LoptikMod Malware

डोनट एपीटी समूहसँग सम्बन्धित एउटा नयाँ अभियान देखा परेको छ, जसले लोप्टिकमोड नामक एक लुकेको र निरन्तर मालवेयर स्ट्रेनको प्रयोग देखाएको छ। यो उपकरण युरोपेली विदेश मामिला मन्त्रालय विरुद्ध लक्षित आक्रमणमा प्रयोग गरिएको छ, जसले समूहको ध्यान दक्षिण एसियाभन्दा बाहिर सार्ने संकेत गर्दछ।

विस्तारित पहुँच भएको एक ज्ञात खतरा अभिनेता

यो अभियानलाई डोनट टिमसँग जोडिएको छ, जुन एक परिष्कृत एडभान्स्ड पर्सिस्टेन्ट थ्रेट (APT) समूह हो जसलाई विभिन्न उपनामहरूले चिनिन्छ, जसमा APT-C-35, Mint Tempest, Origami Elephant, SECTOR02, र Viceroy Tiger समावेश छन्। कम्तिमा २०१६ देखि सञ्चालनमा रहेको यस समूहको सरकारी निकायहरू, विदेश मन्त्रालयहरू, रक्षा निकायहरू र गैरसरकारी संस्थाहरूलाई लक्षित गर्ने दस्तावेजी इतिहास छ, विशेष गरी दक्षिण एसिया र युरोपमा।

ऐतिहासिक रूपमा, DoNot APT ले कस्टम-निर्मित मालवेयर प्रयोग गरेको छ, विशेष गरी YTY र GEdit, जुन प्रायः स्पियर-फिसिङ अभियानहरू र दुर्भावनापूर्ण कागजात संलग्नकहरू मार्फत प्रयोग गरिन्छ।

लक्ष्यलाई लोभ्याउने: प्रवेश बिन्दुको रूपमा फिसिङ

यो आक्रमण वैध र विश्वसनीय देखिनका लागि बनाइएको भ्रामक फिसिङ इमेलबाट सुरु हुन्छ। जीमेल खाताबाट पठाइएका यी सन्देशहरूले रक्षा अधिकारीहरूको नक्कल गर्छन् र बंगलादेशको ढाकामा इटालियन रक्षा सहचारीले गरेको भ्रमणलाई सन्दर्भ गर्ने विषयवस्तुहरू प्रस्तुत गर्छन्। उल्लेखनीय रूपमा, इमेलहरूलाई 'é' जस्ता विशेष वर्णहरूलाई सही रूपमा प्रस्तुत गर्न HTML प्रयोग गरेर UTF-8 एन्कोडिङको साथ ढाँचाबद्ध गरिएको छ, जसले तिनीहरूको प्रामाणिकता थप्छ।

इमेलमा इम्बेड गरिएको गुगल ड्राइभ लिङ्कले RAR अभिलेख डाउनलोड गर्न डोर्‍याउँछ। यस अभिलेखमा PDF फाइलको नक्कल गर्न डिजाइन गरिएको दुर्भावनापूर्ण कार्यान्वयनयोग्य फाइल समावेश छ। खोल्दा, कार्यान्वयनयोग्यले LoptikMod को तैनाती सुरु गर्छ, एक रिमोट एक्सेस ट्रोजन (RAT) जुन कम्तिमा २०१८ देखि DoNot APT मा विशेष छ।

LoptikMod मालवेयर भित्र

एकपटक कार्यान्वयन भएपछि, LoptikMod ले निरन्तरताको लागि निर्धारित कार्यहरू प्रयोग गरेर होस्ट प्रणालीमा आफूलाई एम्बेड गर्छ। त्यसपछि यो विभिन्न दुर्भावनापूर्ण गतिविधिहरू गर्न रिमोट कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा जडान हुन्छ। यसमा समावेश छन्:

• आक्रमणकारीहरूलाई प्रणाली जानकारी फिर्ता पठाउँदै
• थप आदेशहरू प्राप्त गर्ने र कार्यान्वयन गर्ने
• अतिरिक्त दुर्भावनापूर्ण मोड्युलहरू डाउनलोड गर्दै
• संवेदनशील डेटा बाहिर निकाल्दै

पत्ता लगाउनबाट बच्न र फोरेन्सिक विश्लेषणमा बाधा पुर्‍याउन, LoptikMod ले एन्टी-VM (भर्चुअल मेसिन) प्रविधिहरू र ASCII अस्पष्टता प्रयोग गर्दछ, जसले गर्दा सुरक्षा अनुसन्धानकर्ताहरूलाई यसको पूर्ण कार्यक्षमता विश्लेषण गर्न गाह्रो हुन्छ। थप रूपमा, यसले कुनै पनि समयमा उपकरणमा एउटा मात्र उदाहरण चल्ने कुरा सुनिश्चित गर्दछ, आन्तरिक द्वन्द्वहरू रोक्छ र पत्ता लगाउने सम्भावना कम गर्छ।

हालको अभियान स्थिति र पूर्वाधार

LoptikMod आफैंमा सक्षम र निरन्तर भए पनि, सबैभन्दा पछिल्लो आक्रमणमा संलग्न C2 सर्भर हाल निष्क्रिय छ। यो निष्क्रियताको अर्थ पूर्वाधार अस्थायी रूपमा अफलाइन गरिएको, स्थायी रूपमा बन्द गरिएको, वा नयाँ, पत्ता नलागेको सर्भरले प्रतिस्थापन गरिएको हुन सक्छ।

सर्भरको निष्क्रिय स्थितिले संक्रमित अन्त्य बिन्दुहरू र आक्रमणकारीहरू बीच आदानप्रदान गरिएका सही आदेशहरू र डेटाको विश्लेषण गर्ने अनुसन्धानकर्ताहरूको क्षमतालाई सीमित गर्दछ।

रणनीतिक परिवर्तनका संकेतहरू: युरोपेली लक्ष्यहरू केन्द्रमा

डोनट एपीटीको पछिल्लो गतिविधिले विकासको संकेत देखाउँछ। समूहले परम्परागत रूपमा दक्षिण एसियाली हितमा ध्यान केन्द्रित गरेको भए पनि, यो हालैको अपरेशनले युरोपेली कूटनीतिक गुप्तचर, विशेष गरी दक्षिण एसियासँग सम्बन्धित, बढ्दो चासो देखाउँछ।

यो परिवर्तनले सम्भवतः बढेको परिचालन क्षमता र बढी महत्वाकांक्षी गुप्तचर उद्देश्यहरूलाई संकेत गर्दछ। समूहका ह्यान्डलरहरूले पश्चिमी कूटनीतिक रणनीतिहरू, रक्षा नीतिहरू, र दक्षिण एसियासँगको अन्तर्राष्ट्रिय संलग्नताहरूमा अन्तर्दृष्टि खोजिरहेका हुन सक्छन्।

प्रमुख उपायहरू

यस्ता आक्रमणहरूलाई प्रभावकारी रूपमा कम गर्न, संस्थाहरूले आफ्ना कर्मचारीहरूलाई फिसिङ प्रयासहरू पहिचान गर्न शिक्षित गरेर सुरु गर्नुपर्छ, सन्देशहरू अत्यधिक वैध देखिए पनि। कुनै पनि असामान्य व्यवहार, जस्तै अप्रत्याशित निर्धारित कार्यहरू वा अपरिचित सर्भरहरूमा आउटबाउन्ड जडानहरू, जसले सम्झौतालाई संकेत गर्न सक्छ, को लागि प्रणालीहरूको निरन्तर निगरानी गर्नु उत्तिकै महत्त्वपूर्ण छ।

यसको अतिरिक्त, स्यान्डबक्सिङ र व्यवहार विश्लेषण उपकरणहरू लागू गर्नाले शंकास्पद कार्यान्वयनयोग्यहरूलाई हानि पुर्‍याउनु अघि पत्ता लगाउन र निष्क्रिय पार्न मद्दत गर्न सक्छ। प्रणालीहरूलाई पूर्ण रूपमा प्याच राख्नु र नवीनतम खतरा बुद्धिमत्ता फिडहरू समावेश गर्नाले ज्ञात कमजोरीहरूलाई तुरुन्तै सम्बोधन गरिएको सुनिश्चित गर्दछ। अन्तमा, नेटवर्कलाई विभाजन गर्नाले मालवेयरको पार्श्वमा फैलिने जोखिमलाई उल्लेखनीय रूपमा कम गर्न सकिन्छ, जसले गर्दा सम्भावित उल्लंघनहरूलाई अझ प्रभावकारी रूपमा नियन्त्रण गर्न सकिन्छ।

निष्कर्ष: सतर्कता आवश्यक छ

युरोपेली साइबर जासूसी अभियानमा डोनट एपीटी समूहले लोप्टिकमोडको तैनाथी गर्नु विकसित हुँदै गइरहेको खतराको परिदृश्यको स्पष्ट सम्झना हो। एपीटी समूहहरूले आफ्ना उपकरणहरू बढाउन र आफ्नो लक्ष्यीकरण विस्तार गर्न जारी राख्दा, विशेष गरी उच्च-मूल्यवान कूटनीतिक सम्पत्तिहरूतर्फ, संस्थाहरूले आफ्नो साइबर सुरक्षा प्रतिरक्षामा सतर्क र सक्रिय रहनुपर्छ।