लिटरड्रिफ्टर इल्ली
रूस की संघीय सुरक्षा सेवा (एफएसबी) से जुड़े साइबर जासूसी संचालकों को यूक्रेनी संस्थाओं पर निर्देशित हमलों में लिटरड्रिफ्टर नामक एक यूएसबी-प्रचारक कीड़ा का उपयोग करते हुए पाया गया है।
इस हमले को अंजाम देने वाली इकाई की पहचान गेमरेडॉन के रूप में की गई है, जिसे एक्वा ब्लिज़ार्ड, आयरन टिल्डेन, प्रिमिटिव बियर, शुकवॉर्म और विंटरफ़्लाउंडर जैसे उपनामों से भी जाना जाता है। इन हैकर्स द्वारा अपनाई गई हालिया रणनीतियाँ समूह को व्यापक अभियान चलाने के रूप में दर्शाती हैं, जिसके बाद विशिष्ट लक्ष्यों के लिए सावधानीपूर्वक डेटा संग्रह प्रयास किए जाते हैं। इन लक्ष्यों का चयन जासूसी उद्देश्यों से प्रेरित माना जाता है।
विषयसूची
लिटरड्रिफ्टर अपने प्रारंभिक लक्ष्य से आगे फैल गया है
लिटरड्रिफ्टर वर्म दो प्राथमिक कार्यक्षमताओं का दावा करता है: यह स्वचालित रूप से कनेक्टेड यूएसबी ड्राइव के माध्यम से मैलवेयर फैलाता है और खतरे वाले अभिनेता के कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) सर्वर के साथ संचार स्थापित करता है। ऐसे संदेह हैं कि यह पहले बताए गए पावरशेल-आधारित यूएसबी वर्म की प्रगति का प्रतिनिधित्व करता है, जिसे शोधकर्ताओं ने जून 2023 में अनावरण किया था।
वीबीएस में तैयार किया गया, स्प्रेडर मॉड्यूल एक यूएसबी ड्राइव के भीतर कृमि को विवेकपूर्वक वितरित करने की जिम्मेदारी लेता है, जिसमें बेतरतीब ढंग से निर्दिष्ट नामों के साथ एक डिकॉय एलएनके होता है। नामकरण "LitterDrifter" 'trash.dll' नामक प्रारंभिक ऑर्केस्ट्रेशन घटक से लिया गया है।
गेमरेडॉन C&C के लिए एक विशिष्ट दृष्टिकोण अपनाता है, C2 सर्वर के रूप में नियोजित वास्तविक IP पतों के लिए प्लेसहोल्डर के रूप में डोमेन का उपयोग करता है।
इसके अलावा, लिटरड्रिफ्टर टेलीग्राम चैनल से निकाले गए सी एंड सी सर्वर से जुड़ने की क्षमता प्रदर्शित करता है, जो कि 2023 की शुरुआत से लगातार खतरे वाले अभिनेता द्वारा अपनाई जाने वाली रणनीति है। साइबर सुरक्षा विशेषज्ञों ने यूक्रेन से परे संक्रमण के संभावित संकेतों की पहचान की है, जिसमें अमेरिका, वियतनाम में गतिविधि का संकेत मिलता है। , चिली, पोलैंड, जर्मनी और हांगकांग।
गेमरेडॉन अपनी आक्रमण तकनीक विकसित कर रहा है
चालू वर्ष के दौरान, गेमरेडॉन ने लगातार अपनी आक्रमण रणनीतियों को अपनाते हुए सक्रिय उपस्थिति बनाए रखी है। जुलाई 2023 में, प्रतिद्वंद्वी की तेज़ डेटा घुसपैठ की क्षमता स्पष्ट हो गई, क्योंकि धमकी देने वाला अभिनेता प्रारंभिक समझौते के केवल एक घंटे के भीतर संवेदनशील जानकारी प्रसारित करने में कामयाब रहा।
यह स्पष्ट है कि लिटरड्रिफ्टर को व्यापक संग्रह संचालन को सुविधाजनक बनाने के लिए विशेष रूप से तैयार किया गया था। सीधी लेकिन कुशल तकनीकों का उपयोग करते हुए, मैलवेयर यह सुनिश्चित करता है कि यह क्षेत्र में लक्ष्यों के व्यापक स्पेक्ट्रम तक पहुंच सकता है।
रूस-यूक्रेन युद्ध की शुरुआत के बाद से धमकी देने वाले अभिनेताओं की सक्रियता बढ़ी है
सामने आ रही घटनाएँ यूक्रेन के राष्ट्रीय साइबर सुरक्षा समन्वय केंद्र (एनसीएससीसी) के साथ मेल खाती हैं, जिसमें राज्य प्रायोजित रूसी हैकरों द्वारा इटली, ग्रीस, रोमानिया और अजरबैजान सहित पूरे यूरोप में दूतावासों पर हमले की घटनाओं का खुलासा किया गया है।
APT29 (जिसे क्लोक्ड उर्सा, कोज़ी बियर, आयरन हेमलॉक, मिडनाइट ब्लिज़ार्ड और अधिक के रूप में भी जाना जाता है) को जिम्मेदार ठहराया गया है, ये घुसपैठें भ्रामक लालच के माध्यम से हाल ही में सामने आई WinRAR भेद्यता (CVE-2023-38831) का फायदा उठाती हैं, जैसे बिक्री के लिए बीएमडब्ल्यू के दावे, ए विषय पहले धमकी देने वाले अभिनेता द्वारा नियोजित किया गया था।
हमले का क्रम पीड़ितों को फ़िशिंग ईमेल के वितरण के साथ शुरू होता है जिसमें एक विशेष रूप से तैयार की गई ज़िप फ़ाइल का लिंक होता है। लॉन्च करने पर, Ngrok पर होस्ट किए गए रिमोट सर्वर से PowerShell स्क्रिप्ट लाने के लिए दोष का फायदा उठाया जाता है। रूसी खुफिया सेवाओं के हैकिंग समूहों द्वारा CVE-2023-38831 भेद्यता का बार-बार शोषण इसकी बढ़ती लोकप्रियता और परिष्कार को रेखांकित करता है।
इसके अलावा, CERT-UA (यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम) ने असुरक्षित RAR अभिलेखागार को प्रसारित करने वाले फ़िशिंग अभियान के बारे में जानकारी का खुलासा किया है। इन अभिलेखों में यूक्रेन की सुरक्षा सेवा (एसबीयू) से एक पीडीएफ दस्तावेज़ शामिल होने का दावा किया गया है। हालाँकि, वास्तव में, उनके पास एक निष्पादन योग्य है जो रेमकोस आरएटी की तैनाती की ओर ले जाता है।
