SNOW मैलवेयर

पहले अज्ञात रहे एक खतरे के समूह, जिसे UNC6692 के रूप में ट्रैक किया जा रहा है, की पहचान की गई है। यह समूह माइक्रोसॉफ्ट टीम्स के माध्यम से उन्नत सोशल इंजीनियरिंग तकनीकों का उपयोग करके SNOW मैलवेयर नामक एक विशेष मैलवेयर फ्रेमवर्क को तैनात कर रहा है। हमलावर लगातार आईटी हेल्प डेस्क कर्मियों का रूप धारण करते हैं और पीड़ितों को बाहरी खातों से आने वाले चैट आमंत्रणों को स्वीकार करने के लिए राजी करते हैं।

इस धोखे को एक सुनियोजित ईमेल बमबारी अभियान द्वारा और भी पुख्ता किया जाता है, जिसमें पीड़ितों को स्पैम संदेशों की बाढ़ भेजकर अफरा-तफरी और भ्रम की स्थिति पैदा की जाती है। इसके तुरंत बाद, हमलावर टीम्स के माध्यम से संपर्क स्थापित करता है, खुद को आईटी सहायता प्रदाता बताता है और मनगढ़ंत समस्या को हल करने में मदद की पेशकश करता है। हेरफेर की यह दोहरी रणनीति उपयोगकर्ता के अनुपालन की संभावना को काफी बढ़ा देती है।

पारंपरिक रणनीति, आधुनिक प्रभाव

इस ऑपरेशन का तरीका ब्लैक बास्ता से जुड़े संगठनों की तकनीकों से मिलता-जुलता है। हालांकि इस समूह ने रैंसमवेयर ऑपरेशन बंद कर दिए हैं, लेकिन इसके तरीके अभी भी कारगर हैं। सुरक्षा शोधकर्ताओं ने पुष्टि की है कि यह रणनीति मुख्य रूप से अधिकारियों और वरिष्ठ अधिकारियों को निशाना बनाती है, जिससे उन्हें शुरुआती नेटवर्क एक्सेस मिल जाता है, जिसके परिणामस्वरूप डेटा की चोरी, नेटवर्क में घुसपैठ, रैंसमवेयर का प्रसार और फिरौती हो सकती है। देखे गए मामलों में, हमलावरों द्वारा शुरू की गई चैट कुछ ही सेकंड के अंतराल पर हुईं, जो स्वचालित संचालन और समन्वय को दर्शाती हैं।

भ्रामक प्रवेश बिंदु: नकली समाधान

क्विक असिस्ट या सुप्रीमो रिमोट डेस्कटॉप जैसे रिमोट मैनेजमेंट टूल्स पर निर्भर रहने वाले पारंपरिक हमलों के विपरीत, यह अभियान एक संशोधित संक्रमण श्रृंखला प्रस्तुत करता है। पीड़ितों को टीम्स के माध्यम से साझा किए गए एक फ़िशिंग लिंक पर क्लिक करने के लिए निर्देशित किया जाता है, जिसे 'मेलबॉक्स रिपेयर एंड सिंक यूटिलिटी v2.1.5' के रूप में प्रस्तुत किया जाता है।

यह लिंक हमलावर द्वारा नियंत्रित क्लाउड स्टोरेज सेवा पर होस्ट किए गए एक दुर्भावनापूर्ण AutoHotkey स्क्रिप्ट को डाउनलोड करता है। एक गेटकीपर तंत्र यह सुनिश्चित करता है कि पेलोड केवल लक्षित उपयोगकर्ताओं तक ही पहुंचे, जिससे स्वचालित सुरक्षा विश्लेषण से बचा जा सके। इसके अतिरिक्त, स्क्रिप्ट ब्राउज़र के उपयोग की जाँच करती है और लगातार चेतावनियों के माध्यम से Microsoft Edge के उपयोग को अनिवार्य बनाती है, जिससे बाद के दुर्भावनापूर्ण घटकों के साथ संगतता सुनिश्चित होती है।

स्नोबेल्ट: ब्राउज़र का गुप्त बैकडोर

प्रारंभिक स्क्रिप्ट दुर्भावनापूर्ण क्रोमियम-आधारित ब्राउज़र एक्सटेंशन स्नोबेल्ट को तैनात करने से पहले जासूसी करती है। विशिष्ट कमांड-लाइन मापदंडों का उपयोग करके एक हेडलेस एज प्रक्रिया के माध्यम से स्थापित, स्नोबेल्ट एक गुप्त बैकडोर के रूप में कार्य करता है। यह स्नोग्लेज़, स्नोबेसिन, अतिरिक्त ऑटोहॉटकी स्क्रिप्ट और एक पोर्टेबल पायथन वातावरण युक्त संपीड़ित संग्रह सहित अतिरिक्त पेलोड डाउनलोड करने में सहायता करता है।

साथ ही, फ़िशिंग इंटरफ़ेस 'हेल्थ चेक' सुविधा के साथ एक 'कॉन्फ़िगरेशन मैनेजमेंट पैनल' प्रस्तुत करता है। यह इंटरफ़ेस प्रमाणीकरण के बहाने उपयोगकर्ताओं से मेलबॉक्स क्रेडेंशियल दर्ज करने के लिए कहता है, लेकिन इसके बजाय संवेदनशील डेटा को कैप्चर करके हमलावर-नियंत्रित बुनियादी ढांचे में भेज देता है।

मॉड्यूलर मैलवेयर इकोसिस्टम: SNOW फ्रेमवर्क का विस्तृत विश्लेषण

SNOW मैलवेयर सूट एक समन्वित, मॉड्यूलर इकोसिस्टम के रूप में काम करता है जिसे निरंतरता, नियंत्रण और गोपनीयता के लिए डिज़ाइन किया गया है:

• SNOWBELT एक जावास्क्रिप्ट-आधारित कमांड रिले के रूप में कार्य करता है, जो हमलावर से निर्देश प्राप्त करता है और उन्हें निष्पादन के लिए अग्रेषित करता है।
• SNOWGLAZE एक पायथन-आधारित टनलिंग यूटिलिटी के रूप में कार्य करता है, जो प्रभावित नेटवर्क और हमलावर के कमांड-एंड-कंट्रोल सर्वर के बीच एक सुरक्षित वेबसॉकेट कनेक्शन स्थापित करता है।
• SNOWBASIN एक स्थायी बैकडोर के रूप में कार्य करता है, जो दूरस्थ कमांड निष्पादन, फ़ाइल स्थानांतरण, स्क्रीनशॉट कैप्चर और स्व-निष्कासन को सक्षम बनाता है, जबकि यह कई पोर्ट पर एक स्थानीय HTTP सर्वर के रूप में संचालित होता है।

शोषण के बाद: नियंत्रण का विस्तार और डेटा निष्कर्षण

प्रारंभिक सुरक्षा उल्लंघन के बाद, हमलावर पहुंच को और मजबूत करने और मूल्यवान जानकारी निकालने के लिए कई तरह की कार्रवाइयां करता है:

नेटवर्क की जासूसी महत्वपूर्ण पोर्टों को स्कैन करके की जाती है, जिसके बाद प्रशासनिक उपकरणों और समझौता किए गए सिस्टमों के माध्यम से सुरंग बनाकर रिमोट डेस्कटॉप सत्रों का उपयोग करके पार्श्व आवागमन किया जाता है।

संवेदनशील प्रक्रिया मेमोरी को निकालकर विशेषाधिकार वृद्धि हासिल की जाती है, जिससे क्रेडेंशियल की चोरी और उच्च-स्तरीय प्रणालियों तक अनधिकृत पहुंच संभव हो पाती है।

पास-द-हैश जैसी उन्नत तकनीकों का उपयोग डोमेन कंट्रोलर्स को हैक करने के लिए किया जाता है, जिसके बाद संवेदनशील डेटा, जिसमें डायरेक्टरी डेटाबेस भी शामिल हैं, को इकट्ठा करने के लिए फोरेंसिक टूल तैनात किए जाते हैं, जिन्हें बाद में फाइल ट्रांसफर यूटिलिटीज का उपयोग करके बाहर निकाल लिया जाता है।

क्लाउड कैमॉफ्लाज: दुर्भावनापूर्ण ट्रैफ़िक को वैध सेवाओं के साथ मिलाना

इस अभियान की एक प्रमुख विशेषता विश्वसनीय क्लाउड इन्फ्रास्ट्रक्चर का रणनीतिक दुरुपयोग है। दुर्भावनापूर्ण पेलोड, डेटा की चोरी और कमांड-एंड-कंट्रोल संचार, सभी वैध क्लाउड प्लेटफॉर्म के माध्यम से संचालित किए जाते हैं। यह दृष्टिकोण खतरे की गतिविधियों को सामान्य एंटरप्राइज़ ट्रैफ़िक के साथ सहजता से घुलमिल जाने की अनुमति देता है, जिससे प्रतिष्ठा या विसंगति का पता लगाने पर आधारित पारंपरिक सुरक्षा फ़िल्टरों को प्रभावी ढंग से दरकिनार किया जा सकता है।

बदलती हुई खतरे की स्थिति: विश्वास प्राथमिक लक्ष्य के रूप में

UNC6692 अभियान साइबर हमले की रणनीतियों में एक महत्वपूर्ण बदलाव को उजागर करता है, जिसमें सोशल इंजीनियरिंग, विश्वसनीय एंटरप्राइज़ टूल्स और मॉड्यूलर मैलवेयर का संयोजन शामिल है। व्यापक रूप से उपयोग किए जाने वाले प्लेटफॉर्म और सेवाओं में उपयोगकर्ताओं के भरोसे का फायदा उठाकर, हमलावर सफलता दर बढ़ाते हैं और साथ ही पकड़े जाने की संभावना को कम करते हैं। नवीन वितरण तंत्रों के साथ-साथ पुरानी रणनीतियों की निरंतरता एक महत्वपूर्ण वास्तविकता को रेखांकित करती है: प्रभावी हमला रणनीतियाँ अपने मूल संचालकों के गायब हो जाने के बाद भी लंबे समय तक बनी रह सकती हैं।