PureCrypter

साइबर अपराधियों का एक समूह एशिया-प्रशांत (APAC) और उत्तरी अमेरिकी क्षेत्रों में PureCrypter नामक मैलवेयर डाउनलोडर के साथ सरकारी संस्थाओं पर हमला कर रहा है। हमले के पीछे साइबर अपराधी इन संगठनों के सिस्टम में घुसपैठ करने और संवेदनशील जानकारी एकत्र करने या कुछ मामलों में रैनसमवेयर के उपयोग के माध्यम से अपने सिस्टम को बंधक बनाने में सक्षम थे। हमले की गंभीरता इस तथ्य से बढ़ जाती है कि ये सरकारी संस्थाएं अक्सर संवेदनशील और वर्गीकृत जानकारी संग्रहीत करती हैं, जिससे वे साइबर अपराधियों के लिए प्रमुख लक्ष्य बन जाती हैं।

सुरक्षा शोधकर्ताओं ने पाया कि खतरे के अभिनेताओं ने प्रारंभिक पेलोड की मेजबानी करने के लिए डिस्कोर्ड का शोषण किया और अभियान में उपयोग किए जाने वाले अतिरिक्त मेजबानों को इकट्ठा करने के तरीके के रूप में एक गैर-लाभकारी संगठन से भी समझौता किया। इसका मतलब यह है कि हमलावरों ने मालवेयर के शुरुआती पेलोड को वितरित करने के लिए डिस्कॉर्ड जैसे वैध प्लेटफॉर्म का इस्तेमाल किया, जिससे सुरक्षा प्रणालियों के लिए इसका पता लगाना और ब्लॉक करना मुश्किल हो गया। मैलवेयर रेडलाइन स्टीलर, एजेंट टेस्ला , अनंत काल , ब्लैकमून और फिलाडेल्फिया रांससमवेयर सहित कई अलग-अलग मैलवेयर उपभेदों को वितरित करने के लिए जाना जाता है।

PureCrypter मल्टी-स्टेज अटैक चेन का हिस्सा है

PureCrypter मालवेयर डाउनलोडर का उपयोग करने वाले हमले की शुरुआत एक ईमेल से की जाती है जिसमें एक डिस्कॉर्ड एप्लिकेशन URL होता है। यह URL एक PureCrypter नमूने की ओर ले जाता है जो एक पासवर्ड-सुरक्षित ज़िप संग्रह में निहित है। PureCrypter एक मैलवेयर डाउनलोडर है जो .NET-आधारित सिस्टम पर काम करता है। इसका संचालक विभिन्न प्रकार के मैलवेयर वितरित करने के उद्देश्य से इसे अन्य साइबर अपराधियों को किराए पर देता है। PureCrypter के एक बार निष्पादित हो जाने के बाद, यह कमांड-एंड-कंट्रोल (C2, C&C) सर्वर से अगले चरण के पेलोड को प्राप्त करता है और डिलीवर करता है। इस विशिष्ट मामले में, थ्रेट एक्टर्स द्वारा उपयोग किया जाने वाला कमांड एंड कंट्रोल सर्वर एक गैर-लाभकारी संगठन का समझौता सर्वर था।

शोधकर्ताओं द्वारा विश्लेषण किया गया नमूना एजेंट टेस्ला था, एक प्रकार का मैलवेयर जो पीड़ित के कंप्यूटर से जानकारी एकत्र करता है। एक बार लॉन्च होने के बाद, एजेंट टेस्ला एकत्रित डेटा भेजने के लिए पाकिस्तान स्थित एफ़टीपी सर्वर से एक कनेक्शन स्थापित करता है। मजे की बात यह है कि धमकी देने वाले अभिनेताओं ने अपना स्वयं का एफ़टीपी सर्वर स्थापित नहीं किया, बल्कि किसी मौजूदा का नियंत्रण लेने के लिए लीक हुए क्रेडेंशियल्स का इस्तेमाल किया। पहले से ही समझौता किए गए सर्वर का उपयोग करके, वे पहचाने जाने के जोखिम को कम करते हैं और अपने ट्रेस को कम करते हैं।

AgentTesla एक खतरनाक साइबर अपराधी उपकरण बना हुआ है

AgentTesla एक प्रकार का .NET मालवेयर है, जिसका उपयोग साइबर अपराधियों द्वारा पिछले आठ वर्षों से किया जा रहा है, जिसका उपयोग 2020 के अंत और 2021 की शुरुआत में चरम पर था। अपनी उम्र के बावजूद, AgentTesla एक अत्यधिक सक्षम और लागत प्रभावी बैकडोर बना हुआ है जो लगातार रहा है। वर्षों में विकसित और बेहतर हुआ।

AgentTesla की प्रमुख क्षमताओं में से एक पीड़ित के कीस्ट्रोक्स को लॉग करने की क्षमता है, जिससे साइबर अपराधियों को पासवर्ड जैसी संवेदनशील जानकारी हासिल करने की अनुमति मिलती है। मैलवेयर एफ़टीपी क्लाइंट, वेब ब्राउज़र या ईमेल क्लाइंट में सहेजे गए पासवर्ड भी एकत्र कर सकता है। इसके अलावा, AgentTesla पीड़ित के डेस्कटॉप के स्क्रीनशॉट कैप्चर कर सकता है, संभावित रूप से गोपनीय जानकारी का खुलासा कर सकता है। यह टेक्स्ट, पासवर्ड और क्रेडिट कार्ड विवरण सहित सिस्टम के क्लिपबोर्ड पर कॉपी किए गए किसी भी डेटा को एक्सेस और इंटरसेप्ट कर सकता है। एक बार एकत्रित हो जाने पर, डेटा को FTP या SMTP के माध्यम से कमांड एंड कंट्रोल (C2) सर्वर में एक्सफिल्टर किया जा सकता है।

PureCrypter हमलों में, थ्रेट एक्टर्स ने AgentTesla पेलोड को 'cvtres.exe' नामक एक वैध प्रक्रिया में इंजेक्ट करने के लिए "प्रोसेस होलोइंग" नामक तकनीक का उपयोग किया। यह तकनीक सुरक्षा उपकरणों से पहचान से बचने में मदद करती है।

C2 सर्वर और कॉन्फ़िगरेशन फ़ाइलों के साथ अपने संचार को नेटवर्क ट्रैफ़िक मॉनिटरिंग टूल द्वारा पता लगाने से सुरक्षित रखने के लिए, AgentTesla XOR एन्क्रिप्शन का उपयोग करता है। यह एन्क्रिप्शन विधि सुरक्षा प्रणालियों के लिए C2 सर्वर के साथ मैलवेयर के संचार का पता लगाना कठिन बना देती है, जिससे इसका पता लगाना और उसे कम करना एक चुनौतीपूर्ण खतरा बन जाता है।