ਬਲੈਕਮੂਨ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਭਾਰਤੀ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਇੱਕ ਸਰਗਰਮ ਬਹੁ-ਪੜਾਵੀ ਘੁਸਪੈਠ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਦੀ ਪ੍ਰਕਿਰਤੀ ਜਾਪਦੀ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਲਈ, ਗੁਪਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਪਰਤਦਾਰ ਬੈਕਡੋਰ ਢਾਂਚੇ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ।

ਸ਼ੁਰੂਆਤੀ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਵਜੋਂ ਫਿਸ਼ਿੰਗ

ਇਹ ਮੁਹਿੰਮ ਭਾਰਤ ਦੇ ਆਮਦਨ ਕਰ ਵਿਭਾਗ ਤੋਂ ਅਧਿਕਾਰਤ ਪੱਤਰ ਵਿਹਾਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਇਹ ਸੁਨੇਹੇ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਟੈਕਸ ਜੁਰਮਾਨੇ ਦੇ ਨੋਟਿਸਾਂ ਦੇ ਬਹਾਨੇ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਲੁਭਾਉਂਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਖੁੱਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਆਰਕਾਈਵ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਜੋ ਅੰਤ ਵਿੱਚ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਹਥਿਆਰਾਂ ਨਾਲ ਭਰਿਆ ਪੁਰਾਲੇਖ ਅਤੇ ਗੁਪਤ ਅਮਲ

ਡਿਲੀਵਰ ਕੀਤੀ ਗਈ ZIP ਫਾਈਲ ਵਿੱਚ ਪੰਜ ਹਿੱਸੇ ਹਨ, ਸਾਰੇ ਲੁਕੇ ਹੋਏ ਹਨ ਸਿਵਾਏ ਇੱਕ ਡੀਕੋਏ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਜਿਸਨੂੰ 'ਇੰਸਪੈਕਸ਼ਨ ਡੌਕੂਮੈਂਟ ਰਿਵਿਊ.ਐਕਸੀ' ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਫਾਈਲ ਦੀ ਦੁਰਵਰਤੋਂ ਪੁਰਾਲੇਖ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੀ ਇੱਕ ਖਤਰਨਾਕ ਡਾਇਨਾਮਿਕ-ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਠੱਗ DLL ਡੀਬਗਰ-ਚੋਰੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਅਤੇ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।

ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣਾ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਮਾਸਕਰੇਡਿੰਗ

ਡਾਊਨਲੋਡ ਕੀਤਾ ਸ਼ੈੱਲਕੋਡ ਯੂਜ਼ਰ ਅਕਾਊਂਟ ਕੰਟਰੋਲ (UAC) ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਇੱਕ COM-ਅਧਾਰਿਤ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉੱਚੇ ਅਧਿਕਾਰ ਮਿਲਦੇ ਹਨ। ਫਿਰ ਇਹ ਜਾਇਜ਼ Windows explorer.exe ਪ੍ਰਕਿਰਿਆ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਪ੍ਰੋਸੈਸ ਇਨਵਾਇਰਮੈਂਟ ਬਲਾਕ (PEB) ਨੂੰ ਬਦਲਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦੁਆਰਾ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਜਾਂਦੀ ਹੈ।

ਅਨੁਕੂਲ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਇੱਕ ਅਗਲਾ ਪੜਾਅ, '180.exe,' ਡੋਮੇਨ eaxwwyr[.]cn ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਫਾਈਲ ਇੱਕ 32-ਬਿੱਟ ਇਨੋ ਸੈੱਟਅੱਪ ਇੰਸਟੌਲਰ ਹੈ ਜੋ ਇਸਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਫਲੋ ਨੂੰ ਇਸ ਗੱਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਸੰਕਰਮਿਤ ਹੋਸਟ 'ਤੇ ਖਾਸ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਮੌਜੂਦ ਹੈ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਆਪਣੀਆਂ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਵਿਵਸਥਿਤ ਕਰ ਸਕਦਾ ਹੈ।

ਸੁਰੱਖਿਆ ਸਾਫਟਵੇਅਰ ਚੋਰੀ ਅਤੇ ਬਲੈਕਮੂਨ ਲਿੰਕੇਜ

ਜਦੋਂ ਰੱਖਿਆਤਮਕ ਸੌਫਟਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਡੀਐਕਟੀਵੇਸ਼ਨ ਤੋਂ ਬਚਦਾ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਇਹ ਸੁਰੱਖਿਆ ਇੰਟਰਫੇਸ ਨੂੰ ਨੈਵੀਗੇਟ ਕਰਨ ਲਈ ਮਾਊਸ ਦੀਆਂ ਹਰਕਤਾਂ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ ਅਤੇ ਚੁੱਪਚਾਪ ਬਾਹਰ ਕੱਢਣ ਦੀ ਸੂਚੀ ਵਿੱਚ ਖਤਰਨਾਕ ਹਿੱਸਿਆਂ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਇਹ ਗਤੀਵਿਧੀ ਇੱਕ DLL ਦੁਆਰਾ ਸੁਵਿਧਾਜਨਕ ਹੈ ਜਿਸਦਾ ਮੁਲਾਂਕਣ ਬਲੈਕਮੂਨ (KRBanker) ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦਾ ਇੱਕ ਰੂਪ ਹੈ, ਜੋ ਕਿ ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ 2015 ਵਿੱਚ ਇਸਦੇ ਉਭਰਨ ਤੋਂ ਬਾਅਦ ਦੱਖਣੀ ਕੋਰੀਆ, ਸੰਯੁਕਤ ਰਾਜ ਅਤੇ ਕੈਨੇਡਾ ਵਿੱਚ ਕਾਰੋਬਾਰਾਂ 'ਤੇ ਹਮਲਿਆਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।

ਇੱਕ ਜਾਇਜ਼ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਟੂਲ ਦੀ ਦੁਰਵਰਤੋਂ

ਬਾਹਰ ਕੱਢਣ ਦੀ ਸੂਚੀ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਵਿੱਚੋਂ ਇੱਕ 'Setup.exe' ਹੈ, ਜੋ ਕਿ SyncFutureTec ਕੰਪਨੀ ਲਿਮਟਿਡ ਦੀ ਇੱਕ ਜਾਇਜ਼ ਉਪਯੋਗਤਾ ਹੈ। ਇਹ ਪ੍ਰੋਗਰਾਮ 'mysetup.exe' ਨੂੰ ਛੱਡ ਦਿੰਦਾ ਹੈ, ਜਿਸਨੂੰ SyncFuture TSM (ਟਰਮੀਨਲ ਸੁਰੱਖਿਆ ਪ੍ਰਬੰਧਨ) ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ Nanjing Zhongke Huasai Technology Co., Ltd ਦੁਆਰਾ ਵਿਕਸਤ ਇੱਕ ਵਪਾਰਕ ਰਿਮੋਟ ਨਿਗਰਾਨੀ ਅਤੇ ਪ੍ਰਬੰਧਨ ਹੱਲ ਹੈ। ਹਾਲਾਂਕਿ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਪ੍ਰਸ਼ਾਸਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਇਸਨੂੰ ਇੱਕ ਵਿਆਪਕ ਜਾਸੂਸੀ ਪਲੇਟਫਾਰਮ ਵਜੋਂ ਦੁਬਾਰਾ ਵਰਤਿਆ ਗਿਆ ਹੈ।

ਸਹਾਇਕ ਹਿੱਸੇ ਅਤੇ ਸਿਸਟਮ ਹੇਰਾਫੇਰੀ

ਤੈਨਾਤੀ ਤੋਂ ਬਾਅਦ, ਵਾਤਾਵਰਣ ਨੂੰ ਤਿਆਰ ਕਰਨ ਅਤੇ ਨਿਯੰਤਰਣ ਕਰਨ ਲਈ ਵਾਧੂ ਤੱਤ ਸਥਾਪਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ:

• ਬੈਚ ਸਕ੍ਰਿਪਟਾਂ ਜੋ ਕਸਟਮ ਡਾਇਰੈਕਟਰੀਆਂ ਬਣਾਉਂਦੀਆਂ ਹਨ, ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸੂਚੀਆਂ ਨੂੰ ਸੋਧਦੀਆਂ ਹਨ, ਡੈਸਕਟੌਪ ਅਨੁਮਤੀਆਂ ਨੂੰ ਬਦਲਦੀਆਂ ਹਨ, ਅਤੇ ਸਫਾਈ ਅਤੇ ਬਹਾਲੀ ਦੇ ਕੰਮ ਕਰਦੀਆਂ ਹਨ।
• ਇੱਕ ਆਰਕੈਸਟਰੇਟਰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ, 'MANC.exe', ਜੋ ਸੇਵਾਵਾਂ ਦਾ ਤਾਲਮੇਲ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਵਿਆਪਕ ਗਤੀਵਿਧੀ ਲੌਗਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਕਾਰਜਸ਼ੀਲ ਪ੍ਰਭਾਵ ਅਤੇ ਰਣਨੀਤਕ ਮਹੱਤਵ

ਕਸਟਮ ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ ਇੱਕ ਜਾਇਜ਼ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਟੂਲ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ, ਓਪਰੇਟਰ ਸੰਕਰਮਿਤ ਐਂਡਪੁਆਇੰਟਸ 'ਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ, ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ ਵਿੱਚ ਨਿਰੰਤਰ ਦਿੱਖ, ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਇੱਕ ਕੇਂਦਰੀਕ੍ਰਿਤ ਵਿਧੀ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। DLL ਸਾਈਡਲੋਡਿੰਗ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ, ਵਪਾਰਕ-ਟੂਲ ਰੀਪਰਪੋਜ਼ਿੰਗ, ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਉਪਾਅ, ਅਤੇ ਸੁਰੱਖਿਆ-ਸਾਫਟਵੇਅਰ ਚੋਰੀ ਦੀ ਤਾਲਮੇਲ ਵਾਲੀ ਵਰਤੋਂ ਤਕਨੀਕੀ ਪਰਿਪੱਕਤਾ ਦੀ ਇੱਕ ਉੱਚ ਡਿਗਰੀ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਨਿਰੰਤਰ, ਦਾਣੇਦਾਰ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣ ਦੇ ਸਪੱਸ਼ਟ ਇਰਾਦੇ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।