TransferLoader Malware

सुरक्षा शोधकर्ता रोमकॉम आरएटी के पीछे कुख्यात अभिनेताओं और ट्रांसफर लोडर नामक मैलवेयर लोडर के बीच संबंध खोज रहे हैं। यह अभियान, जिसने जासूसी और रैनसमवेयर हमलों वाली संस्थाओं को निशाना बनाया है, परिष्कृत तकनीकों और ओवरलैपिंग इंफ्रास्ट्रक्चर को उजागर करता है जो बारीकी से जांच की मांग करते हैं।

दो खतरा अभिनेता क्लस्टर: TA829 और UNK_GreenSec

साइबर सुरक्षा शोधकर्ताओं ने ट्रांसफर लोडर से संबंधित गतिविधि के लिए दो प्राथमिक खतरा अभिनेता समूहों को जिम्मेदार ठहराया है:

• TA829 को RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, और Void Rabisu जैसे उपनामों के तहत भी ट्रैक किया गया है।
• UNK_GreenSec, एक कम ज्ञात समूह जो समान रणनीति के साथ समानांतर रूप से कार्य कर रहा है।

TA829 अपने हाइब्रिड ऑपरेशन के लिए विशेष रूप से उल्लेखनीय है, जिसमें जासूसी और वित्तीय रूप से प्रेरित हमले शामिल हैं। रूस से जुड़े इस समूह ने पहले भी उच्च-मूल्य वाले वैश्विक संगठनों को लक्षित करते हुए रोमकॉम आरएटी को तैनात करने के लिए मोज़िला फ़ायरफ़ॉक्स और माइक्रोसॉफ्ट विंडोज में शून्य-दिन की कमजोरियों का लाभ उठाया है।

ट्रांसफरलोडर: मैलवेयर अभियानों में उद्भव और भूमिका

ट्रांसफर लोडर की पहचान सबसे पहले फरवरी 2025 में मॉर्फियस रैनसमवेयर से जुड़े एक अभियान के दौरान हुई थी, जो हेलकैट रैनसमवेयर का रीब्रांडेड संस्करण है। इस मैलवेयर का इस्तेमाल एक अनाम अमेरिकी-आधारित कानूनी फर्म के खिलाफ किया गया था। रोमकॉम के विपरीत, ट्रांसफर लोडर मुख्य रूप से एक गुप्त वितरण तंत्र के रूप में कार्य करता है, जो मेटास्प्लॉइट और मॉर्फियस जैसे अतिरिक्त दुर्भावनापूर्ण पेलोड की तैनाती को सक्षम बनाता है।

ट्रांसफर लोडर का मिशन सरल है: पकड़े न जाना और मैलवेयर फैलाना।

REM प्रॉक्सी इंफ्रास्ट्रक्चर का उपयोग

TA829 और UNK_GreenSec दोनों ही REM प्रॉक्सी सेवाओं पर निर्भर करते हैं, जिन्हें अक्सर समझौता किए गए MikroTik राउटर पर होस्ट किया जाता है। इन प्रॉक्सी का उपयोग दुर्भावनापूर्ण ट्रैफ़िक को रूट करने के लिए किया जाता है, जिससे इसका वास्तविक स्रोत छिप जाता है। समूह इस बुनियादी ढांचे का उपयोग निम्न के लिए करते हैं:

• निःशुल्क मेल सेवाओं (जैसे, जीमेल, ukr.net) के माध्यम से फ़िशिंग ईमेल भेजें
• अपस्ट्रीम गतिविधि को छिपाने के लिए ट्रैफ़िक रिले करें
• नए बनाए गए और समझौता किए गए दोनों ईमेल खातों का उपयोग करके अभियान शुरू करें

शोधकर्ताओं को संदेह है कि ईमेल बिल्डर टूल का उपयोग फ़िशिंग वितरण के लिए किया जा रहा है, जो ximajazehox333@gmail.com और hannahsilva1978@ukr.net जैसे प्रेषक पतों को बड़े पैमाने पर उत्पन्न करता है।

फ़िशिंग मैकेनिक्स और पेलोड डिलीवरी

दोनों समूहों द्वारा भेजे गए फ़िशिंग संदेशों में अक्सर ईमेल बॉडी या पीडीएफ अटैचमेंट में लिंक शामिल होते हैं। इन लिंक पर क्लिक करने वाले पीड़ितों को रीब्रांडली के माध्यम से पुनर्निर्देशन की एक श्रृंखला के अधीन किया जाता है, जो अंततः नकली Google Drive या Microsoft OneDrive पृष्ठों पर पहुँच जाता है। इन पुनर्निर्देशनों में निम्नलिखित तंत्र शामिल हैं:

• सैंडबॉक्स परिवेश को बायपास करें
• रुचि न रखने वाली प्रणालियों को फ़िल्टर करें
• खतरा समूह के आधार पर अलग-अलग अंतिम पेलोड वितरित करें

भिन्न आक्रमण पथ :

• UNK_GreenSec TransferLoader को तैनात करने के लिए इस मार्ग का उपयोग करता है
• TA829 लक्ष्य को स्लिपस्क्रीन मैलवेयर पर पुनर्निर्देशित करता है

साझा उपकरण और बुनियादी ढांचा

दोनों अभिनेता समूह अतिव्यापी टूलसेट और बुनियादी ढांचे के विकल्प प्रदर्शित करते हैं:

• SSH सुरंगों की स्थापना के लिए PuTTY की PLINK उपयोगिता का उपयोग
• IPFS (इंटरप्लेनेटरी फ़ाइल सिस्टम) सेवाओं पर दुर्भावनापूर्ण उपयोगिताओं की होस्टिंग
• ट्रैफ़िक फ़िल्टरिंग के लिए गतिशील PHP-आधारित पुनर्निर्देशन समापन बिंदुओं का लाभ उठाना

ये साझा पद्धतियां संभावित समन्वय या प्रभावी रणनीति को पारस्परिक रूप से अपनाने का सुझाव देती हैं।

सोशल इंजीनियरिंग थीम और डिलीवरी टैक्टिक्स

ट्रांसफर लोडर से जुड़े अभियान अक्सर नौकरी के अवसर वाले ईमेल के रूप में पेश किए जाते हैं, जो पीड़ितों को पीडीएफ रिज्यूमे तक ले जाने का दावा करने वाले लिंक के साथ लुभाते हैं। वास्तव में, लिंक IPFS वेबशेयर पर होस्ट किए गए ट्रांसफर लोडर के डाउनलोड को ट्रिगर करता है।

ट्रांसफर लोडर परिचालन की मुख्य तकनीकी विशेषताएं

पता लगाने से बचता है - पारंपरिक सुरक्षा को दरकिनार करने के लिए पुनर्निर्देशन, फ़िल्टरिंग और विकेन्द्रीकृत होस्टिंग का उपयोग करता है।

पेलोड डिलीवरी - रैनसमवेयर और रिमोट एक्सेस टूल सहित अधिक खतरनाक मैलवेयर के लिए लोडर के रूप में कार्य करता है।

विभेदित तकनीकें - गतिशील सामग्री वितरण का समर्थन करने के लिए अद्वितीय पुनर्निर्देशन संरचनाओं (जावास्क्रिप्ट से PHP अंतबिंदुओं) को नियोजित करती हैं।

निष्कर्ष: ट्रांसफर लोडर खतरे को समझना

ट्रांसफर लोडर एक महत्वपूर्ण खतरा है क्योंकि यह एक गुप्त लोडर है जो उच्च प्रभाव वाले हमलों को सक्षम करने में सक्षम है। UNK_GreenSec और TA829 दोनों द्वारा इसका उपयोग यह दर्शाता है कि साइबर अपराधी समूह कैसे पता लगाने से बचने और अपने लक्ष्यों को प्राप्त करने के लिए नवाचार करना, उपकरण साझा करना और विकेंद्रीकृत बुनियादी ढांचे का शोषण करना जारी रखते हैं।

ट्रांसफर लोडर खतरे के संकेतों में शामिल हैं:

• REM प्रॉक्सी सेवाओं का उपयोग
• नौकरी के आवेदन या बायोडाटा का संदर्भ देने वाले ईमेल प्रलोभन
• रीब्रांडली लिंक से जुड़ी रीडायरेक्ट श्रृंखलाएं
• IPFS-आधारित प्लेटफ़ॉर्म पर होस्ट किए गए पेलोड

संगठनों को सतर्क रहना चाहिए, मजबूत ईमेल और वेब फ़िल्टरिंग लागू करनी चाहिए, तथा इन युक्तियों से जुड़े असामान्य नेटवर्क व्यवहार पर लगातार निगरानी रखनी चाहिए।