ਬੀਅਰਡਸ਼ੈਲ ਮਾਲਵੇਅਰ
ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਨੇ APT28 ਦੁਆਰਾ ਚਲਾਈ ਗਈ ਇੱਕ ਤਾਜ਼ਾ ਸਾਈਬਰ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਬਾਰੇ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਰੂਸ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਧਮਕੀ ਸਮੂਹ ਹੈ ਅਤੇ UAC-0001 ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਦੋ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ, ਜਿਨ੍ਹਾਂ ਨੂੰ BEARDSHELL ਅਤੇ COVENANT ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਸਿਗਨਲ ਚੈਟ ਸੁਨੇਹਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜੋ ਸਮੂਹ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਬੀਅਰਡਸ਼ੈਲ ਅਤੇ ਸਲਿਮੇਜੈਂਟ: ਇੱਕ ਖ਼ਤਰਨਾਕ ਜੋੜੀ
C++ ਵਿੱਚ ਵਿਕਸਤ, BEARDSHELL, ਪਹਿਲੀ ਵਾਰ ਮਾਰਚ ਅਤੇ ਅਪ੍ਰੈਲ 2024 ਦੇ ਵਿਚਕਾਰ ਖੋਜਿਆ ਗਿਆ ਸੀ, ਜਿਸਨੂੰ SLIMAGENT ਨਾਮਕ ਇੱਕ ਸਕ੍ਰੀਨਸ਼ੌਟ-ਕੈਪਚਰਿੰਗ ਟੂਲ ਦੇ ਨਾਲ ਇੱਕ Windows ਸਿਸਟਮ 'ਤੇ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ। BEARDSHELL ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣਾ ਅਤੇ Icedrive API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਨਤੀਜੇ ਵਜੋਂ ਆਉਟਪੁੱਟ ਨੂੰ ਰਿਮੋਟ ਸਰਵਰ 'ਤੇ ਅਪਲੋਡ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਦੇ ਸਮੇਂ, CERT-UA ਕੋਲ ਇਸ ਬਾਰੇ ਸਪੱਸ਼ਟਤਾ ਦੀ ਘਾਟ ਸੀ ਕਿ ਮਾਲਵੇਅਰ ਸਿਸਟਮ ਵਿੱਚ ਕਿਵੇਂ ਘੁਸਪੈਠ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, 'gov.ua' ਈਮੇਲ ਖਾਤੇ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੁਆਰਾ ਪੈਦਾ ਹੋਈਆਂ ਹਾਲੀਆ ਖੋਜਾਂ ਨੇ 2024 ਦੀ ਘਟਨਾ ਵਿੱਚ ਵਰਤੇ ਗਏ ਸ਼ੁਰੂਆਤੀ ਹਮਲੇ ਦੇ ਵੈਕਟਰ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਇਸ ਡੂੰਘੀ ਜਾਂਚ ਨੇ BEARDSHELL ਅਤੇ COVENANT ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਦੋਵਾਂ ਦੀ ਤਾਇਨਾਤੀ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ।
ਇਨਫੈਕਸ਼ਨ ਚੇਨ: ਮੈਕਰੋ-ਲੇਸਡ ਡੌਕੂਮੈਂਟ ਅਤੇ ਡੀਐਲਐਲ ਪੇਲੋਡ
ਇਹ ਹਮਲਾ ਇੱਕ ਸਿਗਨਲ ਸੁਨੇਹੇ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ 'Акт.doc' ਸਿਰਲੇਖ ਵਾਲਾ ਇੱਕ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਹੁੰਦਾ ਹੈ। ਇਸ ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਇੱਕ ਏਮਬੈਡਡ ਮੈਕਰੋ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ, ਇੱਕ ਵਾਰ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਦੋ ਭਾਗ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ:
- ਇੱਕ ਖਤਰਨਾਕ DLL: ctec.dll
- ਇੱਕ ਭੇਸ ਬਦਲਿਆ PNG ਚਿੱਤਰ: windows.png
ਫਿਰ ਮੈਕਰੋ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਵਿੱਚ ਬਦਲਾਅ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ ਕਿ explorer.exe ਦੇ ਅਗਲੇ ਲਾਂਚ ਹੋਣ 'ਤੇ DLL ਚੱਲਦਾ ਹੈ। ਇਹ DLL PNG ਚਿੱਤਰ ਵਿੱਚ ਲੁਕੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਪੜ੍ਹਦਾ ਹੈ ਅਤੇ COVENANT ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਮੈਮੋਰੀ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ।
ਐਕਟੀਵੇਸ਼ਨ ਤੋਂ ਬਾਅਦ, COVENANT ਦੋ ਵਿਚਕਾਰਲੇ ਪੇਲੋਡਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਚਲਾਉਣ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ ਜੋ ਅੰਤ ਵਿੱਚ BEARDSHELL ਬੈਕਡੋਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਉੱਤੇ ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਮਿਲਦਾ ਹੈ।
ਇਕਰਾਰਨਾਮਾ: ਕਾਰਜਸ਼ੀਲ ਸੂਝਵਾਨ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ
COVENANT ਫਰੇਮਵਰਕ ਇਸ ਕਾਰਵਾਈ ਵਿੱਚ ਇੱਕ ਕੇਂਦਰੀ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦਾ ਹੈ, ਵਾਧੂ ਮਾਲਵੇਅਰ ਲਈ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੱਬ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਸਦਾ ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਈਨ ਪੇਲੋਡਾਂ ਦੀ ਲਚਕਦਾਰ ਤੈਨਾਤੀ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਇਸ ਸਥਿਤੀ ਵਿੱਚ ਸਿੱਧੇ BEARDSHELL ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ। ਇਹ ਮੈਮੋਰੀ-ਰੈਜ਼ੀਡੈਂਟ ਫਰੇਮਵਰਕ ਰਵਾਇਤੀ ਖੋਜ ਵਿਧੀਆਂ ਤੋਂ ਬਚਦਾ ਹੈ, ਇਸਨੂੰ ਨਿਸ਼ਾਨਾ ਵਾਤਾਵਰਣਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਬਣਾਉਂਦਾ ਹੈ।
ਨਿਗਰਾਨੀ ਅਤੇ ਘਟਾਉਣ ਦੀਆਂ ਸਿਫ਼ਾਰਸ਼ਾਂ
ਇਸ ਮੁਹਿੰਮ ਦੇ ਸੰਪਰਕ ਨੂੰ ਘਟਾਉਣ ਲਈ, CERT-UA ਸਰਕਾਰ ਅਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਹੇਠ ਲਿਖੇ ਡੋਮੇਨਾਂ ਨਾਲ ਜੁੜੇ ਟ੍ਰੈਫਿਕ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੰਦਾ ਹੈ:
- ਐਪ.ਕੋਫਰ.ਨੈੱਟ
- api.icedrive.net ਵੱਲੋਂ ਹੋਰ
ਇਹਨਾਂ ਡੋਮੇਨਾਂ ਨਾਲ ਬਾਹਰੀ ਕਨੈਕਸ਼ਨਾਂ ਬਾਰੇ ਚੌਕਸ ਰਹਿਣ ਨਾਲ ਸਮਝੌਤਾ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਕੇਤਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਮਦਦ ਮਿਲ ਸਕਦੀ ਹੈ।
ਸਿੱਟਾ: ਨਿਰੰਤਰ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਖ਼ਤਰੇ
APT28 ਆਪਣੀਆਂ ਹਮਲੇ ਦੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਸੁਧਾਰਦਾ ਰਹਿੰਦਾ ਹੈ, ਸਿਗਨਲ ਵਰਗੇ ਆਧੁਨਿਕ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਪੁਰਾਣੇ ਸਿਸਟਮ ਕਮਜ਼ੋਰੀਆਂ ਨਾਲ ਜੋੜਦਾ ਹੈ। ਇਹ ਦੋਹਰਾ-ਪੱਖੀ ਪਹੁੰਚ, ਨਵੇਂ ਵਿਕਸਤ ਮਾਲਵੇਅਰ ਅਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਕਾਰਨਾਮੇ ਦੋਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਸਮੂਹ ਦੀ ਦ੍ਰਿੜਤਾ ਅਤੇ ਪੱਧਰੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਰੱਖਿਆ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਸੰਗਠਨਾਂ, ਖਾਸ ਕਰਕੇ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਨੂੰ, ਸੁਚੇਤ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਦੇ ਸੰਕੇਤਾਂ ਲਈ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ।
