PicassoLoader Malware

इन्फोसेक विशेषज्ञों ने यूक्रेन और पोलैंड में लक्ष्यों के खिलाफ साइबर हमले अभियानों की एक श्रृंखला की पहचान की है। साइबर अपराधियों का ध्यान सरकारी संस्थाओं, सैन्य संगठनों और नागरिक उपयोगकर्ताओं से समझौता करने पर है। इन अभियानों का उद्देश्य अवैध रूप से संवेदनशील डेटा प्राप्त करना और समझौता किए गए सिस्टम तक निरंतर दूरस्थ पहुंच स्थापित करना है।

अप्रैल 2022 से जुलाई 2023 तक की अवधि में, यह घुसपैठ अभियान विभिन्न युक्तियों का उपयोग करता है। पीड़ितों को धोखा देने और पिकासोलोडर नामक डाउनलोडर मैलवेयर की तैनाती की सुविधा के लिए फ़िशिंग लालच और फर्जी दस्तावेज़ों का उपयोग किया जाता है। यह खतरनाक सॉफ़्टवेयर अन्य असुरक्षित टूल, विशेष रूप से Cobalt Strike बीकन और njRat को लॉन्च करने के लिए प्रवेश द्वार के रूप में कार्य करता है।

फ़िशिंग लालच भ्रामक तकनीकें हैं जिनका उपयोग व्यक्तियों को उपयोगकर्ता नाम, पासवर्ड या खाता क्रेडेंशियल जैसी संवेदनशील जानकारी का खुलासा करने के लिए धोखा देने के लिए किया जाता है। डिकॉय दस्तावेज़ छिपी हुई फ़ाइलें हैं जिन्हें वैध दिखने के लिए डिज़ाइन किया गया है लेकिन वास्तव में उनमें असुरक्षित पेलोड होते हैं। पीड़ितों को इन फर्जी दस्तावेजों के साथ बातचीत करने के लिए लुभाकर, हमलावर अपने सिस्टम पर पिकासो लोडर डाउनलोडर को निष्पादित कर सकते हैं।

एक बार जब पिकासोलोडर सफलतापूर्वक तैनात हो जाता है, तो यह हमले के अगले चरण के लिए एक माध्यम के रूप में कार्य करता है। यह दो अतिरिक्त प्रकार के मैलवेयर की स्थापना और निष्पादन को सक्षम बनाता है: कोबाल्ट स्ट्राइक बीकन और एनजेआरएटी। कोबाल्ट स्ट्राइक बीकन एक परिष्कृत प्रवेश परीक्षण उपकरण है जो हमलावरों को समझौता किए गए सिस्टम पर अनधिकृत पहुंच और नियंत्रण प्राप्त करने की अनुमति देता है। जहां तक एनजेआरएटी की बात है, यह एक रिमोट एक्सेस ट्रोजन है जो हमलावरों को संक्रमित सिस्टम तक अनधिकृत रिमोट एक्सेस प्रदान करता है, जिससे वे बिना पहचाने दुर्भावनापूर्ण गतिविधियों को अंजाम दे सकते हैं।

PicassoLoader Malware को मल्टीस्टेज संक्रमण श्रृंखला के भाग के रूप में तैनात किया गया है

पिकासोलोडर के पीछे के हमलावरों ने अपनी हानिकारक गतिविधियों को अंजाम देने के लिए एक मल्टीस्टेज संक्रमण श्रृंखला का उपयोग किया। प्रारंभिक चरण में समझौता किए गए Microsoft Office दस्तावेज़ों का उपयोग शामिल था, जिसमें Microsoft Excel और PowerPoint फ़ाइल स्वरूप सबसे अधिक उपयोग किए जाते थे। ये दस्तावेज़ हमले के लिए शुरुआती बिंदु के रूप में काम करते हैं।

कार्यालय दस्तावेज़ों के बाद, एक निष्पादन योग्य डाउनलोडर और पेलोड एक छवि फ़ाइल के भीतर छुपाए गए हैं। यह रणनीति संभवतः सुरक्षा प्रणालियों के लिए डाउनलोडर और पेलोड का पता लगाने को और अधिक चुनौतीपूर्ण बनाने के लिए नियोजित की गई थी। एक छवि फ़ाइल के भीतर छुपकर, हमलावरों का लक्ष्य सुरक्षा उपायों को दरकिनार करना और सफल घुसपैठ की संभावना को बढ़ाना है।

इनमें से कुछ हमलों के लिए घोस्टराइटर नामक एक ख़तरनाक अभिनेता को जिम्मेदार ठहराया गया है, जिसे UAC-0057 या UNC1151 के रूप में भी ट्रैक किया जाता है। माना जाता है कि घोस्टराइटर की प्रेरणाएँ और उद्देश्य बेलारूसी सरकार के हितों के अनुरूप हैं।

यूक्रेन के ख़िलाफ़ कई लक्षित हमले देखे गए हैं

उल्लेखनीय है कि इन हमलों का एक उपसमूह यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-यूए) द्वारा पिछले वर्ष पहले ही प्रलेखित किया जा चुका था। एक उल्लेखनीय उदाहरण जुलाई 2022 में हुआ, जहां Agent Tesla मैलवेयर वितरित करने के लिए मैक्रो-युक्त पावरपॉइंट दस्तावेज़ों को नियोजित किया गया था। इस घटना ने मैलवेयर वितरित करने और पीड़ितों के सिस्टम से समझौता करने के साधन के रूप में मैक्रोज़ के उपयोग पर प्रकाश डाला।

इन हमलों में उपयोग की जाने वाली संक्रमण श्रृंखलाएं पीड़ितों को कार्यालय दस्तावेजों के भीतर मैक्रोज़ को सक्षम करने के लिए मनाने के लिए सोशल इंजीनियरिंग तरीकों पर निर्भर करती हैं। एक बार मैक्रोज़ सक्षम हो जाने पर, एक वीबीए मैक्रो ट्रिगर हो जाता है, जिससे पिकासोलोडर डीएलएल डाउनलोडर खतरे की तैनाती हो जाती है। यह डाउनलोडर अगले चरण के पेलोड को पुनः प्राप्त करने के लिए हमलावरों द्वारा नियंत्रित साइट के साथ एक कनेक्शन स्थापित करता है, जो एक प्रतीत होता है कि वैध छवि फ़ाइल के भीतर एम्बेडेड है। अंतिम मैलवेयर इस छवि फ़ाइल में छिपा हुआ है।

CERT-UA के ये हालिया खुलासे स्मोकलोडर मैलवेयर वितरित करने वाले कई फ़िशिंग ऑपरेशनों पर उनकी रिपोर्टिंग से मेल खाते हैं। इसके अतिरिक्त, टेलीग्राम उपयोगकर्ताओं को उनके खातों पर अनधिकृत नियंत्रण प्राप्त करने के उद्देश्य से लक्षित एक स्मैशिंग हमले की पहचान की गई थी।

घोस्टराइटर यूक्रेन को निशाना बनाने वाले साइबर अपराध समूहों में से एक है

यूक्रेन कई खतरनाक तत्वों का निशाना बन गया है, जिनमें कुख्यात रूसी राष्ट्र-राज्य समूह APT28 भी शामिल है। APT28 को HTML अनुलग्नकों के साथ फ़िशिंग ईमेल भेजने की रणनीति अपनाते हुए देखा गया है, जिससे प्राप्तकर्ताओं को यह विश्वास दिलाया जाता है कि उनके UKR.NET और Yahoo! में संदिग्ध गतिविधि है! हिसाब किताब। ईमेल उपयोगकर्ताओं को अपने पासवर्ड बदलने के लिए प्रेरित करते हैं, लेकिन इसके बजाय, उन्हें उनके लॉगिन क्रेडेंशियल एकत्र करने के लिए डिज़ाइन किए गए नकली लैंडिंग पृष्ठों पर ले जाते हैं।

यह हालिया विकास रूसी सैन्य खुफिया (जीआरयू) से जुड़े हैकरों की गतिविधियों में देखे गए एक व्यापक पैटर्न का हिस्सा है। उन्होंने यूक्रेन के खिलाफ अपने विघटनकारी अभियानों में 'मानक पांच-चरण प्लेबुक' को अपनाया है, जो उनके हमलों की गति, पैमाने और तीव्रता को बढ़ाने के लिए एक जानबूझकर प्रयास का प्रदर्शन करता है।