PowerModul Implant

पेपर वेयरवुल्फ भनेर चिनिने खतरा अभिनेता - जसलाई GOFFEE पनि भनिन्छ - ले PowerModul नामक नयाँ इम्प्लान्ट प्रयोग गरेर विशेष रूपमा रूसी संस्थाहरूलाई लक्षित गर्दै आएको छ। जुलाई र डिसेम्बर २०२४ को बीचमा, तिनीहरूको आक्रमण आमसञ्चार, दूरसञ्चार, निर्माण, सरकारी संस्थाहरू र ऊर्जा क्षेत्र लगायत प्रमुख उद्योगहरूमा केन्द्रित थियो।

एक निरन्तर विरोधी: २०२२ देखि अभियानहरू

पेपर वेयरवुल्फले २०२२ देखि कम्तिमा सात अभियानहरू सञ्चालन गरेको छ। समूहको निरन्तर ध्यान सरकार, ऊर्जा, वित्तीय र मिडिया क्षेत्रहरू भित्र उच्च-मूल्यवान लक्ष्यहरूमा केन्द्रित रहेको छ।

जासुसी भन्दा बढी: आक्रमण शृङ्खलाहरूमा विनाशकारी मोडहरू

पेपर वेयरवुल्फको सञ्चालन परम्परागत साइबर जासुसीभन्दा बाहिर जान्छ। तिनीहरूको आक्रमण शृङ्खलामा कर्मचारी खाता पासवर्डहरू परिवर्तन गर्ने जस्ता विघटनकारी घटकहरू समावेश गरिएको पाइएको छ, जसले डेटा चोरी गर्नुको साथै सञ्चालनलाई कमजोर बनाउने उद्देश्यलाई संकेत गर्दछ।

प्रवेश बिन्दु: फिसिङ लुर्स र पावरर्याट

आक्रमणहरू सामान्यतया म्याक्रो-लेस्ड कागजातहरू भएका फिसिङ इमेलहरूबाट सुरु हुन्छन्। एक पटक पीडितले फाइल पहुँच गरेपछि र म्याक्रोहरू सक्षम गरेपछि, PowerRAT भनेर चिनिने PowerShell-आधारित रिमोट पहुँच ट्रोजन तैनाथ गरिन्छ। यो मालवेयरले थप उन्नत पेलोडहरूको लागि चरण सेट गर्दछ।

कस्टम मालवेयर आर्सेनल: पावरटास्केल, क्विकमाइएजेन्ट र ओवोवा

अर्को चरणको पेलोडहरूमा प्रायः PowerTaskel र QwakMyAgent समावेश हुन्छन्, मिथिक फ्रेमवर्कमा आधारित एजेन्टहरूको अनुकूलन संस्करणहरू। अर्को उपकरण, Owowa, एक दुर्भावनापूर्ण IIS मोड्युल, वेब क्लाइन्टहरू मार्फत प्रविष्ट गरिएका माइक्रोसफ्ट आउटलुक प्रमाणहरू चोर्न प्रयोग गरिन्छ।

नयाँ संक्रमण रणनीति: RAR अभिलेखमा भेष बदल्नेहरू

आक्रमणको पछिल्लो लहरमा डबल एक्सटेन्सनहरू (जस्तै, *.pdf.exe) प्रयोग गरेर PDF वा Word कागजातको रूपमा भेषमा कार्यान्वयनयोग्य भएको दुर्भावनापूर्ण RAR अभिलेख रहेको छ। कार्यान्वयनमा, प्रणाली मौन रूपमा पृष्ठभूमिमा संक्रमित हुँदा प्रयोगकर्तालाई एक डिकॉय कागजात देखाइन्छ।

कार्यान्वयनयोग्य फाइल वास्तवमा प्याच गरिएको विन्डोज प्रणाली फाइल हो (जस्तै explorer.exe), जसमा दुर्भावनापूर्ण शेलकोड एम्बेड गरिएको हुन्छ जसमा अस्पष्ट मिथिक एजेन्ट हुन्छ, जुन थप निर्देशनहरूको लागि C2 सर्भरमा जडान हुन्छ।

वैकल्पिक आक्रमण मार्ग: पावरमोडुलले केन्द्रमा स्थान लिन्छ

वैकल्पिक विधिमा, पेपर वेयरवुल्फले म्याक्रो-लेस्ड अफिस कागजातको साथ RAR अभिलेख प्रयोग गर्दछ जुन PowerModul को लागि ड्रपरको रूपमा काम गर्दछ। यो PowerShell स्क्रिप्टले C2 सर्भरबाट थप स्क्रिप्टहरू कार्यान्वयन गर्न सक्छ, यसलाई बहुमुखी ब्याकडोर बनाउँछ।

पेलोड परेड: जासुसी र संक्रमणको लागि एक उपकरणकिट

PowerModul २०२४ को सुरुवातदेखि नै प्रयोगमा छ, मुख्यतया PowerTaskel डाउनलोड गर्न र चलाउनको लागि। अन्य उल्लेखनीय पेलोडहरू समावेश छन्:

• FlashFileGrabber : फ्ल्यास ड्राइभबाट फाइलहरू चोर्छ र तिनीहरूलाई निकाल्छ।
• FlashFileGrabberOffline : फ्ल्यास मिडियामा विशिष्ट एक्सटेन्सन भएका फाइलहरू खोज्छ र पछि एक्सफिल्ट्रेसनको लागि स्थानीय रूपमा भण्डारण गर्छ।
• USB वर्म : मालवेयर फैलाउनको लागि PowerModul को प्रतिलिपिले फ्ल्यास ड्राइभहरूलाई संक्रमित गर्छ।

पावरटास्केलको क्षमताहरू: स्क्रिप्ट कार्यान्वयन मात्र होइन

PowerModul जस्तै भए पनि, PowerTaskel बढी सक्षम छ। यसले प्रणाली जानकारी सहितको 'चेकइन' सन्देश पठाउँछ, C2 सर्भरबाट आदेशहरू चलाउँछ, र PsExec प्रयोग गरेर विशेषाधिकारहरू बढाउन सक्छ। एउटा अवस्थामा, यसले हार्डकोड गरिएको SMB नेटवर्क मार्गहरू प्रयोग गरेर टाढाको प्रणालीहरूबाट फाइलहरू सङ्कलन गर्ने FolderFileGrabber स्क्रिप्ट कार्यान्वयन गरेको देखियो।

रणनीतिमा विकास: पावरटास्केलबाट टाढा सर्दै

पहिलो पटक, पेपर वेयरवुल्फले प्रारम्भिक पहुँचको लागि VBA स्क्रिप्टहरू सहितको नक्कली वर्ड कागजातहरू प्रयोग गरेको छ। हालैका खोजहरूले पनि रणनीतिक परिवर्तनलाई संकेत गर्दछ, समूह पावरटास्केलबाट टाढा सर्दै र लक्षित नेटवर्कहरू भित्र पार्श्व आन्दोलनको लागि बाइनरी मिथिक एजेन्टहरूमा बढ्दो रूपमा निर्भर हुँदै।

अन्तिम विचार: विकसित प्रविधिहरूसँग बढ्दो खतरा

पेपर वेयरवुल्फले आफ्नो प्रविधिलाई परिष्कृत गर्दै र आफ्नो शस्त्रागार विस्तार गर्दैछ। रूसी संस्थाहरूमा विशेष ध्यान, विघटनकारी क्षमताहरू र विकसित हुँदै गइरहेको संक्रमण रणनीतिको संयोजनले यसलाई क्षितिजमा गम्भीर र निरन्तर साइबर खतरा बनाउँछ।