PHANTOMPULSE चूहा

एक परिष्कृत सोशल इंजीनियरिंग अभियान सामने आया है, जो ओब्सीडियन को प्रारंभिक पहुंच माध्यम के रूप में उपयोग करके फैंटमपल्स नामक एक अज्ञात विंडोज रिमोट एक्सेस ट्रोजन को तैनात कर रहा है। यह अभियान विशेष रूप से वित्तीय और क्रिप्टोकरेंसी क्षेत्रों में काम करने वाले व्यक्तियों को निशाना बना रहा है, और वैध उपकरणों पर भरोसे का लाभ उठाकर पारंपरिक सुरक्षा अपेक्षाओं को दरकिनार कर रहा है।

ऑपरेशन REF6598: पेशेवर नेटवर्क के माध्यम से धोखाधड़ी

साइबर सुरक्षा शोधकर्ताओं द्वारा REF6598 के रूप में नामित यह अभियान लिंक्डइन और टेलीग्राम के माध्यम से उन्नत सोशल इंजीनियरिंग तकनीकों का उपयोग करता है। लक्षित व्यक्तियों से पहले एक वेंचर कैपिटल फर्म के साथ सहयोग करने का बहाना बनाकर संपर्क किया जाता है। बाद में बातचीत को टेलीग्राम ग्रुप चैट में स्थानांतरित कर दिया जाता है, जहां नकली 'भागीदार' मौजूद होते हैं, जिससे वैधता का एक विश्वसनीय आभास होता है।

इन समूहों के भीतर, चर्चाएँ वित्तीय सेवाओं और क्रिप्टोकरेंसी तरलता रणनीतियों के इर्द-गिर्द घूमती हैं, जिससे विश्वसनीयता मजबूत होती है। अंततः पीड़ितों को दिए गए क्रेडेंशियल्स का उपयोग करके क्लाउड-होस्टेड ऑब्सीडियन वॉल्ट के माध्यम से एक साझा डैशबोर्ड तक पहुँचने का निर्देश दिया जाता है।

छिपा हुआ ट्रिगर: दुर्भावनापूर्ण वॉल्ट सक्रियण

संक्रमण की प्रक्रिया तब शुरू होती है जब पीड़ित व्यक्ति ऑब्सीडियन के भीतर साझा वॉल्ट खोलता है। इस चरण में, उपयोगकर्ता को 'इंस्टॉल्ड कम्युनिटी प्लगइन्स' के लिए सिंक्रोनाइज़ेशन सक्षम करने के लिए कहा जाता है, जो डिफ़ॉल्ट रूप से अक्षम होता है। यह मैन्युअल कार्रवाई महत्वपूर्ण है, क्योंकि इससे अंतर्निहित दुर्भावनापूर्ण कॉन्फ़िगरेशन को निष्पादित करने की अनुमति मिलती है।

हमलावर अनधिकृत कोड चलाने के लिए वैध प्लगइन्स, विशेष रूप से शेल कमांड्स और हाइडर का दुरुपयोग करते हैं। शेल कमांड्स निष्पादन को सुगम बनाता है, जबकि हाइडर स्टेटस बार और टूलटिप्स जैसे इंटरफ़ेस तत्वों को छुपा देता है, जिससे पकड़े जाने की संभावना कम हो जाती है। यह हमला पूरी तरह से उपयोगकर्ता को प्लगइन सिंक्रोनाइज़ेशन सक्षम करने के लिए राजी करने पर आधारित है, जिससे अंतर्निहित सुरक्षा उपायों को दरकिनार किया जा सके।

सुनियोजित बचाव: वैध सुविधाओं का लाभ उठाना

यह अभियान सॉफ्टवेयर कमजोरियों का फायदा उठाने के बजाय विश्वसनीय एप्लिकेशन कार्यक्षमता का रणनीतिक दुरुपयोग करने के लिए जाना जाता है। इसकी प्रमुख विशेषताएं इस प्रकार हैं:

• दुर्भावनापूर्ण पेलोड JSON कॉन्फ़िगरेशन फ़ाइलों में एम्बेडेड होते हैं, जिससे पारंपरिक एंटीवायरस द्वारा उनका पता लगाना मुश्किल हो जाता है।
• निष्पादन हस्ताक्षरित इलेक्ट्रॉन-आधारित एप्लिकेशन के माध्यम से किया जाता है, जिससे पैरेंट-प्रोसेस-आधारित पहचान जटिल हो जाती है।
• एप्लिकेशन के भीतर मौजूद वैध प्लगइन तंत्रों पर ही निरंतरता और कमांड निष्पादन पूरी तरह से निर्भर करते हैं।

विंडोज़ संक्रमण श्रृंखला: लोडर से लेकर मेमोरी-रेजिडेंट बैकडोर तक

विंडोज सिस्टम पर, यह हमला पॉवरशेल-आधारित निष्पादन श्रृंखला शुरू करता है जो PHANTOMPULL नामक एक मध्यवर्ती लोडर को तैनात करता है। यह लोडर डिस्क-आधारित पहचान से बचते हुए, PHANTOMPULSE को सीधे मेमोरी में डिक्रिप्ट और लॉन्च करता है।

फैंटमपल्स ब्लॉकचेन-आधारित कमांड-एंड-कंट्रोल (C2) समाधान का उपयोग करता है, जिसके लिए यह एथेरियम नेटवर्क से क्वेरी करता है। यह हार्ड-कोडेड वॉलेट पते से जुड़े नवीनतम लेनदेन को प्राप्त करके गतिशील रूप से अपने C2 सर्वर का निर्धारण करता है। संचार WinHTTP के माध्यम से होता है, जिससे डेटा एक्सफ़िल्ट्रेशन, कमांड पुनर्प्राप्ति और निष्पादन रिपोर्टिंग संभव हो पाती है।

यह मैलवेयर दूरस्थ नियंत्रण क्षमताओं के एक व्यापक समूह का समर्थन करता है:

• इंजेक्ट: प्रक्रियाओं में शेलकोड, DLL या निष्पादन योग्य फ़ाइलें इंजेक्ट करता है
• ड्रॉप: डिस्क पर फ़ाइलें लिखता और निष्पादित करता है
• स्क्रीनशॉट: स्क्रीन डेटा कैप्चर करता है और अपलोड करता है
• keylog: कीस्ट्रोक लॉगिंग को सक्षम या अक्षम करता है
• अनइंस्टॉल: यह डेटा के स्थायी तंत्रों को हटाता है और पुराने रिकॉर्ड को साफ करता है।
• elevate: COM एलिवेशन का उपयोग करके विशेषाधिकारों को SYSTEM तक बढ़ाता है
• डाउनग्रेड: विशेषाधिकारों को सिस्टम स्तर से प्रशासक स्तर तक कम करता है।

macOS वेरिएंट: अस्पष्टीकरण और लचीला C2 अवसंरचना

macOS पर, यह हमला उसी प्लगइन तंत्र के माध्यम से वितरित एक अस्पष्टीकृत AppleScript का लाभ उठाता है। स्क्रिप्ट पूर्वनिर्धारित डोमेन की सूची में बारी-बारी से काम करती है और C2 का पता लगाने के लिए Telegram को बैकअप डेड-ड्रॉप रिजॉल्वर के रूप में उपयोग करती है। यह डिज़ाइन बुनियादी ढांचे के तीव्र रोटेशन को सक्षम बनाता है, जिससे पारंपरिक डोमेन-ब्लॉकिंग रणनीतियाँ अप्रभावी हो जाती हैं।

अंतिम चरण में ओएसएस्क्रिप्ट के माध्यम से द्वितीयक पेलोड को पुनः प्राप्त करना और उसे निष्पादित करना शामिल है। हालांकि, विश्लेषण के समय C2 सर्वरों के निष्क्रिय होने के कारण, इस पेलोड की पूरी क्षमता का निर्धारण नहीं हो सका है।

हमले का परिणाम और रणनीतिक निहितार्थ

यह घुसपैठ अंततः असफल रही, क्योंकि रक्षात्मक उपायों ने लक्ष्य हासिल होने से पहले ही हमले का पता लगा लिया और उसे रोक दिया। फिर भी, REF6598 हमलावरों की कार्यप्रणाली में एक महत्वपूर्ण बदलाव को उजागर करता है।

विश्वसनीय अनुप्रयोगों का दुरुपयोग करके और उपयोगकर्ता द्वारा किए गए कॉन्फ़िगरेशन परिवर्तनों पर निर्भर रहकर, विरोधी पारंपरिक सुरक्षा नियंत्रणों को प्रभावी ढंग से दरकिनार कर देते हैं। यह दृष्टिकोण एक बढ़ते हुए चलन को रेखांकित करता है: वैध सॉफ़्टवेयर सुविधाओं का गुप्त निष्पादन चैनलों के रूप में दुरुपयोग, जो साइबर सुरक्षा सुरक्षा उपायों में उपयोगकर्ता जागरूकता और व्यवहार निगरानी की आवश्यकता पर बल देता है।