PLUGGYAPE मालवेयर
युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली (CERT-UA) ले राष्ट्रिय रक्षा संस्थाहरूलाई लक्षित गरी साइबर अपरेशनको नयाँ लहरको खुलासा गरेको छ। अक्टोबर र डिसेम्बर २०२५ को बीचमा अवलोकन गरिएका यी आक्रमणहरूमा PLUGGYAPE भनिने मालवेयरको पहिले कागजात नगरिएको स्ट्रेन समावेश छ। अभियानले युक्रेनी लक्ष्यहरू विरुद्ध निर्देशित सामाजिक इन्जिनियरिङ रणनीति र प्राविधिक परिष्कार दुवैमा निरन्तर विकासलाई हाइलाइट गर्दछ।
सामग्रीको तालिका
विशेषता र धम्की अभिनेता प्रोफाइल
यो गतिविधिलाई मध्यम आत्मविश्वासका साथ, भोइड ब्लिजार्ड भनेर चिनिने रूसी-संलग्न ह्याकिङ समूहसँग जोडिएको छ, जसलाई लन्ड्री बियर वा UAC-0190 पनि भनिन्छ। गुप्तचर मूल्याङ्कनले यो समूह कम्तिमा अप्रिल २०२४ देखि सक्रिय रहेको संकेत गर्छ। तिनीहरूको हालैका कार्यहरूले सैन्य र रक्षा-सम्बन्धित वातावरणमा केन्द्रित चासो देखाउँछन्।
प्रारम्भिक पहुँचको केन्द्रमा सामाजिक इन्जिनियरिङ
संक्रमण शृङ्खला शोषणबाट होइन, छलबाट सुरु हुन्छ। धम्की दिने व्यक्तिहरूले सिग्नल र व्हाट्सएप जस्ता व्यापक रूपमा विश्वसनीय इन्स्ट्यान्ट मेसेजिङ प्लेटफर्महरू मार्फत सम्पर्क सुरु गर्छन्। परोपकारी संस्थाहरूको प्रतिनिधिको रूपमा प्रस्तुत गर्दै, तिनीहरूले पीडितहरूलाई harthulp-ua.com र solidarity-help.org जस्ता डोमेनहरू सहित नक्कली मानवीय वेबसाइटहरूमा जाने लिङ्कहरू खोल्न मनाउँछन्। यी साइटहरूले वैध आधारहरूको प्रतिरूपण गर्छन् र पासवर्ड-सुरक्षित अभिलेखहरू होस्ट गर्छन् जसमा दुर्भावनापूर्ण पेलोड हुन्छ।
आक्रमणकारीहरू युक्रेनी मोबाइल अपरेटरहरूसँग जोडिएका सम्झौता गरिएका वा विश्वस्त रूपमा तयार गरिएका खाताहरूमा बढ्दो रूपमा भर पर्छन्। सञ्चार युक्रेनी भाषामा सञ्चालन गरिन्छ र यसमा भ्वाइस वा भिडियो कलहरू समावेश हुन सक्छन्। धेरै अवस्थामा, विपक्षीले पीडितको पृष्ठभूमि, संगठन र सञ्चालन सन्दर्भसँग विस्तृत परिचितता प्रदर्शन गर्दछ, जसले सामाजिक इन्जिनियरिङ प्रयासको सफलतालाई उल्लेखनीय रूपमा बढाउँछ।
प्लगयाप भित्र: मालवेयर क्षमताहरू र विकास
डाउनलोड गरिएका अभिलेखहरूले PyInstaller सँग निर्मित एक्जिक्युटेबल तैनाथ गर्छन्, जसले PLUGGYAPE ब्याकडोर स्थापना गर्दछ। पाइथनमा लेखिएको, मालवेयरले अपरेटरहरूलाई संक्रमित प्रणालीहरूमा टाढाबाट मनमानी कोड चलाउन सक्षम बनाउँछ। समयसँगै, नयाँ भेरियन्टहरूले भर्चुअलाइज्ड वा अनुसन्धान वातावरणमा कार्यान्वयन रोक्न डिजाइन गरिएका बलियो अस्पष्टता प्रविधिहरू र एन्टी-एनालिसिस संयन्त्रहरू समावेश गरेका छन्।
PLUGGYAPE ले WebSocket जडानहरू प्रयोग गरेर आफ्ना अपरेटरहरूसँग सञ्चार गर्छ र डिसेम्बर २०२५ सम्ममा, MQTT प्रोटोकललाई पनि समर्थन गर्दछ, यसको लचिलोपन र लचिलोपन विस्तार गर्दै। यो सञ्चार च्यानलले सम्झौता गरिएका होस्टहरूमा निरन्तर नियन्त्रण गर्न अनुमति दिन्छ र आक्रमणकारीहरूद्वारा द्रुत कार्यलाई सहज बनाउँछ।
कमाण्ड-एण्ड-नियन्त्रण लचिलोपन र सञ्चालन सुरक्षा
मालवेयरमा सिधै नियन्त्रण सर्भर ठेगानाहरू इम्बेड गर्नुको सट्टा, अपरेटरहरूले rentry.co र pastebin.com जस्ता सार्वजनिक पेस्ट सेवाहरूबाट कमाण्ड-एन्ड-कन्ट्रोल एन्डपोइन्टहरू प्राप्त गर्छन्। यी ठेगानाहरू base64-इनकोडेड फारममा भण्डारण गरिन्छन्, जसले आक्रमणकारीहरूलाई मालवेयर पुन: तैनाथ नगरी द्रुत रूपमा पूर्वाधार परिवर्तन गर्न सक्षम बनाउँछ। यो दृष्टिकोणले हटाउने प्रयासहरूलाई जटिल बनाउँछ र यदि ज्ञात सर्भरहरू पत्ता लगाइयो र अवरोध भयो भने सञ्चालन निरन्तरता बढाउँछ।
मेसेन्जर-आधारित धम्की वितरण तर्फ फराकिलो परिवर्तन
CERT-UA ले जोड दिन्छ कि मोबाइल उपकरणहरू र व्यक्तिगत कम्प्युटरहरू दुवैमा लोकप्रिय सन्देश अनुप्रयोगहरू द्रुत रूपमा साइबर खतरा वितरणको लागि प्राथमिक च्यानलहरू बन्दैछन्। तिनीहरूको सर्वव्यापीता, प्रयोगकर्ता विश्वास र वास्तविक-समय अन्तरक्रियासँग मिलेर, तिनीहरूलाई दुर्भावनापूर्ण उपकरणहरू प्रदान गर्न र पीडितहरूलाई हेरफेर गर्न विशेष गरी प्रभावकारी प्लेटफर्महरू बनाउँछ।
