ਐਂਡਰੀਅਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ

ਐਂਡਰੀਏਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਇੱਕ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਧਮਕੀ ਅਭਿਨੇਤਾ ਹੈ ਜਿਸਨੇ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਸਥਿਤ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ 'ਤੇ ਨਿਰੰਤਰ ਫੋਕਸ ਦਿਖਾਇਆ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਆਪਣੇ ਕਾਰਜਾਂ ਲਈ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਪੱਖ ਵੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਹੈ। ਪਹਿਲਾਂ, ਸਮੂਹ ਨੇ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਏਟੀਐਮਜ਼ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ, ਜਦੋਂ ਕਿ ਸਮੂਹ ਨੂੰ ਦਿੱਤੇ ਗਏ ਹਮਲੇ ਦੇ ਤਾਜ਼ਾ ਗੰਭੀਰ ਰੂਪ ਵਿੱਚ, ਹੈਕਰਾਂ ਨੇ ਉਨ੍ਹਾਂ ਦੇ ਇੱਕ ਪੀੜਤ ਨੂੰ ਇੱਕ ਰੈਨਸਮਵੇਅਰ ਦੀ ਧਮਕੀ ਦਿੱਤੀ ਸੀ। ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਐਂਡਰੀਅਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਨੂੰ ਕੋਰੀਆਈ ਵਿੱਤੀ ਸੁਰੱਖਿਆ ਸੰਸਥਾ ਦੁਆਰਾ ਲਾਜ਼ਰਸ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ) ਸਮੂਹ ਦੇ ਉਪ-ਸਮੂਹ ਵਜੋਂ ਮਨੋਨੀਤ ਕੀਤਾ ਗਿਆ ਹੈ।

ਹੁਣ ਤੱਕ ਐਂਡਰੀਏਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਦੇ ਪੀੜਤ ਇੱਕ ਦੂਜੇ ਦੇ ਵਿਚਕਾਰ ਬਹੁਤ ਘੱਟ ਸਬੰਧ ਦਿਖਾਉਂਦੇ ਹਨ। ਹਰੇਕ ਪੀੜਤ ਆਪਣੇ-ਆਪਣੇ ਵਰਟੀਕਲਾਂ ਵਿੱਚ ਸਰਗਰਮ ਰਿਹਾ ਹੈ, ਬਿਨਾਂ ਕਿਸੇ ਹੋਰ ਨਿਸ਼ਾਨੇ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਦੇ ਸਪੱਸ਼ਟ ਲਿੰਕਾਂ ਦੇ। Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮੈਨੂਫੈਕਚਰਿੰਗ, ਮੀਡੀਆ, ਕੰਸਟਰਕਸ਼ਨ ਅਤੇ ਹੋਮ ਨੈੱਟਵਰਕ ਸਰਵਿਸ ਸੈਕਟਰਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੇ ਗਰੁੱਪ ਦੇ ਪੀੜਤਾਂ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ।

ਇੱਕ ਗੁੰਝਲਦਾਰ ਹਮਲਾ ਚੇਨ

ਐਂਡਰੀਏਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਓਪਰੇਸ਼ਨ ਲਗਾਤਾਰ ਵਿਕਸਿਤ ਹੋ ਰਹੇ ਹਨ ਅਤੇ ਹੋਰ ਗੁੰਝਲਦਾਰ ਬਣ ਗਏ ਹਨ। ਨਵੀਨਤਮ ਦੇਖੀ ਗਈ ਮੁਹਿੰਮ ਵਿੱਚ ਕਈ ਵਿਸ਼ੇਸ਼ ਦੂਸ਼ਿਤ ਪੇਲੋਡ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਹਰ ਇੱਕ ਹਮਲੇ ਦੇ ਵੱਖਰੇ ਪੜਾਅ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਹੈਕਰ ਹਥਿਆਰਬੰਦ ਦਸਤਾਵੇਜ਼ ਫਾਈਲਾਂ ਨੂੰ ਸਮਝੌਤਾ ਦੇ ਸ਼ੁਰੂਆਤੀ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤਦੇ ਹਨ। ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਸੰਕ੍ਰਮਣ ਦੇ ਆਧੁਨਿਕ ਢੰਗਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਖੋਜ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦੇ ਹਨ। ਜਦੋਂ ਕਿ ਜ਼ਿਆਦਾਤਰ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਇੱਕ ਹਥਿਆਰ ਵਾਲਾ ਮਾਈਕਰੋਸਾਫਟ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਪੀੜਤਾਂ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਉੱਥੇ ਕਈ ਉਦਾਹਰਣਾਂ ਵੀ ਹਨ ਜਿੱਥੇ ਐਂਡਰੀਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਨੇ ਇੱਕ PDF ਦਸਤਾਵੇਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਇੱਕ ਖਰਾਬ ਫਾਈਲ ਦਾ ਸਹਾਰਾ ਲਿਆ। ਲਾਗੂ ਹੋਣ 'ਤੇ, ਦਸਤਾਵੇਜ਼ ਦੂਜੇ ਪੜਾਅ ਦਾ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ - ਇੱਕ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰਾਂ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਅਗਲੇ ਪੇਲੋਡ ਲਈ ਵਾਤਾਵਰਣ ਨੂੰ ਤਿਆਰ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।

ਦੂਜੇ ਪੜਾਅ ਦਾ ਮਾਲਵੇਅਰ C2 ਤੋਂ ਪ੍ਰਾਪਤ ਕਮਾਂਡਾਂ ਦੇ ਅਨੁਸਾਰ 5 ਖਾਸ ਫੰਕਸ਼ਨ ਕਰ ਸਕਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਇੱਕ ਸਲੀਪ ਅੰਤਰਾਲ ਸੈਟ ਕਰਨਾ, ਸਥਾਨਕ ਫਾਈਲ ਵਿੱਚ ਪ੍ਰਾਪਤ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ, CreateThread() ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਚਲਾਉਣਾ, ਅਤੇ ਦਿੱਤੇ ਗਏ ਕਮਾਂਡਾਂ ਨੂੰ WinExec API ਜਾਂ cmd.exe ਦੁਆਰਾ ਚਲਾਉਣਾ ਸ਼ਾਮਲ ਹੈ। ਹਮਲੇ ਦੇ ਤੀਜੇ ਪੜਾਅ ਵਿੱਚ, ਐਂਡਰੀਏਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ ਉੱਤੇ ਇੱਕ ਬੈਕਡੋਰ ਪੇਲੋਡ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਬੈਕਡੋਰ ਨੂੰ ਆਪਰੇਸ਼ਨ ਵਿੱਚ ਇੰਟਰਐਕਟਿਵ ਤਰੀਕੇ ਨਾਲ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ x64 ਅਤੇ x86 ਸੰਸਕਰਣ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਧਮਕੀ ਆਪਣੇ ਆਪ ਨੂੰ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਜਾਂ ਗੂਗਲ ਕਰੋਮ ਦੇ ਰੂਪ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਆਈਕਨਾਂ ਅਤੇ ਸੰਬੰਧਿਤ ਫਾਈਲ ਨਾਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਭੇਸ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੀ ਹੈ। ਤੀਜੀ-ਪੜਾਅ ਦੀ ਧਮਕੀ ਸੈਂਡਬੌਕਸ ਵਾਤਾਵਰਨ ਦੇ ਸੰਕੇਤਾਂ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਨੂੰ ਸਕੈਨ ਕਰਦੀ ਹੈ। ਇਹ ਸੈਂਡਬੌਕਸੀ ਅਤੇ ਸਨਬੈਲਟ ਸੈਂਡਬੌਕਸ ਨਾਲ ਸਬੰਧਤ ਖਾਸ ਮਾਡਿਊਲਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ।

ਇਕੱਲੇ ਪੀੜਤ 'ਤੇ, ਐਂਡਰਿਅਲ ਕ੍ਰਿਮੀਨਲ ਗਰੁੱਪ ਨੇ ਕਸਟਮ-ਮੇਡ ਰੈਨਸਮਵੇਅਰ ਦੀ ਧਮਕੀ ਨੂੰ ਛੱਡ ਕੇ ਹਮਲੇ ਨੂੰ ਵਧਾ ਦਿੱਤਾ। ਮਾਲਵੇਅਰ ਸਿਸਟਮ-ਨਾਜ਼ੁਕ ਐਕਸਟੈਂਸ਼ਨਾਂ ਜਿਵੇਂ ਕਿ '.exe,' '.dll,' '.sys,' '.msiins,' ਅਤੇ 'ਦੇ ਅਪਵਾਦ ਦੇ ਨਾਲ ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਆਕਾਰ ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾਂ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਇੱਕ AES-128 CBC ਮੋਡ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। .drv.' ਲਾਕ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਡਿਫੌਲਟ ਐਕਸਟੈਂਸ਼ਨ '.3nc004' ਹੈ ਅਤੇ ਇਹ ਰਿਹਾਈ ਦੀ ਨੋਟ ਰੱਖਣ ਵਾਲੀ ਟੈਕਸਟ ਫਾਈਲ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਵੀ ਹੈ। ਨੋਟ ਦੇ ਟੈਕਸਟ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਹੈਕਰ ਬਿਟਕੋਇਨ ਵਿੱਚ ਅਦਾ ਕੀਤੀ ਫਿਰੌਤੀ ਪ੍ਰਾਪਤ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਨ ਅਤੇ ਉਹ ਦੋ ਫਾਈਲਾਂ ਨੂੰ ਮੁਫਤ ਵਿੱਚ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੇ ਹਨ।