ਡੈੱਡਗਲਾਈਫ ਬੈਕਡੋਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ "ਡੈੱਡਗਲਾਈਫ" ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਉੱਨਤ ਬੈਕਡੋਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ, ਜਿਸਦਾ ਪਹਿਲਾਂ ਦਸਤਾਵੇਜ਼ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਵਧੀਆ ਮਾਲਵੇਅਰ ਨੂੰ ਉਹਨਾਂ ਦੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ "ਸਟੀਲਥ ਫਾਲਕਨ" ਨਾਮਕ ਇੱਕ ਧਮਕੀ ਅਦਾਕਾਰ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਜੋ ਚੀਜ਼ ਡੈੱਡਗਲਾਈਫ ਨੂੰ ਵੱਖ ਕਰਦੀ ਹੈ ਉਹ ਹੈ ਇਸਦੀ ਗੈਰ-ਰਵਾਇਤੀ ਆਰਕੀਟੈਕਚਰ, ਜਿਸ ਵਿੱਚ ਦੋ ਸਹਿਯੋਗੀ ਹਿੱਸੇ ਹੁੰਦੇ ਹਨ। ਇੱਕ ਮੂਲ x64 ਬਾਈਨਰੀ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਜਾ ਇੱਕ .NET ਅਸੈਂਬਲੀ ਹੈ। ਆਦਰਸ਼ ਤੋਂ ਇਹ ਵਿਦਾਇਗੀ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿਉਂਕਿ ਜ਼ਿਆਦਾਤਰ ਮਾਲਵੇਅਰ ਆਮ ਤੌਰ 'ਤੇ ਇਸਦੇ ਭਾਗਾਂ ਲਈ ਇੱਕ ਸਿੰਗਲ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਇਸ ਦੋਹਰੀ-ਭਾਸ਼ਾ ਦੀ ਪਹੁੰਚ ਨੂੰ ਅਪਣਾਉਣ ਨਾਲ ਹਰੇਕ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਦੀਆਂ ਵਿਲੱਖਣ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਪੂੰਜੀਕਰਣ ਕਰਦੇ ਹੋਏ, ਇਹਨਾਂ ਦੋ ਹਿੱਸਿਆਂ ਲਈ ਵੱਖਰੇ ਵਿਕਾਸ ਯਤਨਾਂ ਦੀ ਸੰਭਾਵਨਾ ਦਾ ਸੁਝਾਅ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਸ਼ੱਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਕਿ ਵੱਖ-ਵੱਖ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾਵਾਂ ਦੀ ਜਾਣਬੁੱਝ ਕੇ ਵਰਤੋਂ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਯਤਨਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ ਰਣਨੀਤਕ ਚਾਲ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ। ਇਹ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਮਾਲਵੇਅਰ ਨੂੰ ਨੈਵੀਗੇਟ ਕਰਨਾ ਅਤੇ ਡੀਬੱਗ ਕਰਨਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਇਸਦੀ ਖੋਜ ਅਤੇ ਘਟਾਉਣ ਲਈ ਜਟਿਲਤਾ ਦੀ ਇੱਕ ਹੋਰ ਪਰਤ ਸ਼ਾਮਲ ਹੈ।

ਡੈੱਡਗਲਾਈਫ ਬੈਕਡੋਰ ਅਸਾਧਾਰਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ

ਡੇਡਗਲਾਈਫ ਸਟੀਲਥ ਫਾਲਕਨ ਦੇ ਅਸਲੇ ਵਿੱਚ ਨਵੀਨਤਮ ਜੋੜ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜੋ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਇੱਕ ਅਣਦੱਸੀ ਸਰਕਾਰੀ ਹਸਤੀ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਸਨੂੰ ਰਵਾਇਤੀ ਬੈਕਡੋਰਸ ਤੋਂ ਵੱਖ ਕਰਦੇ ਹੋਏ, ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਟੂਲ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਕਮਾਂਡਾਂ ਪੂਰਕ ਮੋਡੀਊਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਆਉਂਦੀਆਂ ਹਨ, Deadglyph ਨੂੰ ਨਵੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਸ਼ੁਰੂ ਕਰਨ, ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਡੇਟਾ ਵਾਢੀ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।

ਇਮਪਲਾਂਟ ਡਿਲੀਵਰੀ ਦਾ ਸਹੀ ਤਰੀਕਾ ਇੱਕ ਰਹੱਸ ਬਣਿਆ ਹੋਇਆ ਹੈ. ਹਾਲਾਂਕਿ, ਇਸਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਸ਼ੁਰੂਆਤੀ ਟਰਿੱਗਰ ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਲੋਡਰ ਹੈ ਜੋ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਤੋਂ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਲੋਡ ਕਰਦਾ ਹੈ। ਇਹ, ਬਦਲੇ ਵਿੱਚ, Deadglyph ਦੇ ਮੂਲ x64 ਕੰਪੋਨੈਂਟ ਨੂੰ ਚਲਾਉਣ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ, ਜਿਸਨੂੰ "ਐਗਜ਼ੀਕਿਊਟਰ" ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਡੈੱਡਗਲਾਈਫ ਇਨਫੈਕਸ਼ਨ ਪੀੜਤਾਂ ਲਈ ਵਿਨਾਸ਼ਕਾਰੀ ਨਤੀਜੇ ਲੈ ਸਕਦੀ ਹੈ

ਐਗਜ਼ੀਕਿਊਟਰ, ਇੱਕ ਵਾਰ ਐਕਟੀਵੇਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇੱਕ .NET ਕੰਪੋਨੈਂਟ ਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ ਜਿਸਨੂੰ "ਆਰਕੈਸਟਰੇਟਰ" ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਆਰਕੈਸਟਰੇਟਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਅਗਲੇ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਵਿੱਚ। ਇਹ ਮਾਲਵੇਅਰ ਰਾਡਾਰ ਦੇ ਹੇਠਾਂ ਰਹਿਣ ਲਈ ਚੋਰੀ ਦੀਆਂ ਚਾਲਾਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਵੀ ਵਰਤਦਾ ਹੈ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਸਵੈ-ਅਨਇੰਸਟੌਲ ਕਰਨ ਦੀ ਯੋਗਤਾ ਵੀ ਰੱਖਦਾ ਹੈ। ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ ਕਮਾਂਡਾਂ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਸ਼੍ਰੇਣੀਆਂ ਵਿੱਚ ਆਉਂਦੀਆਂ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਕਤਾਰ ਵਿੱਚ ਹਨ: ਆਰਕੈਸਟਰੇਟਰ ਟਾਸਕ, ਐਗਜ਼ੀਕਿਊਟਰ ਟਾਸਕ ਅਤੇ ਅੱਪਲੋਡ ਟਾਸਕ।

ਐਗਜ਼ੀਕਿਊਟਰ ਟਾਸਕ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਪ੍ਰਬੰਧਨ ਅਤੇ ਵਾਧੂ ਮਾਡਿਊਲਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਆਰਕੈਸਟਰੇਟਰ ਟਾਸਕ, ਦੂਜੇ ਪਾਸੇ, ਨੈੱਟਵਰਕ ਅਤੇ ਟਾਈਮਰ ਮੋਡੀਊਲ ਦੀ ਸੰਰਚਨਾ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦੇ ਹਨ ਅਤੇ ਲੰਬਿਤ ਕਾਰਜਾਂ ਨੂੰ ਰੱਦ ਕਰ ਸਕਦੇ ਹਨ।

ਕਈ ਐਗਜ਼ੀਕਿਊਟਰ ਕੰਮਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਰਚਨਾ, ਫਾਈਲ ਐਕਸੈਸ, ਅਤੇ ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ ਦਾ ਸੰਗ੍ਰਹਿ ਸ਼ਾਮਲ ਹੈ। ਟਾਈਮਰ ਮੋਡੀਊਲ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਨੈੱਟਵਰਕ ਮੋਡੀਊਲ ਦੇ ਨਾਲ C2 ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ, HTTPS POST ਬੇਨਤੀਆਂ ਰਾਹੀਂ C2 ਸੰਚਾਰ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ। ਅਪਲੋਡ ਟਾਸਕ, ਜਿਵੇਂ ਕਿ ਉਹਨਾਂ ਦੇ ਨਾਮ ਤੋਂ ਭਾਵ ਹੈ, ਕਮਾਂਡਾਂ ਦੇ ਨਤੀਜੇ ਅਤੇ ਕਿਸੇ ਵੀ ਆਈਆਂ ਗਲਤੀਆਂ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਬੈਕਡੋਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ।

Deadglyph ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਅਤੇ ਬੇਤਰਤੀਬੇ ਨੈੱਟਵਰਕ ਪੈਟਰਨਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਸਮੇਤ ਐਂਟੀ-ਡਿਟੈਕਸ਼ਨ ਵਿਧੀਆਂ ਦੀ ਇੱਕ ਲੜੀ ਦਾ ਮਾਣ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਣ ਲਈ ਕੁਝ ਸਥਿਤੀਆਂ ਵਿੱਚ ਸਵੈ-ਅਨਇੰਸਟੌਲ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ।

ਸਟੀਲਥ ਫਾਲਕਨ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਰੁੱਪ ਕਰੀਬ ਇੱਕ ਦਹਾਕੇ ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ

ਸਟੀਲਥ ਫਾਲਕਨ, ਜਿਸਨੂੰ ਫਰੂਟੀਆਰਮਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਸ਼ੁਰੂ ਵਿੱਚ 2016 ਵਿੱਚ ਲੋਕਾਂ ਦੇ ਧਿਆਨ ਵਿੱਚ ਆਇਆ ਜਦੋਂ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਸਪਾਈਵੇਅਰ ਹਮਲਿਆਂ ਵਿੱਚ ਇਸਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਇਹ ਹਮਲੇ ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ (UAE) ਵਿੱਚ ਪੱਤਰਕਾਰਾਂ, ਕਾਰਕੁਨਾਂ ਅਤੇ ਅਸੰਤੁਸ਼ਟਾਂ 'ਤੇ ਕੀਤੇ ਗਏ ਸਨ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾਵਾਂ ਨੇ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਦਾ ਇਸਤੇਮਾਲ ਕੀਤਾ, ਪੀੜਤਾਂ ਨੂੰ ਭਰਮਾਉਣ ਵਾਲੇ ਈਮੇਲਾਂ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੇ ਗਏ ਧੋਖੇ ਵਾਲੇ ਲਿੰਕਾਂ ਨਾਲ ਭਰਮਾਇਆ ਜਿਸ ਨਾਲ ਮੈਕਰੋ-ਲਦੇ ਹੋਏ ਦਸਤਾਵੇਜ਼ ਸਨ। ਇਹ ਦਸਤਾਵੇਜ਼ ਇੱਕ ਕਸਟਮ ਇਮਪਲਾਂਟ ਲਈ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ ਜੋ ਮਨਮਾਨੇ ਹੁਕਮਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਸਮਰੱਥ ਹਨ।

2019 ਵਿੱਚ ਇੱਕ ਅਗਲੀ ਜਾਂਚ ਨੇ ਪ੍ਰੋਜੈਕਟ ਰੇਵੇਨ ਨਾਮਕ ਇੱਕ ਗੁਪਤ ਓਪਰੇਸ਼ਨ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਡਾਰਕਮੈਟਰ ਨਾਮਕ ਇੱਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਫਰਮ ਦੁਆਰਾ ਭਰਤੀ ਕੀਤੇ ਗਏ ਸਾਬਕਾ ਅਮਰੀਕੀ ਖੁਫੀਆ ਪੇਸ਼ੇਵਰਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਉਨ੍ਹਾਂ ਦਾ ਮਿਸ਼ਨ ਅਰਬ ਰਾਜਸ਼ਾਹੀ ਦੀ ਆਲੋਚਨਾ ਕਰਨ ਵਾਲੇ ਵਿਅਕਤੀਆਂ 'ਤੇ ਨਿਗਰਾਨੀ ਕਰਨਾ ਸੀ। ਕਮਾਲ ਦੀ ਗੱਲ ਹੈ ਕਿ, ਸਟੀਲਥ ਫਾਲਕਨ ਅਤੇ ਪ੍ਰੋਜੈਕਟ ਰੇਵੇਨ ਇੱਕ ਅਤੇ ਇੱਕੋ ਜਿਹੇ ਜਾਪਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਉਹਨਾਂ ਦੀਆਂ ਸਾਂਝੀਆਂ ਰਣਨੀਤੀਆਂ ਅਤੇ ਟੀਚਿਆਂ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਤ ਹੈ।

ਸਮੇਂ ਦੇ ਨਾਲ, ਇਸ ਸਮੂਹ ਨੂੰ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਜ਼ੀਰੋ-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ CVE-2018-8611 ਅਤੇ CVE-2019-0797 ਸ਼ਾਮਲ ਹਨ। ਸੂਚਨਾ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਹੈ ਕਿ, 2016 ਅਤੇ 2019 ਦੇ ਵਿਚਕਾਰ, ਇਸ ਜਾਸੂਸੀ ਸਮੂਹ ਨੇ ਕਿਸੇ ਵੀ ਹੋਰ ਸੰਸਥਾ ਦੇ ਮੁਕਾਬਲੇ ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਧੇਰੇ ਵਿਆਪਕ ਵਰਤੋਂ ਕੀਤੀ ਹੈ।

ਇਸ ਸਮੇਂ ਦੇ ਆਸ-ਪਾਸ, ਵਿਰੋਧੀ ਨੂੰ ਵਿਨ32/ਸਟੀਲਥਫਾਲਕਨ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ। ਇਸ ਧਮਕੀ ਨੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਲਈ ਵਿੰਡੋਜ਼ ਬੈਕਗ੍ਰਾਉਂਡ ਇੰਟੈਲੀਜੈਂਟ ਟ੍ਰਾਂਸਫਰ ਸੇਵਾ (BITS) ਦਾ ਲਾਭ ਉਠਾਇਆ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਅੰਤਮ ਬਿੰਦੂਆਂ 'ਤੇ ਪੂਰਾ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕੀਤਾ।