ਕਰਕੀਪ ਬੈਕਡੋਰ
CurKeep Backdoor ਦੇ ਨਾਂ ਨਾਲ ਜਾਣੇ ਜਾਂਦੇ ਕਸਟਮ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਨੂੰ 'Stayin' Alive' ਨਾਮਕ ਹਾਲ ਹੀ ਵਿੱਚ ਬੇਪਰਦ ਸਾਈਬਰ ਅਟੈਕ ਮੁਹਿੰਮ ਵਿੱਚ ਇੱਕ ਮੁੱਖ ਹਿੱਸੇ ਵਜੋਂ ਪਛਾਣਿਆ ਗਿਆ ਹੈ। ਇਹ ਚੱਲ ਰਹੀ ਮੁਹਿੰਮ, ਜੋ ਕਿ 2021 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਈ, ਖਾਸ ਤੌਰ 'ਤੇ ਵੱਖ-ਵੱਖ ਏਸ਼ੀਆਈ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਦੂਰਸੰਚਾਰ ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ 'ਤੇ ਕੇਂਦਰਿਤ ਹੈ। ਇਸ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਹਮਲਾਵਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ 'ਡਿਸਪੋਜ਼ੇਬਲ' ਮਾਲਵੇਅਰ ਦੀ ਵਿਭਿੰਨ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ।
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ ਮੁਹਿੰਮ ਦੇ ਟੀਚਿਆਂ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਾ ਕਜ਼ਾਕਿਸਤਾਨ, ਉਜ਼ਬੇਕਿਸਤਾਨ, ਪਾਕਿਸਤਾਨ ਅਤੇ ਵੀਅਤਨਾਮ ਵਰਗੇ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸਥਿਤ ਹੈ। 'ਸਟੇਇਨ' ਅਲਾਈਵ' ਮੁਹਿੰਮ ਅਜੇ ਵੀ ਸਰਗਰਮ ਹੈ ਅਤੇ ਖ਼ਤਰਾ ਬਣ ਰਹੀ ਹੈ।
ਇਸ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਦਾ ਕਾਰਨ 'ਟੌਡੀਕੈਟ' ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਚੀਨੀ ਜਾਸੂਸੀ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਸਮੂਹ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਸੰਦੇਸ਼ਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ ਜੋ ਧਮਕੀ ਭਰੇ ਅਟੈਚਮੈਂਟ ਰੱਖਦੇ ਹਨ, ਜੋ ਕਿ ਮਾਲਵੇਅਰ ਲੋਡਰ ਅਤੇ ਬੈਕਡੋਰ ਦੀ ਇੱਕ ਕਿਸਮ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ।
ਕਰਕੀਪ ਬੈਕਡੋਰ ਨੂੰ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤੇ ਗਏ ਕਸਟਮ ਟੂਲਸ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਉਹਨਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਖੋਜ ਨੂੰ ਅਸਫਲ ਕਰਨ ਅਤੇ ਵੱਖ-ਵੱਖ ਹਮਲਿਆਂ ਦੇ ਸਬੰਧਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਡਿਸਪੋਜ਼ੇਬਲ ਹੋਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਹਮਲਾ ਇੱਕ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਧਿਆਨ ਨਾਲ ਨਾਜ਼ੁਕ ਸੰਸਥਾਵਾਂ ਦੇ ਅੰਦਰ ਖਾਸ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਨੱਥੀ ZIP ਫਾਈਲ ਖੋਲ੍ਹਣ ਲਈ ਬੇਨਤੀ ਕਰਦਾ ਹੈ। ਪੁਰਾਲੇਖ ਦੇ ਅੰਦਰ, ਇੱਕ ਡਿਜੀਟਲ ਤੌਰ 'ਤੇ ਹਸਤਾਖਰਿਤ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਮੌਜੂਦ ਹੈ, ਜਿਸਨੂੰ ਧਿਆਨ ਨਾਲ ਈਮੇਲ ਦੇ ਸੰਦਰਭ ਨਾਲ ਇਕਸਾਰ ਕਰਨ ਲਈ ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਸ ਵਿੱਚ ਇੱਕ ਨਿਕਾਰਾ DLL ਵੀ ਸ਼ਾਮਲ ਹੈ ਜੋ ਔਡੀਨੇਟ ਦੇ ਡਾਂਟੇ ਡਿਸਕਵਰੀ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ (CVE-2022-23748) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਉੱਤੇ CurKeep ਮਾਲਵੇਅਰ ਨੂੰ ਸਾਈਡ-ਲੋਡ ਕਰਨ ਦੀ ਸਹੂਲਤ ਮਿਲਦੀ ਹੈ।
CurKeep, ਇੱਕ ਹਲਕਾ 10kb ਬੈਕਡੋਰ, ਉਲੰਘਣਾ ਕੀਤੀ ਡਿਵਾਈਸ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਇਹ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਭੇਜਦਾ ਹੈ ਅਤੇ ਫਿਰ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ। ਇਸ ਬੈਕਡੋਰ ਵਿੱਚ ਪੀੜਤਾਂ ਦੀਆਂ ਪ੍ਰੋਗਰਾਮ ਫਾਈਲਾਂ ਤੋਂ ਇੱਕ ਡਾਇਰੈਕਟਰੀ ਸੂਚੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੀ ਸਮਰੱਥਾ ਹੁੰਦੀ ਹੈ, ਕੰਪਿਊਟਰ 'ਤੇ ਸਥਾਪਤ ਸੌਫਟਵੇਅਰ ਦੀ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਇਹ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ ਅਤੇ ਆਉਟਪੁੱਟ ਨੂੰ C2 ਸਰਵਰ ਨੂੰ ਰੀਲੇਅ ਕਰ ਸਕਦਾ ਹੈ, ਨਾਲ ਹੀ ਇਸਦੇ ਓਪਰੇਟਰਾਂ ਦੇ ਨਿਰਦੇਸ਼ਾਂ ਅਨੁਸਾਰ ਫਾਈਲ-ਅਧਾਰਿਤ ਕੰਮ ਵੀ ਕਰ ਸਕਦਾ ਹੈ।
CurKeep ਤੋਂ ਇਲਾਵਾ, ਮੁਹਿੰਮ ਹੋਰ ਟੂਲ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਲੋਡਰਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਸਮਾਨ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਤਰੀਕਿਆਂ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਉਹਨਾਂ ਵਿੱਚ ਧਿਆਨ ਦੇਣ ਯੋਗ CurLu ਲੋਡਰ, CurCore, ਅਤੇ CurLog ਲੋਡਰ ਹਨ, ਹਰੇਕ ਵਿਲੱਖਣ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਅਤੇ ਸੰਕਰਮਣ ਵਿਧੀਆਂ ਨਾਲ ਲੈਸ ਹਨ।
'ਸਟੇਨ' ਲਾਈਵ' ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਓਪਰੇਸ਼ਨ ਖਾਸ ਟੀਚਿਆਂ ਦੇ ਅਨੁਸਾਰ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ
'Stayin' Alive' ਇਹਨਾਂ ਲੋਡਰਾਂ ਅਤੇ ਪੇਲੋਡਾਂ ਦੇ ਵੱਖੋ-ਵੱਖਰੇ ਨਮੂਨਿਆਂ ਅਤੇ ਸੰਸਕਰਣਾਂ ਦੀ ਇੱਕ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ, ਜੋ ਭਾਸ਼ਾ, ਫਾਈਲ ਦੇ ਨਾਮ ਅਤੇ ਥੀਮੈਟਿਕ ਤੱਤਾਂ ਸਮੇਤ ਖਾਸ ਖੇਤਰੀ ਟੀਚਿਆਂ ਦੇ ਅਨੁਕੂਲ ਹੋਣ ਲਈ ਅਕਸਰ ਅਨੁਕੂਲਿਤ ਹੁੰਦੇ ਹਨ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ ਕਲੱਸਟਰ ਸ਼ਾਇਦ ਇੱਕ ਵੱਡੀ ਮੁਹਿੰਮ ਦਾ ਇੱਕ ਹਿੱਸਾ ਹੈ ਜਿਸ ਵਿੱਚ ਵਾਧੂ ਅਣਜਾਣ ਟੂਲ ਅਤੇ ਹਮਲੇ ਦੀਆਂ ਤਕਨੀਕਾਂ ਸ਼ਾਮਲ ਹਨ।
ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੇ ਗਏ ਵਿਲੱਖਣ ਸਾਧਨਾਂ ਦੀ ਵਿਆਪਕ ਸ਼੍ਰੇਣੀ ਅਤੇ ਉਹਨਾਂ ਦੇ ਉੱਚ ਪੱਧਰੀ ਅਨੁਕੂਲਤਾ ਦੇ ਅਧਾਰ ਤੇ, ਇਹ ਸਪੱਸ਼ਟ ਹੈ ਕਿ ਉਹਨਾਂ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਰੱਦ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਸਾਧਨਾਂ ਦੇ ਕੋਡ ਵਿੱਚ ਅੰਤਰ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਉਹ ਸਾਰੇ ਉਸੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸਬੰਧ ਸਥਾਪਤ ਕਰਦੇ ਹਨ, ਜੋ ਪਹਿਲਾਂ ਇੱਕ ਚੀਨੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ, ਟੋਡੀਕੈਟ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।
