SuperBear RAT
दक्षिण कोरियाली नागरिक समाज संगठनहरूमा सम्भावित फोकसको साथ फिसिङ अभियानले सुपरबियर नामको पहिले अज्ञात RAT (रिमोट एक्सेस ट्रोजन) खतराको अनावरण गरेको छ। अगस्ट २०२३ को अन्त्यतिर छेडछाड गरिएको LNK फाइल प्राप्त गर्ने अज्ञात कार्यकर्ता संलग्न भएको घटनामा सुरक्षा विशेषज्ञहरूले यो खतरा पहिचान गरेका छन्। भ्रामक प्रेषकको इमेल ठेगानाले लक्षित गैर-लाभकारी संस्थाको सदस्यको नक्कल गरेको छ।
सामग्रीको तालिका
बहु-चरण आक्रमण चेनले सुपरबियर पेलोड प्रदान गर्दछ
सक्रिय भएपछि, LNK फाइलले Visual Basic स्क्रिप्टको कार्यान्वयन प्रारम्भ गर्न PowerShell आदेशलाई ट्रिगर गर्दछ। यो स्क्रिप्ट, बारीमा, वैध तर सम्झौता गरिएको WordPress वेबसाइटबाट पछिल्लो चरणको पेलोडहरू पुन: प्राप्त गर्दछ।
यो पेलोडमा दुईवटा कम्पोनेन्टहरू छन्: Autoit3.exe बाइनरी, 'solmir.pdb' को रूपमा चिनिन्छ र 'solmir_1.pdb' भनेर चिनिने AutoIt लिपि। पहिले पछिको लागि प्रक्षेपण संयन्त्रको रूपमा कार्य गर्दछ।
AutoIt स्क्रिप्ट, बारीमा, प्रक्रिया खोक्रो भनिन्छ एक प्रक्रिया इंजेक्शन प्रविधि प्रयोग गर्दछ। यो प्रविधिले निलम्बित प्रक्रियामा खराब कोड घुसाउने समावेश गर्दछ। यस उदाहरणमा, यसले पहिले नदेखेको SuperBear RAT को इन्जेक्सन सुविधा दिन Explorer.exe को नयाँ उदाहरण सिर्जना गर्दछ।
SuperBear RAT ले सम्झौता प्रणालीहरूमा आक्रामक कार्यहरू प्रदर्शन गर्दछ
SuperBear RAT ले तीनवटा प्राथमिक आक्रमण अपरेशनहरू गर्दछ: exfiltating प्रक्रिया र प्रणाली डेटा, शेल आदेशहरू कार्यान्वयन, र DLL चलाउने। पूर्वनिर्धारित रूपमा, C2 सर्भरले क्लाइन्टहरूलाई प्रणाली डेटा निकाल्न र प्रशोधन गर्न निर्देशन दिन्छ, एक विशेषता प्रायः आक्रमण अभियानहरूसँग सम्बन्धित छ जो टोही प्रयासहरूमा केन्द्रित हुन्छ।
थप रूपमा, खतरा अभिनेताहरूले RAT लाई शेल आदेशहरू कार्यान्वयन गर्न वा प्रभावित मेसिनमा सम्झौता गरिएको DLL डाउनलोड गर्न निर्देशन दिन सक्छन्। DLL लाई फाइलनाम चाहिने अवस्थाहरूमा, यसले अनियमित एउटा उत्पन्न गर्ने प्रयास गर्नेछ; यदि असफल भएमा, यो 'SuperBear' नाममा पूर्वनिर्धारित हुन्छ। यो धम्कीले यस व्यवहारबाट यसको नाम कमाएको हो, यसको गतिशील फाइलनाम जेनेरेसन दृष्टिकोण प्रतिबिम्बित गर्दछ।
आक्रमणको श्रेय उत्तर कोरियाली राष्ट्र-राज्य अभिनेता किमसुकी (एपीटी ४३ पनि भनिन्छ वा इमराल्ड स्लीट, निकल किम्बल र भेलभेट चोलिमा जस्ता उपनामहरूद्वारा पनि चिनिन्छ) लाई दिइएको छ। यो विशेषता प्रारम्भिक आक्रमण भेक्टर र नियोजित PowerShell आदेशहरू बीचको समानताबाट कोरिएको हो।
RAT धम्कीहरू साइबर अपराधी एजेन्डा फिट गर्न अनुकूलित गर्न सकिन्छ
RAT (रिमोट एक्सेस ट्रोजन) खतराहरू जुन साइबर अपराधीको एजेन्डा फिट गर्न अनुकूलित गर्न सकिन्छ तिनीहरूको बहुमुखी र अनुकूलनीय प्रकृतिको कारणले महत्त्वपूर्ण खतराहरू निम्त्याउँछ। यहाँ यस्ता खतराहरूसँग सम्बन्धित केही प्रमुख खतराहरू छन्:
- अप्रतिबन्धित रिमोट कन्ट्रोल : RATs ले साइबर अपराधीहरूलाई संक्रमित प्रणालीमा पूर्ण र अप्रतिबंधित पहुँच प्रदान गर्दछ। नियन्त्रणको यो स्तरले उनीहरूलाई डेटा चोरी, निगरानी, र प्रणाली हेरफेर सहित, पीडितको जानकारी वा सहमति बिना नै हानिकारक गतिविधिहरूको विस्तृत दायरा पूरा गर्न अनुमति दिन्छ।
- डाटा चोरी : साइबर अपराधीहरूले व्यक्तिगत डाटा, वित्तीय रेकर्डहरू, लगइन प्रमाणहरू, बौद्धिक सम्पत्ति र थप जस्ता संवेदनशील जानकारी सङ्कलन गर्न RATs प्रयोग गर्न सक्छन्। सङ्कलन गरिएको डाटा डार्क वेबमा बेच्न सकिन्छ वा पहिचान चोरी, वित्तीय धोखाधडी, वा कर्पोरेट जासुसीका लागि प्रयोग गर्न सकिन्छ।
- जासुसी र निगरानी : अनुकूलन योग्य RATs प्राय: जासुसी उद्देश्यका लागि प्रयोग गरिन्छ, साइबर अपराधीहरूलाई पीडितको गतिविधिहरू निगरानी गर्न र रेकर्ड गर्न, स्क्रिनसटहरू खिच्न, किस्ट्रोकहरू रेकर्ड गर्न र पीडितको वेबक्याम र माइक्रोफोन सक्रिय गर्न सक्षम पार्छ। यसले गोपनीयता उल्लङ्घन र संवेदनशील व्यक्तिगत वा कर्पोरेट जानकारीको सङ्कलन उत्पन्न गर्न सक्छ।
- निरन्तर पहुँच : RATs लाई संक्रमित प्रणालीमा निरन्तर पहुँच कायम राख्न डिजाइन गरिएको हो, जसले साइबर अपराधीहरूलाई विस्तारित अवधिको लागि सम्झौता गरिएको उपकरणमा नियन्त्रण कायम राख्न अनुमति दिन्छ। यो दृढताले पीडितहरूलाई मालवेयर पत्ता लगाउन र हटाउन चुनौतीपूर्ण बनाउँछ, जसले आक्रमणकारीहरूलाई प्रणालीमा चलिरहेको खुट्टाको साथ प्रदान गर्दछ।
- प्रचार र प्रसार : अनुकूलित RAT हरू नेटवर्क भित्र अन्य प्रणालीहरूमा फैलाउनको लागि प्रोग्राम गर्न सकिन्छ, सम्भावित रूपमा बहुविध उपकरणहरू र सम्पूर्ण संस्थाहरूको सम्झौतामा नेतृत्व गर्दछ। यसले व्यापक क्षति, डाटा उल्लङ्घन, र परिचालन अवरोधहरूको परिणाम हुन सक्छ।
- अनुकूलित आक्रमणहरू : साइबर अपराधीहरूले विशेष आक्रमण भेक्टरहरू कार्यान्वयन गर्न RAT लाई टेलर गर्न सक्छन्, सुरक्षा सफ्टवेयरलाई तिनीहरूलाई पत्ता लगाउन र रोक्न गाह्रो बनाउँदछ। यी आक्रमणहरू विशेष संगठनहरू, उद्योगहरू, वा व्यक्तिहरूलाई लक्षित गर्न डिजाइन गर्न सकिन्छ, सफलताको सम्भावना बढाउँदै।
- इभडिङ डिटेक्शन : अनुकूलित RAT ले प्रायः एन्क्रिप्शन, अस्पष्टता, र पोलिमोर्फिज्म सहित एन्टी-डिटेक्शन प्रविधिहरू समावेश गर्दछ, जसले सुरक्षा समाधानहरूको लागि खतरा पहिचान गर्न र कम गर्न चुनौतीपूर्ण बनाउँछ। यसले आक्रमणकारीहरूलाई लुकाउन र विस्तारित अवधिको लागि पत्ता लगाउनबाट बच्न अनुमति दिन्छ।
- Ransomware डिप्लोयमेन्ट : RATs लाई ransomware पेलोडहरू डेलिभर गर्न, पीडितहरूलाई तिनीहरूको आफ्नै प्रणालीबाट लक गर्न वा तिनीहरूको डेटा इन्क्रिप्ट गर्ने माध्यमको रूपमा प्रयोग गर्न सकिन्छ। साइबर अपराधीहरूले त्यसपछि डिक्रिप्शन कुञ्जीको बदलामा फिरौतीको माग गर्न सक्छन्, जसले वित्तीय र परिचालन अवरोधहरू निम्त्याउँछ।
- Botnet गठन : अनुकूलन योग्य RATs लाई बोटनेटमा संक्रमित यन्त्रहरू भर्ती गर्न प्रयोग गर्न सकिन्छ, जुन पछि विभिन्न दुर्भावनापूर्ण उद्देश्यका लागि लिभरेज गर्न सकिन्छ, जस्तै वितरित अस्वीकार-अफ-सेवा (DDoS) आक्रमणहरू, स्प्याम वितरण, वा मालवेयरको थप प्रचार।
संक्षेपमा, साइबर अपराधीहरूको उद्देश्य अनुरूप अनुकूलित गर्न सकिने RAT खतराहरूले बहुआयामिक खतरा निम्त्याउँछ, किनकि तिनीहरूले व्यक्ति, संस्था र सम्पूर्ण क्षेत्रहरूलाई महत्त्वपूर्ण वित्तीय, परिचालन, र प्रतिष्ठालाई क्षति पुर्याउन सक्ने सम्भाव्यतासहित असुरक्षित गतिविधिहरूको विस्तृत दायरालाई सक्षम पार्छन्। यी खतराहरूसँग लड्न, नियमित अपडेटहरू, कर्मचारी प्रशिक्षण, र उन्नत खतरा पत्ता लगाउने र रोकथाम उपकरणहरू सहित बलियो साइबर सुरक्षा उपायहरू आवश्यक छन्।
