PureCrypter
साइबर अपराधीहरूको समूहले एसिया-प्यासिफिक (APAC) र उत्तर अमेरिकी क्षेत्रहरूमा PureCrypter नामक मालवेयर डाउनलोडरको साथ सरकारी संस्थाहरूमा आक्रमण गरिरहेको छ। आक्रमणको पछाडि साइबर अपराधीहरूले यी संगठनहरूको प्रणालीमा घुसपैठ गर्न र संवेदनशील जानकारी सङ्कलन गर्न सक्षम थिए वा, केही अवस्थामा, ransomware को प्रयोग मार्फत तिनीहरूको प्रणाली बन्धक राख्न सक्षम थिए। आक्रमणको गम्भीरता यी सरकारी निकायहरूले प्रायः संवेदनशील र वर्गीकृत जानकारीहरू भण्डारण गर्ने तथ्यले बढाएको छ, जसले तिनीहरूलाई साइबर अपराधीहरूको मुख्य लक्ष्य बनाउँछ।
सुरक्षा अनुसन्धानकर्ताहरूले पत्ता लगाए कि खतरा अभिनेताहरूले प्रारम्भिक पेलोड होस्ट गर्न Discord को शोषण गरे र अभियानमा प्रयोग गरिएका अतिरिक्त होस्टहरू जुटाउने तरिकाको रूपमा एक गैर-नाफा संस्थासँग सम्झौता गरे। यसको मतलब यो हो कि आक्रमणकारीहरूले मालवेयरको प्रारम्भिक पेलोड वितरण गर्न Discord जस्ता वैध प्लेटफर्म प्रयोग गरे, सुरक्षा प्रणालीहरूलाई यसलाई पत्ता लगाउन र ब्लक गर्न गाह्रो बनाउँदै। मालवेयर Redline Stealer, AgentTesla , Eternity , Blackmoon र Philadelphia Ransomware सहित धेरै फरक मालवेयर स्ट्रेनहरू प्रदान गर्नका लागि परिचित छ।
PureCrypter एक बहु-चरण आक्रमण श्रृंखला को भाग हो
PureCrypter मालवेयर डाउनलोडरको प्रयोग गर्ने आक्रमणलाई Discord एप्लिकेसन URL समावेश भएको इमेलबाट सुरु गरिएको हो। यो URL ले PureCrypter नमूनामा लैजान्छ जुन पासवर्ड-सुरक्षित ZIP अभिलेख भित्र समावेश हुन्छ। PureCrypter एक मालवेयर डाउनलोडर हो जुन .NET- आधारित प्रणालीहरूमा सञ्चालन हुन्छ। यसको अपरेटरले विभिन्न प्रकारका मालवेयर वितरण गर्ने उद्देश्यले अन्य साइबर अपराधीहरूलाई भाडामा दिन्छ। PureCrypter कार्यान्वयन भएपछि, यसले कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरबाट अर्को चरणको पेलोड ल्याउँछ र डेलिभर गर्छ। यस विशिष्ट अवस्थामा, खतरा अभिनेताहरूले प्रयोग गरेको आदेश र नियन्त्रण सर्भर गैर-नाफा संस्थाको सम्झौता गरिएको सर्भर थियो।
अनुसन्धानकर्ताहरूले विश्लेषण गरेको नमूना एजेन्टटेस्ला थियो, एक प्रकारको मालवेयर जसले पीडितको कम्प्युटरबाट जानकारी सङ्कलन गर्छ। एक पटक सुरु भएपछि, एजेन्टटेस्लाले संकलित डाटा पठाउनको लागि पाकिस्तान-आधारित FTP सर्भरमा जडान स्थापना गर्दछ। के चाखलाग्दो कुरा के छ भने धम्की अभिनेताहरूले आफ्नै FTP सर्भर सेटअप गरेनन् तर अवस्थित एकको नियन्त्रण लिनको लागि लीक प्रमाणहरू प्रयोग गरे। पहिले नै सम्झौता गरिएको सर्भर प्रयोग गरेर, तिनीहरूले पहिचान हुने जोखिमहरू कम गर्छन् र उनीहरूको ट्रेसलाई कम गर्छन्।
एजेन्टटेस्ला एक खतरनाक साइबर अपराधी उपकरण बनेको छ
एजेन्टटेस्ला एक प्रकारको .NET मालवेयर हो जुन साइबर अपराधीहरूले विगत आठ वर्षदेखि प्रयोग गर्दै आएका छन्, जसको प्रयोग २०२० को अन्त्य र २०२१ को शुरुमा चरम सीमामा पुगेको छ। यसको उमेरको बावजुद, एजेन्टटेस्ला उच्च-सक्षम र लागत-प्रभावी ब्याकडोर बनेको छ। वर्षहरूमा विकसित र सुधारिएको।
एजेन्टटेस्लाको प्रमुख क्षमताहरू मध्ये एक भनेको पीडितको किस्ट्रोकहरू लग गर्ने क्षमता हो, जसले साइबर अपराधीहरूलाई पासवर्डहरू जस्ता संवेदनशील जानकारीहरू कब्जा गर्न अनुमति दिन्छ। मालवेयरले FTP क्लाइन्ट, वेब ब्राउजर वा इमेल क्लाइन्टहरूमा सुरक्षित गरिएका पासवर्डहरू पनि सङ्कलन गर्न सक्छ। थप रूपमा, एजेन्टटेस्लाले पीडितको डेस्कटपको स्क्रिनसटहरू खिच्न सक्छ, सम्भावित रूपमा गोप्य जानकारी प्रकट गर्दछ। यसले पाठ, पासवर्ड, र क्रेडिट कार्ड विवरणहरू सहित प्रणालीको क्लिपबोर्डमा प्रतिलिपि गरिएको कुनै पनि डेटा पहुँच र अवरोध गर्न सक्छ। एकपटक सङ्कलन गरेपछि, डाटा FTP वा SMTP मार्फत कमाण्ड र कन्ट्रोल (C2) सर्भरमा बाहिर निकाल्न सकिन्छ।
PureCrypter आक्रमणहरूमा, धम्की कर्ताहरूले 'cvtres.exe' नामक वैध प्रक्रियामा एजेन्टटेस्ला पेलोड इन्जेक्सन गर्न "प्रोसेस होलोइङ" भन्ने प्रविधि प्रयोग गरे। यो प्रविधिले सुरक्षा उपकरणहरूबाट पत्ता लगाउनबाट बच्न मद्दत गर्दछ।
C2 सर्भर र कन्फिगरेसन फाइलहरू नेटवर्क ट्राफिक निगरानी उपकरणहरू द्वारा पत्ता लगाउनबाट यसको संचार सुरक्षित राख्न, AgentTesla XOR एन्क्रिप्शन प्रयोग गर्दछ। यो इन्क्रिप्शन विधिले सुरक्षा प्रणालीहरूलाई C2 सर्भरसँग मालवेयरको सञ्चार पत्ता लगाउन गाह्रो बनाउँछ, यसलाई पत्ता लगाउन र कम गर्न चुनौतीपूर्ण खतरा बनाउँछ।
