कामीकाकाबोट

दक्षिण पूर्व एशियाई देशों में सरकार और सैन्य संगठनों को निशाना बनाते हुए साइबर हमले की एक नई लहर का पता चला है। इन हमलों का श्रेय डार्क पिंक एपीटीएडवांस्ड परसिस्टेंट थ्रेट (एडवांस्ड परसिस्टेंट थ्रेट) ग्रुप को दिया जाता है, जिसे सैविक के नाम से भी जाना जाता है। डार्क पिंक द्वारा उपयोग किए जाने वाले कस्टम टूल में TelePowerBot और KamiKakaBot हैं, जो समूह को मनमाना आदेश निष्पादित करने और संक्रमित उपकरणों से संवेदनशील डेटा चोरी करने की अनुमति देते हैं।

माना जाता है कि डार्क पिंक की उत्पत्ति एशिया-प्रशांत क्षेत्र से हुई है और यह कम से कम 2021 के मध्य से सक्रिय है। हालाँकि, इसकी गतिविधियाँ 2022 और 2023 में बढ़ीं, जैसा कि दक्षिण पूर्व एशिया में सरकार और सैन्य संस्थाओं पर हाल के हमलों से स्पष्ट है। KamiKakaBot जैसे परिष्कृत मैलवेयर का उपयोग समूह की क्षमताओं और अपने उद्देश्यों को प्राप्त करने के दृढ़ संकल्प को रेखांकित करता है। ये हमले राष्ट्रीय सुरक्षा के लिए एक गंभीर खतरा पैदा करते हैं और साइबर हमलों के जोखिम को कम करने के लिए अत्यधिक सतर्कता और सक्रिय उपायों की आवश्यकता पर प्रकाश डालते हैं।

हैकर्स फ़िशिंग रणनीति और नकली दस्तावेज़ों का उपयोग करते हैं

डच साइबर सिक्योरिटी फर्म इक्लेक्टिकआईक्यू की एक हालिया रिपोर्ट के अनुसार, फरवरी 2023 में हमलों की एक नई लहर की खोज की गई थी जो पिछले हमलों से काफी मिलती-जुलती थी। हालाँकि, इस अभियान में एक महत्वपूर्ण अंतर था - मैलवेयर की अस्पष्टता की दिनचर्या में सुधार किया गया था ताकि एंटी-मैलवेयर उपायों द्वारा पता लगाने से बेहतर ढंग से बचा जा सके।

हमले एक सामाजिक इंजीनियरिंग रणनीति का पालन करते हैं जिसमें पहले से न सोचे गए लक्ष्यों को आईएसओ छवि फ़ाइल अटैचमेंट वाले ईमेल संदेश भेजना शामिल है। ISO छवि फ़ाइल में तीन घटक होते हैं: एक निष्पादन योग्य (Winword.exe), एक लोडर (MSVCR100.dll), और एक डिकॉय Microsoft Word दस्तावेज़। Word दस्तावेज़ एक व्याकुलता है, जबकि लोडर KamiKakaBot मैलवेयर को लोड करने के लिए ज़िम्मेदार है।

सुरक्षा सुरक्षा से बचने के लिए, लोडर Winword.exe बाइनरी की मेमोरी में KamiKakaBot को लोड करने के लिए DLL साइड-लोडिंग विधि का उपयोग करता है। यह विधि मैलवेयर को उन सुरक्षा उपायों को बायपास करने की अनुमति देती है जो अन्यथा इसे निष्पादित करने से रोकेंगे।

KamiKakaBot भंग उपकरणों से संवेदनशील जानकारी चुरा सकता है

KamiKakaBot एक दुर्भावनापूर्ण सॉफ़्टवेयर प्रोग्राम है जिसे वेब ब्राउज़र में घुसपैठ करने और संवेदनशील डेटा चोरी करने के लिए डिज़ाइन किया गया है। यह मैलवेयर कमांड प्रॉम्प्ट (cmd.exe) का उपयोग करके रिमोट कोड निष्पादित करने में भी सक्षम है। पता लगाने से बचने के लिए, मैलवेयर पीड़ित के वातावरण के साथ घुलने-मिलने और पता लगाने से बचने के लिए परिष्कृत तकनीकों को शामिल करता है।

एक बार एक होस्ट से समझौता हो जाने के बाद, मैलवेयर Windows रजिस्ट्री कुंजी में दुर्भावनापूर्ण संशोधन करने के लिए Winlogon हेल्पर लाइब्रेरी का दुरुपयोग करके दृढ़ता स्थापित करता है। यह मैलवेयर को अनिर्धारित रहने और अपनी दुर्भावनापूर्ण गतिविधियों को जारी रखने की अनुमति देता है। चुराए गए डेटा को तब एक टेलीग्राम बॉट को जिप आर्काइव के रूप में भेजा जाता है।

साइबर सुरक्षा विशेषज्ञों के अनुसार, कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के रूप में टेलीग्राम जैसी वैध वेब सेवाओं का उपयोग खतरे वाले अभिनेताओं द्वारा उपयोग की जाने वाली एक सामान्य रणनीति है। यह दृष्टिकोण मैलवेयर का पता लगाना और उसे बंद करना अधिक कठिन बना देता है, क्योंकि ट्रैफ़िक वेब सेवा के साथ वैध संचार प्रतीत होता है। ये रणनीति न केवल नियमित साइबर अपराधियों द्वारा बल्कि उन्नत लगातार खतरे वाले अभिनेताओं द्वारा भी नियोजित की जाती हैं।

इन हमलों के बढ़ते परिष्कार को देखते हुए, साइबर हमलों को रोकने के लिए संगठनों के लिए सक्रिय उपाय करना महत्वपूर्ण है। इसमें मैलवेयर से सुरक्षा के लिए मजबूत सुरक्षा उपायों को लागू करना, सॉफ़्टवेयर को अद्यतित रखना और फ़िशिंग हमलों की पहचान करने और उनसे बचने के बारे में कर्मचारियों को शिक्षित करना शामिल है।