Atroposia RAT
ਐਟ੍ਰੋਪੋਸੀਆ ਇੱਕ ਵਪਾਰਕ ਤੌਰ 'ਤੇ ਵਪਾਰ ਕੀਤਾ ਜਾਣ ਵਾਲਾ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਹੈ ਜੋ ਭੂਮੀਗਤ ਫੋਰਮਾਂ 'ਤੇ ਮਾਰਕੀਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਆਪਣੇ ਆਪਰੇਟਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਡੂੰਘਾ, ਗੁਪਤ ਨਿਯੰਤਰਣ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਕਰਨ, ਨੈੱਟਵਰਕ ਵਿਵਹਾਰ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਹੋਰ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਸਿਸਟਮਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਅਮੀਰ ਟੂਲਕਿੱਟ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸਦੀਆਂ ਵਿਆਪਕ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਚੋਰੀ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਕਾਰਨ, ਕਿਸੇ ਡਿਵਾਈਸ 'ਤੇ ਐਟ੍ਰੋਪੋਸੀਆ ਦੀ ਕਿਸੇ ਵੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਮੌਜੂਦਗੀ ਨੂੰ ਤੁਰੰਤ ਹਟਾਉਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਇਹ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ ਸੰਭਾਵੀ 'ਗਾਹਕਾਂ' ਨੂੰ ਤਿੰਨ ਭੁਗਤਾਨ ਪੱਧਰਾਂ ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ:
ਮਹੀਨਾਵਾਰ ਕਿਰਾਇਆ: $200
ਤਿਮਾਹੀ: $500 (ਤਿੰਨ ਮਹੀਨੇ)
ਅਰਧ-ਸਾਲਾਨਾ: $900 (ਛੇ ਮਹੀਨੇ)
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਟੀਲਥ, ਦ੍ਰਿੜਤਾ, ਅਤੇ ਕਮਾਂਡ ਚੈਨਲ
ਐਟ੍ਰੋਪੋਸੀਆ ਨੂੰ ਲੁਕਿਆ ਰਹਿਣ ਲਈ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਆਪਣੇ ਆਪ ਹੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾ ਸਕਦਾ ਹੈ (UAC ਨੂੰ ਬਾਈਪਾਸ ਕਰਕੇ), ਰੀਬੂਟ ਤੋਂ ਬਚਣ ਲਈ ਕਈ ਸਥਿਰਤਾ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਅਤੇ ਐਂਟੀਵਾਇਰਸ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਆਪਰੇਟਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰਾਂ ਨਾਲ ਇਸਦਾ ਸੰਚਾਰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ, ਅਤੇ ਇੱਕ ਵੈੱਬ-ਸ਼ੈਲੀ ਕੰਟਰੋਲ ਪੈਨਲ ਦਰਮਿਆਨੀ ਹੁਨਰਮੰਦ ਅਪਰਾਧੀਆਂ ਲਈ ਵੀ ਖਤਰਨਾਕ ਕੰਮਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦਾ ਹੈ।
ਲੁਕਿਆ ਹੋਇਆ ਰਿਮੋਟ ਕੰਟਰੋਲ ਅਤੇ ਫਾਈਲ ਹੈਂਡਲਿੰਗ
ਇੱਕ ਸਿਗਨੇਚਰ ਫੀਚਰ ਇੱਕ ਛੁਪਿਆ ਹੋਇਆ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਕੰਪੋਨੈਂਟ ('HRDP ਕਨੈਕਟ' ਵਜੋਂ ਮਾਰਕੀਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ) ਹੈ ਜੋ ਪੀੜਤ ਮਸ਼ੀਨ 'ਤੇ ਇੱਕ ਅਦਿੱਖ ਸੈਸ਼ਨ ਖੋਲ੍ਹਦਾ ਹੈ ਤਾਂ ਜੋ ਇੱਕ ਰਿਮੋਟ ਐਕਟਰ ਉਪਭੋਗਤਾ ਨੂੰ ਦਿਖਾਈ ਦੇਣ ਵਾਲੇ ਸੰਕੇਤਾਂ ਤੋਂ ਬਿਨਾਂ ਡੈਸਕਟੌਪ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰ ਸਕੇ। ਇਸਦੇ ਪੂਰਕ ਵਜੋਂ, ਐਟ੍ਰੋਪੋਸੀਆ ਵਿੱਚ ਇੱਕ ਫਾਈਲ ਮੈਨੇਜਰ ਸ਼ਾਮਲ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਡਰਾਈਵਾਂ ਅਤੇ ਫੋਲਡਰਾਂ ਨੂੰ ਬ੍ਰਾਊਜ਼ ਕਰਨ, ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਕਰਨ, ਉਹਨਾਂ ਨੂੰ ਰਿਮੋਟਲੀ ਡਾਊਨਲੋਡ ਕਰਨ, ਮਿਟਾਉਣ ਜਾਂ ਚਲਾਉਣ ਦਿੰਦਾ ਹੈ।
ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸੰਗ੍ਰਹਿ ਅਤੇ ਗੁਪਤ ਪੈਕਿੰਗ
RAT ਵਿੱਚ ਇੱਕ ਗ੍ਰੈਬਰ ਹੁੰਦਾ ਹੈ ਜੋ ਐਕਸਟੈਂਸ਼ਨ ਜਾਂ ਕੀਵਰਡ ਦੁਆਰਾ ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ ਅਤੇ ਮੈਚਾਂ ਨੂੰ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ZIP ਵਿੱਚ ਬੰਡਲ ਕਰਦਾ ਹੈ। ਇਹ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮੈਮੋਰੀ ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਅਤੇ ਪੈਕੇਜ ਕਰ ਸਕਦਾ ਹੈ ਜਾਂ ਬਿਲਟ-ਇਨ ਸਿਸਟਮ ਉਪਯੋਗਤਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰ ਸਕਦਾ ਹੈ, ਡਿਸਕ 'ਤੇ ਬਚੇ ਹੋਏ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦਾ ਹੈ ਅਤੇ ਫੋਰੈਂਸਿਕ ਖੋਜ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।
ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ ਬਟੂਆ ਚੋਰੀ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ
ਐਟ੍ਰੋਪੋਸੀਆ ਦਾ ਸਟੀਲਰ ਮੋਡੀਊਲ ਸੰਵੇਦਨਸ਼ੀਲ ਸਮੱਗਰੀ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ: ਸੇਵ ਕੀਤੇ ਬ੍ਰਾਊਜ਼ਰ ਪਾਸਵਰਡ, ਕਾਰੋਬਾਰੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ VPN ਕਲਾਇੰਟਸ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਮੈਸੇਜਿੰਗ ਪ੍ਰੋਗਰਾਮਾਂ ਤੋਂ ਡੇਟਾ, ਜਿੱਥੇ ਉਪਲਬਧ ਹੋਵੇ ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਡੇਟਾ, ਅਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਜਾਣਕਾਰੀ। ਇਹ ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ (ਕੁਝ ਵੀ ਜਿਸਨੂੰ ਉਪਭੋਗਤਾ ਕਾਪੀ ਜਾਂ ਕੱਟਦਾ ਹੈ), ਲੌਗ ਵੀ ਕੈਪਚਰ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਐਂਟਰੀਆਂ ਨੂੰ ਸਟੋਰ ਕਰਦਾ ਹੈ। ਇਹ ਕਾਪੀ ਕੀਤੇ ਵਾਲਿਟ ਪਤਿਆਂ ਜਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਬਦਲਣ ਲਈ ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਨੂੰ ਓਵਰਰਾਈਟ ਵੀ ਕਰ ਸਕਦਾ ਹੈ - ਫੰਡਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਜਾਂ ਖਾਤਿਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਲਈ ਉਪਯੋਗੀ ਇੱਕ ਤਕਨੀਕ।
ਨੈੱਟਵਰਕ ਹੇਰਾਫੇਰੀ ਅਤੇ DNS ਹਾਈਜੈਕਿੰਗ
ਇਹ ਮਾਲਵੇਅਰ DNS ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲ ਸਕਦਾ ਹੈ ਜਾਂ ਨਾਮ ਲੁੱਕਅੱਪ ਨੂੰ ਰੋਕ ਸਕਦਾ ਹੈ ਤਾਂ ਜੋ ਪੀੜਤ ਦੇ ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ ਚੁੱਪਚਾਪ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਧੋਖੇਬਾਜ਼ ਸਾਈਟਾਂ (ਉਦਾਹਰਣ ਵਜੋਂ, ਨਕਲੀ ਲੌਗਇਨ ਪੰਨੇ) 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾ ਸਕੇ। ਕਿਉਂਕਿ ਬ੍ਰਾਊਜ਼ਰ ਅਜੇ ਵੀ ਉਮੀਦ ਕੀਤੇ URL ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰ ਸਕਦਾ ਹੈ, ਪੀੜਤਾਂ ਨੂੰ ਇਹ ਸੋਚਦੇ ਹੋਏ ਕਿ ਉਹ ਇੱਕ ਜਾਇਜ਼ ਸਾਈਟ 'ਤੇ ਹਨ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਦਾਖਲ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਕਮਜ਼ੋਰੀ ਸਕੈਨਿੰਗ ਅਤੇ ਵਾਧਾ ਦੇ ਮੌਕੇ
ਐਟ੍ਰੋਪੋਸੀਆ ਵਿੱਚ ਇੱਕ ਸਕੈਨਰ ਸ਼ਾਮਲ ਹੈ ਜੋ ਗੁੰਮ ਹੋਏ ਪੈਚਾਂ, ਕਮਜ਼ੋਰ ਸੰਰਚਨਾਵਾਂ, ਅਤੇ ਪੁਰਾਣੇ ਸੌਫਟਵੇਅਰ ਲਈ ਸੰਕਰਮਿਤ ਹੋਸਟ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਇਹ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ - ਅਨਪੈਚਡ VPN ਕਲਾਇੰਟਸ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਵਾਲੇ ਬੱਗ, ਜਾਂ ਹੋਰ ਐਕਸਪੋਜ਼ਰ - ਨੂੰ ਪ੍ਰਗਟ ਕਰ ਸਕਦਾ ਹੈ ਜਿਸਦਾ ਹਮਲਾਵਰ ਫਿਰ ਇੱਕ ਨੈੱਟਵਰਕ ਵਿੱਚ ਪਹੁੰਚ ਵਧਾਉਣ ਲਈ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।
ਸਿਸਟਮ ਟੈਲੀਮੈਟਰੀ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਸਹੂਲਤਾਂ
ਡਾਟਾ ਚੋਰੀ ਅਤੇ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਤੋਂ ਇਲਾਵਾ, RAT ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ (IP ਐਡਰੈੱਸ, OS ਸੰਸਕਰਣ, ਭੂ-ਸਥਾਨ, ਅਤੇ ਹੋਰ ਵਾਤਾਵਰਣ ਵੇਰਵੇ) ਇਕੱਠਾ ਕਰਦਾ ਹੈ, ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਸੂਚੀਬੱਧ ਅਤੇ ਪ੍ਰਬੰਧਿਤ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਰਿਮੋਟ ਸ਼ਟਡਾਊਨ ਅਤੇ ਰੀਬੂਟ ਓਪਰੇਸ਼ਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਟੂਲਕਿੱਟ ਵਿੱਚ ਵਾਧੂ, ਘੱਟ-ਪ੍ਰਭਾਵ ਵਾਲੀਆਂ ਉਪਯੋਗਤਾਵਾਂ ਵੀ ਸ਼ਾਮਲ ਹਨ ਜੋ ਇਕੱਠੇ ਵਿਆਪਕ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।
ਲਾਗ ਆਮ ਤੌਰ 'ਤੇ ਕਿਵੇਂ ਹੁੰਦੀ ਹੈ
ਖਤਰਨਾਕ ਜਾਂ ਹਥਿਆਰਬੰਦ ਦਸਤਾਵੇਜ਼ (ਉਦਾਹਰਣ ਵਜੋਂ, ਸੰਕਰਮਿਤ PDF ਜਾਂ ਈ-ਮੇਲ ਰਾਹੀਂ ਵੰਡੇ ਗਏ ਹੋਰ ਅਟੈਚਮੈਂਟ)
ਸਾਫਟਵੇਅਰ ਪਾਇਰੇਸੀ ਪੈਕੇਜ, ਡਰਾਈਵ-ਬਾਈ ਸ਼ੋਸ਼ਣ, ਠੱਗ ਇਸ਼ਤਿਹਾਰ, ਨਕਲੀ ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਯੋਜਨਾਵਾਂ, P2P/ਸ਼ੇਅਰ ਕੀਤੀਆਂ ਫਾਈਲਾਂ, ਧੋਖੇਬਾਜ਼ ਡਾਊਨਲੋਡ ਸਾਈਟਾਂ, ਤੀਜੀ-ਧਿਰ ਇੰਸਟਾਲਰ, ਅਤੇ ਸਮਾਨ ਚੈਨਲ।
ਉਹ ਡਿਲੀਵਰੀ ਤਰੀਕੇ ਕਿਉਂ ਸਫਲ ਹੁੰਦੇ ਹਨ: ਹਮਲਾਵਰ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ (ਜਾਅਲੀ ਦਸਤਾਵੇਜ਼, ਲੁਭਾਉਣ ਵਾਲੇ ਡਾਊਨਲੋਡ, ਜਾਂ ਫਾਈਲਾਂ ਚਲਾਉਣ ਲਈ ਬੇਨਤੀਆਂ) ਜਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ ਅਤੇ ਧੋਖੇਬਾਜ਼ ਇੰਸਟਾਲਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ - ਜ਼ਿਆਦਾਤਰ ਇਨਫੈਕਸ਼ਨ ਉਦੋਂ ਹੁੰਦੇ ਹਨ ਜਦੋਂ ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਮਾਲਵੇਅਰ ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
ਪ੍ਰਭਾਵ ਸਾਰਾਂਸ਼
ਐਟ੍ਰੋਪੋਸੀਆ ਵਿਆਪਕ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ (ਫਾਈਲਾਂ, ਪ੍ਰਮਾਣ ਪੱਤਰ, ਕਲਿੱਪਬੋਰਡ ਡੇਟਾ, ਕ੍ਰਿਪਟੋ ਵਾਲਿਟ), ਗੁਪਤ ਰਿਮੋਟ ਕੰਟਰੋਲ, DNS ਛੇੜਛਾੜ ਰਾਹੀਂ ਨੈੱਟਵਰਕ ਰੀਡਾਇਰੈਕਸ਼ਨ, ਅਤੇ ਹੋਰ ਸ਼ੋਸ਼ਣ ਲਈ ਖੋਜ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਸਦੀ ਗੁਪਤ ਆਰਕੀਟੈਕਚਰ (ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧਾ, ਸਥਿਰਤਾ, ਇਨ-ਮੈਮੋਰੀ ਪੈਕੇਜਿੰਗ, ਏਨਕ੍ਰਿਪਟਡ C2, ਅਤੇ ਲੁਕਵੇਂ ਰਿਮੋਟ ਸੈਸ਼ਨ) ਇਸਨੂੰ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਗਠਨਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਬਣਾਉਂਦੀ ਹੈ।
ਤੁਰੰਤ ਜਵਾਬ
ਜੇਕਰ ਕਿਸੇ ਸਿਸਟਮ 'ਤੇ ਐਟ੍ਰੋਪੋਸੀਆ ਦਾ ਸ਼ੱਕ ਹੈ ਜਾਂ ਪਤਾ ਲੱਗਿਆ ਹੈ, ਤਾਂ ਡਿਵਾਈਸ ਨੂੰ ਨੈੱਟਵਰਕਾਂ ਤੋਂ ਡਿਸਕਨੈਕਟ ਕਰੋ, ਜੇ ਸੰਭਵ ਹੋਵੇ ਤਾਂ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ ਲੌਗ ਸੁਰੱਖਿਅਤ ਰੱਖੋ, ਅਤੇ ਜਿੰਨੀ ਜਲਦੀ ਸੰਭਵ ਹੋ ਸਕੇ ਮਾਲਵੇਅਰ ਨੂੰ ਹਟਾ ਦਿਓ। ਕਿਉਂਕਿ ਓਪਰੇਟਰ ਹਾਰਵੈਸਟਡ ਕ੍ਰੇਡੈਂਸ਼ੀਅਲ ਅਤੇ ਲੇਟਰਲ ਰੂਟਸ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ, ਕਿਸੇ ਵੀ ਸਮਝੌਤੇ ਨੂੰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਵਿਆਪਕ ਮੰਨੋ ਅਤੇ ਪਾਸਵਰਡ ਘੁੰਮਾਉਣ, ਟੋਕਨਾਂ ਨੂੰ ਰੱਦ ਕਰਨ ਅਤੇ ਇੱਕ ਵਿਆਪਕ ਅੰਦਰੂਨੀ ਜਾਂਚ ਕਰਨ 'ਤੇ ਵਿਚਾਰ ਕਰੋ।
