SNOW मालवेयर

UNC6692 को रूपमा ट्र्याक गरिएको पहिले कागजात नगरिएको खतरा क्लस्टर, SNOW मालवेयर भनेर चिनिने अनुकूलन मालवेयर फ्रेमवर्क तैनाथ गर्न माइक्रोसफ्ट टोलीहरू मार्फत उन्नत सामाजिक इन्जिनियरिङ प्रविधिहरूको प्रयोग गर्दै पहिचान गरिएको छ। आक्रमणकारीहरूले निरन्तर IT मद्दत डेस्क कर्मचारीहरूको नक्कल गर्छन्, बाह्य खाताहरूबाट उत्पन्न हुने च्याट निमन्त्रणाहरू स्वीकार गर्न लक्षितहरूलाई मनाउँछन्।

यो धोखाधडीलाई समन्वित इमेल बम विस्फोट अभियानले अझ बलियो बनाउँछ, जहाँ पीडितहरूलाई तत्काल र भ्रम सिर्जना गर्न स्पाम सन्देशहरूले भरिन्छ। केही समय पछि, आक्रमणकारीले टोलीहरू मार्फत सम्पर्क सुरु गर्छ, IT समर्थनको रूपमा प्रस्तुत गर्दछ र बनावटी समस्या समाधान गर्न सहयोग प्रदान गर्दछ। यो दोहोरो-स्तरीय हेरफेर रणनीतिले प्रयोगकर्ता अनुपालनको सम्भावनालाई उल्लेखनीय रूपमा बढाउँछ।

परम्परागत रणनीति, आधुनिक प्रभाव

सञ्चालन ढाँचाले ऐतिहासिक रूपमा ब्ल्याक बास्ताका सम्बद्धहरूसँग सम्बन्धित प्रविधिहरूलाई प्रतिबिम्बित गर्दछ। समूहले ransomware सञ्चालन बन्द गरे तापनि, यसको विधिहरू जारी छन् र प्रभावकारी छन्। सुरक्षा अनुसन्धानकर्ताहरूले पुष्टि गरेका छन् कि यो दृष्टिकोणले मुख्यतया कार्यकारीहरू र वरिष्ठ कर्मचारीहरूलाई लक्षित गर्दछ, जसले प्रारम्भिक नेटवर्क पहुँच सक्षम पार्छ जसले डेटा एक्सफिल्ट्रेसन, पार्श्व आन्दोलन, ransomware तैनाती, र जबरजस्ती गर्न सक्छ। अवलोकन गरिएका केसहरूमा, आक्रमणकारी-सुरु गरिएका च्याटहरू एकअर्काको सेकेन्ड भित्र भए, जसले स्वचालन र समन्वयलाई रेखांकित गर्दछ।

भ्रामक प्रवेश बिन्दु: नक्कली समाधान

क्विक असिस्ट वा सुप्रिमो रिमोट डेस्कटप जस्ता रिमोट व्यवस्थापन उपकरणहरूमा मात्र भर पर्ने परम्परागत आक्रमणहरू भन्दा फरक, यो अभियानले परिमार्जित संक्रमण श्रृंखला प्रस्तुत गर्दछ। पीडितहरूलाई 'मेलबक्स मर्मत र सिङ्क उपयोगिता v2.1.5' को रूपमा प्रस्तुत गरिएको टिम्स मार्फत साझा गरिएको फिसिङ लिङ्कमा क्लिक गर्न निर्देशन दिइन्छ।

यो लिङ्कले आक्रमणकारी-नियन्त्रित क्लाउड भण्डारण सेवामा होस्ट गरिएको दुर्भावनापूर्ण AutoHotkey स्क्रिप्टको डाउनलोडलाई ट्रिगर गर्छ। गेटकीपर संयन्त्रले स्वचालित सुरक्षा विश्लेषणबाट बच्न मद्दत गर्दै, केवल लक्षित लक्ष्यहरूमा पेलोड डेलिभरी सुनिश्चित गर्दछ। थप रूपमा, स्क्रिप्टले ब्राउजर प्रयोग प्रमाणित गर्दछ र लगातार चेतावनीहरू मार्फत माइक्रोसफ्ट एजको प्रयोगलाई लागू गर्दछ, पछिल्ला दुर्भावनापूर्ण कम्पोनेन्टहरूसँग अनुकूलता सुनिश्चित गर्दै।

स्नोबेल्ट: मौन ब्राउजर ब्याकडोर

प्रारम्भिक स्क्रिप्टले SNOWBELT, एक दुर्भावनापूर्ण क्रोमियम-आधारित ब्राउजर एक्सटेन्सन तैनाथ गर्नु अघि पुनर्जागरण सञ्चालन गर्दछ। विशिष्ट कमाण्ड-लाइन प्यारामिटरहरू प्रयोग गरेर हेडलेस एज प्रक्रिया मार्फत स्थापना गरिएको, SNOWBELT ले कभर्ट ब्याकडोरको रूपमा कार्य गर्दछ। यसले SNOWGLAZE, SNOWBASIN, थप AutoHotkey स्क्रिप्टहरू, र पोर्टेबल पाइथन वातावरण समावेश गर्ने संकुचित अभिलेख सहित थप पेलोडहरू डाउनलोड गर्न सुविधा दिन्छ।

एकै साथ, फिसिङ इन्टरफेसले 'स्वास्थ्य जाँच' सुविधा सहितको 'कन्फिगरेसन व्यवस्थापन प्यानल' प्रस्तुत गर्दछ। यो इन्टरफेसले प्रयोगकर्ताहरूलाई प्रमाणीकरणको आडमा मेलबक्स प्रमाणहरू इनपुट गर्न प्रेरित गर्दछ, तर यसको सट्टा आक्रमणकारी-नियन्त्रित पूर्वाधारमा संवेदनशील डेटा क्याप्चर र एक्सफिल्टरेट गर्दछ।

मोड्युलर मालवेयर इकोसिस्टम: SNOW फ्रेमवर्क ब्रेकडाउन

SNOW मालवेयर सुइटले दृढता, नियन्त्रण र चोरीको लागि डिजाइन गरिएको समन्वित, मोड्युलर इकोसिस्टमको रूपमा काम गर्छ:

• SNOWBELT ले जाभास्क्रिप्ट-आधारित कमाण्ड रिलेको रूपमा काम गर्छ, आक्रमणकारीबाट निर्देशनहरू प्राप्त गर्छ र कार्यान्वयनको लागि फर्वार्ड गर्छ।
• SNOWGLAZE ले पाइथन-आधारित टनेलिङ उपयोगिताको रूपमा काम गर्छ, जसले सम्झौता गरिएको नेटवर्क र आक्रमणकारीको कमाण्ड-एन्ड-कन्ट्रोल सर्भर बीच सुरक्षित वेबसकेट जडान स्थापना गर्दछ।
• SNOWBASIN ले एक स्थायी ब्याकडोरको रूपमा काम गर्दछ, जसले रिमोट कमाण्ड कार्यान्वयन, फाइल स्थानान्तरण, स्क्रिनसट क्याप्चर, र स्व-हटाउने सुविधा सक्षम पार्छ, जबकि धेरै पोर्टहरूमा स्थानीय HTTP सर्भरको रूपमा सञ्चालन गर्दछ।

शोषणपछिको: नियन्त्रण विस्तार र डेटा निकाल्ने

प्रारम्भिक सम्झौता पछि, धम्की दिने व्यक्तिले पहुँचलाई गहिरो बनाउन र बहुमूल्य जानकारी निकाल्न कार्यहरूको श्रृंखला कार्यान्वयन गर्दछ:

नेटवर्क रिकोनिसेन्स महत्वपूर्ण पोर्टहरू स्क्यान गरेर सञ्चालन गरिन्छ, त्यसपछि प्रशासनिक उपकरणहरू प्रयोग गरेर पार्श्व चाल र सम्झौता गरिएका प्रणालीहरू मार्फत टनेल गरिएको रिमोट डेस्कटप सत्रहरू गरिन्छ।

संवेदनशील प्रक्रिया मेमोरी निकालेर, क्रेडेन्सियल कटाई र उच्च-स्तरीय प्रणालीहरूमा अनधिकृत पहुँच सक्षम पारेर विशेषाधिकार वृद्धि प्राप्त गरिन्छ।

डोमेन नियन्त्रकहरूलाई सम्झौता गर्न पास-द-ह्यास जस्ता उन्नत प्रविधिहरू प्रयोग गरिन्छ, त्यसपछि फोरेन्सिक उपकरणहरू संवेदनशील डेटा सङ्कलन गर्न प्रयोग गरिन्छ, जसमा निर्देशिका डाटाबेसहरू पनि समावेश छन्, जुन फाइल स्थानान्तरण उपयोगिताहरू प्रयोग गरेर निकालिन्छन्।

क्लाउड क्यामोफ्लाज: वैध सेवाहरूसँग दुर्भावनापूर्ण ट्राफिकको मिश्रण

यस अभियानको एक परिभाषित विशेषता भनेको विश्वसनीय क्लाउड पूर्वाधारको रणनीतिक दुरुपयोग हो। दुर्भावनापूर्ण पेलोडहरू, डेटा एक्सफिल्टरेशन, र कमाण्ड-एन्ड-कन्ट्रोल सञ्चारहरू सबै वैध क्लाउड प्लेटफर्महरू मार्फत राउट गरिन्छन्। यो दृष्टिकोणले प्रतिष्ठा वा विसंगति पत्ता लगाउने आधारमा परम्परागत सुरक्षा फिल्टरहरूलाई प्रभावकारी रूपमा बाइपास गर्दै, सामान्य उद्यम ट्राफिकसँग निर्बाध रूपमा मिश्रण गर्न खतरा गतिविधिलाई अनुमति दिन्छ।

विकसित हुँदै गइरहेको खतरा परिदृश्य: प्राथमिक लक्ष्यको रूपमा विश्वास

UNC6692 अभियानले सामाजिक इन्जिनियरिङ, विश्वसनीय उद्यम उपकरणहरू, र मोड्युलर मालवेयरको संयोजन गर्दै साइबर आक्रमण रणनीतिहरूमा महत्त्वपूर्ण विकासलाई प्रकाश पार्छ। व्यापक रूपमा प्रयोग हुने प्लेटफर्महरू र सेवाहरूमा प्रयोगकर्ताको विश्वासको शोषण गरेर, आक्रमणकारीहरूले पत्ता लगाउने क्षमतालाई कम गर्दै सफलता दर बढाउँछन्। नवीन डेलिभरी संयन्त्रहरूको साथसाथै लिगेसी रणनीतिहरूको दृढताले एउटा महत्त्वपूर्ण वास्तविकतालाई रेखांकित गर्दछ: प्रभावकारी आक्रमण रणनीतिहरू तिनीहरूका मूल अपरेटरहरू गायब भएपछि पनि लामो समयसम्म टिक्न सक्छन्।