ਡੁਰੀਅਨ ਮਾਲਵੇਅਰ
ਕਿਮਸੁਕੀ ਉੱਤਰੀ ਕੋਰੀਆਈ ਧਮਕੀ ਸਮੂਹ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਦੋ ਦੱਖਣੀ ਕੋਰੀਆਈ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਕੰਪਨੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਖਾਸ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਡੁਰੀਅਨ ਨਾਮ ਦੇ ਇੱਕ ਨਵੇਂ ਗੋਲੰਗ-ਆਧਾਰਿਤ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਡੁਰੀਅਨ ਵਿਆਪਕ ਬੈਕਡੋਰ ਸਮਰੱਥਾਵਾਂ ਵਾਲਾ ਇੱਕ ਉੱਨਤ ਮਾਲਵੇਅਰ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਡੇਟਾ ਦੀ ਕਟਾਈ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਡੁਰੀਅਨ ਮਾਲਵੇਅਰ ਦੀ ਸਪੁਰਦਗੀ ਲਈ ਲਾਗ ਵੈਕਟਰ
ਇਹ ਘਟਨਾਵਾਂ ਅਗਸਤ ਅਤੇ ਨਵੰਬਰ 2023 ਵਿੱਚ ਹੋਈਆਂ ਸਨ ਅਤੇ ਸੰਕਰਮਣ ਦੇ ਇੱਕ ਢੰਗ ਵਜੋਂ ਦੱਖਣੀ ਕੋਰੀਆ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਦਾ ਸ਼ੋਸ਼ਣ ਸ਼ਾਮਲ ਸੀ। ਇਸ ਸੌਫਟਵੇਅਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਖਾਸ ਤਰੀਕਾ ਅਜੇ ਤੱਕ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬੇਪਰਦ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ।
ਕੀ ਸਮਝਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਸੌਫਟਵੇਅਰ ਹਮਲਾਵਰ ਦੇ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਜੋ ਫਿਰ ਲਾਗ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਹੋਰ ਮਾਲਵੇਅਰ ਲਈ ਇੱਕ ਇੰਸਟਾਲਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰਭਾਵਿਤ ਹੋਸਟ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਇੱਕ ਲੋਡਰ ਮਾਲਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸਹੂਲਤ ਵੀ ਦਿੰਦਾ ਹੈ ਜੋ ਆਖਿਰਕਾਰ ਡੁਰੀਅਨ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ।
ਦੁਰੀਅਨ ਦੇ ਨਾਲ-ਨਾਲ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਗਿਆ ਵਾਧੂ ਮਾਲਵੇਅਰ
ਹਮਲਾਵਰ ਵਾਧੂ ਮਾਲਵੇਅਰ ਤੈਨਾਤ ਕਰਨ ਲਈ Durian ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ AppleSeed (Kimsuky ਦਾ ਤਰਜੀਹੀ ਬੈਕਡੋਰ), LazyLoad ਨਾਮ ਦਾ ਇੱਕ ਕਸਟਮ ਪ੍ਰੌਕਸੀ ਟੂਲ, ngrok ਅਤੇ Chrome ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਵਰਗੇ ਜਾਇਜ਼ ਟੂਲ ਸ਼ਾਮਲ ਹਨ। ਉਦੇਸ਼ ਬ੍ਰਾਊਜ਼ਰ-ਸਟੋਰ ਕੀਤੇ ਡੇਟਾ ਜਿਵੇਂ ਕਿ ਕੂਕੀਜ਼ ਅਤੇ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨਾ ਸੀ।
ਹਮਲੇ ਵਿੱਚ ਇੱਕ ਦਿਲਚਸਪ ਬਿੰਦੂ LazyLoad ਦੀ ਵਰਤੋਂ ਹੈ, ਜੋ ਪਹਿਲਾਂ L azarus ਸਮੂਹ ਦੇ ਅੰਦਰ ਇੱਕ ਉਪ-ਸਮੂਹ, Andariel ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ। ਇਹ ਇਹਨਾਂ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਵਿਚਕਾਰ ਇੱਕ ਸੰਭਾਵੀ ਸਹਿਯੋਗ ਜਾਂ ਰਣਨੀਤਕ ਅਨੁਕੂਲਤਾ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।
ਕਿਮਸੁਕੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸੀਨ 'ਤੇ ਇੱਕ ਪ੍ਰਮੁੱਖ ਖਿਡਾਰੀ ਬਣਿਆ ਹੋਇਆ ਹੈ
ਕਿਮਸੁਕੀ ਸਮੂਹ, ਜੋ ਕਿ ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਨੂੰ ਵੱਖ-ਵੱਖ ਉਪਨਾਮਾਂ ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ APT43, ਬਲੈਕ ਬੰਸ਼ੀ, ਐਮਰਾਲਡ ਸਲੀਟ (ਪਹਿਲਾਂ ਥੈਲਿਅਮ), ਸਪ੍ਰਿੰਗਟੇਲ, TA427, ਅਤੇ ਵੈਲਵੇਟ ਚੋਲਿਮਾ ਸ਼ਾਮਲ ਹਨ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਉੱਤਰੀ ਕੋਰੀਆ ਦੀ ਚੋਟੀ ਦੀ ਫੌਜੀ ਖੁਫੀਆ ਸੰਸਥਾ, ਰਿਕੋਨਾਈਸੈਂਸ ਜਨਰਲ ਬਿਊਰੋ (ਆਰਜੀਬੀ) ਦੀ ਇੱਕ ਡਿਵੀਜ਼ਨ, 63ਵੇਂ ਖੋਜ ਕੇਂਦਰ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦਾ ਹੈ।
ਯੂਐਸ ਫੈਡਰਲ ਬਿਊਰੋ ਆਫ਼ ਇਨਵੈਸਟੀਗੇਸ਼ਨ (ਐਫਬੀਆਈ) ਅਤੇ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (ਐਨਐਸਏ) ਦੁਆਰਾ ਇੱਕ ਸੰਯੁਕਤ ਚੇਤਾਵਨੀ ਦੇ ਅਨੁਸਾਰ, ਕਿਮਸੁਕੀ ਦਾ ਮੁੱਖ ਟੀਚਾ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਸ਼ਾਸਨ ਨੂੰ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਅਤੇ ਭੂ-ਰਾਜਨੀਤਿਕ ਸੂਝ ਪ੍ਰਦਾਨ ਕਰਨਾ ਹੈ। ਉਹ ਨੀਤੀ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਅਤੇ ਮਾਹਿਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ ਇਸ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਸਫਲ ਸਮਝੌਤਾ ਕਿਮਸੁਕੀ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਵਧੇਰੇ ਭਰੋਸੇਮੰਦ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਕਿਮਸੁਕੀ ਨੂੰ C#-ਅਧਾਰਿਤ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ ਅਤੇ ਟਿਊਟੋਰਿਅਲਆਰਏਟੀ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਜਾਣਕਾਰੀ ਕੁਲੈਕਟਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਡ੍ਰੌਪਬਾਕਸ ਨੂੰ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਪਲੇਟਫਾਰਮ ਵਜੋਂ ਵਰਤਦਾ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਖ਼ਤਰੇ ਦੀ ਖੋਜ ਤੋਂ ਬਚਣਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ, APT43 ਦੀ ਬੇਬੀਸ਼ਾਰਕ ਧਮਕੀ ਮੁਹਿੰਮ ਦੀ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ, ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਸਮੇਤ ਆਮ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਤਕਨੀਕਾਂ ਨੂੰ ਰੁਜ਼ਗਾਰ ਦਿੰਦੀ ਹੈ।
