DeathStalker APT

DeathStalker ਹੈਕਰਾਂ ਦੇ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ (APT) ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਨਾਮ ਹੈ ਜੋ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਉਹ ਕਿਰਾਏਦਾਰਾਂ ਵਜੋਂ ਕੰਮ ਕਰ ਰਹੇ ਹਨ ਜਾਂ ਹੈਕ-ਫੌਰ-ਹਾਇਰ ਸੇਵਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰ ਰਹੇ ਹਨ। ਇਸ ਵਿਸ਼ਲੇਸ਼ਣ ਦਾ ਆਧਾਰ ਗਰੁੱਪ ਨੂੰ ਦਿੱਤੇ ਗਏ ਕਾਰਜਾਂ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਵਿਸ਼ੇਸ਼ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਨ। ਆਮ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਵਿਵਹਾਰ ਦੇ ਉਲਟ, ਡੈਥਸਟਾਲਕਰ ਆਪਣੇ ਪੀੜਤਾਂ ਨੂੰ ਰੈਨਸਮਵੇਅਰ ਨਾਲ ਸੰਕਰਮਿਤ ਨਹੀਂ ਕਰਦਾ ਹੈ ਅਤੇ ਬੈਂਕਿੰਗ ਜਾਂ ਕ੍ਰੈਡਿਟ/ਡੈਬਿਟ ਕਾਰਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਇਹ ਸਪੱਸ਼ਟ ਸੰਕੇਤ ਹੈ ਕਿ ਹੈਕਰ ਆਪਣੇ ਪੀੜਤਾਂ ਤੋਂ ਵਿੱਤੀ ਲਾਭ ਨਹੀਂ ਮੰਗ ਰਹੇ ਹਨ। ਇਸ ਦੀ ਬਜਾਏ, DeathStalker ਪੀੜਤਾਂ ਦੀ ਇੱਕ ਬਹੁਤ ਹੀ ਤੰਗ ਲੜੀ ਤੋਂ ਡੇਟਾ ਦੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਵਿੱਚ ਮਾਹਰ ਜਾਪਦਾ ਹੈ। ਕੁਝ ਇਕਵਚਨ ਅਪਵਾਦਾਂ ਤੋਂ ਇਲਾਵਾ, ਜਿਵੇਂ ਕਿ ਕਿਸੇ ਕੂਟਨੀਤਕ ਹਸਤੀ 'ਤੇ ਹਮਲਾ ਕਰਨਾ, ਇਹ ਸਮੂਹ ਵਿੱਤੀ ਖੇਤਰ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੀਆਂ ਨਿੱਜੀ ਕੰਪਨੀਆਂ, ਜਿਵੇਂ ਕਿ ਸਲਾਹਕਾਰ ਫਰਮਾਂ, ਤਕਨਾਲੋਜੀ ਕੰਪਨੀਆਂ, ਕਾਨੂੰਨ ਫਰਮਾਂ, ਆਦਿ ਦਾ ਲਗਾਤਾਰ ਪਿੱਛਾ ਕਰਦਾ ਰਿਹਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਭੂਗੋਲਿਕ ਫੈਲਾਅ ਲਈ, ਡੈਥਸਟਾਲਕਰ ਦੇ ਮੁੱਖ ਸਾਧਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦੁਆਰਾ ਉਤਪੰਨ ਟ੍ਰੈਫਿਕ ਨੂੰ ਟਰੈਕ ਕਰਕੇ - ਪਾਵਰਸਿੰਗ ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ, ਡੈਥਸਟਾਲਕਰ ਦੇ ਸ਼ਿਕਾਰ ਚੀਨ, ਸਾਈਪ੍ਰਸ, ਇਜ਼ਰਾਈਲ, ਅਰਜਨਟੀਨਾ, ਲੇਬਨਾਨ, ਸਵਿਟਜ਼ਰਲੈਂਡ, ਤੁਰਕੀ, ਤਾਈਵਾਨ, ਯੂਨਾਈਟਿਡ ਕਿੰਗਡਮ ਅਤੇ ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ.

ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਅਤੇ ਡੈੱਡ ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰ

DeathStalker APT ਦੀ ਅਟੈਕ ਚੇਨ 'ਤੇ ਨੇੜਿਓਂ ਨਜ਼ਰ ਮਾਰਨ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਹੈਕਰ ਸਮਝੌਤਾ ਕੀਤੇ ਅਟੈਚਮੈਂਟਾਂ ਵਾਲੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਆਪਣਾ ਮੁੱਖ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਨੱਥੀ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸਪਲੋਰਰ ਦਸਤਾਵੇਜ਼ਾਂ ਜਾਂ ਪੁਰਾਲੇਖਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕਰੇਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਪਰ, ਇਸਦੀ ਬਜਾਏ, ਇੱਕ ਨਿਕਾਰਾ LNK ਫਾਈਲ ਲੈ ਕੇ ਜਾਂਦੀ ਹੈ। ਜਦੋਂ ਸ਼ੱਕੀ ਉਪਭੋਗਤਾ ਉਹਨਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਇੱਕ ਗੁੰਝਲਦਾਰ ਮਲਟੀ-ਸਟੇਜ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਦੇ ਦੌਰਾਨ, ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਚੱਲ ਰਹੀ ਸਾਰੀ ਗਤੀਵਿਧੀ ਨੂੰ ਨਕਾਬ ਪਾਉਣ ਅਤੇ ਸੰਭਵ ਤੌਰ 'ਤੇ ਘੱਟ ਤੋਂ ਘੱਟ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ ਇੱਕ ਡਿਕੋਏ ਦਸਤਾਵੇਜ਼ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅਪ ਫੋਲਡਰ ਵਿੱਚ ਇੱਕ ਸ਼ਾਰਟਕੱਟ ਬਣਾ ਕੇ ਇੱਕ ਸਥਿਰਤਾ ਵਿਧੀ ਸਥਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜੋ ਇੱਕ VBE ਸਟਾਰਟਅਪ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ। ਅਸਲ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਹਮਲੇ ਦੇ ਦੂਜੇ ਪੜਾਅ ਵਿੱਚ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਅਸਲ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C, C2) ਸਰਵਰ ਪਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਡੈੱਡ ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਸੰਚਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਪਾਵਰਸਿੰਗ ਸਿਰਫ ਦੋ ਚੀਜ਼ਾਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ - ਸਿਸਟਮ ਦੇ ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਲਓ, ਉਹਨਾਂ ਨੂੰ ਤੁਰੰਤ C2 ਸਰਵਰ 'ਤੇ ਭੇਜੋ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ C2 ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਕਿਸੇ ਵੀ ਪਾਵਰਸ਼ੇਲ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਉਡੀਕ ਕਰੋ।

ਪਾਵਰਸਿੰਗ ਆਪਣੇ C2 ਪਤੇ 'ਤੇ ਪਹੁੰਚਣ ਦਾ ਅਜੀਬ ਤਰੀਕਾ ਕਾਫ਼ੀ ਵਿਲੱਖਣ ਹੈ। ਹੈਕਰ ਪੋਸਟਾਂ, ਟਿੱਪਣੀਆਂ, ਸਮੀਖਿਆਵਾਂ, ਉਪਭੋਗਤਾ ਪ੍ਰੋਫਾਈਲਾਂ, ਆਦਿ ਦੇ ਰੂਪ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਜਨਤਕ ਸੇਵਾਵਾਂ 'ਤੇ ਸ਼ੁਰੂਆਤੀ ਡੇਟਾ ਵਾਲੀ ਸਤਰ ਛੱਡ ਦਿੰਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress ਅਤੇ Imgur 'ਤੇ ਅਜਿਹੇ ਸੰਦੇਸ਼ਾਂ ਦੀ ਖੋਜ ਕੀਤੀ। ਅਜਿਹੀਆਂ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਜਨਤਕ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਲਗਭਗ ਸ਼ੁਰੂਆਤੀ ਸੰਚਾਰ ਦੀ ਸਫਲਤਾ ਦੀ ਗਾਰੰਟੀ ਦਿੰਦੀ ਹੈ ਜਿਸ ਨਾਲ ਟ੍ਰੈਫਿਕ ਆਮ ਤੌਰ 'ਤੇ ਉਤਪੰਨ ਟ੍ਰੈਫਿਕ ਦੇ ਨਾਲ ਮਿਲ ਜਾਂਦਾ ਹੈ ਅਤੇ ਕੰਪਨੀਆਂ ਨੂੰ ਪਲੇਟਫਾਰਮਾਂ ਨੂੰ ਬਲੈਕਲਿਸਟ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕਰਨ 'ਤੇ ਮੁਸ਼ਕਲ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਸਕਦਾ ਹੈ। ਹੈਕਰਾਂ ਲਈ ਇੱਕ ਕਮਜ਼ੋਰੀ ਹੈ, ਹਾਲਾਂਕਿ, ਉਹਨਾਂ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਹਟਾਉਣਾ ਲਗਭਗ ਅਸੰਭਵ ਹੋ ਜਾਂਦਾ ਹੈ. ਨਤੀਜੇ ਵਜੋਂ, ਖੋਜਕਰਤਾ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਦੇ ਯੋਗ ਸਨ ਕਿ ਪਾਵਰਸਿੰਗ ਗਤੀਵਿਧੀ ਦੇ ਪਹਿਲੇ ਲੱਛਣ 2017 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਏ ਸਨ।

ਪਾਵਰਸਿੰਗ ਅਤੇ ਹੋਰ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਵਿਚਕਾਰ ਕਨੈਕਸ਼ਨ

ਪਾਵਰਿੰਗ ਵਿੱਚ ਕੁਝ ਅਜੀਬ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਨ ਜੋ ਆਮ ਨਹੀਂ ਹਨ। ਇਸ ਲਈ ਜਦੋਂ ਕਿਸੇ ਹੋਰ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਵਿੱਚ ਲਗਭਗ ਇੱਕੋ ਜਿਹੇ ਗੁਣ ਪਾਏ ਜਾਂਦੇ ਹਨ, ਤਾਂ ਇਹ ਇੱਕ ਸੰਭਾਵੀ ਧਾਰਨਾ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਜਾਂ ਤਾਂ ਉਹ ਇੱਕੋ ਹੈਕਰ ਸਮੂਹ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤੇ ਗਏ ਹਨ ਜਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਮਿਲ ਕੇ ਮਿਲ ਕੇ ਕੰਮ ਕਰ ਰਹੇ ਹਨ। ਹਾਲਾਂਕਿ, ਜਦੋਂ ਪਾਵਰਸਿੰਗ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ, ਤਾਂ ਇਸ ਵਿੱਚ ਅਤੇ ਜੈਨਿਕਬ ਅਤੇ ਈਵਿਲਨਮ ਨਾਮਕ ਦੋ ਹੋਰ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਪਾਈਆਂ ਗਈਆਂ ਹਨ ।

ਆਉ ਇਸ ਤੱਥ ਦੇ ਨਾਲ ਸ਼ੁਰੂ ਕਰੀਏ ਕਿ ਸਾਰੇ ਤਿੰਨਾਂ ਨੂੰ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਅਟੈਚਮੈਂਟਾਂ ਵਿੱਚ ਲੁਕੀਆਂ ਹੋਈਆਂ LNK ਫਾਈਲਾਂ ਦੁਆਰਾ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਮੰਨਿਆ, ਇਹ ਇੱਕ ਬਹੁਤ ਹੀ ਆਮ ਚਾਲ ਹੈ, ਪਰ ਇਹ ਤਿੰਨੋਂ ਆਪਣੇ C2 ਪਤੇ ਨੂੰ ਰੈਗੂਲਰ ਸਮੀਕਰਨਾਂ ਅਤੇ ਹਾਰਡਕੋਡ ਵਾਲੇ ਵਾਕਾਂ ਨਾਲ ਡੈੱਡ ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰਾਂ ਰਾਹੀਂ ਵੀ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਅੰਤ ਵਿੱਚ, ਇਹਨਾਂ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਵਿੱਚ ਕੋਡ ਓਵਰਲੈਪ ਹੁੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਵੱਖ-ਵੱਖ ਕੋਡਿੰਗ ਭਾਸ਼ਾਵਾਂ ਵਿੱਚ ਲਿਖੇ ਜਾਣ ਦੇ ਬਾਵਜੂਦ ਕੁਝ ਵੇਰੀਏਬਲਾਂ ਅਤੇ ਫੰਕਸ਼ਨਾਂ ਲਈ ਇੱਕੋ ਜਿਹੇ ਨਾਮ।