CloudSorcerer ਬੈਕਡੋਰ
ਇੱਕ ਨਵੀਂ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ ਈਸਟਵਿੰਡ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਰੂਸੀ ਸਰਕਾਰ ਅਤੇ ਆਈਟੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਬੈਕਡੋਰ ਅਤੇ ਟਰੋਜਨ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
ਇਹ ਹਮਲਾ ਕ੍ਰਮ ਆਮ ਤੌਰ 'ਤੇ RAR ਪੁਰਾਲੇਖ ਅਟੈਚਮੈਂਟਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਹੁੰਦੀ ਹੈ। ਜਦੋਂ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਫਾਈਲ ਕਾਰਵਾਈਆਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ ਜੋ ਆਖਰਕਾਰ ਮਾਲਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਗਰੇਵਾਪਾਚਾ, CloudSorcerer ਬੈਕਡੋਰ ਦਾ ਇੱਕ ਅੱਪਡੇਟ ਕੀਤਾ ਸੰਸਕਰਣ, ਅਤੇ PlugY ਨਾਮ ਦਾ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਅਗਿਆਤ ਇਮਪਲਾਂਟ ਸ਼ਾਮਲ ਹੈ। PlugY ਨੂੰ CloudSorcerer ਬੈਕਡੋਰ ਰਾਹੀਂ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਵਿੱਚ ਕਮਾਂਡਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਹੈ, ਅਤੇ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਪ੍ਰੋਟੋਕੋਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰ ਸਕਦਾ ਹੈ।
CloudSorcerer ਇੱਕ ਗੁੰਝਲਦਾਰ ਬੈਕਡੋਰ ਖ਼ਤਰਾ ਹੈ
CloudSorcerer ਇੱਕ ਉੱਨਤ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਟੂਲ ਹੈ ਜੋ ਮਾਈਕਰੋਸਾਫਟ ਗ੍ਰਾਫ, ਯਾਂਡੇਕਸ ਕਲਾਉਡ, ਅਤੇ ਡ੍ਰੌਪਬਾਕਸ ਦੁਆਰਾ ਗੁਪਤ ਨਿਗਰਾਨੀ, ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਬਾਹਰ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਆਪਣੇ C2 ਸਰਵਰਾਂ ਦੇ ਤੌਰ 'ਤੇ ਕਲਾਉਡ ਸਰੋਤਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, API ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨਾਂ ਰਾਹੀਂ ਉਹਨਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ, ਇਹ GitHub ਨੂੰ ਇਸਦੇ ਪ੍ਰਾਇਮਰੀ C2 ਸਰਵਰ ਵਜੋਂ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ।
ਨਿਸ਼ਾਨਾ ਘੁਸਪੈਠ ਦਾ ਸਹੀ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਰਹਿੰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਇੱਕ ਸੀ-ਅਧਾਰਿਤ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਬਾਈਨਰੀ ਤੈਨਾਤ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਬੈਕਡੋਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਬਾਈਨਰੀ C2 ਸੰਚਾਰ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ ਜਾਂ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਜਿਵੇਂ ਕਿ mspaint.exe, msiexec.exe, ਜਾਂ ਸਟ੍ਰਿੰਗ 'ਬ੍ਰਾਊਜ਼ਰ' ਵਾਲੀ ਕੋਈ ਵੀ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦੀ ਹੈ।
CloudSorcerer ਦਾ ਸੂਝਵਾਨ ਡਿਜ਼ਾਇਨ ਇਸਨੂੰ ਚਲਾਉਣ ਵਾਲੀ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅਧਾਰ ਤੇ ਇਸਦੇ ਵਿਵਹਾਰ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਅਤੇ ਵਿੰਡੋਜ਼ ਪਾਈਪਾਂ ਦੁਆਰਾ ਗੁੰਝਲਦਾਰ ਅੰਤਰ-ਪ੍ਰਕਿਰਿਆ ਸੰਚਾਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਫਾਈਲਾਂ ਅਤੇ ਫੋਲਡਰਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਕਰਨ ਅਤੇ ਵਾਧੂ ਪੇਲੋਡ ਲਗਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
C2 ਮੋਡੀਊਲ ਇੱਕ GitHub ਪੰਨੇ ਨਾਲ ਜੁੜਦਾ ਹੈ ਜੋ ਇੱਕ ਡੈੱਡ ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ ਏਨਕੋਡ ਕੀਤੀ ਹੈਕਸ ਸਟ੍ਰਿੰਗ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਜੋ Microsoft ਗ੍ਰਾਫ ਜਾਂ Yandex Cloud 'ਤੇ ਅਸਲ ਸਰਵਰ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ। ਵਿਕਲਪਕ ਤੌਰ 'ਤੇ, CloudSorcerer hxxps://my.mail.ru/, ਇੱਕ ਰੂਸੀ ਕਲਾਉਡ-ਅਧਾਰਿਤ ਫੋਟੋ ਹੋਸਟਿੰਗ ਸੇਵਾ ਤੋਂ ਵੀ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ, ਜਿੱਥੇ ਐਲਬਮ ਦੇ ਨਾਮ ਵਿੱਚ ਉਹੀ ਹੈਕਸ ਸਤਰ ਸ਼ਾਮਲ ਹੈ।
ਸਾਈਬਰ ਅਪਰਾਧੀ ਅਗਲੇ ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ CloudSorcerer ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ
ਸ਼ੁਰੂਆਤੀ ਲਾਗ ਵਿਧੀ ਵਿੱਚ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ LNK ਫਾਈਲ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜੋ ਇੱਕ ਧੋਖੇਬਾਜ਼ DLL ਨੂੰ ਚਲਾਉਣ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ DLL ਡ੍ਰੌਪਬਾਕਸ ਨੂੰ ਇੱਕ ਸੰਚਾਰ ਚੈਨਲ ਦੇ ਤੌਰ 'ਤੇ ਖੋਜ ਕਰਨ ਅਤੇ ਵਾਧੂ ਪੇਲੋਡ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਵਰਤਦਾ ਹੈ।
ਤੈਨਾਤ ਮਾਲਵੇਅਰ ਤਣਾਅ ਵਿੱਚੋਂ ਇੱਕ ਹੈ GrewApacha, ਇੱਕ ਬੈਕਡੋਰ ਜੋ ਪਹਿਲਾਂ ਚੀਨ ਨਾਲ ਜੁੜੇ APT31 ਸਮੂਹ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ। DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਆਰਾ ਵੀ ਅਰੰਭ ਕੀਤਾ ਗਿਆ, ਇਹ ਅਸਲ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਨ ਵਾਲੀ ਬੇਸ 64-ਏਨਕੋਡਡ ਸਤਰ ਨੂੰ ਸਟੋਰ ਕਰਨ ਲਈ ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ GitHub ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਇੱਕ ਡੈੱਡ ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰ ਵਜੋਂ ਵਰਤਦਾ ਹੈ।
ਹਮਲਿਆਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਦੂਸਰਾ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਪਲੱਗਵਾਈ ਹੈ, ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲਾ ਬੈਕਡੋਰ ਜੋ TCP, UDP, ਜਾਂ ਨਾਮਿਤ ਪਾਈਪਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਪ੍ਰਬੰਧਨ ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ ਅਤੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਡਿਵਾਈਸ ਸਕ੍ਰੀਨ, ਲੌਗ ਕੀਸਟ੍ਰੋਕ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਆਉਂਦਾ ਹੈ। .
ਪਲੱਗਐਕਸ ਦੇ ਇੱਕ ਸਰੋਤ ਕੋਡ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ DRBControl (ਉਰਫ਼ ਕਲੈਂਬਲਿੰਗ) ਨਾਮਕ ਇੱਕ ਜਾਣੇ-ਪਛਾਣੇ ਬੈਕਡੋਰ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜਿਸਦਾ ਕਾਰਨ APT27 ਅਤੇ APT41 ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਗਏ ਚੀਨ-ਗਠਜੋੜ ਦੇ ਖਤਰੇ ਵਾਲੇ ਕਲੱਸਟਰਾਂ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਈਸਟਵਿੰਡ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਹਮਲਾਵਰਾਂ ਨੇ ਪ੍ਰਸਿੱਧ ਨੈੱਟਵਰਕ ਸੇਵਾਵਾਂ ਜਿਵੇਂ ਕਿ ਕਮਾਂਡ ਸਰਵਰ, ਜਿਵੇਂ ਕਿ ਗਿਟਹਬ, ਡ੍ਰੌਪਬਾਕਸ, ਕੁਓਰਾ, ਰਸ਼ੀਅਨ ਲਾਈਵਜੌਰਨਾ ਅਤੇ ਯਾਂਡੇਕਸ ਡਿਸਕ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
