VENOMOUS#HELPER फ़िशिंग अभियान

VENOMOUS#HELPER नामक एक परिष्कृत फ़िशिंग अभियान कम से कम अप्रैल 2025 से सक्रिय है, जो वैध रिमोट मॉनिटरिंग एंड मैनेजमेंट (RMM) उपकरणों का दुरुपयोग करके कई आक्रमण माध्यमों को निशाना बना रहा है। मुख्य रूप से संयुक्त राज्य अमेरिका में स्थित 80 से अधिक संगठन इससे प्रभावित हुए हैं। यह गतिविधि पहले से प्रलेखित STAC6405 नामक समूहों से मेल खाती है। हालांकि इसका कारण अभी तक स्पष्ट नहीं है, लेकिन इसके संचालन के तरीके वित्तीय लाभ के लिए काम करने वाले इनिशियल एक्सेस ब्रोकर्स (IABs) या रैंसमवेयर के अग्रदूत समूहों से स्पष्ट रूप से मेल खाते हैं, जो बाद में शोषण के लिए अपनी पकड़ मजबूत करना चाहते हैं।

भरोसेमंद उपकरणों पर निर्भरता: वैध आरएमएम सॉफ्टवेयर का दुरुपयोग

हमलावर सीधे तौर पर दुर्भावनापूर्ण सॉफ़्टवेयर का इस्तेमाल करने के बजाय, SimpleHelp और ConnectWise ScreenConnect जैसे वैध टूल के अनुकूलित संस्करणों पर निर्भर रहते हैं। चूंकि ये एप्लिकेशन आमतौर पर उद्यमों में उपयोग किए जाते हैं, इसलिए इनकी मौजूदगी अक्सर पारंपरिक सुरक्षा उपायों को दरकिनार कर देती है और संदेह पैदा होने से बचाती है।

दोनों उपकरणों का एक साथ उपयोग एक सोची-समझी रणनीति है। दोहरे रिमोट एक्सेस चैनल स्थापित करके, हमलावर परिचालन में निरंतरता सुनिश्चित करते हैं। यदि एक कनेक्शन का पता लगाकर उसे निष्क्रिय कर दिया जाता है, तो दूसरा चैनल सक्रिय रहता है, जिससे बिना किसी रुकावट के अनधिकृत पहुंच जारी रहती है।

फ़िशिंग का प्रवेश बिंदु: भरोसेमंद वेश में सोशल इंजीनियरिंग

हमले की शुरुआत सावधानीपूर्वक तैयार किए गए एक फ़िशिंग ईमेल से होती है, जो अमेरिकी सामाजिक सुरक्षा प्रशासन (एसएसए) का रूप धारण करता है। संदेश में प्राप्तकर्ताओं से उनके ईमेल पते को सत्यापित करने और एक अंतर्निहित लिंक के माध्यम से एसएसए का कथित विवरण डाउनलोड करने का आग्रह किया जाता है।

गौरतलब है कि यह लिंक पीड़ितों को एक वैध लेकिन असुरक्षित मैक्सिकन व्यावसायिक वेबसाइट पर ले जाता है, जो स्पैम फिल्टर और प्रतिष्ठा-आधारित सुरक्षा प्रणालियों से बचने का एक जानबूझकर किया गया प्रयास दर्शाता है। वहां से, पीड़ितों को हमलावर द्वारा नियंत्रित दूसरे डोमेन पर पुनर्निर्देशित किया जाता है, जहां वैध दस्तावेज़ के रूप में छिपा हुआ दुर्भावनापूर्ण पेलोड मौजूद होता है।

पेलोड डिलीवरी और निरंतरता: दीर्घकालिक पहुंच का इंजीनियरिंग

डाउनलोड होने के बाद, विंडोज एक्जीक्यूटेबल के रूप में पैक किया गया पेलोड, SimpleHelp RMM टूल की स्थापना शुरू कर देता है। माना जाता है कि हमलावरों ने दुर्भावनापूर्ण फ़ाइल को स्थापित करने के लिए होस्टिंग सर्वर पर cPanel खाते को हैक कर लिया था।

निष्पादन के बाद, मैलवेयर कई तंत्रों के माध्यम से निरंतरता और लचीलापन स्थापित करता है:

• सेफ मोड में निरंतरता क्षमताओं के साथ विंडोज सेवा के रूप में इंस्टॉलेशन
• एक सेल्फ-हीलिंग वॉचडॉग की तैनाती जो सेवा समाप्त होने पर उसे स्वचालित रूप से पुनः आरंभ कर देता है।
• रूट\SecurityCenter2 WMI नेमस्पेस के माध्यम से हर 67 सेकंड में स्थापित सुरक्षा उत्पादों की नियमित गणना।

• उपयोगकर्ता की गतिविधि की 23 सेकंड के अंतराल पर निरंतर निगरानी।

ये तकनीकें सुनिश्चित करती हैं कि दुर्भावनापूर्ण उपस्थिति सक्रिय, अनुकूलनीय और उन्मूलन में कठिन बनी रहे।

विशेषाधिकार वृद्धि और पूर्ण-प्रणाली नियंत्रण

प्रभावित सिस्टम पर पूर्ण इंटरैक्टिव नियंत्रण प्राप्त करने के लिए, SimpleHelp क्लाइंट AdjustTokenPrivilege के माध्यम से SeDebugPrivilege प्राप्त करके विशेषाधिकारों को बढ़ाता है। इसके अतिरिक्त, सॉफ़्टवेयर के एक वैध घटक, 'elev_win.exe' का उपयोग सिस्टम-स्तर की पहुँच प्राप्त करने के लिए किया जाता है।

यह उच्च विशेषाधिकार स्तर हमलावरों को निम्नलिखित कार्य करने में सक्षम बनाता है:

• स्क्रीन गतिविधि की निगरानी करें और उसे रिकॉर्ड करें
• वास्तविक समय में कीस्ट्रोक्स डालें
• उपयोगकर्ता के संदर्भ में संवेदनशील संसाधनों तक पहुंचें

इस तरह की क्षमताएं पारंपरिक सुरक्षा अलर्ट को ट्रिगर किए बिना पीड़ित के वातावरण पर पूर्ण नियंत्रण प्रदान करती हैं।

अतिरिक्त पहुंच रणनीति: बैकअप चैनल के रूप में ScreenConnect

प्राथमिक एक्सेस चैनल स्थापित होने के बाद, हमलावर ConnectWise ScreenConnect को द्वितीयक रिमोट एक्सेस तंत्र के रूप में तैनात करते हैं। इससे यह सुनिश्चित होता है कि यदि प्रारंभिक SimpleHelp कनेक्शन की पहचान हो जाती है और उसे अवरुद्ध कर दिया जाता है, तब भी एक्सेस जारी रहे।

कई वैध उपकरणों का उपयोग स्थायित्व और गोपनीयता के लिए डिज़ाइन की गई एक स्तरित पहुंच रणनीति को उजागर करता है, जिससे पता लगाने और घटना प्रतिक्रिया प्रयासों में जटिलता आती है।

परिचालन प्रभाव: रडार के नीचे मौन नियंत्रण

तैनात SimpleHelp संस्करण (5.0.1) रिमोट एडमिनिस्ट्रेशन सुविधाओं का एक मजबूत सेट प्रदान करता है। एक बार सिस्टम में शामिल हो जाने के बाद, हमलावर स्वतंत्र रूप से और गुप्त रूप से काम करने की क्षमता प्राप्त कर लेते हैं। प्रभावित संगठन निरंतर शोषण के लिए असुरक्षित हो जाता है, क्योंकि हमलावर जब चाहें सिस्टम में पुनः प्रवेश कर सकते हैं।

यह वातावरण प्रभावी रूप से एक नियंत्रित संपत्ति बन जाता है, जहाँ विरोधी चुपचाप आदेशों को निष्पादित कर सकते हैं, दोनों दिशाओं में फ़ाइलें स्थानांतरित कर सकते हैं और नेटवर्क पर इधर-उधर जा सकते हैं। चूंकि सभी गतिविधियाँ एक प्रतिष्ठित यूके विक्रेता द्वारा निर्मित वैध रूप से हस्ताक्षरित सॉफ़्टवेयर से उत्पन्न होती प्रतीत होती हैं, इसलिए पारंपरिक एंटीवायरस और हस्ताक्षर-आधारित सुरक्षा प्रणालियाँ अक्सर इस घुसपैठ का पता लगाने में विफल रहती हैं।

निष्कर्ष: आधुनिक घुसपैठों के लिए एक खाका

VENOMOUS#HELPER वैध प्रशासनिक उपकरणों का दुरुपयोग करके दुर्भावनापूर्ण उद्देश्यों को प्राप्त करने की बढ़ती प्रवृत्ति का एक उदाहरण है। सोशल इंजीनियरिंग, विश्वसनीय सॉफ़्टवेयर के दुरुपयोग और अनावश्यक पहुँच तंत्रों को मिलाकर, यह अभियान निरंतरता, गोपनीयता और परिचालन लचीलापन हासिल करता है। यह दृष्टिकोण उद्यम परिवेशों में व्यवहारिक निगरानी, शून्य-विश्वास सिद्धांतों और वैध उपकरणों के उपयोग की गहन जाँच की तत्काल आवश्यकता को रेखांकित करता है।