विषालु#सहयोगी फिसिङ अभियान
VENOMOUS#HELPER को रूपमा पहिचान गरिएको एक परिष्कृत फिसिङ अभियान कम्तिमा अप्रिल २०२५ देखि सक्रिय छ, जसले वैध रिमोट मोनिटरिङ एण्ड म्यानेजमेन्ट (RMM) उपकरणहरूको दुरुपयोग मार्फत धेरै आक्रमण भेक्टरहरूलाई लक्षित गर्दछ। मुख्यतया संयुक्त राज्य अमेरिकामा रहेका ८० भन्दा बढी संस्थाहरू प्रभावित भएका छन्। यो गतिविधि पहिले STAC6405 भनेर चिनिने दस्तावेज गरिएका क्लस्टरहरूसँग ओभरल्याप हुन्छ। यद्यपि एट्रिब्युशन अनिश्चित रहन्छ, सञ्चालन ढाँचाहरू आर्थिक रूपमा संचालित प्रारम्भिक पहुँच ब्रोकरहरू (IABs) वा पछि शोषणको लागि खुट्टा स्थापित गर्न खोज्ने ransomware पूर्ववर्ती समूहहरूसँग दृढतापूर्वक मिल्दोजुल्दो छन्।
सामग्रीको तालिका
विश्वसनीय उपकरणहरूबाट टाढा बस्नु: वैध RMM सफ्टवेयरको दुरुपयोग
स्पष्ट रूपमा मालिसियस सफ्टवेयर प्रयोग गर्नुको सट्टा, आक्रमणकारीहरू सिम्पलहेल्प र कनेक्टवाइज स्क्रिनकनेक्ट जस्ता वैध उपकरणहरूको अनुकूलित संस्करणहरूमा भर पर्छन्। यी अनुप्रयोगहरू सामान्यतया उद्यम वातावरणमा प्रयोग हुने भएकाले, तिनीहरूको उपस्थितिले प्रायः परम्परागत सुरक्षा नियन्त्रणहरूलाई बाइपास गर्छ र शंका बढाउनबाट जोगाउँछ।
दुबै उपकरणहरूको एकैसाथ तैनाती एक जानाजानी रणनीति हो। दोहोरो रिमोट पहुँच च्यानलहरू स्थापना गरेर, आक्रमणकारीहरूले सञ्चालन लचिलोपन सुनिश्चित गर्छन्। यदि एउटा जडान पत्ता लगाइयो र निष्क्रिय पारियो भने, दोस्रो च्यानल सक्रिय रहन्छ, बिना अवरोध निरन्तर अनधिकृत पहुँचलाई अनुमति दिँदै।
फिसिङ प्रवेश बिन्दु: विश्वसनीय भेषमा सामाजिक इन्जिनियरिङ
आक्रमण श्रृंखला अमेरिकी सामाजिक सुरक्षा प्रशासन (SSA) को नक्कल गर्दै सावधानीपूर्वक तयार पारिएको फिसिङ इमेलबाट सुरु हुन्छ। सन्देशले प्राप्तकर्ताहरूलाई आफ्नो इमेल ठेगाना प्रमाणित गर्न र एम्बेडेड लिङ्क मार्फत कथित SSA कथन डाउनलोड गर्न आग्रह गर्दछ।
उल्लेखनीय रूपमा, लिङ्कले पीडितहरूलाई वैध तर सम्झौता गरिएको मेक्सिकन व्यापार वेबसाइटमा निर्देशित गर्दछ, जसले स्पाम फिल्टरहरू र प्रतिष्ठा-आधारित प्रतिरक्षाहरूबाट बच्न जानाजानी प्रयास प्रदर्शन गर्दछ। त्यहाँबाट, पीडितहरूलाई दोस्रो आक्रमणकारी-नियन्त्रित डोमेनमा रिडिरेक्ट गरिन्छ, जसले वैध कागजातको रूपमा भेषमा दुर्भावनापूर्ण पेलोड होस्ट गर्दछ।
पेलोड डेलिभरी र दृढता: इन्जिनियरिङ दीर्घकालीन पहुँच
एकपटक डाउनलोड भएपछि, विन्डोज एक्जिक्युटेबलको रूपमा प्याकेज गरिएको पेलोडले सिम्पलहेल्प आरएमएम उपकरणको स्थापना सुरु गर्छ। आक्रमणकारीहरूले मालिसियस फाइल स्टेज गर्न होस्टिङ सर्भरमा रहेको cPanel खातामा सम्झौता गरेको विश्वास गरिन्छ।
कार्यान्वयन पछि, मालवेयरले धेरै संयन्त्रहरू मार्फत दृढता र लचिलोपन स्थापित गर्दछ:
- सुरक्षित मोड दृढता क्षमताहरू सहितको विन्डोज सेवाको रूपमा स्थापना
- सेवा बन्द भएमा स्वचालित रूपमा पुन: सुरु गर्ने स्व-उपचार वाचडगको तैनाती
- प्रत्येक ६७ सेकेन्डमा root\SecurityCenter2 WMI नेमस्पेस मार्फत स्थापित सुरक्षा उत्पादनहरूको नियमित गणना।
- २३-सेकेन्ड अन्तरालमा प्रयोगकर्ता गतिविधिको निरन्तर निगरानी
यी प्रविधिहरूले दुर्भावनापूर्ण उपस्थिति सक्रिय, अनुकूलनीय र उन्मूलन गर्न गाह्रो रहेको सुनिश्चित गर्दछ।
विशेषाधिकार वृद्धि र पूर्ण-प्रणाली नियन्त्रण
सम्झौता गरिएको प्रणालीमा पूर्ण अन्तरक्रियात्मक नियन्त्रण प्राप्त गर्न, सिम्पलहेल्प क्लाइन्टले AdjustTokenPrivileges मार्फत SeDebugPrivilege प्राप्त गरेर विशेषाधिकारहरू बढाउँछ। थप रूपमा, सफ्टवेयरको एक वैध घटक, 'elev_win.exe', SYSTEM-स्तर पहुँच प्राप्त गर्न प्रयोग गरिन्छ।
यो उच्च विशेषाधिकार स्तरले आक्रमणकारीहरूलाई निम्न गर्न सक्षम बनाउँछ:
- स्क्रिन गतिविधि निगरानी र कैद गर्नुहोस्
- वास्तविक समयमा किस्ट्रोकहरू इन्जेक्ट गर्नुहोस्
- प्रयोगकर्ताको सन्दर्भ भित्र संवेदनशील स्रोतहरू पहुँच गर्नुहोस्
यस्ता क्षमताहरूले परम्परागत सुरक्षा सतर्कताहरू ट्रिगर नगरी पीडितको वातावरणमा प्रभावकारी रूपमा पूर्ण नियन्त्रण प्रदान गर्दछ।
अनावश्यक पहुँच रणनीति: स्क्रिनकनेक्ट फलब्याक च्यानलको रूपमा
प्राथमिक पहुँच च्यानलको स्थापना पछि, आक्रमणकारीहरूले ConnectWise ScreenConnect लाई माध्यमिक रिमोट पहुँच संयन्त्रको रूपमा तैनाथ गर्छन्। यसले प्रारम्भिक SimpleHelp जडान पहिचान गरी अवरुद्ध गरिए पनि स्थिरता सुनिश्चित गर्दछ।
धेरै वैध उपकरणहरूको प्रयोगले स्थायित्व र चोरीको लागि डिजाइन गरिएको तहगत पहुँच रणनीतिलाई हाइलाइट गर्दछ, जसले पत्ता लगाउने र घटना प्रतिक्रिया प्रयासहरूलाई जटिल बनाउँछ।
सञ्चालन प्रभाव: राडार अन्तर्गत मौन नियन्त्रण
तैनाथ गरिएको सिम्पलहेल्प संस्करण (५.०.१) ले रिमोट प्रशासन सुविधाहरूको एक बलियो सेट प्रदान गर्दछ। एक पटक वातावरण भित्र एम्बेड गरेपछि, आक्रमणकारीहरूले स्वतन्त्र र गोप्य रूपमा सञ्चालन गर्ने क्षमता प्राप्त गर्छन्। आक्रमणकारीहरू इच्छा अनुसार प्रणालीमा पुन: प्रवेश गर्न सक्ने भएकाले सम्झौता गरिएको संस्था निरन्तर शोषणको जोखिममा रहन्छ।
वातावरण प्रभावकारी रूपमा एक नियन्त्रित सम्पत्ति बन्छ, जहाँ विरोधीहरूले चुपचाप आदेशहरू कार्यान्वयन गर्न सक्छन्, दुवै दिशामा फाइलहरू स्थानान्तरण गर्न सक्छन्, र नेटवर्कभरि पार्श्व रूपमा सार्न सक्छन्। किनभने सबै गतिविधि एक प्रतिष्ठित बेलायती विक्रेता द्वारा उत्पादित वैध रूपमा हस्ताक्षरित सफ्टवेयरबाट उत्पन्न भएको देखिन्छ, परम्परागत एन्टिभाइरस र हस्ताक्षर-आधारित प्रतिरक्षाहरू प्रायः घुसपैठ पत्ता लगाउन असफल हुन्छन्।
निष्कर्ष: आधुनिक घुसपैठको लागि एक खाका
VENOMOUS#HELPER ले दुर्भावनापूर्ण उद्देश्यका लागि वैध प्रशासनिक उपकरणहरूको प्रयोग गर्ने बढ्दो प्रवृत्तिको उदाहरण दिन्छ। सामाजिक इन्जिनियरिङ, विश्वसनीय सफ्टवेयर दुरुपयोग, र अनावश्यक पहुँच संयन्त्रहरू संयोजन गरेर, अभियानले दृढता, चोरी, र सञ्चालन लचिलोपन प्राप्त गर्दछ। यो दृष्टिकोणले व्यवहारिक अनुगमन, शून्य-विश्वास सिद्धान्तहरू, र उद्यम वातावरण भित्र वैध उपकरण प्रयोगको बढ्दो छानबिनको लागि तत्काल आवश्यकतालाई जोड दिन्छ।
