RoarBAT मालवेयर

युक्रेनी सरकारी कम्प्युटर इमर्जेन्सी रेस्पोन्स टोली (CERT-UA) द्वारा जारी गरिएको ताजा सल्लाह अनुसार, रूसी ह्याकिंग समूह 'स्यान्डवर्म' ले युक्रेनी राज्य नेटवर्कहरूलाई लक्षित गर्ने साइबर आक्रमणको लागि जिम्मेवार भएको आशंका गरिएको छ। ह्याकरहरूलाई नेटवर्क भित्रको महत्वपूर्ण प्रणालीहरूमा पहुँच प्राप्त गर्न अनुमति दिँदै, बहु-कारक प्रमाणीकरणको साथ सुरक्षित नगरिएका सम्झौता VPN खाताहरूको शोषण गरेर आक्रमण गरिएको थियो।

एकपटक स्यान्डवर्म समूहले लक्षित उपकरणहरूमा प्रवेश प्राप्त गरेपछि, तिनीहरूले विन्डोज चलाउने मेसिनहरूमा डाटा र लिनक्स अपरेटिङ सिस्टमहरूमा बास स्क्रिप्ट मेटाउन पहिलेको अज्ञात खतरा RoarBAT प्रयोग गरे। प्रभावित यन्त्रहरूबाट फाइलहरू मेटाउनको लागि लोकप्रिय अभिलेख कार्यक्रम WinRar प्रयोग गरेर यो पूरा भएको थियो। आक्रमणले युक्रेनी सरकारको IT पूर्वाधारमा महत्त्वपूर्ण क्षति पुर्‍यायो, त्यस्ता आक्रमणहरूबाट जोगाउनको लागि एक महत्वपूर्ण सुरक्षा उपायको रूपमा बहु-कारक प्रमाणीकरणको महत्त्वलाई हाइलाइट गर्दै।

RoarBAT ले डाटा मेटाउन लोकप्रिय WinRAR संग्रह अनुप्रयोगको शोषण गर्दछ

स्यान्डवार्म खतरा अभिनेताहरूले Windows मा 'RoarBat' भनिने BAT स्क्रिप्ट प्रयोग गर्छन्। यो स्क्रिप्टले कागजात, df, png,docx, xls, xlsx, ppt, pptx, vsd, vsdx, rtf, txt, p jpeg, jpg, zip, rar लगायत असंख्य फाइल प्रकारहरूका लागि उल्लंघन गरिएका यन्त्रहरूको डिस्क र विशिष्ट डाइरेक्टरीहरू मार्फत स्क्यान गर्दछ। , 7z, mp4, SQL, PHP, rar, 7z ब्याक, vib, vrb, p7s, sys, dll, exe, बिन, र मिति। सेट मापदण्डसँग मेल खाने कुनै पनि फाइललाई लोकप्रिय र वैध WinRAR आर्काइभर उपकरण प्रयोग गरेर संग्रहित गरिन्छ।

जे होस्, खतरा अभिनेताहरूले WinRAR कार्यान्वयन गर्दा '-df' कमाण्ड-लाइन विकल्पको लाभ उठाउँछन्, परिणामस्वरूप अभिलेख प्रक्रियाको क्रममा फाइलहरू स्वचालित रूपमा मेटिने छन्। यसबाहेक, अभिलेखहरू आफैं पूरा भएपछि हटाइन्छ, प्रभावकारी रूपमा पीडितको उपकरणमा डाटाको स्थायी मेटाउन नेतृत्व गर्दछ। CERT-UA का अनुसार, RoarBAT ले समूह नीतिहरू मार्फत विन्डोज डोमेन उपकरणहरूमा केन्द्रित रूपमा वितरण गरिएको निर्धारित कार्य मार्फत कार्यान्वयन गरिन्छ।

ह्याकरहरूले लिनक्स प्रणालीहरूलाई पनि लक्षित गर्छन्

साइबर अपराधीहरूले लिनक्स प्रणालीहरूमा बास स्क्रिप्ट प्रयोग गर्थे, जसले 'dd' उपयोगिताको प्रयोग गरी लक्षित फाइल प्रकारका सामग्रीहरूलाई शून्य बाइटहरूद्वारा प्रतिस्थापन गर्‍यो, प्रभावकारी रूपमा तिनीहरूको डाटा मेटाइयो। यो डाटा प्रतिस्थापनको कारणले dd उपकरणद्वारा 'खाली' फाइलहरूको पुन: प्राप्ति सम्भव छैन, यदि असम्भव छैन भने।

'dd' कमाण्ड र WinRAR जस्ता वैध कार्यक्रमहरूको प्रयोगले सुरक्षा सफ्टवेयरद्वारा पत्ता लगाउनबाट जोगिनका लागि खतरा अभिनेताहरूको उद्देश्य रहेको सुझाव दिन्छ।

युक्रेनी लक्ष्यहरू विरुद्ध अघिल्लो आक्रमणहरूसँग समानता

CERT-UA का अनुसार, स्यान्डवार्मले हालै गरेको विनाशकारी आक्रमणले जनवरी २०२३ मा युक्रेनी राज्य समाचार एजेन्सी, 'युक्रिनफर्म' मा भएको अर्को आक्रमणसँग मिल्दोजुल्दो छ, जसको श्रेय पनि उही खतरा अभिनेतालाई दिइएको थियो। धम्की दिने योजनाको कार्यान्वयन, आक्रमणकारीहरूले प्रयोग गरेका IP ठेगानाहरू, र RoarBAT को परिमार्जित संस्करणको रोजगारीले यी दुई साइबर आक्रमणहरू बीचको समानतालाई औंल्याउँछ।