TSCookieRAT
TSCookieRAT एक रिमोट एक्सेस का खतरा है जो हैकर समूह द्वारा जापानी लक्ष्यों के खिलाफ लगाया गया था जो पदनाम ब्लैकटेक ले रहा था। धमकी देने वाले ऑपरेशन ने उपयोगकर्ताओं को खतरे में ले जाने वाले URL पर क्लिक करने के लिए लक्षित ईमेल का उपयोग करने के लिए चारा ईमेल का उपयोग किया। यह ध्यान दिया जाना चाहिए कि TSCookieRAT को शुरू में PLEAD नाम के तहत ट्रैक किया गया था, लेकिन बाद में विश्लेषण से दोनों के बीच कुछ अंतर सामने आए हैं।
इस अभियान में नियोजित लालच ईमेल जापान के शिक्षा, संस्कृति, खेल, विज्ञान और प्रौद्योगिकी मंत्रालय से आये हैं। ईमेल में प्रदान किया गया URL एक एन्क्रिप्टेड DLL फ़ाइल डाउनलोड करता है जिसमें TSCookieRAT का लोडर घटक होता है। DLL फ़ाइल को तब मेमोरी पर लोड और निष्पादित किया जाता है। खतरे की हानिकारक कार्यक्षमता को अभियान के कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से अतिरिक्त मॉड्यूल लाकर और मारकर हमले के बाद के चरणों में विस्तारित किया जाता है। स्मृति पर सभी देर-चरण के घटक भी चलते हैं।
जब TSCookieRAT अपने धमकी भरे ऑपरेशन को शुरू करने के लिए तैयार है, तो यह C & C को HTTP GET अनुरोध भेजता है और फिर आने वाली कमांडों की प्रतीक्षा करता है। यह खतरा चोर अभिनेता को संक्रमित प्रणाली पर महत्वपूर्ण नियंत्रण स्थापित करने की अनुमति देता है। हैकर्स मनमाने ढंग से शेल कमांड निष्पादित कर सकते हैं, ड्राइव और सिस्टम की जानकारी सहित डेटा को एक्सफ़िलिएट कर सकते हैं, फ़ाइल सिस्टम में हेरफेर कर सकते हैं और संवेदनशील जानकारी, जैसे कि सबसे लोकप्रिय वेब ब्राउज़र - क्रोम, फ़ायरफ़ॉक्स, एज, इंटरनेट एक्सप्लोरर और आउटलुक ईमेल क्लाइंट से पासवर्ड काट सकते हैं। प्राप्त आदेशों के जवाब में एकत्र किए गए परिणाम पहले HTTP POST अनुरोध के समान प्रारूप में अपलोड किए जाते हैं।
जापानी लक्ष्यों के खिलाफ ब्लैकटेक हमले अभियान जारी रह सकते हैं और इसमें विभिन्न मैलवेयर खतरे शामिल हो सकते हैं, इसलिए संगठनों को अपनी साइबर सुरक्षा को संतोषजनक स्तर पर रखना चाहिए और नियत समय में किसी भी सॉफ्टवेयर सुरक्षा पैच को लागू करना चाहिए।
