PowerModul Implant

पेपर वेयरवोल्फ के नाम से मशहूर यह ख़तरा- जिसे GOFFEE भी कहा जाता है- पावरमॉड्यूल नामक एक नए इम्प्लांट का उपयोग करके विशेष रूप से रूसी संगठनों को निशाना बना रहा है। जुलाई और दिसंबर 2024 के बीच, उनके हमले मास मीडिया, दूरसंचार, निर्माण, सरकारी संस्थाओं और ऊर्जा क्षेत्र सहित प्रमुख उद्योगों पर केंद्रित थे।

एक सतत विरोधी: 2022 से अभियान

पेपर वेयरवोल्फ ने 2022 से कम से कम सात अभियान चलाए हैं। समूह का लगातार ध्यान सरकार, ऊर्जा, वित्तीय और मीडिया क्षेत्रों में उच्च मूल्य वाले लक्ष्यों पर रहा है।

जासूसी से कहीं अधिक: हमले की शृंखला में विनाशकारी मोड़

पेपर वेयरवुल्फ़ के ऑपरेशन पारंपरिक साइबर जासूसी से कहीं आगे तक जाते हैं। उनके हमले की श्रृंखला में विघटनकारी घटक शामिल पाए गए हैं, जैसे कि कर्मचारी खाते के पासवर्ड बदलना, जो सिर्फ़ डेटा चुराने के इरादे से नहीं बल्कि ऑपरेशन को बाधित करने के इरादे से किया गया है।

प्रवेश बिंदु: फ़िशिंग लालच और पावरआरएटी

हमले आमतौर पर मैक्रो-लेस्ड दस्तावेज़ों वाले फ़िशिंग ईमेल से शुरू होते हैं। एक बार जब पीड़ित फ़ाइल तक पहुँच जाता है और मैक्रोज़ को सक्षम कर देता है, तो PowerShell-आधारित रिमोट एक्सेस ट्रोजन जिसे PowerRAT के रूप में जाना जाता है, तैनात किया जाता है। यह मैलवेयर अधिक उन्नत पेलोड के लिए मंच तैयार करता है।

कस्टम मैलवेयर शस्त्रागार: पावरटास्कल, क्वाकमाईएजेंट और ओवोवा

अगले चरण के पेलोड में अक्सर पॉवरटास्कल और क्वैकमाईएजेंट शामिल होते हैं, जो मिथिक फ्रेमवर्क पर आधारित एजेंटों के कस्टम संस्करण हैं। एक अन्य उपकरण, ओवोवा, एक दुर्भावनापूर्ण IIS मॉड्यूल है, जिसका उपयोग वेब क्लाइंट के माध्यम से दर्ज किए गए Microsoft Outlook क्रेडेंशियल्स को चुराने के लिए किया जाता है।

नई संक्रमण रणनीति: RAR अभिलेखागार में प्रच्छन्न निष्पादनयोग्य

हमलों की नवीनतम लहर में एक दुर्भावनापूर्ण RAR संग्रह शामिल है जिसमें डबल एक्सटेंशन (जैसे, *.pdf.exe) का उपयोग करके एक PDF या Word दस्तावेज़ के रूप में प्रच्छन्न एक निष्पादन योग्य है। निष्पादन के समय, उपयोगकर्ता को एक नकली दस्तावेज़ दिखाया जाता है जबकि सिस्टम पृष्ठभूमि में चुपचाप संक्रमित होता है।

निष्पादनयोग्य वास्तव में एक पैच की गई विंडोज सिस्टम फ़ाइल (एक्सप्लोरर.exe की तरह) है, जिसमें एक अस्पष्ट माइथिक एजेंट युक्त दुर्भावनापूर्ण शेलकोड सन्निहित है, जो आगे के निर्देशों के लिए C2 सर्वर से जुड़ता है।

वैकल्पिक आक्रमण मार्ग: पावरमॉड्यूल केंद्र में आता है

एक वैकल्पिक विधि में, पेपर वेयरवोल्फ एक मैक्रो-लेस्ड ऑफिस दस्तावेज़ के साथ एक RAR संग्रह का उपयोग करता है जो PowerModul के लिए ड्रॉपर के रूप में कार्य करता है। यह PowerShell स्क्रिप्ट C2 सर्वर से अतिरिक्त स्क्रिप्ट निष्पादित कर सकती है, जिससे यह एक बहुमुखी बैकडोर बन जाता है।

पेलोड परेड: जासूसी और संक्रमण के लिए एक टूलकिट

PowerModul का उपयोग 2024 की शुरुआत से ही किया जा रहा है, मुख्य रूप से PowerTaskel को डाउनलोड करने और चलाने के लिए। अन्य उल्लेखनीय पेलोड में शामिल हैं:

• फ्लैशफाइलग्रैबर : फ्लैश ड्राइव से फाइलें चुराता है और उन्हें बाहर निकालता है।
• FlashFileGrabberOffline : फ्लैश मीडिया पर विशिष्ट एक्सटेंशन वाली फाइलों को खोजता है और बाद में निकालने के लिए उन्हें स्थानीय रूप से संग्रहीत करता है।
• यूएसबी वर्म : मैलवेयर को और अधिक फैलाने के लिए फ्लैश ड्राइव को पावरमॉड्यूल की एक प्रति से संक्रमित करता है।

पॉवरटास्कल की क्षमताएं: स्क्रिप्ट निष्पादन से कहीं अधिक

PowerModul के समान होने के बावजूद, PowerTaskel अधिक सक्षम है। यह सिस्टम जानकारी के साथ 'चेकइन' संदेश भेजता है, C2 सर्वर से कमांड चलाता है, और PsExec का उपयोग करके विशेषाधिकारों को बढ़ा सकता है। एक मामले में, इसे FolderFileGrabber स्क्रिप्ट निष्पादित करते हुए देखा गया जो हार्डकोडेड SMB नेटवर्क पथों का उपयोग करके दूरस्थ सिस्टम से फ़ाइलें एकत्र करता है।

रणनीति में विकास: पावरटास्कल से दूर जाना

पहली बार, पेपर वेयरवोल्फ ने शुरुआती पहुँच के लिए VBA स्क्रिप्ट के साथ धोखाधड़ी वाले वर्ड दस्तावेज़ों का उपयोग किया है। हाल के निष्कर्षों से एक सामरिक बदलाव का भी संकेत मिलता है, जिसमें समूह पावरटास्कल से दूर जा रहा है और लक्षित नेटवर्क के भीतर पार्श्व आंदोलन के लिए बाइनरी मिथिक एजेंटों पर तेजी से निर्भर हो रहा है।

अंतिम विचार: विकसित होती तकनीकों के साथ बढ़ता ख़तरा

पेपर वेयरवोल्फ अपनी तकनीकों को निखारने और अपने शस्त्रागार का विस्तार करने में लगा हुआ है। रूसी संस्थाओं पर विशेष ध्यान, विध्वंसकारी क्षमताओं और विकसित हो रही संक्रमण रणनीति के साथ मिलकर इसे क्षितिज पर एक गंभीर और लगातार साइबर खतरा बनाता है।