AtlasCross RAT
एक ठूलो स्तरको साइबर आक्रमण अभियानले विश्वसनीय सफ्टवेयर ब्रान्डहरूको नक्कल गर्ने टाइपोस्क्वाटेड डोमेनहरू मार्फत चिनियाँ भाषी प्रयोगकर्ताहरूलाई सक्रिय रूपमा लक्षित गरिरहेको छ। यी भ्रामक वेबसाइटहरू एटलसक्रस RAT भनेर चिनिने पहिले कागजात नगरिएको रिमोट एक्सेस ट्रोजन वितरण गर्न डिजाइन गरिएको हो। अभियानले VPN क्लाइन्टहरू, इन्क्रिप्टेड मेसेजिङ प्लेटफर्महरू, भिडियो कन्फरेन्सिङ उपकरणहरू, क्रिप्टोकरेन्सी ट्र्याकरहरू, र ई-वाणिज्य सफ्टवेयर सहित व्यापक रूपमा प्रयोग हुने अनुप्रयोगहरूमा प्रयोगकर्ताको विश्वासलाई बढावा दिन्छ।
पूर्वाधारमा सर्फशार्क VPN, सिग्नल, टेलिग्राम, जुम, र माइक्रोसफ्ट टिम्स जस्ता प्रसिद्ध सेवाहरूको नक्कल गर्ने एघार पुष्टि भएका मालिसियस डोमेनहरू समावेश छन्। यो रणनीतिक नक्कलले ब्रान्ड परिचितताको शोषण गरेर सफल संक्रमणको सम्भावना बढाउँछ।
सामग्रीको तालिका
धम्की दिने अभिनेताको प्रोफाइल: द सिल्भर फक्स कलेक्टिभ
यो अभियानको श्रेय सिल्भर फक्स भनेर चिनिने एक प्रचलित चिनियाँ साइबर अपराध समूहलाई दिइएको छ। यो समूह स्विमस्नेक, द ग्रेट थिफ अफ भ्याली (भ्याली थिफ), UTG-Q-1000, र भोइड अराचेन लगायत धेरै उपनामहरू अन्तर्गत सञ्चालन हुन्छ। सुरक्षा अनुसन्धानकर्ताहरूले यस समूहलाई हालका वर्षहरूमा सबैभन्दा सक्रिय साइबर खतराहरू मध्ये एक मान्छन्, विशेष गरी संस्थाहरू भित्र व्यवस्थापकीय र वित्तीय कर्मचारीहरूलाई निरन्तर लक्षित गर्ने कारणले।
सिल्भर फक्सले मेसेजिङ प्लेटफर्महरू, फिसिङ इमेलहरू, र नक्कली सफ्टवेयर वितरण साइटहरू जस्ता विभिन्न संक्रमण भेक्टरहरू प्रयोग गर्दछ। समूहको उद्देश्यहरूमा रिमोट सिस्टम नियन्त्रण, संवेदनशील डेटा एक्सफिल्टरेशन, र वित्तीय ठगी समावेश छन्।
मालवेयरको विकास: Gh0st RAT देखि AtlasCross सम्म
एटलसक्रस RAT को उदयले सिल्भर फक्सको मालवेयर टुलकिटमा एक महत्वपूर्ण प्रगतिलाई संकेत गर्दछ। पहिलेका सञ्चालनहरू Gh0st RAT बाट व्युत्पन्न भेरियन्टहरूमा धेरै निर्भर थिए, जसमा ValleyRAT (Winos 4.0 को रूपमा पनि चिनिन्छ), Gh0stCringe, र HoldingHands RAT (Gh0stBins) समावेश थिए। एटलसक्रसले बढ्दो चोरी, कार्यान्वयन, र दृढता संयन्त्रहरू समावेश गर्दै, थप परिष्कृत विकासको प्रतिनिधित्व गर्दछ।
संक्रमण शृङ्खला ब्रेकडाउन: प्रलोभनदेखि कार्यान्वयनसम्म
आक्रमण श्रृंखला जालसाजीपूर्ण वेबसाइटहरूबाट सुरु हुन्छ जसले प्रयोगकर्ताहरूलाई ZIP अभिलेखहरू डाउनलोड गर्न लगाउँछ। यी अभिलेखहरूमा स्थापनाकर्ताहरू हुन्छन् जसले वैध डिकोय अनुप्रयोग र ट्रोजनाइज्ड अटोडेस्क बाइनरी दुवै तैनाथ गर्छन्। दुर्भावनापूर्ण स्थापनाकर्ताले शेलकोड लोडर सुरु गर्छ जसले Gh0st RAT बाट व्युत्पन्न एम्बेडेड कन्फिगरेसनलाई डिक्रिप्ट गर्दछ।
यो प्रक्रियाले कमाण्ड-एण्ड-कन्ट्रोल (C2) विवरणहरू निकाल्छ र TCP पोर्ट ९८९९ मार्फत 'bifa668.com' डोमेनबाट दोस्रो-चरणको पेलोड प्राप्त गर्छ। अन्तिम चरणको परिणामस्वरूप AtlasCross RAT को इन-मेमोरी कार्यान्वयन हुन्छ, जसले गर्दा परम्परागत सुरक्षा उपकरणहरूद्वारा पत्ता लगाउने कार्य उल्लेखनीय रूपमा कम हुन्छ।
दुर्भावनापूर्ण पूर्वाधार: हतियारयुक्त डोमेनहरू
अभियानले एक समन्वित पूर्वाधार सेटअप प्रदर्शन गर्दछ, जसमा धेरैजसो दुर्भावनापूर्ण डोमेनहरू अक्टोबर २७, २०२५ मा दर्ता भएका थिए, जसले जानाजानी योजना बनाएको संकेत गर्दछ। मालवेयर डेलिभरीको लागि प्रयोग गरिएका पुष्टि गरिएका डोमेनहरू समावेश छन्:
app-zoom.com मा जानुहोस्।
eyy-eyy.com मा
kefubao-pc.com
quickq-quickq.com मा
सिग्नल-सिग्नल.कम
telegrtam.com.cn मा जानुहोस्
trezor-trezor.com मा
अल्ट्राभ्यूअर-सीएन.कम
wwtalk-app.com का थप वस्तुहरू
www-surfshark.com
www-teams.com
यी डोमेनहरूले वैध सेवाहरूको नजिकबाट नक्कल गर्छन्, प्रायः शंकाबाट बच्न सूक्ष्म टाइपोग्राफिकल भिन्नताहरू वा क्षेत्रीय पहिचानकर्ताहरू समावेश गर्छन्।
विश्वासको दुरुपयोग: चोरी भएका कोड-हस्ताक्षर प्रमाणपत्रहरू
सबै पहिचान गरिएका दुर्भावनापूर्ण स्थापनाकर्ताहरू भियतनामको हनोईमा रहेको कम्पनी DUC FABULOUS CO., LTD लाई जारी गरिएको उही चोरी गरिएको विस्तारित मान्यकरण (EV) कोड-साइनिङ प्रमाणपत्र प्रयोग गरेर हस्ताक्षर गरिएका छन्। धेरै असंबंधित मालवेयर अभियानहरूमा यो प्रमाणपत्रको पुन: प्रयोगले साइबर आपराधिक इकोसिस्टम भित्र व्यापक परिसंचरणको सुझाव दिन्छ। यो रणनीतिले दुर्भावनापूर्ण बाइनरीहरूको कथित वैधतालाई बढाउँछ र सुरक्षा प्रतिरक्षाहरूलाई बाइपास गर्न मद्दत गर्दछ।
उन्नत क्षमताहरू: एटलसक्रस RAT भित्र
AtlasCross RAT ले चोरी, दृढता र नियन्त्रणको लागि डिजाइन गरिएको क्षमताहरूको एक शक्तिशाली सेट प्रस्तुत गर्दछ। यसले PowerChell फ्रेमवर्कलाई एकीकृत गर्दछ, एक नेटिभ C/C++ PowerShell कार्यान्वयन इन्जिन जसले .NET Common Language Runtime (CLR) लाई सिधै मालवेयर प्रक्रियामा एम्बेड गर्दछ।
आदेशहरू कार्यान्वयन गर्नु अघि, मालवेयरले AMSI, ETW, सीमित भाषा मोड, र ScriptBlock लगिङ जस्ता प्रमुख सुरक्षा संयन्त्रहरूलाई असक्षम पार्छ। हार्डवेयर-आधारित अनियमित संख्या उत्पादन मार्फत उत्पन्न प्रति-प्याकेट अनियमित कुञ्जीहरूको साथ ChaCha20 प्रयोग गरेर कमाण्ड-एन्ड-नियन्त्रण सर्भरहरूसँगको सञ्चार इन्क्रिप्ट गरिएको छ।
प्रमुख कार्यक्षमताहरू समावेश छन्:
- WeChat मा लक्षित DLL इंजेक्शन
- रिमोट डेस्कटप प्रोटोकल (RDP) सत्र अपहरण
- ३६० सेफ, हुओरोङ, किंगसफ्ट, र क्यूक्यू पीसी म्यानेजर जस्ता चिनियाँ सुरक्षा उपकरणहरूबाट जडानहरूको TCP-स्तर समाप्ति।
- फाइल प्रणाली हेरफेर र शेल आदेश कार्यान्वयन
- निर्धारित कार्य सिर्जना मार्फत दृढता
सञ्चालन रणनीति: स्तरमा छल
सिल्भर फक्सले विश्वसनीयता कायम राख्न र पत्ता लगाउनबाट बच्न बहु-स्तरीय डोमेन रणनीति प्रयोग गर्दछ। यसमा टाइपोस्क्वाटिंग, डोमेन अपहरण, र DNS हेरफेर समावेश छ, जुन प्रायः प्रयोगकर्ता शंका कम गर्न क्षेत्र-विशिष्ट नामकरण परम्पराहरूसँग मिल्छ। वैध सेवाहरूको विश्वस्त रूपमा दोहोर्याउने समूहको क्षमताले अभियानको प्रभावकारितामा महत्त्वपूर्ण भूमिका खेल्छ।
एसियाभरि आक्रमण भेक्टरहरूको विस्तार
कम्तिमा डिसेम्बर २०२५ देखि, समूहले जापान, मलेसिया, फिलिपिन्स, थाइल्याण्ड, इन्डोनेसिया, सिंगापुर र भारत लगायत धेरै देशहरूमा आफ्नो सञ्चालन विस्तार गरेको छ। आक्रमण विधिहरू समयसँगै विकसित भएका छन्, दुर्भावनापूर्ण PDF संलग्नकहरू भएका फिसिङ इमेलहरूबाट वैध तर गलत कन्फिगर गरिएका रिमोट निगरानी र व्यवस्थापन उपकरणहरू जस्तै SyncFuture TSM को दुरुपयोगमा परिवर्तन हुँदै।
त्यसपछिका अभियानहरूले व्हाट्सएप एप्लिकेसनको भेषमा पाइथन-आधारित जानकारी चोर्ने व्यक्तिलाई पनि तैनाथ गरेका छन्। जनवरी २०२६ मा भएको यसअघिको गतिविधिमा ब्ल्याकमुन मालवेयरको साथ भारतीय प्रयोगकर्ताहरूलाई लक्षित गर्ने कर-थीमयुक्त प्रलोभनहरू समावेश थिए।
लचिलो शस्त्रागार: अनुकूली साइबर अपराध सञ्चालन
सिल्भर फक्सले धेरै मालवेयर परिवारहरू र प्रविधिहरू संयोजन गरेर उच्च स्तरको परिचालन लचिलोपन प्रदर्शन गर्दछ। RMM उपकरणहरू र अनुकूलन पाइथन-आधारित स्टीलरहरूसँग ValleyRAT को प्रयोगले संक्रमण शृङ्खलाहरूको द्रुत अनुकूलनलाई सक्षम बनाउँछ। यो बहुमुखी प्रतिभाले ठूला-स्तरीय अवसरवादी अभियानहरू र थप लक्षित, रणनीतिक आक्रमणहरू दुवैलाई समर्थन गर्दछ।
यो समूहले दोहोरो-ट्र्याक मोडेल सञ्चालन गर्दछ, जसले दीर्घकालीन प्रणाली पहुँच र गहिरो नेटवर्क घुसपैठको लागि डिजाइन गरिएको थप परिष्कृत अपरेशनहरूसँग व्यापक आक्रमणहरूलाई सन्तुलनमा राख्छ।
भाला-फिसिङ सटीकता: कर्पोरेट पीडितहरूलाई लक्षित गर्दै
व्यापक अभियानहरूको अतिरिक्त, सिल्भर फक्सले विशिष्ट उद्योगहरू, विशेष गरी जापानी निर्माताहरूलाई लक्षित गरी लक्षित भाला-फिसिङ आक्रमणहरू सञ्चालन गर्दछ। यी आक्रमणहरूले कर अनुपालन, तलब समायोजन, जागिर परिवर्तन, र कर्मचारी स्टक स्वामित्व योजनाहरूसँग सम्बन्धित अत्यधिक विश्वस्त प्रलोभनहरू प्रयोग गर्छन्।
एक पटक तैनाथ भएपछि, ValleyRAT ले आक्रमणकारीहरूलाई निम्न गर्न सक्षम बनाउँछ:
- संक्रमित प्रणालीहरूको पूर्ण रिमोट नियन्त्रण प्राप्त गर्नुहोस्
- संवेदनशील र वित्तीय डेटा सङ्कलन गर्नुहोस्
- वास्तविक समयमा प्रयोगकर्ता गतिविधि निगरानी गर्नुहोस्
- नेटवर्क भित्र स्थिरता कायम राख्नुहोस्
पहुँचको यो स्तरले खतरा कारकहरूलाई आक्रमणहरू बढाउन, गोप्य जानकारी बाहिर निकाल्न र सम्झौता गरिएको वातावरण भित्र थप शोषण चरणहरूको लागि तयारी गर्न अनुमति दिन्छ।
