मूडी आरएटी
रिमोट एक्सेस ट्रोजन MoDi RAT को वितरित करने वाले एक नए हमले के अभियान का पता साइबर स्पेस विशेषज्ञों द्वारा लगाया गया है। खतरे में एक आरएटी से अपेक्षित सभी खतरे वाले कार्य हैं। MoDi RAT हमलावरों को संक्रमित कंप्यूटर तक पहुंच प्रदान करता है। इससे हैकर्स को मनमाना आदेशों को निष्पादित करने, फ़ाइल सिस्टम में हेरफेर करने, समझौता किए गए डिवाइस से एकत्र ब्याज की जानकारी को बाहर निकालने या अतिरिक्त धमकी देने वाले पेलोड वितरित करने की अनुमति मिलती है।
MoDi RAT अतिरिक्त कमांड-एंड-कंट्रोल (C2, C & C) सर्वरों से जुड़ने का प्रयास कर सकता है, जिसका अर्थ है कि जिन फ़ाइलों या निजी डेटा को काटा गया है, उन्हें तब प्रसारित किया जा सकता है और एक से अधिक बाहरी सर्वर पर अपलोड किया जा सकता है। एकत्र किए गए डेटा में विस्तृत होस्ट और सिस्टम जानकारी, संवेदनशील लॉगिन क्रेडेंशियल, साथ ही वित्तीय विवरण शामिल हो सकते हैं।
हालांकि, infosec शोधकर्ताओं द्वारा उजागर किए गए सबसे दिलचस्प पहलुओं को स्वयं खतरे से नहीं जोड़ा गया था, लेकिन जिस विधि के माध्यम से MoDi RAT दिया गया था।
एक समझौता हमला-चेन ड्रॉप्स MoDi RAT
MoDi RAT से मिलकर अंतिम पेलोड समझौता प्रणाली पर स्थापित होने से पहले, हमला कई चरणों से गुजरता है और इसमें बचने के लिए डिज़ाइन किए गए कुछ निफ्टी ट्रिक्स शामिल हैं। प्रारंभिक आक्रमण वेक्टर सबसे अधिक संभावना है कि एक स्पैम ईमेल अभियान है जो दूषित अनुलग्नकों को ले जाने वाले ईमेल का प्रसार करता है। जब उपयोगकर्ता ईमेल अटैचमेंट को निष्पादित करता है, तो यह एक विजुअल बेसिक स्क्रिप्ट को ट्रिगर करता है जो एक दूरस्थ साइट से जुड़ने के लिए एक HTTP के रूप में कार्य करता है जो कि कई HTTP 302 के लिए प्रविष्टि बिंदु के रूप में कार्य करता है। संग्रह में एक एन्कोडेड VBS (VBE) फ़ाइल है।
इस बीच, प्रारंभिक VBS स्क्रिप्ट फाइलसिस्टम के लिए एक दूसरी VBS फ़ाइल को छोड़ देता है और हमले के निम्नलिखित चरणों में उपयोग की जाने वाली Windows रजिस्ट्री में तीन डेटा बूँद प्रविष्टियों को इंजेक्ट करता है। उसके बाद, यह भविष्य में पूर्व निर्धारित बिंदु पर VBS स्क्रिप्ट को चलाने के लिए जिम्मेदार एक अनुसूचित कार्य बनाने के लिए आगे बढ़ता है। VBS कोड, बदले में, PowerShell लॉन्च करता है और सिस्टम के क्लिपबोर्ड में आवश्यक आदेश सम्मिलित करता है। इसके बाद प्रोग्राम VBS SendKeys कमांड के जरिए प्रोग्राम को PowerShell विंडो में कमांड डिलीवर करता है। यह तकनीक असामान्य कमांड लाइन मापदंडों वाले पॉवरशेल उदाहरण को पैदा करने से बचती है जिसे सुरक्षा उत्पादों द्वारा उठाया जा सकता है।
फिल्हाल अटैक का दौर
बाकी की धमकी भरी हरकतें पूरी तरह से बेकार हैं। चरण में PowerShell को शामिल किया गया है। रजिस्ट्री से एक .NET डिकोडर निष्पादन योग्य निकालता है और इसे सिस्टम प्रक्रिया में इंजेक्ट करता है। डिकोडर तब एक .NET इंजेक्टर और पेलोड ब्लब्स निकालता है। इस चरण में इंजेक्टर पेलोड को msbuild.exe एप्लिकेशन में डालकर लोड करने के लिए आगे बढ़ता है।
यह ध्यान दिया जाना चाहिए कि कई तार, प्रारंभिक ज़िप फ़ाइल (टिम्बरे-इलेक्ट्रोनिक्स) का नाम, साथ ही रजिस्ट्री कुंजियों (एंट्रेउर) में से एक, सभी शब्द एक फ्रांसीसी मूल के साथ हैं। यह आश्चर्य की बात नहीं हो सकती है कि MoDi RAT के ज्ञात लक्ष्यों में से कई फ्रांसीसी फर्म हैं।
