Vyveva Backdoor Trojan

एक पहले से अज्ञात पिछले दरवाजे ट्रोजन खतरा जिसका नाम वीवेवा है, को साइबरसिटीस शोधकर्ताओं द्वारा खोजा गया है। इस खतरे में कई अलग-अलग घटक शामिल हैं जिनमें से केवल तीन का अब तक विश्लेषण किया गया है - इंस्टॉलर, लोडर और मुख्य पेलोड। Vyveva की मैलवेयर शस्त्रागार का एक हिस्सा होने की दिशा में कुछ परिस्थितिजन्य साक्ष्य अंक लाजर अपार्ट (उन्नत लगातार खतरा) समूह। हालांकि यह माना जाता है कि कम से कम 2018 के बाद से वीवो बैकडोर ट्रोजन का उपयोग किया गया है, अब तक इससे संक्रमित केवल दो प्रणालियों का पता चला है। समझौता किए गए दोनों उपकरण दक्षिण अफ्रीका की एक माल ढुलाई कंपनी के हैं।

वीवी की अटैक चेन

हमले में इस्तेमाल किए गए प्रारंभिक समझौता वेक्टर की पुष्टि नहीं की गई है, लेकिन सबसे अधिक संभावना है कि खतरे को अत्यधिक लक्षित ऑपरेशन के माध्यम से वितरित किया गया था। हमले की श्रृंखला में सबसे पहला घटक जो खोजा गया है वह मालवेयर इंस्टॉलर है लेकिन यह सिस्टम पर पहले से मौजूद कुछ अन्य घटकों को खोजने की अपेक्षा करता है जिससे पता चलता है कि पहले चरण का ड्रॉपर मौजूद है। इंस्टॉलर के दो मुख्य कार्य हैं - पिछले लोडर के लिए दृढ़ता तंत्र स्थापित करना और सिस्टम की रजिस्ट्री में डिफ़ॉल्ट बैकडोर कॉन्फ़िगरेशन को एम्बेड करना।

विश्वेवा का मुख्य धमकी देने वाला घटक ऑपरेशन के कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से जुड़ने और खतरे के अभिनेता से प्राप्त किसी भी कमांड को निष्पादित करने के लिए जिम्मेदार है। वीवीए कुल 23 कमांडों को पहचान सकता है, जिनमें से अधिकांश फाइल सिस्टम से छेड़छाड़ करने और संचालन या सूचना एकत्र करने से संबंधित हैं। हालांकि, कुछ कमांड हैं जो बाहर खड़े हैं। उदाहरण के लिए, वीवीव्वा टाइमस्टैम्पिंग फाइल करने में सक्षम है। यदि यह आदेश प्राप्त होता है, तो खतरा एक स्रोत फ़ाइल से गंतव्य फ़ाइल पर निर्माण / लेखन / एक्सेस समय मेटाडेटा की प्रतिलिपि बना देगा। यदि ऐसी कोई स्रोत फ़ाइल नहीं मिल सकती है, तो 2000 और 2004 के बीच की एक यादृच्छिक तिथि को इसके बजाय चुना जाएगा।

फ़ाइल अपलोड कमांड में कुछ दिलचस्प विशेषताएं भी हैं। खतरे के अभिनेता कुछ फ़ाइल एक्सटेंशनों को फ़िल्टर करते समय चयनित निर्देशिकाओं को पुन: प्रदर्शित करने के लिए चुन सकते हैं, या तो केवल फ़ाइलों को विशिष्ट एक्सटेंशन के साथ अपलोड कर रहे हैं या उन्हें प्रक्रिया से बाहर कर सकते हैं। एक विशेष कमांड को एक अज्ञात घटक की ओर 0x26 अंक के रूप में निर्दिष्ट किया गया है जो अब तक नहीं देखा गया है।

लाजर कनेक्शन

ऑपरेशन के बेहद संकीर्ण दायरे के बावजूद, कुछ वीवीएवी पहलुओं को खतरे को लाजर के एपीटी द्वारा नियोजित टूल के हिस्से के रूप में रखा गया है। जैसे हैकर समूह से पुराने मैलवेयर खतरों के साथ पिछले दरवाजे शेयरों कई कोड समानताएं NukeSped मैलवेयर परिवार। इसके अलावा, कुछ कमांड-लाइन निष्पादन श्रृंखला और नेटवर्क संचार में नकली टीएलएस के उपयोगकर्ता पहले भी लाजर तकनीकों का अवलोकन कर चुके हैं। वेवेडा के एन्क्रिप्शन और टोर सेवाओं के कार्यान्वयन में ओवरलैप भी पाया जा सकता है।