DEEPDATA ਮਾਲਵੇਅਰ

ਉਰਫ ਬ੍ਰੇਜ਼ਨਬੈਂਬੂ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰ ਰਹੇ ਇੱਕ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੇ ਵੀਪੀਐਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਲਈ ਵਿੰਡੋਜ਼ ਲਈ ਫੋਰਟੀਨੇਟ ਦੇ ਫੋਰਟੀਕਲਾਈਂਟ ਵਿੱਚ ਇੱਕ ਅਣਪਛਾਤੀ ਕਮਜ਼ੋਰੀ ਦਾ ਲਾਭ ਉਠਾਇਆ ਹੈ। ਇਹ ਗਤੀਵਿਧੀ ਇੱਕ ਸੂਝਵਾਨ ਮਾਡਿਊਲਰ ਫਰੇਮਵਰਕ ਦਾ ਹਿੱਸਾ ਹੈ ਜਿਸਨੂੰ DEEPDATA ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜੁਲਾਈ 2024 ਵਿੱਚ ਜ਼ੀਰੋ-ਡੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਡਿਸਕਲੋਜ਼ਰ ਕਮਜ਼ੋਰੀ ਦੇ ਸ਼ੋਸ਼ਣ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਉਨ੍ਹਾਂ ਨੇ DEEPDATA, DEEPPOST, ਅਤੇ LightSpy ਦੇ ਵਿਕਾਸ ਦਾ ਕਾਰਨ ਬ੍ਰੇਜ਼ਨਬੈਂਬੂ ਨੂੰ ਦਿੱਤਾ ਹੈ।

DEEPDATA ਮਾਲਵੇਅਰ ਕੀ ਹੈ

DEEPDATA ਇੱਕ ਮਾਡਿਊਲਰ ਪੋਸਟ-ਐਪਲੋਇਟੇਸ਼ਨ ਟੂਲ ਹੈ ਜੋ ਵਿੰਡੋਜ਼ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਤੋਂ ਵਿਆਪਕ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਹ ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ ਧਿਆਨ ਵਿਚ ਲਿਆਂਦਾ ਗਿਆ ਸੀ ਜਦੋਂ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਵਿੰਡੋਜ਼-ਅਧਾਰਤ ਨਿਗਰਾਨੀ ਫਰੇਮਵਰਕ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ, ਇਸ ਨੂੰ ਚੀਨ-ਸਬੰਧਤ APT41 ਧਮਕੀ ਅਦਾਕਾਰ ਨਾਲ ਜੋੜਿਆ। DEEPDATA ਨੂੰ WhatsApp, Telegram, Signal, WeChat, LINE, QQ, ਅਤੇ Skype ਦੇ ਨਾਲ-ਨਾਲ Microsoft Outlook, DingDing, Feishu, KeePass, ਐਪਲੀਕੇਸ਼ਨ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਬ੍ਰਾਊਜ਼ਰ ਡਾਟਾ, Wi-Fi ਨੈੱਟਵਰਕਾਂ ਤੋਂ ਡਾਟਾ ਕੱਢਣ ਲਈ ਵਰਤਿਆ ਗਿਆ ਹੈ। ਇੰਸਟਾਲ ਸਾਫਟਵੇਅਰ.

DEEPDATA ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਇੱਕ ਡਾਇਨਾਮਿਕ-ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ (DLL) ਲੋਡਰ ਹੈ ਜਿਸਨੂੰ data.dll ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ frame.dll ਨਾਮਕ ਇੱਕ ਆਰਕੈਸਟਰੇਟਰ ਮੋਡੀਊਲ ਰਾਹੀਂ 12 ਵੱਖਰੇ ਪਲੱਗਇਨਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਪਲੱਗਇਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨਵੀਂ ਪਛਾਣ ਕੀਤੀ ਗਈ FortiClient DLL ਹੈ, ਜੋ VPN ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਇਹ ਪਲੱਗਇਨ ਵਿੰਡੋਜ਼ ਲਈ ਫੋਰਟੀਨੇਟ ਵੀਪੀਐਨ ਕਲਾਇੰਟ ਵਿੱਚ ਇੱਕ ਅਣਪੈਚਡ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੀ ਹੈ। ਇਸ ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, ਇਹ ਗਾਹਕ ਦੀ ਪ੍ਰਕਿਰਿਆ ਦੀ ਮੈਮੋਰੀ ਤੋਂ ਸਿੱਧੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਹੋਰ ਨੁਕਸਾਨਦੇਹ ਧਮਕੀਆਂ ਬ੍ਰੇਜ਼ਨਬੈਂਬੂ ਆਰਸਨਲ ਦਾ ਹਿੱਸਾ

2022 ਵਿੱਚ LightSpy ਸਪਾਈਵੇਅਰ ਇਮਪਲਾਂਟ ਬਣਾਉਣ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਨੇ ਲਗਾਤਾਰ ਸੰਚਾਰ ਪਲੇਟਫਾਰਮਾਂ ਨੂੰ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ, ਚੋਰੀ ਅਤੇ ਨਿਰੰਤਰ ਪਹੁੰਚ ਨੂੰ ਤਰਜੀਹ ਦੇਣ 'ਤੇ ਧਿਆਨ ਦਿੱਤਾ ਹੈ। LightSpy ਦਾ ਵਿੰਡੋਜ਼ ਸੰਸਕਰਣ ਇਸਦੇ ਆਰਕੀਟੈਕਚਰ ਵਿੱਚ ਦੂਜੇ OS ਰੂਪਾਂ ਤੋਂ ਵੱਖਰਾ ਹੈ। ਇਹ ਇੱਕ ਇੰਸਟੌਲਰ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਮੈਮੋਰੀ ਵਿੱਚ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਲੋਡ ਕਰਦਾ ਹੈ। ਇਹ ਸ਼ੈੱਲਕੋਡ ਫਿਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਤੋਂ ਆਰਕੈਸਟਰੇਟਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਡੀਕੋਡ ਕਰਦਾ ਹੈ। ਆਰਕੈਸਟਰੇਟਰ ਨੂੰ BH_A006 ਨਾਮਕ ਇੱਕ ਲੋਡਰ ਦੁਆਰਾ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਪਹਿਲਾਂ ਰੂਸੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਸ਼ੱਕੀ ਚੀਨੀ ਧਮਕੀ ਸਮੂਹ 'ਸਪੇਸ ਪਾਈਰੇਟਸ' ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।

ਬ੍ਰੇਜ਼ਨਬੈਂਬੂ ਦੇ ਮਾਲਵੇਅਰ ਆਰਸਨਲ ਵਿੱਚ ਇੱਕ ਹੋਰ ਟੂਲ DEEPPOST ਹੈ, ਇੱਕ ਪੋਸਟ-ਸ਼ੋਸ਼ਣ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਟੂਲ ਜੋ ਇੱਕ ਰਿਮੋਟ ਐਂਡਪੁਆਇੰਟ ਤੇ ਫਾਈਲਾਂ ਭੇਜਣ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਕੱਠੇ, DEEPDATA ਅਤੇ DEEPPOST, LightSpy, ਜੋ ਕਿ ਹੁਣ macOS, iOS, ਅਤੇ Windows ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਦੇ ਨਾਲ ਪੁਰਾਣੇ ਕੰਮ 'ਤੇ ਨਿਰਮਾਣ ਕਰਦੇ ਹੋਏ, ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਦੀਆਂ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧਾਉਂਦੇ ਹਨ।

LightSpy ਅਤੇ DEEPDATA ਵਿਚਕਾਰ ਮਹੱਤਵਪੂਰਨ ਕੋਡ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਮਾਨਤਾਵਾਂ ਹਨ, ਜੋ ਇਹ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ ਦੋਵੇਂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕੋ ਨਿੱਜੀ ਉਦਯੋਗ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤੇ ਗਏ ਹਨ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸਰਕਾਰੀ ਵਰਤੋਂ ਲਈ ਹੈਕਿੰਗ ਟੂਲ ਬਣਾਉਣ ਲਈ ਇਕਰਾਰਨਾਮੇ ਕੀਤੇ ਗਏ ਹਨ।