शोबोट मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले शोबोट भनेर चिनिने पहिले कागजात नगरिएको लिनक्स मालवेयर फ्रेमवर्क पत्ता लगाएका छन्, जुन कम्तिमा २०२२ को मध्यदेखि मध्य पूर्वमा दूरसञ्चार प्रदायक विरुद्ध सक्रिय रूपमा तैनाथ गरिएको छ। यो मालवेयरले रिमोट शेल पहुँच सक्षम पार्न, फाइलहरू स्थानान्तरण गर्न र सम्झौता गरिएको वातावरण भित्र SOCKS5 प्रोक्सीको रूपमा काम गर्न सक्षम मोड्युलर पोस्ट-एक्सप्लोइटेसन टूलकिटको रूपमा काम गर्दछ।

सुरक्षा विश्लेषकहरूले मालवेयर एक वा बढी चीन-सम्बन्धित खतरा क्लस्टरहरूसँग जोडिएको विश्वास गर्छन्। अनुसन्धानकर्ताहरूले मालवेयरको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधार र चीनको सिचुआन प्रान्तको राजधानी चेङ्दुमा पत्ता लगाइएका आईपी ठेगानाहरू बीचको सम्बन्ध पहिचान गरे, जसले चिनियाँ राज्य-प्रायोजित संलग्नताको शंकालाई बलियो बनायो।

स्थापित चीन-सम्बन्धित खतरा अपरेशनहरूसँगको सम्बन्ध

यस गतिविधिसँग सम्बन्धित समूहहरू मध्ये एक क्यालिप्सो हो, जसलाई ब्रोन्ज मेडली र रेड लामासु पनि भनिन्छ। यो खतरा अभिनेता कम्तिमा सेप्टेम्बर २०१६ देखि सक्रिय छ र ऐतिहासिक रूपमा ब्राजिल, भारत, काजाकिस्तान, रूस, थाइल्याण्ड र टर्कीभरि सरकारी र संस्थागत संस्थाहरूलाई लक्षित गरेको छ। समूहको सार्वजनिक रिपोर्टिङ पहिलो पटक २०१९ मा पोजिटिभ टेक्नोलोजीजद्वारा प्रकाशित अनुसन्धान मार्फत देखा परेको थियो।

क्यालिप्सोले पहिले प्लगएक्स जस्ता मालवेयर परिवारहरू, साथै ह्वाइटबर्ड र BYEBY लगायत ब्याकडोरहरूमा भर परेको थियो। BYEBY मालवेयर Mikroceen भनेर चिनिने ठूलो अपरेशनल क्लस्टरसँग सम्बन्धित छ, जुन SixLittleMonkeys खतरा क्लस्टरसँग पनि जोडिएको छ। अनुसन्धानकर्ताहरूले SixLittleMonkeys र Webworm भनेर चिनिने अर्को चीन-पङ्क्तिबद्ध अपरेशन बीच रणनीतिक समानताहरू थप उल्लेख गरे।

प्लगएक्स, शैडोप्याड, र नोसीडोर जस्ता साझा फ्रेमवर्कहरूसँगै शोबोटको उपस्थितिले चीन-नेक्सस खतरा अभिनेताहरू बीचको फराकिलो प्रवृत्तिलाई हाइलाइट गर्दछ: धेरै जासुसी समूहहरूमा आपत्तिजनक साइबर उपकरणहरूको पुन: प्रयोग र वितरण। यो ढाँचाले राज्य-समर्थित अपरेटरहरूलाई मालवेयर र परिचालन स्रोतहरू आपूर्ति गर्न जिम्मेवार केन्द्रीकृत 'डिजिटल क्वार्टरमास्टर' को अस्तित्वलाई दृढतापूर्वक सुझाव दिन्छ।

उन्नत लिनक्स ब्याकडोर क्षमताहरूले गम्भीर चिन्ताहरू खडा गर्छन्

अनुसन्धानकर्ताहरूले मे २०२५ मा अपलोड गरिएको ELF बाइनरीको विश्लेषण गरेपछि अनुसन्धान सुरु भयो जुन सुरुमा रुटकिट जस्तो कार्यक्षमता भएको उच्च उन्नत लिनक्स ब्याकडोरको रूपमा वर्गीकृत गरिएको थियो। मालवेयर नमूनालाई EvaRAT नामले पनि ट्र्याक गरिएको छ।

यद्यपि सटीक संक्रमण भेक्टर अज्ञात छ, अघिल्लो क्यालिप्सो घुसपैठहरूमा कमजोरीहरूको शोषण गरेपछि वा पूर्वनिर्धारित रिमोट-पहुँच खाताहरूमा सम्झौता गरेपछि ASPX वेब शेलहरूको तैनाती समावेश छ। यो समूह CVE-2021-26855 लाई हतियार बनाउने प्रारम्भिक चिनियाँ खतरा अभिनेताहरू मध्ये एक थियो, माइक्रोसफ्ट एक्सचेन्ज सर्भर त्रुटि जसले कुख्यात प्रोक्सीलोगन शोषण श्रृंखलाको प्रारम्भिक चरण गठन गर्‍यो।

शोबोटलाई रिमोट C2 सर्भरहरूसँग सञ्चार स्थापित गर्न, विस्तृत प्रणाली जानकारी सङ्कलन गर्न, र PNG क्षेत्रहरू भित्र लुकाइएको एन्क्रिप्टेड र Base64-इनकोडेड फारममा सङ्कलन गरिएको डेटा प्रसारण गर्न इन्जिनियर गरिएको छ। मालवेयरले विभिन्न स्टिल्थ र अपरेशनल सुविधाहरूलाई पनि समर्थन गर्दछ, जसमा समावेश छन्:

• फाइल अपलोड र डाउनलोड कार्यक्षमता
• प्रक्रिया लुकाउने प्रविधिहरू
• C2 सर्भर व्यवस्थापन
• आन्तरिक नेटवर्क स्क्यानिङ
• पार्श्व आन्दोलनको लागि SOCKS5 प्रोक्सी टनेलिङ

सम्झौता गरिएका होस्टहरूमा पत्ता लगाउनबाट बच्न, शोबोटले पास्टबिनबाट कोड स्निपेट पुन: प्राप्त गर्दछ, अनुसन्धानकर्ताहरूले जनवरी ११, २०२२ मा होस्ट गरिएको सामग्री ट्रेस गर्दै। विश्लेषकहरू विश्वास गर्छन् कि मालवेयरको प्राथमिक उद्देश्य लक्षित नेटवर्कहरू भित्र निरन्तर पहुँच सुरक्षित गर्नु हो, विशेष गरी प्रत्यक्ष इन्टरनेट एक्सपोजरबाट अलग गरिएका प्रणालीहरू र आन्तरिक LAN जडानहरू मार्फत मात्र पहुँचयोग्य।

पूर्वाधार विस्तारले अन्तर्राष्ट्रिय पीडितहरू प्रकट गर्दछ

खतरा पूर्वाधारको थप जाँचले धेरै क्षेत्रहरूमा फैलिएका धेरै पीडित संस्थाहरू पत्ता लगायो। अनुसन्धानकर्ताहरूले अफगानिस्तानमा आधारित इन्टरनेट सेवा प्रदायक र अजरबैजानमा अवस्थित अर्को अज्ञात संस्था पहिचान गरे। समान X.509 प्रमाणपत्रहरू साझा गर्ने C2 सर्भरहरूको माध्यमिक क्लस्टरले संयुक्त राज्य अमेरिका र युक्रेनका संस्थाहरूलाई असर गर्ने सम्भावित सम्झौताहरूलाई पनि औंल्यायो।

निरन्तर मालवेयर इम्प्लान्टहरूको निरन्तर तैनातीले देखाउँछ कि, धेरै खतरा अभिनेताहरूद्वारा 'भूमिबाट टाढा बस्ने' प्रविधिहरूको बढ्दो प्रयोगको बावजुद, उन्नत समूहहरू अझै पनि दीर्घकालीन पहुँच र सञ्चालन नियन्त्रणको लागि अनुकूलन ब्याकडोरहरूमा धेरै निर्भर छन्। सुरक्षा विज्ञहरूले चेतावनी दिन्छन् कि शोबोट जस्ता मालवेयरको खोजलाई प्रभावित नेटवर्कहरू भित्र सम्भावित रूपमा व्यापक सम्झौताको एक महत्वपूर्ण सूचकको रूपमा व्यवहार गरिनुपर्छ।

JFMBackdoor ले लिनक्स प्रणालीभन्दा बाहिर अभियान विस्तार गर्दछ

शोबोटको अतिरिक्त, अनुसन्धानकर्ताहरूले क्यालिप्सोले अफगानिस्तानको दूरसञ्चार क्षेत्रलाई लक्षित गर्ने आक्रमणहरूको क्रममा JFMBackdoor भनेर चिनिने पूर्ण रूपमा विशेष विन्डोज मालवेयर इम्प्लान्ट तैनाथ गरेको अवलोकन गरे। मालवेयर DLL साइड-लोडिङ मार्फत डेलिभर गरिन्छ, जुन एक प्रविधि हो जसले दुर्भावनापूर्ण गतिशील-लिङ्क पुस्तकालयहरू लोड गर्न वैध अनुप्रयोगहरूको दुरुपयोग गर्दछ।

संक्रमण श्रृंखला ब्याच स्क्रिप्टबाट सुरु हुन्छ जसले एक विश्वसनीय कार्यान्वयनयोग्य सुरुवात गर्दछ, जसले पछि दुष्ट DLL पेलोड लोड गर्दछ। एक पटक सक्रिय भएपछि, JFMBackdoor ले आक्रमणकारीहरूलाई सम्झौता गरिएका प्रणालीहरूमा व्यापक परिचालन नियन्त्रण प्रदान गर्दछ। यसको कार्यक्षमतामा समावेश छ:

• रिमोट शेल कार्यान्वयन

अफगानिस्तान र यसको दूरसञ्चार पूर्वाधारमा ध्यान केन्द्रित गर्नु पहिले रेड लामासु अपरेशनसँग सम्बन्धित व्यापक रणनीतिक उद्देश्यहरूसँग नजिकबाट मिल्दोजुल्दो छ, जसले गर्दा यो अभियान चिनियाँ खतरा गतिविधिसँग जोडिएको ठूलो साइबर-जासुसी प्रयासको हिस्सा हो भन्ने आकलनलाई बलियो बनाउँछ।