More_eggs Malware

More_eggs मैलवेयर एक परिष्कृत बैकडोर ट्रोजन खतरा है जिसे मा (मालवेयर-ए-सर्विस) योजना में पेश किया जा रहा है। खतरे के विकासकर्ता को गोल्डन चिकन्स हैकर समूह माना जाता है और वे कई प्रमुख APT (एडवांस्ड परसेंट थ्रेट) ग्रुप्स को आकर्षित करने में सक्षम रहे हैं, जिनमें क्लाइंट्स जैसे कि FIN6, Evilnum और कोबाल्ट ग्रुप शामिल हैं। More_eggs की दुर्भावनापूर्ण क्षमताएं विशेष रूप से हैकर समूह को उनके विशिष्ट लक्ष्यों के अनुसार अलग-अलग अंतिम-चरण मैलवेयर पेलोड डाउनलोड करके हमले को बढ़ाने की अनुमति देते हुए खतरे को अधिकतर कम करने की अनुमति देती हैं।

नकली नौकरी की पेशकश ईमेल अधिक फैलता है पिछले दरवाजे

More_eggs हमले अभियानों में प्रारंभिक समझौता वेक्टर आमतौर पर एक लक्षित भाला-फ़िशिंग ईमेल है जो एक हथियारबंद फ़ाइल अनुलग्नक करता है। इस पिछले दरवाजे के खतरे से जुड़े नवीनतम ऑपरेशन को रिसर्च टीम ने eSentire में उजागर किया था। उनके निष्कर्षों के अनुसार, एक दूर के अज्ञात हैकर समूह ने उच्च श्रेणी के कर्मचारियों को नकली नौकरी की पेशकश के साथ लक्षित करना शुरू कर दिया है। ईमेल से जुड़ी दुर्भावनापूर्ण ज़िप फ़ाइल को विशिष्ट लक्षित लिंक्डइन प्रोफ़ाइल से ली गई नौकरी की स्थिति के नाम पर रखा गया है। उदाहरण के लिए, यदि चुने हुए उपयोगकर्ता की नौकरी लिंक्डइन पर वरिष्ठ उत्पाद प्रबंधक के रूप में सूचीबद्ध है, तो ज़िप फ़ाइल सटीक शब्दकरण करेगी और इसमें 'स्थिति' जोड़ देगी - 'वरिष्ठ उत्पाद प्रबंधक - स्थिति।' आर्काइव को खोलने से अधिक बेजान ट्रोजन की स्थापना प्रक्रिया शुरू होती है।

हमला चेन

More_eggs की स्थापना प्रक्रिया कई चरणों और कई मध्यवर्ती लोडर के माध्यम से जाती है। पहले चरण में, स्पीयरफ़िशिंग ईमेल के माध्यम से वितरित फ़ाइल के साथ बातचीत करके, पीड़ित वास्तव में Ven_LNK चलाता है, जो more_eggs ट्रोजन का एक प्रारंभिक चरण है। VenomLNK विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन का दुरुपयोग करता है ताकि टेराओलाडर नाम के अगले-चरण प्लगइन लोडर को सक्षम किया जा सके। बदले में, TerraLoader वैध विंडोज प्रक्रियाओं cmstp और regsvr32 का अपहरण करता है। बैकग्राउंड में चल रही नापाक हरकतों को नाकाम करने के लिए, इस बिंदु पर धमकी उसके शिकार को एक डिकॉय वर्ड डॉक्यूमेंट के साथ प्रस्तुत करती है, जिसे एक वैध काम के आवेदन के रूप में प्रस्तुत किया गया है। इस बीच, TerraLoader लक्षित उपयोगकर्ता की रोमिंग प्रोफ़ाइल में msxsl स्थापित करके अपने कार्यों के साथ आगे बढ़ता है और Amazon वेब सेवाओं से प्राप्त ActiveX नियंत्रण फ़ाइल से TerraPreter नामक एक नया पेलोड लोड करता है।

हमले के अगले चरण में mxsxl की हथियारबंद कॉपी के माध्यम से एक कमांड-एंड-कंट्रोल (C2, C & C) सर्वर पर नए स्थापित TerraPreter पेलोड को देखना शुरू होता है । बीकन खतरे के अभिनेता को सचेत करता है कि more_eggs पूरी तरह से पीड़ित के सिस्टम पर स्थापित है और आगे बढ़ने के लिए तैयार है। फिर हैकर्स रैंसमवेयर और इन्फॉस्टीलर्स जैसे एंड-स्टेज पेलोड्स को डाउनलोड करने और निष्पादित करने या संवेदनशील उपयोगकर्ता डेटा को फिर से शुरू करने के लिए खतरे का निर्देश दे सकते हैं।

पिछले More_eggs अभियान

More_eggs का पता लगाने-बचने की तकनीक जैसे कि बहुमुखी कार्यक्षमता के साथ युग्मित देशी विंडोज प्रक्रियाओं के शोषण ने गोल्डन चिकन्स को कई एटीपी हैकर समूहों को ग्राहकों के रूप में आकर्षित करने में मदद की है। Infosec शोधकर्ताओं ने पिछले 6 वर्षों में पिछले दरवाजे के खतरे को देखा है। हालाँकि, इन तीनों को वित्तीय क्षेत्र की कंपनियों को लक्षित करने के रूप में वर्णित किया जा सकता है, लेकिन इनका संचालन काफी अलग है। फिन 6 ने भुगतान कार्ड डेटा की चोरी में विशेषज्ञता प्राप्त की है जिसे बाद में भूमिगत व्यापार प्लेटफार्मों पर बेचा जाता है। उनका मुख्य लक्ष्य पीओएस (पॉइंट-ऑफ-सेल) डिवाइस और ईकामर्स कंपनियां हैं। दूसरी ओर, एविलनम वित्तीय प्रौद्योगिकी कंपनियों और स्टॉक ट्रेडिंग प्लेटफॉर्म प्रदाताओं के बाद जाता है। वे स्प्रेडशीट, ग्राहक सूची, व्यापारिक संचालन और खाता क्रेडेंशियल्स चोरी करके घुसपैठ करने वाली कंपनी और उसके ग्राहकों के बारे में संवेदनशील निजी जानकारी को लक्षित करते हैं। कोबाल्ट समूह वित्तीय कंपनियों को भी निशाना बनाता है और अब तक कई अभियानों में अधिक_का उपयोग किया है।