LoptikMod Malware

DoNot APT समूह से जुड़ा एक नया अभियान सामने आया है, जिसमें LoptikMod नामक एक गुप्त और लगातार सक्रिय मैलवेयर स्ट्रेन का इस्तेमाल दिखाया गया है। इस टूल का इस्तेमाल यूरोपीय विदेश मंत्रालय पर लक्षित हमले में किया गया है, जो इस समूह के दक्षिण एशिया से आगे बढ़ते हुए ध्यान को और भी स्पष्ट करता है।

एक ज्ञात ख़तरा अभिनेता जिसका दायरा बढ़ रहा है

इस अभियान का संबंध डू नॉट टीम से है, जो एक उन्नत, लगातार खतरा (एपीटी) समूह है और जिसे एपीटी-सी-35, मिंट टेम्पेस्ट, ओरिगामी एलिफेंट, सेक्टर02 और वायसराय टाइगर जैसे कई उपनामों से जाना जाता है। कम से कम 2016 से सक्रिय इस समूह का सरकारी एजेंसियों, विदेश मंत्रालयों, रक्षा संस्थाओं और गैर-सरकारी संगठनों, खासकर दक्षिण एशिया और यूरोप में, को निशाना बनाने का एक प्रलेखित इतिहास रहा है।

ऐतिहासिक रूप से, DoNot APT ने कस्टम-निर्मित मैलवेयर, विशेष रूप से YTY और GEdit का उपयोग किया है, जिन्हें अक्सर स्पीयर-फ़िशिंग अभियानों और दुर्भावनापूर्ण दस्तावेज़ अनुलग्नकों के माध्यम से तैनात किया जाता है।

लक्ष्य को लुभाना: प्रवेश बिंदु के रूप में फ़िशिंग

यह हमला एक भ्रामक फ़िशिंग ईमेल से शुरू होता है जिसे वैध और विश्वसनीय दिखाने के लिए तैयार किया गया है। जीमेल अकाउंट से भेजे गए ये संदेश रक्षा अधिकारियों का रूप धारण करते हैं और इनकी विषय पंक्तियों में एक इतालवी रक्षा अताशे की ढाका, बांग्लादेश यात्रा का संदर्भ दिया गया है। गौरतलब है कि इन ईमेल को HTML और UTF-8 एन्कोडिंग का उपयोग करके फ़ॉर्मेट किया गया है ताकि 'é' जैसे विशेष वर्ण सही ढंग से प्रस्तुत किए जा सकें, जिससे उनकी प्रामाणिकता और भी बढ़ जाती है।

ईमेल में एम्बेड किया गया एक गूगल ड्राइव लिंक एक RAR आर्काइव डाउनलोड करने की ओर ले जाता है। इस आर्काइव में एक दुर्भावनापूर्ण एक्ज़ीक्यूटेबल है जिसे PDF फ़ाइल की नकल करने के लिए डिज़ाइन किया गया है। खोलने पर, यह एक्ज़ीक्यूटेबल LoptikMod, एक रिमोट एक्सेस ट्रोजन (RAT) को तैनात करना शुरू कर देता है, जो कम से कम 2018 से DoNot APT के लिए विशिष्ट है।

लोप्टिकमॉड मैलवेयर के अंदर

एक बार निष्पादित होने के बाद, LoptikMod स्थायी रूप से निर्धारित कार्यों का उपयोग करके होस्ट सिस्टम में एम्बेड हो जाता है। फिर यह विभिन्न दुर्भावनापूर्ण गतिविधियों को करने के लिए एक दूरस्थ कमांड-एंड-कंट्रोल (C2) सर्वर से जुड़ जाता है। इनमें शामिल हैं:

• सिस्टम की जानकारी हमलावरों को वापस भेजना
• अतिरिक्त आदेश प्राप्त करना और निष्पादित करना
• अतिरिक्त दुर्भावनापूर्ण मॉड्यूल डाउनलोड करना
• संवेदनशील डेटा का निष्कासन

पहचान से बचने और फोरेंसिक विश्लेषण में बाधा डालने के लिए, LoptikMod एंटी-VM (वर्चुअल मशीन) तकनीकों और ASCII ऑबफस्केशन का उपयोग करता है, जिससे सुरक्षा शोधकर्ताओं के लिए इसकी पूरी कार्यक्षमता का विश्लेषण करना मुश्किल हो जाता है। इसके अतिरिक्त, यह सुनिश्चित करता है कि किसी भी समय किसी डिवाइस पर केवल एक ही इंस्टेंस चले, जिससे आंतरिक टकरावों को रोका जा सके और पहचान की संभावना कम हो।

वर्तमान अभियान स्थिति और बुनियादी ढाँचा

हालाँकि LoptikMod स्वयं सक्षम और स्थायी है, लेकिन हालिया हमले में शामिल C2 सर्वर फिलहाल निष्क्रिय है। इस निष्क्रियता का मतलब हो सकता है कि बुनियादी ढाँचा अस्थायी रूप से ऑफ़लाइन कर दिया गया है, स्थायी रूप से बंद कर दिया गया है, या उसकी जगह एक नया, अज्ञात सर्वर लगा दिया गया है।

सर्वर की निष्क्रिय स्थिति, संक्रमित अंतबिंदुओं और हमलावरों के बीच आदान-प्रदान किए गए सटीक आदेशों और डेटा का विश्लेषण करने की शोधकर्ताओं की क्षमता को सीमित कर देती है।

रणनीतिक बदलाव के संकेत: यूरोपीय लक्ष्य फोकस में

डो नॉट एपीटी की नवीनतम गतिविधि में विकास के संकेत दिखाई दे रहे हैं। हालाँकि यह समूह पारंपरिक रूप से दक्षिण एशियाई हितों पर केंद्रित रहा है, लेकिन यह हालिया कार्रवाई यूरोपीय राजनयिक खुफिया जानकारी, विशेष रूप से दक्षिण एशिया से संबंधित, में बढ़ती रुचि को दर्शाती है।

यह बदलाव संभवतः बढ़ी हुई परिचालन क्षमताओं और ज़्यादा महत्वाकांक्षी ख़ुफ़िया उद्देश्यों की ओर इशारा करता है। समूह के संचालक पश्चिमी कूटनीतिक रणनीतियों, रक्षा नीतियों और दक्षिण एशिया के साथ अंतर्राष्ट्रीय जुड़ाव की जानकारी हासिल करने की कोशिश कर रहे होंगे।

चाबी छीनना

ऐसे हमलों को प्रभावी ढंग से कम करने के लिए, संगठनों को अपने कर्मचारियों को फ़िशिंग प्रयासों को पहचानने के लिए शिक्षित करना शुरू करना चाहिए, भले ही संदेश पूरी तरह से वैध प्रतीत हों। किसी भी असामान्य व्यवहार, जैसे अप्रत्याशित शेड्यूल किए गए कार्य या अपरिचित सर्वरों से आउटबाउंड कनेक्शन, जो किसी खतरे का संकेत हो सकते हैं, के लिए सिस्टम की निरंतर निगरानी करना भी उतना ही महत्वपूर्ण है।

इसके अलावा, सैंडबॉक्सिंग और व्यवहार विश्लेषण उपकरणों को लागू करने से संदिग्ध निष्पादन योग्य फ़ाइलों का पता लगाने और उन्हें नुकसान पहुँचाने से पहले ही निष्क्रिय करने में मदद मिल सकती है। सिस्टम को पूरी तरह से पैच करके और नवीनतम ख़तरा खुफिया फ़ीड्स को शामिल करके यह सुनिश्चित किया जा सकता है कि ज्ञात कमज़ोरियों का तुरंत समाधान किया जाए। अंत में, नेटवर्क को विभाजित करने से मैलवेयर के पार्श्विक रूप से फैलने का जोखिम काफ़ी कम हो सकता है, जिससे संभावित उल्लंघनों को और अधिक प्रभावी ढंग से नियंत्रित किया जा सकता है।

निष्कर्ष: सतर्कता आवश्यक है

DoNot APT समूह द्वारा यूरोपीय साइबर जासूसी अभियान में LoptikMod का इस्तेमाल, उभरते ख़तरे की एक स्पष्ट याद दिलाता है। जैसे-जैसे APT समूह अपने उपकरणों को बेहतर बना रहे हैं और अपने लक्ष्यीकरण का विस्तार कर रहे हैं, विशेष रूप से उच्च-मूल्य वाली राजनयिक संपत्तियों की ओर, संगठनों को अपनी साइबर सुरक्षा सुरक्षा में सतर्क और सक्रिय रहना होगा।