससे प्रभावित संगठनों पर प्रतिष्ठा और वित्तीय प्रभाव और भी बढ़ सकता है।
संक्षेप में, RAT संक्रमण पीड़ितों के लिए महत्वपूर्ण खतरे पैदा करते हैं, जिनमें अनधिकृत पहुँच और डेटा चोरी से लेकर सिस्टम समझौता, नेटवर्क प्रसार और दीर्घकालिक दृढ़ता तक शामिल हैं। नियमित सॉफ़्टवेयर अपडेट, मजबूत एंडपॉइंट सुरक्षा, उपयोगकर्ता जागरूकता प्रशिक्षण और घटना प्रतिक्रिया योजना सहित सक्रिय साइबर सुरक्षा उपाय, RAT हमलों से जुड़े जोखिमों को कम करने के लिए आवश्यक हैं।
