सुपरबियर आरएटी
दक्षिण कोरियाई नागरिक समाज संगठनों पर संभावित फोकस के साथ एक फ़िशिंग अभियान ने सुपरबियर नामक एक पूर्व अज्ञात आरएटी (रिमोट एक्सेस ट्रोजन) खतरे का खुलासा किया है। सुरक्षा विशेषज्ञों ने इस खतरे की पहचान एक अज्ञात कार्यकर्ता से जुड़ी घटना में की है, जिसे अगस्त 2023 के अंत में एक छेड़छाड़ की गई एलएनके फ़ाइल प्राप्त हुई थी। भ्रामक प्रेषक का ईमेल पता लक्षित गैर-लाभकारी संगठन के एक सदस्य की नकल करता है।
विषयसूची
एक मल्टी-स्टेज अटैक चेन सुपरबियर पेलोड वितरित करती है
सक्रियण पर, LNK फ़ाइल विज़ुअल बेसिक स्क्रिप्ट के निष्पादन को आरंभ करने के लिए एक PowerShell कमांड को ट्रिगर करती है। यह स्क्रिप्ट, बदले में, एक वैध लेकिन समझौता किए गए वर्डप्रेस वेबसाइट से अगले चरण के पेलोड को पुनः प्राप्त करती है।
इस पेलोड में दो घटक शामिल हैं: Autoit3.exe बाइनरी, जिसे 'solmir.pdb' के रूप में पहचाना जाता है, और एक AutoIt स्क्रिप्ट जिसे 'solmir_1.pdb' के रूप में जाना जाता है। पूर्व, बाद वाले के लिए लॉन्चिंग तंत्र के रूप में कार्य करता है।
AutoIt स्क्रिप्ट, बदले में, एक प्रक्रिया इंजेक्शन तकनीक को नियोजित करती है जिसे प्रोसेस हॉलोलिंग कहा जाता है। इस तकनीक में एक निलंबित प्रक्रिया में खराब कोड डालना शामिल है। इस उदाहरण में, यह पहले से न देखे गए SuperBear RAT के इंजेक्शन की सुविधा के लिए Explorer.exe का एक नया उदाहरण बनाता है।
सुपरबियर आरएटी समझौता किए गए सिस्टम पर आक्रामक कार्रवाई करता है
सुपरबियर आरएटी तीन प्राथमिक आक्रमण ऑपरेशन करता है: प्रक्रिया और सिस्टम डेटा को बाहर निकालना, शेल कमांड निष्पादित करना और डीएलएल चलाना। डिफ़ॉल्ट रूप से, C2 सर्वर क्लाइंट को सिस्टम डेटा को बाहर निकालने और संसाधित करने का निर्देश देता है, यह विशेषता अक्सर टोही प्रयासों पर केंद्रित हमले अभियानों से जुड़ी होती है।
इसके अतिरिक्त, खतरे वाले अभिनेता आरएटी को शेल कमांड निष्पादित करने या प्रभावित मशीन पर एक समझौता डीएलएल डाउनलोड करने का निर्देश दे सकते हैं। ऐसे मामलों में जहां डीएलएल को एक फ़ाइल नाम की आवश्यकता होती है, यह एक यादृच्छिक फ़ाइल नाम उत्पन्न करने का प्रयास करेगा; असफल होने पर, यह डिफ़ॉल्ट नाम 'सुपरबियर' हो जाता है। इस खतरे ने इस व्यवहार से अपना नाम अर्जित किया, जो इसके गतिशील फ़ाइल नाम निर्माण दृष्टिकोण को दर्शाता है।
इस हमले को अस्थायी रूप से उत्तर कोरियाई राष्ट्र-राज्य अभिनेता को जिम्मेदार ठहराया गया है जिसे किमसुकी (जिसे एपीटी43 या एमराल्ड स्लीट, निकेल किमबॉल और वेलवेट चोलिमा जैसे उपनामों से भी जाना जाता है) के नाम से जाना जाता है। यह एट्रिब्यूशन प्रारंभिक आक्रमण वेक्टर और नियोजित पॉवरशेल कमांड के बीच समानता से लिया गया है।
RAT खतरों को साइबर अपराधियों के एजेंडे में फिट करने के लिए अनुकूलित किया जा सकता है
RAT (रिमोट एक्सेस ट्रोजन) खतरे जिन्हें साइबर अपराधी के एजेंडे में फिट करने के लिए अनुकूलित किया जा सकता है, अपनी बहुमुखी और अनुकूलनीय प्रकृति के कारण महत्वपूर्ण खतरे पैदा करते हैं। ऐसे खतरों से जुड़े कुछ प्रमुख खतरे यहां दिए गए हैं:
- अप्रतिबंधित रिमोट कंट्रोल : आरएटी साइबर अपराधियों को संक्रमित सिस्टम तक पूर्ण और अप्रतिबंधित पहुंच प्रदान करता है। नियंत्रण का यह स्तर उन्हें पीड़ित की जानकारी या सहमति के बिना डेटा चोरी, निगरानी और सिस्टम हेरफेर सहित कई प्रकार की हानिकारक गतिविधियों को अंजाम देने की अनुमति देता है।
- डेटा चोरी : साइबर अपराधी व्यक्तिगत डेटा, वित्तीय रिकॉर्ड, लॉगिन क्रेडेंशियल, बौद्धिक संपदा और अधिक जैसी संवेदनशील जानकारी एकत्र करने के लिए RAT का उपयोग कर सकते हैं। एकत्र किए गए डेटा को डार्क वेब पर बेचा जा सकता है या पहचान की चोरी, वित्तीय धोखाधड़ी या कॉर्पोरेट जासूसी के लिए उपयोग किया जा सकता है।
- जासूसी और निगरानी : अनुकूलन योग्य आरएटी का उपयोग अक्सर जासूसी उद्देश्यों के लिए किया जाता है, जो साइबर अपराधियों को पीड़ित की गतिविधियों की निगरानी और रिकॉर्ड करने, स्क्रीनशॉट कैप्चर करने, कीस्ट्रोक्स रिकॉर्ड करने और यहां तक कि पीड़ित के वेबकैम और माइक्रोफ़ोन को सक्रिय करने में सक्षम बनाता है। इससे गोपनीयता का उल्लंघन हो सकता है और संवेदनशील व्यक्तिगत या कॉर्पोरेट जानकारी का संग्रह हो सकता है।
- लगातार पहुंच : आरएटी को एक संक्रमित सिस्टम तक लगातार पहुंच बनाए रखने के लिए डिज़ाइन किया गया है, जिससे साइबर अपराधियों को विस्तारित अवधि के लिए समझौता किए गए डिवाइस पर नियंत्रण बनाए रखने की अनुमति मिलती है। यह दृढ़ता पीड़ितों के लिए मैलवेयर का पता लगाना और उसे हटाना चुनौतीपूर्ण बना देती है, जिससे हमलावरों को सिस्टम में लगातार पैर जमाने की सुविधा मिलती है।
- प्रसार और प्रसार : अनुकूलित आरएटी को एक नेटवर्क के भीतर अन्य प्रणालियों में फैलाने के लिए प्रोग्राम किया जा सकता है, जिससे संभावित रूप से कई उपकरणों और यहां तक कि पूरे संगठनों का समझौता हो सकता है। इसके परिणामस्वरूप व्यापक क्षति, डेटा उल्लंघन और परिचालन संबंधी व्यवधान हो सकते हैं।
- अनुकूलित हमले : साइबर अपराधी विशिष्ट आक्रमण वैक्टरों को निष्पादित करने के लिए आरएटी को अनुकूलित कर सकते हैं, जिससे सुरक्षा सॉफ़्टवेयर के लिए उनका पता लगाना और उन्हें रोकना मुश्किल हो जाता है। ये हमले विशिष्ट संगठनों, उद्योगों या व्यक्तियों को लक्षित करने के लिए डिज़ाइन किए जा सकते हैं, जिससे सफलता की संभावना बढ़ जाती है।
- जांच से बचना : अनुकूलित आरएटी में अक्सर एन्क्रिप्शन, ऑबफस्केशन और बहुरूपता सहित एंटी-डिटेक्शन तकनीकों को शामिल किया जाता है, जिससे सुरक्षा समाधानों के लिए खतरे की पहचान करना और उसे कम करना चुनौतीपूर्ण हो जाता है। इससे हमलावर छुपे रह सकते हैं और लंबे समय तक पहचाने जाने से बच सकते हैं।
- रैनसमवेयर परिनियोजन : RAT का उपयोग रैनसमवेयर पेलोड वितरित करने, पीड़ितों को उनके अपने सिस्टम से लॉक करने या उनके डेटा को एन्क्रिप्ट करने के साधन के रूप में किया जा सकता है। साइबर अपराधी डिक्रिप्शन कुंजी के बदले में फिरौती की मांग कर सकते हैं, जिससे वित्तीय और परिचालन संबंधी व्यवधान उत्पन्न हो सकते हैं।
- बॉटनेट गठन : अनुकूलन योग्य आरएटी का उपयोग संक्रमित उपकरणों को बॉटनेट में भर्ती करने के लिए किया जा सकता है, जिसका उपयोग विभिन्न दुर्भावनापूर्ण उद्देश्यों के लिए किया जा सकता है, जैसे वितरित इनकार-ऑफ-सर्विस (डीडीओएस) हमले, स्पैम वितरण, या मैलवेयर का आगे प्रसार।
संक्षेप में, RAT खतरे जिन्हें साइबर अपराधियों के उद्देश्यों के अनुरूप अनुकूलित किया जा सकता है, एक बहुमुखी खतरा पैदा करते हैं, क्योंकि वे व्यक्तियों, संगठनों और यहां तक कि पूरे क्षेत्रों को महत्वपूर्ण वित्तीय, परिचालन और प्रतिष्ठित क्षति की संभावना के साथ असुरक्षित गतिविधियों की एक विस्तृत श्रृंखला को सक्षम करते हैं। इन खतरों से निपटने के लिए, नियमित अपडेट, कर्मचारी प्रशिक्षण और उन्नत खतरे का पता लगाने और रोकथाम उपकरण सहित मजबूत साइबर सुरक्षा उपाय आवश्यक हैं।
