ਬਿਸਮਥ ਏ.ਪੀ.ਟੀ

ਬਿਸਮਥ ਨਾਮਕ ਇੱਕ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲ ਰਹੇ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ (ਏਪੀਟੀ) ਸਮੂਹ ਨੂੰ ਦੇਖਿਆ ਗਿਆ ਹੈ ਕਿ ਹਾਲ ਹੀ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਟੀਚਿਆਂ 'ਤੇ ਇੱਕ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਰ ਪੇਲੋਡ ਤਾਇਨਾਤ ਕਰਕੇ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਲੁਕਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਗਈ ਹੈ। ਇਨਫੋਸੇਕ ਲੈਂਡਸਕੇਪ ਵਿੱਚ, ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਗੈਰ-ਨਾਜ਼ੁਕ ਮੁੱਦਿਆਂ ਵਜੋਂ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਦੇ ਮਾਮਲਿਆਂ ਦੀ ਤੁਲਨਾ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਵਧੇਰੇ ਘੱਟ ਪ੍ਰਤੀਕਿਰਿਆ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ।

ਬਿਸਮਥ ਦੀ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾ ਡੇਟਾ-ਕਟਾਈ ਅਤੇ ਜਾਸੂਸੀ ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਦਾ ਸੰਚਾਲਨ ਰਿਹਾ ਹੈ। ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, ਅਤੇ ਉਸ ਸਮੇਂ ਦੌਰਾਨ, ਉਹਨਾਂ ਦੇ ਔਜ਼ਾਰ, ਤਕਨੀਕਾਂ, ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੋਵੇਂ ਜਟਿਲਤਾ ਅਤੇ ਰੇਂਜ ਵਿੱਚ ਲਗਾਤਾਰ ਵਿਕਸਿਤ ਹੋ ਰਹੀਆਂ ਹਨ। ਸਮੂਹ ਦੇ ਸ਼ਸਤਰ ਵਿੱਚ ਓਪਨ-ਸੋਰਸ ਟੂਲਸ ਦੇ ਨਾਲ ਕਸਟਮ-ਮੇਡ ਮਾਲਵੇਅਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੇ ਪੀੜਤ ਉਦਯੋਗਿਕ ਖੇਤਰਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਮੂਹ ਤੋਂ ਆਉਂਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਅੰਤਰਰਾਸ਼ਟਰੀ ਸੰਸਥਾਵਾਂ, ਵਿੱਤੀ ਸੇਵਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਨ ਵਾਲੀਆਂ ਕੰਪਨੀਆਂ, ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਏਜੰਸੀਆਂ ਦੇ ਨਾਲ-ਨਾਲ ਵਿਦਿਅਕ ਸੰਸਥਾਵਾਂ ਵੀ ਸ਼ਾਮਲ ਹਨ। ਹਾਲਾਂਕਿ, ਉਹਨਾਂ ਦੇ ਤਰਜੀਹੀ ਨਿਸ਼ਾਨੇ ਮਨੁੱਖੀ ਅਤੇ ਨਾਗਰਿਕ ਅਧਿਕਾਰ ਸੰਗਠਨ ਰਹੇ ਹਨ।

ਬਿਸਮਥ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਨੂੰ ਡੀਕੋਏ ਵਜੋਂ ਵਰਤਦਾ ਹੈ

ਆਪਣੀ ਤਾਜ਼ਾ ਮੁਹਿੰਮ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਫਰਾਂਸ ਅਤੇ ਵੀਅਤਨਾਮ ਵਿੱਚ ਸਥਿਤ ਨਿੱਜੀ ਅਤੇ ਸਰਕਾਰੀ ਟੀਚਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ। ਕੇਰਡਾਉਨ ਨਾਮਕ ਇੱਕ ਖਾਸ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਦੀ ਤੈਨਾਤੀ ਦੇ ਕਾਰਨ ਓਪਰੇਸ਼ਨ ਬਿਸਮਥ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਜੋ ਕਿ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਇਸਦੇ ਹਮਲਿਆਂ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਖੋਜਿਆ ਗਿਆ ਹੈ।

ਆਪਣੇ ਟੀਚੇ ਦੇ ਅੰਦਰ ਪੈਰ ਜਮਾਉਣ ਲਈ, ਬਿਸਮਥ ਨੇ ਸੰਸਥਾਵਾਂ ਦੇ ਅੰਦਰ ਖਾਸ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਨਿਰਦੇਸ਼ਿਤ ਉੱਚ-ਵਿਸਤ੍ਰਿਤ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਤਿਆਰ ਕੀਤੀਆਂ। ਹੈਕਰਾਂ ਨੇ ਖਰਾਬ ਈਮੇਲਾਂ ਨੂੰ ਲਾਂਚ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਚੁਣੇ ਗਏ ਵਿਅਕਤੀਆਂ ਬਾਰੇ ਵੱਖ-ਵੱਖ ਡਾਟਾ ਇਕੱਠਾ ਕੀਤਾ। ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਹੈਕਰਾਂ ਨੇ ਵਿਸ਼ਵਾਸ ਪੈਦਾ ਕਰਨ ਅਤੇ ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਵਿਸ਼ਵਾਸਯੋਗ ਕਹਾਣੀ ਬਣਾਉਣ ਲਈ ਆਪਣੇ ਪੀੜਤਾਂ ਨਾਲ ਸੰਚਾਰ ਵੀ ਸਥਾਪਿਤ ਕੀਤਾ। ਹਮਲੇ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਵਾਂ ਵਿੱਚ, ਬਿਸਮਥ ਨੇ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜੋ ਕਿ ਹੈਕਰਾਂ ਨੂੰ ਪੁਰਾਣੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ ਵੇਖਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਨਿਕਾਰਾ DLL ਲੋਡ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਫਾਈਲ ਨੂੰ ਧੋਖਾ ਦੇ ਰਿਹਾ ਹੈ। ਹੈਕਰਾਂ ਦੁਆਰਾ ਦੁਰਵਿਵਹਾਰ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ Microsoft Word 2007, McAffee ਸਕੈਨਰ, Microsoft Defender ਅਤੇ Sysinternals DebugView ਟੂਲ ਹਨ।

ਆਪਣੇ ਅਸਲ ਇਰਾਦਿਆਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ, ਬਿਸਮਥ ਹੈਕਰਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਮੋਨੇਰੋ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਪੇਲੋਡ ਨੂੰ ਚਲਾਇਆ। ਜਦੋਂ ਕਿ ਖਣਿਜ ਇੱਕ ਟਨ ਪੈਸਾ ਪੈਦਾ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਸਨ, ਉਹਨਾਂ ਨੇ ਸਮੂਹ ਦੀਆਂ ਡੇਟਾ-ਕਟਾਈ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਤੋਂ ਧਿਆਨ ਹਟਾਉਣ ਵਿੱਚ ਆਪਣਾ ਉਦੇਸ਼ ਪੂਰਾ ਕੀਤਾ।

ਬਿਸਮਥ ਆਪਣੇ ਟੀਚਿਆਂ ਦਾ ਅਧਿਐਨ ਕਰਦਾ ਹੈ

ਇੱਕ ਵਾਰ ਚੁਣੀ ਗਈ ਮਸ਼ੀਨ ਦੇ ਅੰਦਰ, ਬਿਸਮਥ ਹੈਕਰ ਹਮਲਾ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣਾ ਸਮਾਂ ਲੈਂਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਲਗਭਗ ਇੱਕ ਮਹੀਨੇ ਲਈ ਲੁਕਿਆ ਹੋਇਆ ਦੱਸਿਆ ਗਿਆ ਹੈ, ਫੈਲਣ ਲਈ ਸਭ ਤੋਂ ਉਪਯੋਗੀ ਕੰਪਿਊਟਰਾਂ ਦੀ ਖੋਜ ਅਤੇ ਪਛਾਣ ਕਰ ਰਿਹਾ ਹੈ। ਇਸ ਮਿਆਦ ਦੇ ਦੌਰਾਨ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਡੋਮੇਨ ਅਤੇ ਸਥਾਨਕ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਵੇਰਵੇ, ਡਿਵਾਈਸ ਜਾਣਕਾਰੀ, ਅਤੇ ਸਥਾਨਕ ਸਿਸਟਮਾਂ 'ਤੇ ਉਪਲਬਧ ਉਪਭੋਗਤਾ ਅਧਿਕਾਰਾਂ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਡੇਟਾ ਇਕੱਤਰ ਕੀਤਾ।

ਸਮਝੌਤਾ ਕੀਤੇ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਦੀ ਗਤੀਵਿਧੀ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚੋਂ ਲੰਘੀ, ਸੁਰੱਖਿਆ ਖਾਤਾ ਪ੍ਰਬੰਧਕ (SAM) ਡੇਟਾਬੇਸ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਡੋਮੇਨ ਸਮੂਹ ਅਤੇ ਉਪਭੋਗਤਾ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਸ਼ੁਰੂ ਹੋਈ। ਸ਼ੁਰੂਆਤੀ ਡਾਟਾ ਵਾਢੀ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਵਾਧੂ ਡਿਵਾਈਸਾਂ ਨਾਲ ਜੁੜਨ ਲਈ ਵਿੰਡੋਜ਼ ਮੈਨੇਜਮੈਂਟ ਇੰਸਟਰੂਮੈਂਟੇਸ਼ਨ (WMI) ਦਾ ਲਾਭ ਲੈਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਪ੍ਰਕਿਰਿਆ ਦਾ ਅੰਤਮ ਪੜਾਅ ਹੈਕਰਾਂ ਨੂੰ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਆਰਾ ਇੱਕ ਕੋਬਾਲਟਸਟ੍ਰਾਈਕ ਬੀਕਨ ਸਥਾਪਤ ਕਰਦੇ ਹੋਏ ਵੇਖਦਾ ਹੈ।