LeakNet रैंसमवेयर

लीकनेट नामक रैंसमवेयर ऑपरेशन ने घुसपैठ की रणनीति में एक उल्लेखनीय बदलाव किया है, जिसमें उसने क्लिकफिक्स सोशल इंजीनियरिंग तकनीक को अपने प्राथमिक प्रवेश माध्यम के रूप में इस्तेमाल किया है। यह तरीका उपयोगकर्ताओं को मनगढ़ंत सिस्टम त्रुटियों को ठीक करने के बहाने दुर्भावनापूर्ण कमांड निष्पादित करने के लिए प्रेरित करता है। पारंपरिक पहुंच विधियों, जैसे कि प्रारंभिक पहुंच दलालों से चोरी किए गए क्रेडेंशियल खरीदना, के विपरीत, यह रणनीति सीधे उपयोगकर्ता के विश्वास और सामान्य व्यवहार का फायदा उठाती है।

सुरक्षा में सेंध लगाई गई, लेकिन अन्यथा वैध वेबसाइटों का दुरुपयोग करके नकली CAPTCHA सत्यापन प्रॉम्प्ट दिखाए जाते हैं। ये प्रॉम्प्ट उपयोगकर्ताओं को विंडोज रन डायलॉग बॉक्स के माध्यम से एक दुर्भावनापूर्ण msiexec.exe कमांड को कॉपी और निष्पादित करने का निर्देश देते हैं। चूंकि यह प्रक्रिया सामान्य सिस्टम गतिविधि की नकल करती है, इसलिए हमला सामान्य प्रतीत होता है और तुरंत संदेह पैदा नहीं करता है। यह व्यापक, अवसरवादी रणनीति बिना किसी भेदभाव के कई उद्योगों को निशाना बनाने में सक्षम बनाती है।

रणनीतिक बदलाव: प्रारंभिक पहुंच दलालों से स्वतंत्रता

LeakNet का ClickFix में स्थानांतरण एक सुनियोजित परिचालन परिवर्तन को दर्शाता है। तृतीय-पक्ष क्रेडेंशियल आपूर्तिकर्ताओं पर निर्भरता समाप्त करके, समूह एक्सेस प्राप्त करने से जुड़ी लागत और विलंब दोनों को कम करता है। यह स्वतंत्रता एक प्रमुख बाधा को दूर करती है, जिससे अभियान अधिक तेज़ी से और कुशलतापूर्वक विस्तारित हो सकते हैं।

इसके अतिरिक्त, हमलावर-नियंत्रित प्रणालियों के बजाय वैध बुनियादी ढांचे में सेंधमारी का उपयोग करने से नेटवर्क संकेतकों का पता लगाना काफी मुश्किल हो जाता है। इससे पारंपरिक परिधि-आधारित सुरक्षा कम प्रभावी हो जाती है, क्योंकि दुर्भावनापूर्ण गतिविधि विश्वसनीय ट्रैफ़िक के साथ सहजता से घुलमिल जाती है।

फाइललेस एक्जीक्यूशन: डेनो-आधारित लोडर का क्रियान्वयन

इन हमलों की एक प्रमुख तकनीकी विशेषता डेनो जावास्क्रिप्ट रनटाइम पर निर्मित एक स्टेज्ड कमांड-एंड-कंट्रोल लोडर का उपयोग है। यह लोडर बेस64-एनकोडेड जावास्क्रिप्ट को सीधे मेमोरी में निष्पादित करता है, जिससे डिस्क राइट्स से बचा जा सकता है और फोरेंसिक साक्ष्यों को कम किया जा सकता है।

एक बार सक्रिय हो जाने पर, लोडर कई महत्वपूर्ण कार्य करता है:

• यह प्रणाली पर्यावरण संबंधी जानकारी जुटाने के लिए क्षतिग्रस्त प्रणाली का विश्लेषण करती है।
• द्वितीयक पेलोड प्राप्त करने के लिए बाहरी सर्वर के साथ संचार स्थापित करता है।
• यह एक पोलिंग तंत्र के माध्यम से निरंतरता बनाए रखता है जो लगातार अतिरिक्त कोड प्राप्त करता है और उसे निष्पादित करता है।

यह फाइललेस एग्जीक्यूशन मॉडल गोपनीयता को बढ़ाता है और पारंपरिक सुरक्षा उपकरणों द्वारा पता लगाने के प्रयासों को जटिल बनाता है।

शोषण के बाद की सुसंगत कार्ययोजना

शुरुआती पहुँच में भिन्नताओं के बावजूद, लीकनेट ऑपरेशन एक अनुमानित पोस्ट-कॉम्प्रोमाइज़ वर्कफ़्लो में परिवर्तित हो जाते हैं। यह स्थिरता रक्षकों को रैंसमवेयर तैनाती से पहले पता लगाने और उसे बाधित करने के मूल्यवान अवसर प्रदान करती है।

हमले की सामान्य प्रक्रिया में निम्नलिखित शामिल हैं:

• लोडर द्वारा प्रदान की गई दुर्भावनापूर्ण लाइब्रेरी को निष्पादित करने के लिए DLL साइड-लोडिंग का उपयोग करना।
• नेटवर्क पहुंच बढ़ाने के लिए PsExec जैसे टूल का उपयोग करके पार्श्व गति।
• cmd.exe /c klist के माध्यम से क्रेडेंशियल की पहचान करके सक्रिय प्रमाणीकरण सत्रों का पता लगाना।
• S3 बकेट के माध्यम से डेटा की हेराफेरी और उसे बाहर निकालना, इस गतिविधि को वैध क्लाउड ट्रैफ़िक के रूप में छिपाना।
• रैंसमवेयर को तैनात करने के लिए अंतिम एन्क्रिप्शन चरण

विंडोज के मूल उपकरणों और सामान्य क्लाउड सेवाओं के उपयोग से दुर्भावनापूर्ण गतिविधियां सामान्य सिस्टम और नेटवर्क व्यवहार में घुलमिल जाती हैं।

खतरे का स्वरूप: उत्पत्ति और लक्ष्यीकरण का दायरा

नवंबर 2024 में उभरे लीकनेट ने शुरू में खुद को एक 'डिजिटल प्रहरी' के रूप में स्थापित किया, जो पारदर्शिता और इंटरनेट स्वतंत्रता के विषयों को बढ़ावा देता था। हालांकि, देखी गई गतिविधियों से औद्योगिक संगठनों पर हमलों सहित एक व्यापक और अधिक आक्रामक परिचालन क्षेत्र का पता चलता है।

अभियान की अंधाधुंध लक्ष्यीकरण रणनीति, साथ ही विस्तार योग्य संक्रमण विधियों का संयोजन, विशिष्ट क्षेत्रों पर ध्यान केंद्रित करने के बजाय अधिकतम पहुंच सुनिश्चित करने के इसके इरादे को रेखांकित करता है।

रक्षात्मक निहितार्थ: पूर्वानुमान क्षमता एक लाभ के रूप में

हालांकि लीकनेट की प्रवेश तकनीकें विकसित हुई हैं, लेकिन एक दोहराई जा सकने वाली शोषण श्रृंखला पर इसकी निर्भरता एक गंभीर कमजोरी पैदा करती है। हमले का प्रत्येक चरण, निष्पादन से लेकर पार्श्व प्रसार और डेटा चोरी तक, पहचानने योग्य व्यवहार पैटर्न का अनुसरण करता है।

यह निरंतरता रक्षकों को निम्नलिखित कार्य करने में सक्षम बनाती है:

• वैध सिस्टम टूल्स के असामान्य उपयोग का पता लगाएं
• मेमोरी में होने वाले असामान्य निष्पादन पैटर्न की निगरानी करें
• संदिग्ध क्लाउड स्टोरेज इंटरैक्शन की पहचान करें
• एन्क्रिप्शन होने से पहले ही हमले की प्रगति को बाधित करें।

मुख्य निष्कर्ष स्पष्ट है: यद्यपि प्रारंभिक पहुंच के तरीके भिन्न हो सकते हैं, लेकिन अंतर्निहित परिचालन योजना स्थिर रहती है, जो शीघ्र पता लगाने और प्रतिक्रिया देने के कई अवसर प्रदान करती है।