डुअल-पेलोड मालवेयर अभियान
एकैसाथ दुई फरक खतराहरू तैनाथ गर्ने क्षमताको कारणले गर्दा भर्खरै पत्ता लागेको मालवेयर अभियानले साइबर सुरक्षा समुदाय भित्र उल्लेखनीय ध्यान खिचिरहेको छ। Gh0st RAT र CloverPlus दुवैलाई एउटै सम्झौता गरिएको प्रणालीमा डेलिभर गर्न एकल अस्पष्ट लोडर प्रयोग गरिन्छ।
यो संयोजन असामान्य र अत्यधिक रणनीतिक दुवै छ। Gh0st RAT ले संक्रमित मेसिनमा पूर्ण रिमोट कन्ट्रोल सक्षम बनाउँछ, जबकि CloverPlus ले ब्राउजर गतिविधि हेरफेर गर्ने, विज्ञापन कम्पोनेन्टहरू इन्जेक्ट गर्ने, र घुसपैठ गर्ने पप-अपहरू मार्फत राजस्व उत्पन्न गर्ने कुरामा ध्यान केन्द्रित गर्दछ। दोहोरो तैनातीले खतरा अभिनेताहरूलाई वास्तविक समयमा संक्रमणलाई मुद्रीकरण गर्दा निरन्तर अनधिकृत पहुँच कायम राख्न अनुमति दिन्छ।
यो अभियानले बहु-पेलोड डेलिभरी तर्फ बढ्दो प्रवृत्तिलाई प्रकाश पार्छ, जहाँ आक्रमणकारीहरूले एउटै सम्झौताबाट परिचालन दक्षता र वित्तीय प्रतिफललाई अधिकतम बनाउँछन्।
सामग्रीको तालिका
अस्पष्ट रणनीतिहरू: पेलोड लुकाउने
यस अभियानको मूल भागमा रहेको लोडर चोरीको लागि ईन्जिनियर गरिएको छ। यसले परम्परागत पत्ता लगाउने संयन्त्रहरूबाट बच्न अस्पष्ट प्रविधिहरू प्रयोग गरेर यसको स्रोत खण्ड भित्र दुईवटा इन्क्रिप्टेड पेलोडहरू इम्बेड गर्दछ।
कार्यान्वयन CloverPlus एडवेयर मोड्युलबाट सुरु हुन्छ, जसलाई AdWare.Win32.CloverPlus भनेर चिनिन्छ र wiseman.exe नामक कार्यान्वयनयोग्यसँग सम्बन्धित छ। यो कम्पोनेन्टले ब्राउजर स्टार्टअप सेटिङहरू परिमार्जन गर्दछ र निरन्तर पप-अप विज्ञापनहरू इन्जेक्ट गर्दछ।
यसपछि, लोडरले यसको कार्यान्वयन मार्गको मूल्याङ्कन गर्दछ। यदि यो प्रणालीको %temp% डाइरेक्टरीबाट सञ्चालन भइरहेको छैन भने, यसले अगाडि बढ्नु अघि त्यहाँ आफैंको प्रतिलिपि सिर्जना गर्दछ। अर्को चरणमा Gh0st RAT क्लाइन्ट मोड्युल डिक्रिप्ट गर्ने समावेश छ, जुन मालवेयर बाइनरी भित्र एन्क्रिप्टेड स्रोतको रूपमा पनि लुकाइएको छ।
एकपटक डिक्रिप्ट गरिसकेपछि, मालवेयरले पेलोडलाई अनियमित फाइलनाम प्रदान गर्दछ र यसलाई C:\ ड्राइभको रूटमा अवस्थित अनियमित रूपमा नाम दिइएको फोल्डरमा भण्डारण गर्दछ, जसले गर्दा पत्ता लगाउने र विश्लेषण गर्ने काम अझ जटिल हुन्छ।
जमिनभन्दा बाहिर बस्नु: विश्वसनीय उपकरणहरू, दुर्भावनापूर्ण नियत
डिक्रिप्टेड पेलोड कार्यान्वयन गर्न, मालवेयरले वैध विन्डोज उपयोगिता rundll32.exe प्रयोग गर्दछ। यो दृष्टिकोणले विश्वसनीय प्रणाली प्रक्रियाको आडमा दुर्भावनापूर्ण कोड कार्यान्वयनलाई सक्षम बनाउँछ, जसले सुरक्षा प्रतिरक्षा ट्रिगर गर्ने सम्भावनालाई उल्लेखनीय रूपमा कम गर्छ।
एक पटक सक्रिय भएपछि, Gh0st RAT ले MAC ठेगाना र हार्ड ड्राइभ सिरियल नम्बर जस्ता अद्वितीय पहिचानकर्ताहरू सङ्कलन गरेर सम्झौता गरिएको प्रणालीको प्रोफाइलिङ सुरु गर्छ। यी विवरणहरू आक्रमणकारीको कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधार भित्र पीडितलाई दर्ता गर्न प्रयोग गरिन्छ, जसले गर्दा संक्रमित होस्टहरूको सटीक ट्र्याकिङ र व्यवस्थापन सुनिश्चित हुन्छ।
दृढता संयन्त्र: दीर्घकालीन पहुँच सुनिश्चित गर्दै
प्रणाली रिबुट पछि पहुँच कायम राख्नु यस अभियानको प्रमुख उद्देश्य हो। Gh0st RAT ले अपरेटिङ सिस्टम भित्र गहिरो रूपमा सम्मिलित धेरै प्रविधिहरू मार्फत दृढता प्राप्त गर्दछ:
स्टार्टअपमा स्वचालित कार्यान्वयन सुनिश्चित गर्न विन्डोज रन रजिस्ट्री कुञ्जीको परिमार्जन
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip अन्तर्गत रिमोट एक्सेस सेवा मार्ग भित्र दुर्भावनापूर्ण DLL को दर्ता
यी विधिहरूले सम्बन्धित सेवा सुरु हुँदा मालवेयर प्रणाली-स्तरको विशेषाधिकार प्रदान गर्दछ, थप प्रयोगकर्ता अन्तरक्रियाको आवश्यकतालाई हटाउँछ र दीर्घकालीन नियन्त्रणलाई सुदृढ बनाउँछ।
पत्ता लगाउने र रक्षा: सम्झौताका सूचकहरू
यस अभियानको प्रभाव व्यक्ति र संस्था दुवैको लागि उल्लेखनीय छ। एडवेयर कम्पोनेन्टले ब्राउजरको कार्यक्षमतामा बाधा पुर्याउँछ र दुर्भावनापूर्ण विज्ञापनको जोखिम बढाउँछ, RAT कम्पोनेन्टले डेटा चोरी, किस्ट्रोक लगिङ, सुरक्षा बाइपासिङ, र निरन्तर विशेषाधिकार प्राप्त पहुँचलाई सक्षम बनाउँछ।
सुरक्षा टोलीहरू सतर्क रहनुपर्छ र सम्झौताका निम्न सूचकहरूको निगरानी गर्नुपर्छ:
- असामान्य वा शंकास्पद निर्देशिकाहरूबाट DLL वा गैर-मानक फाइल एक्सटेन्सनहरू लोड गर्ने rundll32.exe को कार्यान्वयन
- %temp% फोल्डरबाट उत्पन्न हुने प्रक्रिया गतिविधि
- रजिस्ट्री रन कुञ्जीहरू वा रिमोटअक्सेस सेवा कन्फिगरेसनहरूमा अनधिकृत परिमार्जनहरू
- स्यान्डबक्स पत्ता लगाउनबाट बच्न पिङ-आधारित ढिलाइहरूको प्रयोग
- असामान्य DNS ट्राफिक ढाँचाहरू र प्रणाली होस्ट फाइलमा अप्रत्याशित परिवर्तनहरू
यस परिष्कृत दोहोरो-धम्की मालवेयर अभियानबाट उत्पन्न जोखिमहरूलाई कम गर्न सक्रिय अनुगमन र यी संकेतहरूको द्रुत प्रतिक्रिया महत्त्वपूर्ण छ।
