EndRAT मैलवेयर
कोन्नी नामक खतरे समूह द्वारा चलाया गया एक परिष्कृत साइबर अभियान दीर्घकालिक घुसपैठ, डेटा चोरी और पार्श्व प्रसार के लिए एक सुनियोजित दृष्टिकोण को दर्शाता है। इस अभियान के केंद्र में एंडरैट मैलवेयर है, जो एक शक्तिशाली रिमोट एक्सेस ट्रोजन है। इसे लगातार बने रहने और संवेदनशील जानकारी को चुपचाप निकालने के लिए डिज़ाइन किया गया है, साथ ही यह विश्वसनीय संचार चैनलों का उपयोग करके अपनी पहुंच का विस्तार करता है।
विषयसूची
भ्रामक प्रवेश बिंदु: हथियारबंद स्पीयर-फ़िशिंग रणनीति
यह घुसपैठ एक सुनियोजित, गुप्त रूप से तैयार किए गए स्पियर-फ़िशिंग ईमेल से शुरू होती है, जिसे प्राप्तकर्ता को उत्तर कोरियाई मानवाधिकारों पर व्याख्याता नियुक्त करने वाले आधिकारिक नोटिस के रूप में प्रस्तुत किया जाता है। इस सामाजिक इंजीनियरिंग रणनीति का उद्देश्य विश्वसनीयता और जिज्ञासा का फायदा उठाना है।
प्राप्तकर्ता द्वारा संलग्न ज़िप आर्काइव खोलने पर, एक दुर्भावनापूर्ण विंडोज शॉर्टकट (LNK) फ़ाइल निष्पादित हो जाती है। यह क्रिया कई चरणों वाली संक्रमण श्रृंखला को शुरू करती है:
- LNK फ़ाइल एक रिमोट सर्वर से सेकेंडरी पेलोड प्राप्त करती है।
- दीर्घकालिक पहुंच सुनिश्चित करने के लिए निर्धारित कार्यों के माध्यम से निरंतरता स्थापित की जाती है।
- पीड़ित का ध्यान भटकाने के लिए एक नकली पीडीएफ दस्तावेज़ प्रदर्शित किया जाता है, जबकि पृष्ठभूमि में दुर्भावनापूर्ण प्रक्रियाएं चलती रहती हैं।
इस प्रारंभिक समझौते से तत्काल संदेह पैदा किए बिना एंडआरएटी को तैनात करना संभव हो जाता है।
एंडआरएटी अनलीश्ड: निरंतर नियंत्रण और डेटा एक्सफ़िल्ट्रेशन
AutoIt का उपयोग करके विकसित EndRAT (जिसे EndClient RAT भी कहा जाता है) इस हमले की मुख्य आधारशिला है। सिस्टम में स्थापित होने के बाद, यह प्रभावित होस्ट पर पूर्ण रिमोट कंट्रोल सक्षम बनाता है।
EndRAT की प्रमुख क्षमताओं में निम्नलिखित शामिल हैं:
- कमांड निष्पादन के लिए रिमोट शेल एक्सेस
- फाइल सिस्टम में हेरफेर और डेटा की चोरी
- पीड़ित और हमलावर के बीच सुरक्षित डेटा हस्तांतरण
- गुप्त तंत्रों के माध्यम से निरंतर पकड़ बनाए रखना
यह मैलवेयर लंबे समय तक छिपा रहता है, जिससे लगातार निगरानी करना और आंतरिक दस्तावेजों और संवेदनशील डेटा को निकालना संभव हो जाता है।
स्तरित खतरे की तैनाती: लचीलेपन के लिए एकाधिक खतरे की तैनाती
आगे के फोरेंसिक विश्लेषण से पता चलता है कि EndRAT को अकेले तैनात नहीं किया गया है। RftRAT और RemcosRAT से जुड़े AutoIt-आधारित स्क्रिप्ट सहित अतिरिक्त दुर्भावनापूर्ण घटक भी प्रभावित वातावरण में शामिल किए गए हैं।
यह स्तरित तैनाती रणनीति दर्शाती है कि उच्च-मूल्य वाले लक्ष्यों को अतिव्यापी नियंत्रण तंत्रों के अधीन किया जाता है, जिससे किसी एक मैलवेयर प्रकार का पता चलने या उसे हटाए जाने पर भी परिचालन निरंतरता सुनिश्चित होती है। कई RAT परिवारों की उपस्थिति हमलावर की पहुंच बनाए रखने और रक्षात्मक उपायों के अनुकूल होने की क्षमता को काफी हद तक बढ़ा देती है।
विश्वास का दुरुपयोग: मैलवेयर वितरण चैनल के रूप में काकाओटॉक
इस अभियान की एक प्रमुख विशेषता संक्रमित सिस्टमों पर स्थापित काकाओटॉक डेस्कटॉप एप्लिकेशन का दुरुपयोग है। प्रमाणित उपयोगकर्ता सत्रों का लाभ उठाकर, हमलावर पीड़ितों को अनजाने में मैलवेयर के वितरक बना देते हैं।
हैक किए गए खाते का उपयोग करके, पीड़ित के नेटवर्क में मौजूद संपर्कों को चुनिंदा रूप से दुर्भावनापूर्ण ज़िप फ़ाइलें भेजी जाती हैं। ये फ़ाइलें अक्सर उत्तर कोरिया से संबंधित सामग्री के रूप में छिपाई जाती हैं, जिससे संपर्क और निष्पादन की संभावना बढ़ जाती है।
यह रणनीति स्थापित विश्वास संबंधों का फायदा उठाती है, जिससे संक्रमण की सफलता दर में काफी सुधार होता है और सामाजिक और व्यावसायिक नेटवर्क में लक्षित पार्श्व गति संभव हो पाती है।
रणनीति का विकास: संदेशों के दुरुपयोग से लेकर डिवाइस तोड़फोड़ तक
यह अभियान नवंबर 2025 में देखी गई गतिविधियों पर आधारित है, जब इसी समूह ने काकाओटॉक सत्रों का उपयोग करके दुर्भावनापूर्ण फ़ाइलें वितरित की थीं। उस ऑपरेशन के दौरान, हमलावरों ने चोरी किए गए Google क्रेडेंशियल्स का इस्तेमाल करके पीड़ितों के एंड्रॉइड डिवाइसों से दूरस्थ डेटा मिटाने की प्रक्रिया भी शुरू की थी।
मैसेजिंग प्लेटफॉर्मों का निरंतर उपयोग एक विकसित होती रणनीति को उजागर करता है जो पारंपरिक जन-वितरण तकनीकों के बजाय खाता हैकिंग और विश्वसनीय संचार चैनलों पर केंद्रित है।
रणनीतिक मूल्यांकन: एक सतत और अनुकूलनीय खतरे का मॉडल
यह ऑपरेशन एक अत्यधिक समन्वित, बहु-स्तरीय आक्रमण ढांचे का उदाहरण है जो प्रारंभिक हमले से कहीं आगे तक फैला हुआ है। स्पीयर-फ़िशिंग, गुप्त रूप से घुसपैठ, एंडआरएटी के माध्यम से उन्नत रिमोट एक्सेस और खाता-आधारित प्रसार को मिलाकर, हमलावर अपनी घुसपैठ रणनीति में गहराई और व्यापकता दोनों हासिल करता है।
संपर्कों को चुनिंदा रूप से लक्षित करना, सावधानीपूर्वक तैयार की गई भ्रामक सामग्री के साथ मिलकर, एक सोची-समझी और खुफिया जानकारी पर आधारित रणनीति को रेखांकित करता है। केंद्रीय नियंत्रण तंत्र के रूप में एंडआरएटी पर निर्भरता आधुनिक साइबर जासूसी अभियानों में एक महत्वपूर्ण उपकरण के रूप में इसकी भूमिका को मजबूत करती है, जिससे विश्वसनीय नेटवर्क पर निरंतर पहुंच, डेटा चोरी और व्यापक संक्रमण श्रृंखलाएं संभव हो पाती हैं।
