SkinnyBoy Malware

क्लस्टर 25 थ्रेट रिसर्च कंपनी के इन्फोसेक विशेषज्ञों ने रणनीतिक संस्थाओं के खिलाफ एक नए स्पीयर-फ़िशिंग अभियान का खुलासा किया। हमले की श्रृंखला के हिस्से के रूप में, शोधकर्ताओं ने एक नया मैलवेयर खतरा पाया, जो एक मध्य-चरण डाउनलोडर के रूप में कार्य करता था, जो भंग सिस्टम पर अंतिम खतरनाक पेलोड पहुंचाने का काम करता था। स्कीनीबॉय नामित, मैलवेयर को रूसी भाषी एपीटी 28 गिरोह के हानिकारक शस्त्रागार का हिस्सा माना गया है। इस विशेष खतरे वाले अभिनेता को फैंसीबियर, सेडनिट, स्ट्रोंटियम, पनस्टॉर्म और सोफेसी नामों से भी निपटा जा रहा है।

स्कीनीबॉय लक्षण

स्कीनीबॉय हमले की शुरुआत बैट फ़िशिंग ईमेल की डिलीवरी से होती है। पीड़ितों को एक अंतरराष्ट्रीय वैज्ञानिक कार्यक्रम के लिए एक नकली निमंत्रण प्राप्त होता है जो माना जाता है कि जुलाई के अंत में स्पेन में होगा। ईमेल के साथ संलग्न एक हथियारयुक्त Microsoft दस्तावेज़ है जिसमें एक दूषित मैक्रो है। इसके सक्रिय होने पर, मैक्रो एक मैलवेयर डाउनलोडर को DLL फ़ाइल के रूप में निकालता है।

स्किनीबॉय को संक्रमित सिस्टम के बगल में डिलीवर किया जाता है। खतरा 'tpd1.exe' नाम की फ़ाइल के रूप में आता है। एक बार शुरू करने के बाद, स्किनीबॉय विंडोज स्टार्टअप फ़ोल्डर के तहत एक एलएनके फाइल बनाकर एक दृढ़ता तंत्र स्थापित करने का प्रयास करता है। जब भी समझौता किए गए सिस्टम को अगली बार रिबूट किया जाता है, तो LNK चालू हो जाता है और मुख्य स्कीनीबॉय पेलोड फ़ाइल 'TermSrvClt.dll' की तलाश शुरू कर देता है। यह C:\Users\%username%\AppData\Local स्थान में संग्रहीत प्रत्येक फ़ाइल के SHA256 हैश को स्कैन करके ऐसा करता है।

स्कीनीबॉय द्वारा किया गया मुख्य कार्य संक्रमित सिस्टम पर अंतिम पेलोड की डिलीवरी है। हालांकि, सिस्टम पर मौजूद रहते हुए, यह खतरा विंडोज टूल्स 'syteminfo.exe' और 'tasklist.exe' का उपयोग करके विशिष्ट जानकारी भी एकत्र करेगा। डेटा निम्न फ़ाइलों और स्थानों से एकत्र किया जाता है:

• सी:\उपयोगकर्ता\%उपयोगकर्ता नाम%\डेस्कटॉप
• C:\Program Files - C:\Program Files (x86)
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
• सी:\उपयोगकर्ता\%उपयोगकर्ता नाम%\AppData\रोमिंग
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
• C:\Windows - C:\Users\user\AppData\Local\Temp

स्कीनीबॉय द्वारा एकत्रित की गई जानकारी को तब व्यवस्थित किया जाता है, बेस 64 प्रारूप में एन्कोड किया जाता है, और ऑपरेशन के कमांड-एंड-कंट्रोल सर्वरों में बहिष्कृत किया जाता है।

स्कीनी बॉय पीड़ित

स्कीनीबॉय मैलवेयर अब तक संभावित पीड़ितों के एक बड़े समूह के खिलाफ तैनात किया गया है। ऐसा प्रतीत होता है कि APT28 मुख्य रूप से विदेशी मामलों के मंत्रालयों, रक्षा उद्योग संस्थाओं, दूतावासों और सैन्य क्षेत्र के संगठनों जैसी सरकारी एजेंसियों को लक्षित कर रहा है। जबकि कई पीड़ित यूरोपीय संघ में स्थित थे, APT28 बड़े पैमाने पर काम कर सकता है और हमले संभवतः अमेरिकी संगठनों को भी प्रभावित कर रहे हैं।