Vampire बोट मालवेयर

BatShadow को रूपमा ट्र्याक गरिएको भियतनामी भाषा बोल्ने धम्की दिने अभिनेताले लक्षित अभियान चलाइरहेका छन् जसले जागिर खोज्नेहरू र डिजिटल-मार्केटिङ पेशेवरहरूलाई पहिले कागजात नगरिएको Go-आधारित मालवेयर स्थापना गर्न लोभ्याउँछन् जसलाई अनुसन्धानकर्ताहरूले Vampire Bot भन्छन्। यो समूहले भर्तीकर्ताहरूको प्रतिरूपण गर्छ र वैध काम विवरणहरू र कर्पोरेट PDF हरू वितरण गर्छ, जुन अन्तरक्रिया गर्दा, बहु-चरण संक्रमण श्रृंखला ट्रिगर गर्छ र टाढाको निगरानी र डेटा-चोरी क्षमताहरू प्रदान गर्दछ।

सामाजिक इन्जिनियरिङ र लुर डेलिभरी

आक्रमणकारीहरूले भर्ती-शैली सन्देशहरू र ZIP संलग्नकहरू बनाउँछन् जसमा दुर्भावनापूर्ण सर्टकटहरू (LNK) वा PDF को रूपमा भेषमा कार्यान्वयनयोग्यहरूसँगै नक्कली PDF फाइलहरू हुन्छन्। कागजात प्रलोभनहरू विशेष रूपमा मार्केटिङ भूमिकाहरू (एउटा प्रलोभनले म्यारियट मार्केटिङ कामलाई सन्दर्भ गर्दछ) लाई लक्षित गरी बनाइएका छन् ताकि अभिप्रेत पीडितहरूसँग विश्वसनीयता बढोस्। पीडितहरूलाई 'पूर्वावलोकन' गर्न वा काम विवरण डाउनलोड गर्न प्रोत्साहित गरिन्छ, जसले बहु-चरणीय शोषण अनुक्रम सुरु गर्दछ।

संक्रमण श्रृंखला प्रगति

ZIP प्याकेजहरूमा एउटा खराब LNK समावेश छ जसले एम्बेडेड PowerShell स्क्रिप्ट चलाउँछ। त्यो स्क्रिप्टले बाह्य सर्भरलाई सम्पर्क गर्छ ताकि यसले लुर PDF र XtraViewer (रिमोट-डेस्कटप सफ्टवेयर) सँग सम्बन्धित फाइलहरू भएको छुट्टै ZIP बन्डल प्राप्त गर्न सकियोस्। XtraViewer कम्पोनेन्टहरू कार्यान्वयन गरिन्छन् — सम्भवतः स्थिरता वा रिमोट पहुँच स्थापित गर्ने — र गो एक्जिक्युटेबल तैनाथ नभएसम्म श्रृंखला जारी रहन्छ।

दुरुपयोग गर्ने किनारा पुनर्निर्देशनहरू

अभियानको एउटा प्रमुख चाल भनेको ल्यान्डिङ पृष्ठ हो जसले नक्कली 'असमर्थित ब्राउजर' त्रुटि देखाउँछ र पीडितहरूलाई URL प्रतिलिपि गर्न र माइक्रोसफ्ट एजमा खोल्न निर्देशन दिन्छ। स्क्रिप्टेड रिडिरेक्टहरू प्रायः आधुनिक ब्राउजरहरूद्वारा अवरुद्ध हुन्छन्, त्यसैले आक्रमणकारीहरू प्रयोगकर्तालाई म्यानुअल कार्य (एजमा प्रतिलिपि/टाँस्ने) गर्न मनाउनमा भर पर्छन्, जुन त्यसपछि प्रयोगकर्ता-सुरु गरिएको रूपमा व्यवहार गरिन्छ र डाउनलोड प्रवाहलाई जारी राख्न अनुमति दिन्छ। एजमा खोलिएपछि पृष्ठले अर्को नक्कली त्रुटि देखाउँछ जसमा PDF कम्प्रेस गरिएको र 'तपाईंको उपकरणमा पठाइएको' दाबी गरिन्छ, जसले स्वचालित ZIP डाउनलोड ट्रिगर गर्दछ।

पेलोड र डिकोय नामकरण ट्रिक

स्वतः डाउनलोड गरिएको ZIP मा कथित कार्य विवरण र PDF जस्तो देखिने नाम दिइएको दुर्भावनापूर्ण कार्यान्वयनयोग्य फाइल समावेश छ (उदाहरणका लागि, 'Marriott_Marketing_Job_Description.pdf.exe')। कार्यान्वयनयोग्य फाइलले फाइलनाम प्याडिङ ('.pdf' र '.exe' बीचको अतिरिक्त खाली ठाउँहरू) प्रयोग गर्दछ त्यसैले यो केही दृश्यहरूमा PDF जस्तो देखिन्छ, जसले गर्दा पीडितहरूले यसलाई चलाउने सम्भावना बढ्छ।

भ्याम्पायर बोटको क्षमताहरू

ड्रप गरिएको एक्जिक्युटेबल गोलङ बाइनरी डब भ्याम्पायर बोट हो। यसको अवलोकन गरिएका क्षमताहरूमा समावेश छन्:

• संक्रमित होस्टको गणना र प्रोफाइलिङ,

• डेटाको एक विस्तृत सेट (प्रमाणपत्र भण्डार, फाइलहरू, आदि) चोरी गर्ने,

• कन्फिगर योग्य तालिकामा स्क्रिनसटहरू लिँदै,
  र

• आदेशहरू प्राप्त गर्न वा थप पेलोडहरू डाउनलोड गर्न आक्रमणकारी सर्भर (api3.samsungcareers.work को रूपमा रिपोर्ट गरिएको) सँग आदेश-र-नियन्त्रण सञ्चार कायम राख्ने।

विशेषता र पूर्वाधार

विश्लेषकहरूले यो गतिविधिलाई पूर्वाधार पुन: प्रयोगको आधारमा भियतनामसँग जोड्छन् - उदाहरणका लागि, भियतनामसँग सम्बन्धित अपरेटरहरूसँग पहिले सम्बन्धित IP ठेगाना (१०३.१२४.९५.१६१) - र लक्षित ढाँचाहरूमा। BatShadow ले पहिले डिजिटल-मार्केटिङ पेशेवरहरूलाई लक्षित गरेको छ र फेसबुक व्यवसाय सम्पत्तिहरू अपहरण गर्ने चोरीहरू तैनाथ गर्न परिचित अन्य आर्थिक रूपमा प्रेरित भियतनामी समूहहरूसँग ओभरल्याप गर्दछ। यो समूह कम्तिमा एक वर्षदेखि सक्रिय देखिन्छ र पहिले एजेन्ट टेस्ला, लुम्मा स्टीलर, भेनम RAT, र अक्टोबर २०२४ मा, समान रूपमा बुबी-ट्र्याप गरिएका काम विवरण फाइलहरू मार्फत क्वासर RAT वितरण गर्ने अभियानहरू सहित मालवेयर परिवारहरू वितरण गर्न samsung-work.com जस्ता डोमेनहरू प्रयोग गरिसकेको छ।

आक्रमण किन प्रभावकारी छ?

ब्याटश्याडोले उद्योग-सान्दर्भिक प्रलोभनहरू (मार्केटिङ जागिर विज्ञापनहरू), फाइलनाम ट्रिक्सहरू, स्टेज्ड पेलोडहरू (सरल फाइल स्क्यानिङबाट बच्न), र स्क्रिप्टेड रिडिरेक्ट सुरक्षाहरू बाइपास गर्न म्यानुअल ब्राउजर कार्यलाई बाध्य पार्ने प्रवाहलाई संयोजन गर्दछ। सामाजिक इन्जिनियरिङ र बहु-चरणीय प्राविधिक चरणहरूको त्यो मिश्रणले सफल सम्झौता र दीर्घकालीन पहुँचको सम्भावना बढाउँछ।

निष्कर्ष

ब्याटश्याडोको अभियानले लक्षित सामाजिक इन्जिनियरिङलाई चरणबद्ध, छलकपट गर्ने प्राविधिक शृङ्खलासँग जोड्दा कति प्रभावकारी हुन्छ भनेर जोड दिन्छ। बारम्बार भर्ती गर्ने वा आवेदक ट्राफिक ह्यान्डल गर्ने संस्थाहरू - र अनलाइन सम्पत्तिहरू व्यवस्थापन गर्ने डिजिटल मार्केटिङका पेशेवरहरूले - मेल/संलग्नक ह्यान्डलिङलाई कडा बनाउनु पर्छ, कडा कार्यान्वयन नियन्त्रणहरू लागू गर्नुपर्छ, र भर्ती-शैली संलग्नकहरूलाई मान्य नभएसम्म उच्च-जोखिमको रूपमा व्यवहार गर्नुपर्छ।