ਖੂਨੀ ਰਸਾਇਣ ਦਾ ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆਈ ਰਾਸ਼ਟਰਾਂ (ASEAN) ਨਾਲ ਸਬੰਧਤ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿੱਚ ਨਿਯੁਕਤ ਇੱਕ ਗੁਪਤ ਪਹੁੰਚ ਪੁਆਇੰਟ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ। ਇਹਨਾਂ ਮਾਹਿਰਾਂ ਦੁਆਰਾ 'BLOODALCHEMY' ਕਿਹਾ ਗਿਆ, ਇਹ ਗੁਪਤ ਪ੍ਰਵੇਸ਼ ਮਾਰਗ ਖਾਸ ਤੌਰ 'ਤੇ x86 ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਇਹ REF5961 ਘੁਸਪੈਠ ਰਣਨੀਤੀ ਦਾ ਇੱਕ ਹਿੱਸਾ ਹੈ, ਜਿਸ ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ ਚੀਨ ਨਾਲ ਸਪੱਸ਼ਟ ਸਬੰਧਾਂ ਵਾਲੇ ਇੱਕ ਸਮੂਹ ਦੁਆਰਾ ਅਪਣਾਇਆ ਗਿਆ ਹੈ।
ਇੱਕ ਘੁਸਪੈਠ ਦੀ ਰਣਨੀਤੀ ਇੱਕ ਹਮਲੇ ਨਾਲ ਜੁੜੀਆਂ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਰਣਨੀਤੀਆਂ, ਤਰੀਕਿਆਂ ਅਤੇ ਸਾਧਨਾਂ ਦੇ ਮੇਲ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਅਤੇ ਨਾਲ ਹੀ ਇਹ ਹਮਲੇ ਉਹਨਾਂ ਵਿਆਪਕ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦੇ ਹਨ। ਆਮ ਤੌਰ 'ਤੇ, ਇਹ ਘੁਸਪੈਠ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਇੱਕ ਅਣਪਛਾਤੇ ਇਕੱਲੇ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, REF5961 ਨਾਲ ਜੁੜੇ ਟੂਲਸੈੱਟ ਨੂੰ ਮੰਗੋਲੀਆ ਦੀ ਸਰਕਾਰ ਦੇ ਖਿਲਾਫ ਇੱਕ ਵੱਖਰੇ ਜਾਸੂਸੀ-ਕੇਂਦ੍ਰਿਤ ਹਮਲੇ ਵਿੱਚ ਵੀ ਦੇਖਿਆ ਗਿਆ ਸੀ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਖੂਨ ਦੀ ਰਸਾਇਣਕ ਬੈਕਡੋਰ ਅਜੇ ਵੀ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਹੈ
BLOODALCHEMY REF5961 ਦੇ ਪਿੱਛੇ ਆਪਰੇਟਰਾਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਤਾਜ਼ਾ ਬੈਕਡੋਰ ਹੈ। ਇਸਦੀ ਰਚਨਾ ਵਿੱਚ ਕੁਸ਼ਲ ਮਾਲਵੇਅਰ ਡਿਵੈਲਪਰਾਂ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦੇ ਬਾਵਜੂਦ, ਇਹ ਇੱਕ ਅਜਿਹਾ ਪ੍ਰੋਜੈਕਟ ਜਾਪਦਾ ਹੈ ਜੋ ਅਜੇ ਪੂਰੀ ਤਰ੍ਹਾਂ ਪਰਿਪੱਕ ਨਹੀਂ ਹੈ।
ਹਾਲਾਂਕਿ ਇਹ ਇੱਕ ਕਾਰਜਸ਼ੀਲ ਮਾਲਵੇਅਰ ਤਣਾਅ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ REF5961 ਓਪਰੇਸ਼ਨਾਂ ਤੋਂ ਵੱਖ ਕੀਤੇ ਗਏ ਤਿੰਨ ਹਾਲ ਹੀ ਵਿੱਚ ਪ੍ਰਗਟ ਕੀਤੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਬਣਾਉਂਦਾ ਹੈ, ਇਸ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਕੁਝ ਹੱਦ ਤੱਕ ਸੀਮਤ ਰਹਿੰਦੀਆਂ ਹਨ।
ਹਾਲਾਂਕਿ ਅਣ-ਪ੍ਰਮਾਣਿਤ, ਸੀਮਤ ਗਿਣਤੀ ਵਿੱਚ ਪ੍ਰਭਾਵੀ ਕਮਾਂਡਾਂ ਦੀ ਮੌਜੂਦਗੀ ਇਸ ਸੰਭਾਵਨਾ ਵੱਲ ਸੰਕੇਤ ਕਰਦੀ ਹੈ ਕਿ ਇਹ ਮਾਲਵੇਅਰ ਇੱਕ ਵੱਡੀ ਘੁਸਪੈਠ ਰਣਨੀਤੀ ਜਾਂ ਮਾਲਵੇਅਰ ਸੂਟ ਦਾ ਇੱਕ ਹਿੱਸਾ ਹੋ ਸਕਦਾ ਹੈ ਜੋ ਅਜੇ ਵੀ ਵਿਕਾਸ ਅਧੀਨ ਹੈ, ਜਾਂ ਇਹ ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਵਿਸ਼ੇਸ਼ ਮਾਲਵੇਅਰ ਦਾ ਹਿੱਸਾ ਹੋ ਸਕਦਾ ਹੈ ਜੋ ਕਿਸੇ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਖਾਸ ਰਣਨੀਤਕ ਉਦੇਸ਼.
ਖੂਨੀ ਰਸਾਇਣ ਦੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਵਿੱਚ ਕਈ ਨਿਰੰਤਰਤਾ ਵਿਧੀਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ BLOODALCHEMY ਮਾਲਵੇਅਰ ਵਿੱਚ ਨਾਜ਼ੁਕ ਕਮਾਂਡਾਂ ਦੇ ਇੱਕ ਸੀਮਤ ਸਮੂਹ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਹਨਾਂ ਕਮਾਂਡਾਂ ਨੇ ਮਾਲਵੇਅਰ ਟੂਲਸੈੱਟ ਨੂੰ ਸੰਸ਼ੋਧਿਤ ਕਰਨਾ, ਮਾਲਵੇਅਰ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਚਲਾਉਣਾ, ਇਸਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰਨਾ ਅਤੇ ਸਮਾਪਤ ਕਰਨਾ, ਅਤੇ ਹੋਸਟ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵਰਗੇ ਕਈ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਹੈ।
ਅਣਇੰਸਟੌਲ ਕਮਾਂਡ ਖਾਸ ਤੌਰ 'ਤੇ ਖੁਲਾਸਾ ਕਰਨ ਵਾਲੀ ਸਾਬਤ ਹੋਈ ਕਿਉਂਕਿ ਇਸ ਨੇ ਨਿਸ਼ਾਨਾ ਸਿਸਟਮ 'ਤੇ ਨਿਰੰਤਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ ਕਈ ਤਕਨੀਕਾਂ BLOODALCHEMY ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਇਹ ਬੈਕਡੋਰ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਮਨੋਨੀਤ ਫੋਲਡਰ ਵਿੱਚ ਡੁਪਲੀਕੇਟ ਕਰਕੇ ਆਪਣੀ ਸਥਿਰਤਾ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ 'ਟੈਸਟ'। ਇਸ ਫੋਲਡਰ ਦੇ ਅੰਦਰ 'test.exe' ਲੇਬਲ ਵਾਲਾ ਮਾਲਵੇਅਰ ਬਾਈਨਰੀ ਰਹਿੰਦਾ ਹੈ। ਸਥਿਰਤਾ ਫੋਲਡਰ ਦੀ ਚੋਣ BLOODALCHEMY ਨੂੰ ਦਿੱਤੇ ਗਏ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੇ ਪੱਧਰ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਅਤੇ ਇਹ ਚਾਰ ਸੰਭਾਵਨਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੋ ਸਕਦੀ ਹੈ: ProgramFiles, ProgramFiles(x86), Appdata ਜਾਂ LocalAppData\Programs।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਖੂਨ ਦੀ ਰਸਾਇਣ ਨੇ ਇਸਦੀ ਸਥਿਰਤਾ ਵਿਧੀ ਵਿੱਚ ਬਹੁਪੱਖੀਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ। ਧਿਆਨ ਦੇਣ ਯੋਗ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸਟ੍ਰਿੰਗ ਐਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਅਤਿਰਿਕਤ ਰੁਕਾਵਟ ਤਕਨੀਕਾਂ ਦੁਆਰਾ ਕਲਾਸਿਕ ਡੇਟਾ ਮਾਸਕਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਮਾਲਵੇਅਰ ਇਸਦੀ ਸੰਰਚਨਾ ਦੇ ਅਧਾਰ 'ਤੇ ਵੱਖ-ਵੱਖ ਮੋਡਾਂ ਵਿੱਚ ਵੀ ਕੰਮ ਕਰਦਾ ਹੈ, ਮੁੱਖ ਥਰਿੱਡ ਜਾਂ ਵੱਖਰੇ ਇੱਕ ਦੇ ਅੰਦਰ ਚੱਲਦਾ ਹੈ, ਇੱਕ ਸੇਵਾ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਾਂ ਵਿੰਡੋਜ਼ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਬਾਅਦ ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।
BLOODALCHEMY ਬੈਕਡੋਰ ਇੱਕ ਵੱਡੇ ਮਾਲਵੇਅਰ ਟੂਲਸੈੱਟ ਦਾ ਹਿੱਸਾ ਹੈ
BLOODALCHEMY REF5961 ਘੁਸਪੈਠ ਸੈੱਟ ਦਾ ਹਿੱਸਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਆਪਣੇ ਆਪ ਵਿੱਚ ਚੱਲ ਰਹੇ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੇ ਜਾ ਰਹੇ ਤਿੰਨ ਨਵੇਂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਪਿਛਲੇ ਹਮਲਿਆਂ ਨਾਲ ਜੁੜੇ ਹੋਏ ਹਨ।
REF5961 ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੇ ਨਮੂਨੇ ਇੱਕ ਪਿਛਲੇ ਘੁਸਪੈਠ ਸੈੱਟ, REF2924 ਵਿੱਚ ਵੀ ਪਾਏ ਗਏ ਹਨ, ਜੋ ਕਿ ਮੰਗੋਲੀਆਈ ਵਿਦੇਸ਼ ਮੰਤਰਾਲੇ ਸਮੇਤ ਆਸੀਆਨ ਦੇ ਮੈਂਬਰਾਂ 'ਤੇ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੇ ਗਏ ਮੰਨੇ ਜਾਂਦੇ ਹਨ। REF5961 ਦੇ ਤਿੰਨ ਨਵੇਂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ EAGERBEE, RUDEBIRD, ਅਤੇ DOWNTOWN ਕਿਹਾ ਗਿਆ ਹੈ।
ASEAN ਮੈਂਬਰਾਂ ਦੇ ਵਿਰੁੱਧ ਕਈ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਆਮ ਪੀੜਤ ਵਿਗਿਆਨ, ਟੂਲਿੰਗ, ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਪ੍ਰਵਾਹ ਨੇ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਇਹ ਵਿਸ਼ਵਾਸ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ ਹੈ ਕਿ REF5961 ਦੇ ਸੰਚਾਲਕ ਚੀਨ-ਅਲਾਈਨ ਹਨ।
