Charon र्‍यान्समवेयर

साइबर सुरक्षा विज्ञहरूले चारोन नामक पहिलेको अज्ञात स्ट्रेनको फाइदा उठाउँदै एउटा नयाँ र्यान्समवेयर अभियान पत्ता लगाएका छन्, जुन विशेष गरी मध्य पूर्वको सार्वजनिक क्षेत्र र उड्डयन उद्योगलाई लक्षित गरिएको छ। यो अपरेशनले उच्च स्तरको परिष्कार प्रदर्शन गर्दछ, जसमा रणनीतिहरू सामान्यतया उन्नत निरन्तर खतरा (APT) अभिनेताहरूसँग सम्बन्धित छन्।

APT प्लेबुकहरूबाट रणनीतिहरू उधारो लिँदै

आक्रमणकारीहरूले DLL साइड-लोडिङ, प्रोसेस इन्जेक्सन, र एन्डपोइन्ट डिटेक्शन एण्ड रेस्पोन्स (EDR) उपकरणहरूलाई बाइपास गर्न डिजाइन गरिएका इभ्यासिभ म्यानुभर्स जस्ता उन्नत प्रविधिहरू प्रयोग गरे। उल्लेखनीय रूपमा, DLL साइड-लोडिङ दृष्टिकोणले ताइवान र एशिया-प्रशान्त क्षेत्रका सरकारी संस्थाहरूलाई लक्षित गर्न परिचित चीन-सम्बन्धित ह्याकिङ समूह, अर्थ बाक्सियाद्वारा आक्रमणहरूमा अवलोकन गरिएका विधिहरूलाई प्रतिबिम्बित गर्दछ।

विगतका ती घटनाहरूमा, अर्थ बाक्सियाले OSGeo GeoServer GeoTools मा रहेको अहिले प्याच गरिएको त्रुटिको फाइदा उठाउँदै EAGLEDOOR भनिने ब्याकडोर डेलिभर गरेको थियो। Charon मामिलामा, आक्रमणले SWORDLDR भनेर चिनिने दुर्भावनापूर्ण msedge.dll लोड गर्न वैध फाइल, Edge.exe (मूल रूपमा cookie_exporter.exe) प्रयोग गर्‍यो, जसले त्यसपछि Charon ransomware पेलोड तैनाथ गर्‍यो।

चारोन र्‍यान्समवेयरका क्षमताहरू

एक पटक तैनाथ गरिसकेपछि, Charon ले अन्य विनाशकारी ransomware भेरियन्टहरू जस्तै व्यवहार गर्छ, तर अनुकूलनहरूसँग जसले यसलाई विघटनकारी र कुशल दुवै बनाउँछ। यसले गर्न सक्छ:

• सुरक्षा-सम्बन्धित सेवाहरू र सक्रिय प्रक्रियाहरू समाप्त गर्नुहोस्।
• रिकभरीमा बाधा पुर्‍याउन ब्याकअप र छायाँ प्रतिलिपिहरू मेटाउनुहोस्।
• छिटो फाइल-लकिङको लागि मल्टीथ्रेडिङ र आंशिक इन्क्रिप्शन प्रयोग गर्नुहोस्।

अर्को रोचक विशेषता भनेको यसमा खुला-स्रोत डार्क-किल परियोजनाबाट संकलित ड्राइभर समावेश गरिएको छ। यसले EDR उपकरणहरू असक्षम पार्न तपाईंको आफ्नै कमजोर ड्राइभर (BYOVD) आक्रमण ल्याउन सक्षम बनाउँछ। यद्यपि, अनुसन्धानकर्ताहरूले यो क्षमता अझै सक्रिय नभएको पत्ता लगाए, जसले यो अझै विकास अन्तर्गत रहेको सुझाव दिन्छ।

लक्षित अपरेशनका संकेतहरू

अनुसन्धानकर्ताहरू विश्वास गर्छन् कि यो अभियान अवसरवादी भन्दा पनि जानाजानी गरिएको थियो। यो निष्कर्ष पीडित संस्थाको नाम उल्लेख गर्न अनुकूलित फिरौती नोटको उपस्थितिमा आधारित छ, जुन सामान्य ransomware घटनाहरूमा दुर्लभ छ। प्रारम्भिक पहुँचको लागि प्रयोग गरिएको विधि अज्ञात छ।

अनिश्चित विशेषता

चारोनको प्रविधिले अर्थ बाक्सियाको सञ्चालनसँग समानताहरू साझा गरे तापनि, विज्ञहरूले यो ओभरल्यापले निम्न संकेत गर्न सक्छ भनी सतर्क गराउँछन्:

• अर्थ बक्सियाको प्रत्यक्ष संलग्नता।

• अर्थ बक्सियाको नक्कल गर्न डिजाइन गरिएको झूटा झण्डा अपरेशन।

• स्वतन्त्र रूपमा समान रणनीतिहरू विकास गर्दै गरेको नयाँ समूह।

साझा पूर्वाधार वा एकरूप लक्ष्यीकरण ढाँचा जस्ता स्पष्ट प्रमाण बिना, सम्बन्ध अनुमानात्मक रहन्छ।

साइबर अपराध र राष्ट्र-राज्य रणनीतिको बढ्दो अभिसरण

यो घटनाले चिन्ताजनक प्रवृत्तिलाई जोड दिन्छ: ransomware समूहहरूले घुसपैठ र चोरीको लागि APT-ग्रेड विधिहरू बढ्दो रूपमा अपनाइरहेका छन्। ransomware इन्क्रिप्शनको तत्काल वित्तीय र परिचालन क्षतिसँग स्टिल्थी ट्रेडक्राफ्टको मिश्रणले लक्षित संस्थाहरूको लागि दांव उल्लेखनीय रूपमा बढाउँछ।