EndRAT मालवेयर

कोन्नी खतरा समूहलाई श्रेय दिइएको एक परिष्कृत साइबर अभियानले दीर्घकालीन घुसपैठ, डेटा एक्सफिल्टरेशन, र पार्श्व प्रसारको लागि गणना गरिएको दृष्टिकोण प्रदर्शन गर्दछ। यस अपरेशनको केन्द्रमा EndRAT मालवेयर छ, एक शक्तिशाली रिमोट एक्सेस ट्रोजन स्थिरता कायम राख्न र चुपचाप संवेदनशील जानकारी निकाल्नको लागि ईन्जिनियर गरिएको छ जबकि यसको पहुँच विस्तार गर्न विश्वसनीय सञ्चार च्यानलहरूको लाभ उठाउँदै।

भ्रामक प्रवेश बिन्दु: हतियारयुक्त भाला-फिसिङ रणनीतिहरू

उत्तर कोरियाली मानव अधिकारको व्याख्याताको रूपमा प्राप्तकर्तालाई नियुक्त गर्ने आधिकारिक सूचनाको रूपमा भेषमा सावधानीपूर्वक तयार पारिएको भाला-फिसिङ इमेलबाट घुसपैठ सुरु हुन्छ। यो सामाजिक इन्जिनियरिङ रणनीति विश्वसनीयता र जिज्ञासाको फाइदा उठाउन डिजाइन गरिएको हो।

प्राप्तकर्ताले संलग्न ZIP अभिलेख खोलेपछि, एउटा दुर्भावनापूर्ण Windows सर्टकट (LNK) फाइल कार्यान्वयन हुन्छ। यो कार्यले बहु-चरण संक्रमण श्रृंखला सुरु गर्दछ:

• LNK फाइलले रिमोट सर्भरबाट माध्यमिक पेलोड पुन: प्राप्त गर्दछ।
• दीर्घकालीन पहुँच सुनिश्चित गर्न निर्धारित कार्यहरू मार्फत दृढता स्थापित हुन्छ।
• पृष्ठभूमिमा दुर्भावनापूर्ण प्रक्रियाहरू सञ्चालन हुँदा पीडितको ध्यान भंग गर्न एउटा डिकोय पीडीएफ कागजात प्रदर्शित गरिन्छ।

यो प्रारम्भिक सम्झौताले तत्काल शंका नउठाई EndRAT को तैनाथीलाई सक्षम बनाउँछ।

EndRAT अनलिश्ड: निरन्तर नियन्त्रण र डेटा एक्सफिल्ट्रेसन

AutoIt प्रयोग गरेर विकसित गरिएको EndRAT (EndClient RAT को रूपमा पनि चिनिन्छ), आक्रमणको सञ्चालन मेरुदण्डको रूपमा काम गर्दछ। एक पटक प्रणाली भित्र एम्बेड गरिसकेपछि, यसले सम्झौता गरिएको होस्टमाथि पूर्ण रिमोट कन्ट्रोल सक्षम बनाउँछ।

EndRAT का प्रमुख क्षमताहरूमा समावेश छन्:

• आदेश कार्यान्वयनको लागि रिमोट शेल पहुँच
• फाइल प्रणाली हेरफेर र डेटा एक्सफिल्टरेशन
• पीडित र आक्रमणकारी बीच सुरक्षित डेटा स्थानान्तरण
• गोप्य संयन्त्र मार्फत निरन्तर पाइला टेक्नु

मालवेयर लामो समयसम्म लुकाइरहन्छ, जसले गर्दा आन्तरिक कागजातहरू र संवेदनशील डेटाको निरन्तर निगरानी र निकासी गर्न सकिन्छ।

तहबद्ध खतरा तैनाती: लचिलोपनको लागि बहु RATs

थप फोरेन्सिक विश्लेषणले EndRAT लाई आइसोलेसनमा तैनाथ गरिएको छैन भन्ने कुरा प्रकट गर्छ। RftRAT र RemcosRAT सँग लिङ्क गरिएको AutoIt-आधारित स्क्रिप्टहरू सहित थप दुर्भावनापूर्ण कम्पोनेन्टहरू सम्झौता गरिएको वातावरणमा प्रस्तुत गरिन्छ।

यो स्तरित तैनाती रणनीतिले उच्च-मूल्य लक्ष्यहरूलाई अनावश्यक नियन्त्रण संयन्त्रको अधीनमा राखिन्छ भन्ने संकेत गर्छ, जसले एउटा मालवेयर स्ट्रेन पत्ता लागे पनि वा हटाइए पनि सञ्चालन निरन्तरता सुनिश्चित गर्दछ। धेरै RAT परिवारहरूको उपस्थितिले आक्रमणकारीको पहुँच कायम राख्न र रक्षात्मक उपायहरूमा अनुकूलन गर्ने क्षमतालाई उल्लेखनीय रूपमा बढाउँछ।

हतियार बनाउने विश्वास: मालवेयर वितरण च्यानलको रूपमा काकाओटक

यस अभियानको एउटा परिभाषित विशेषता भनेको संक्रमित प्रणालीहरूमा स्थापित KakaoTalk डेस्कटप अनुप्रयोगको दुरुपयोग हो। प्रमाणित प्रयोगकर्ता सत्रहरूको लाभ उठाएर, आक्रमणकारीहरूले पीडितहरूलाई मालवेयरको अनजान वितरकमा परिणत गर्छन्।

ह्याक गरिएको खाता प्रयोग गरेर, दुर्भावनापूर्ण ZIP फाइलहरू पीडितको नेटवर्क भित्रका सम्पर्कहरूलाई छनौट रूपमा पठाइन्छ। यी फाइलहरू प्रायः उत्तर कोरियासँग सम्बन्धित सामग्रीको रूपमा लुकाइन्छ, जसले गर्दा अन्तरक्रिया र कार्यान्वयनको सम्भावना बढ्छ।

यो रणनीतिले स्थापित विश्वास सम्बन्धहरूको शोषण गर्छ, संक्रमण सफलता दरमा उल्लेखनीय सुधार गर्छ र सामाजिक र व्यावसायिक सञ्जालहरूमा लक्षित पार्श्व आन्दोलनलाई सक्षम बनाउँछ।

रणनीतिको विकास: सन्देश दुरुपयोगदेखि उपकरण तोडफोडसम्म

यो अभियान नोभेम्बर २०२५ मा पहिले अवलोकन गरिएको गतिविधिमा आधारित छ, जब उही धम्की समूहले दुर्भावनापूर्ण अभिलेखहरू वितरण गर्न काकाओटक सत्रहरू प्रयोग गरेको थियो। त्यो अपरेशनको क्रममा, आक्रमणकारीहरूले पीडितहरूको एन्ड्रोइड उपकरणहरूको रिमोट वाइप सुरु गर्न चोरी गरिएका गुगल प्रमाणहरू पनि प्रयोग गरे।

मेसेजिङ प्लेटफर्महरूको निरन्तर प्रयोगले परम्परागत सामूहिक वितरण प्रविधिहरूको सट्टा खाता अपहरण र विश्वसनीय सञ्चार च्यानलहरूमा केन्द्रित विकसित रणनीतिलाई प्रकाश पार्छ।

रणनीतिक मूल्याङ्कन: एक निरन्तर र अनुकूलनीय खतरा मोडेल

यो अपरेशनले उच्च समन्वित, बहु-चरणीय आक्रमण ढाँचाको उदाहरण दिन्छ जुन प्रारम्भिक सम्झौताभन्दा धेरै टाढा फैलिएको छ। भाला-फिसिङ, स्टिल्थी दृढता, EndRAT मार्फत उन्नत रिमोट पहुँच, र खाता-आधारित प्रसारलाई संयोजन गरेर, खतरा अभिनेताले आफ्नो घुसपैठ रणनीतिमा गहिराइ र चौडाइ दुवै प्राप्त गर्दछ।

सम्पर्कहरूको छनौटात्मक लक्ष्यीकरण, सावधानीपूर्वक तयार पारिएको डिकय सामग्रीसँग मिलेर, एक जानाजानी र बुद्धिमत्ता-संचालित दृष्टिकोणलाई जोड दिन्छ। केन्द्रीय नियन्त्रण संयन्त्रको रूपमा EndRAT मा निर्भरताले आधुनिक साइबर जासूसी सञ्चालनहरूमा एक महत्वपूर्ण उपकरणको रूपमा यसको भूमिकालाई बलियो बनाउँछ, जसले विश्वसनीय नेटवर्कहरूमा दिगो पहुँच, डेटा चोरी, र स्केलेबल संक्रमण शृङ्खलाहरू सक्षम बनाउँछ।