मिस्टिक ब्याकडोर
अप्रिल २०२६ देखि सक्रिय रहेका संदिग्ध आर्थिक रूपमा प्रेरित साइबर आक्रमणहरूको लहरमा मिस्टिक भनेर चिनिने परिष्कृत ब्याकडोर, जसलाई MLTBackdoor पनि भनिन्छ, देखा परेको छ। बीमा, शिक्षा, सूचना प्रविधि, र व्यावसायिक सेवा क्षेत्रहरूमा सञ्चालन हुने संस्थाहरू विरुद्धको आक्रमणमा यो मालवेयर पत्ता लागेको छ।
सुरक्षा अनुसन्धानकर्ताहरूले यो अपरेशनलाई प्रारम्भिक पहुँच ब्रोकर (IAB) KongTuke सँग जोडेका छन्, जसलाई 404 TDS, Chaya_002, LandUpdate808, TAG-124, र Woodgnat सहित धेरै उपनामहरूले पनि चिनिन्छ। यी घुसपैठहरूको क्रममा, Mistic लाई ModeloRAT सँगसँगै तैनाथ गरिएको छ, जुन पाइथन-आधारित रिमोट पहुँच ट्रोजन हो जुन पहिले उही खतरा अभिनेतालाई जिम्मेवार ठहराइएको थियो।
सामग्रीको तालिका
गोप्य र दीर्घकालीन पहुँचको लागि डिजाइन गरिएको
डिस्कमा फाइलहरू नलेखी पूर्ण रूपमा मेमोरीमा सञ्चालन गर्ने क्षमताको कारणले गर्दा मिस्टिक फरक देखिन्छ, जसले गर्दा पत्ता लाग्ने सम्भावना उल्लेखनीय रूपमा कम हुन्छ। मालवेयरमा बिल्ट-इन किल स्विच पनि समावेश छ जसले आवश्यक पर्दा आफैलाई मेटाउन अनुमति दिन्छ। यी विशेषताहरूले सुझाव दिन्छ कि अपरेटरहरू सम्झौता गरिएको वातावरणमा निरन्तर र गोप्य पहुँच कायम राख्नमा केन्द्रित छन्।
ध्यान आकर्षित गर्नबाट बच्न, मालवेयरले DLL साइड-लोडिङ प्रविधिहरूमा निर्भर गर्दछ, सामान्य प्रणाली गतिविधिमा मिसिन माइक्रोसफ्टको वैध एन्डपोइन्ट सुरक्षा उपयोगिता MpExtMs.exe को दुरुपयोग गर्दछ।
क्लिकफिक्स डेलिभरी अभियानहरूको विकास
मोडेलओआरएटीले पहिलो पटक जनवरी २०२६ मा क्र्यासफिक्स भनेर चिनिने क्लिकफिक्स अभियान संस्करणको अनुसन्धानको क्रममा ध्यान आकर्षित गर्यो। यस अपरेशनमा, कोङटुकका कलाकारहरूले विज्ञापन ब्लकरको भेषमा एक दुर्भावनापूर्ण गुगल क्रोम एक्सटेन्सन वितरण गरे। एक्सटेन्सनले जानाजानी पीडितहरूको ब्राउजरहरू क्र्यास गर्यो र त्यसपछि सुरक्षा स्क्यान गर्ने आडमा दुर्भावनापूर्ण आदेशहरू कार्यान्वयन गर्न उनीहरूलाई धोका दियो।
अर्को क्लिकफिक्स अभियानले पीडितहरूलाई डोमेन नेम सिस्टम (DNS) लुकअप गर्ने आदेशहरू कार्यान्वयन गर्न निर्देशन दिएर फरक दृष्टिकोण प्रयोग गर्यो। त्यसपछि DNS अनुरोधलाई अर्को चरणको पेलोड पुन: प्राप्त गर्न प्रयोग गरियो, जसले DNS लाई आक्रमणकारीहरूको लागि हल्का स्टेजिङ र सिग्नलिङ संयन्त्रमा प्रभावकारी रूपमा परिणत गर्यो।
जुन २०२६ मा, अनुसन्धानकर्ताहरूले मिस्टिकको लागि डेलिभरी संयन्त्रको रूपमा क्लिकफिक्सको प्रयोगलाई पनि हाइलाइट गरे, जसले गर्दा यो गतिविधिलाई र्यान्समवेयर-सम्बन्धित खतरा अभिनेताले प्रारम्भिक स्थान प्राप्त गर्न र नेटवर्कहरूमा पार्श्व आन्दोलनलाई सहज बनाउन प्रयास गरिरहेको थियो।
मिस्टिकलाई अत्यन्तै खतरनाक बनाउने क्षमताहरू
ब्याकडोरले उन्नत रिमोट एक्सेस मालवेयरसँग सम्बन्धित फराकिलो प्रकार्यहरू प्रदान गर्दछ, जसमा समावेश छन्:
फाइलहरू अपलोड र डाउनलोड गर्ने, फोल्डरहरू सिर्जना गर्ने, र फाइलहरू सार्ने, पुन: नामकरण गर्ने वा मेटाउने।
मेमोरीमा सिधै मालिसियस कोड कार्यान्वयन गर्ने, कार्यक्षमता विस्तार गर्न बीकन अब्जेक्ट फाइलहरू लोड गर्ने, कमाण्ड पोलिंग अन्तरालहरू परिमार्जन गर्ने, र प्रमाणहरू मेटाउन आफैलाई समाप्त गर्ने र मेटाउने।
अवसरवादी लक्ष्यीकरण र र्यानसमवेयर जडानहरू
यो अभियानले एउटै उद्योगमा ध्यान केन्द्रित गर्नुको सट्टा अवसरवादी मोडेल पछ्याएको देखिन्छ। आक्रमणकारीहरूले विभिन्न संस्थाहरूसँग सम्झौता गरिरहेका छन् र त्यसपछि कुन पीडितहरूले अन्य साइबर अपराधीहरूलाई बिक्रीको लागि लाभदायक पहुँच अवसरहरू प्रदान गर्न सक्छन् भनेर मूल्याङ्कन गरिरहेका छन्।
अनुसन्धानकर्ताहरूले ModeloRAT लाई आक्रमणहरूमा पनि अवलोकन गरेका छन् जसले अन्ततः Qilin ransomware को तैनाथीमा परिणत गर्यो, जसले प्रारम्भिक पहुँच दलालहरू र ransomware अपरेटरहरू बीचको सम्बन्धलाई बलियो बनायो।
कङटुकको सामाजिक इन्जिनियरिङ प्रविधिको विस्तारित शस्त्रागार
KongTuke ले सम्झौता गरिएका WordPress वेबसाइटहरूमा निर्मित एक परिष्कृत ट्राफिक वितरण प्रणाली (TDS) सञ्चालन गर्दछ। यो पूर्वाधार निरन्तर परिवर्तनशील आकर्षणहरू प्रस्तुत गर्न प्रयोग गरिन्छ जसले शंका नगर्ने आगन्तुकहरूलाई मालवेयर डेलिभरी शृङ्खलाहरूतर्फ निर्देशित गर्दछ।
हालसालै, सुरक्षा कम्पनीहरू Rapid7 र ReliaQuest ले रिपोर्ट गरे कि धम्की दिने अभिनेताले धम्की दिने 'IT समर्थन' खाताहरूबाट माइक्रोसफ्ट टिम्स सन्देशहरू पठाएर रणनीतिहरू परिवर्तन गरेको छ। यी सन्देशहरूले आक्रमण श्रृंखला सुरु गर्छन् जुन ModeloRAT को तैनातीमा परिणत हुन्छ।
कस्टम मालवेयर विकासमा बढ्दो प्रवृत्ति
Mistic को परिष्कृतता र ModeloRAT को विकासमा Woodgnat को संदिग्ध संलग्नताले स्टिल्थी रिमोट एक्सेस उपकरणहरूमा विशेषज्ञता हासिल गर्ने उच्च कुशल समूहलाई औंल्याउँछ। Backdoor.Mistic को उदयले फराकिलो उद्योग प्रवृत्तिलाई पनि प्रतिबिम्बित गर्दछ जसमा ransomware सञ्चालनहरू बढ्दो रूपमा अनुकूलित मालवेयर, एक्सफिल्ट्रेसन उपयोगिताहरू, र विशेष पहुँच उपकरणहरूमा निर्भर हुन्छन्।
हालका प्रमाणहरूले सुझाव दिन्छ कि मिस्टिक सम्भवतः पहुँच दलालहरूले र्यान्समवेयर सम्बद्धहरूसँग सहकार्य गरेको उत्पादन हो, न कि र्यान्समवेयर समूहले नै सिधै विकास गरेको उपकरणको।
