EarlyRat ਮਾਲਵੇਅਰ

ਸਾਈਬਰਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਐਂਡਰੀਏਲ ਨੇ ਅਰਲੀਰਟ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਖੋਜੇ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ ਹਥਿਆਰਾਂ ਦਾ ਵਿਸਥਾਰ ਕੀਤਾ ਹੈ। ਪਹਿਲਾਂ ਅਣਜਾਣ ਖਤਰਨਾਕ ਟੂਲ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਲਗਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਜੋੜ ਐਂਡਰੀਏਲ ਦੇ ਔਜ਼ਾਰਾਂ ਅਤੇ ਰਣਨੀਤੀਆਂ ਦੀ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਅੱਗੇ ਵਧਾਉਂਦਾ ਹੈ।

ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ, Andariel ਸਾਈਬਰ ਅਪਰਾਧੀ Log4j ਸ਼ੋਸ਼ਣ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ, Log4j ਲੌਗਿੰਗ ਲਾਇਬ੍ਰੇਰੀ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ। ਇਸ ਸ਼ੋਸ਼ਣ ਦੁਆਰਾ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਵਾਧੂ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ।

Andariel ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਹੋਰ ਹੈਕਰ ਸਮੂਹਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ

ਐਂਡਰੀਏਲ, ਜਿਸ ਨੂੰ ਉਪਨਾਮ ਸਾਈਲੈਂਟ ਚੋਲਿਮਾ ਅਤੇ ਸਟੋਨਫਲਾਈ ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਲਾਜ਼ਰ ਸਮੂਹ ਦੀ ਛਤਰੀ ਹੇਠ ਏਪੀਟੀ 38 (ਉਰਫ਼ ਬਲੂਨੋਰੋਫ) ਵਰਗੇ ਹੋਰ ਅਧੀਨ ਤੱਤਾਂ ਦੇ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਉੱਤਰੀ ਕੋਰੀਆ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਪ੍ਰਮੁੱਖ ਹੈਕਿੰਗ ਯੂਨਿਟ ਲੈਬ 110 ਨਾਲ ਵੀ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।

ਐਂਡਰੀਏਲ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਵਿੱਚ ਵਿਦੇਸ਼ੀ ਸਰਕਾਰ ਅਤੇ ਰਣਨੀਤਕ ਹਿੱਤਾਂ ਦੀਆਂ ਫੌਜੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਜਾਸੂਸੀ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਮੂਹ ਦੇਸ਼ ਲਈ ਪੂਰਕ ਆਮਦਨ ਪੈਦਾ ਕਰਨ ਲਈ ਸਾਈਬਰ ਅਪਰਾਧ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜੋ ਕਿ ਭਾਰੀ ਪਾਬੰਦੀਆਂ ਅਧੀਨ ਹੈ।

ਐਂਡਰੀਏਲ ਦੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਕਈ ਸਾਈਬਰ ਹਥਿਆਰ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਵਿੱਚ ਬਦਨਾਮ ਮੌਈ ਰੈਨਸਮਵੇਅਰ ਵੀ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਮੂਹ ਬਹੁਤ ਸਾਰੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨਾਂ ਅਤੇ ਬੈਕਡੋਰਸ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਡੀਟਰੈਕ (ਜਿਸ ਨੂੰ ਵੈਲੇਫੋਰ ਅਤੇ ਪ੍ਰੀਫਟ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ), ਨੂਕਸਪੇਡ (ਉਰਫ਼ ਮੈਨੁਸਕ੍ਰਿਪਟ), ਮੈਜਿਕਰਾਟ ਅਤੇ ਯਾਮਾਬੋਟ ।

NukeSped, ਖਾਸ ਤੌਰ 'ਤੇ, ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਰੱਖਦਾ ਹੈ ਜੋ ਇਸਨੂੰ ਪ੍ਰਕਿਰਿਆਵਾਂ ਬਣਾਉਣ ਅਤੇ ਖਤਮ ਕਰਨ ਦੇ ਨਾਲ-ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ ਫਾਈਲਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, NukeSped ਦੀ ਵਰਤੋਂ TraderTraitor ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਮੁਹਿੰਮ ਨਾਲ ਓਵਰਲੈਪ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨੂੰ US ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (CISA) ਦੁਆਰਾ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ।

Unpatched VMware Horizon ਸਰਵਰਾਂ ਵਿੱਚ Log4Shell ਕਮਜ਼ੋਰੀ ਦਾ Andariel ਦਾ ਸ਼ੋਸ਼ਣ ਪਹਿਲਾਂ AhnLab ਸੁਰੱਖਿਆ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਸੈਂਟਰ (ASEC) ਅਤੇ Cisco Talos ਦੁਆਰਾ 2022 ਵਿੱਚ ਦਰਜ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਵਿੱਚ ਉਭਰ ਰਹੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣ ਲਈ ਸਮੂਹ ਦੇ ਚੱਲ ਰਹੇ ਯਤਨਾਂ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਗਿਆ ਸੀ।

EarlyRat ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੀ ਹੈ ਅਤੇ ਉਲੰਘਣਾ ਕੀਤੇ ਯੰਤਰਾਂ 'ਤੇ ਘੁਸਪੈਠ ਕਰਨ ਵਾਲੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦੀ ਹੈ

EarlyRat ਮਾਲਵੇਅਰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਫੈਲਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਧੋਖੇਬਾਜ਼ Microsoft Word ਦਸਤਾਵੇਜ਼ ਹੁੰਦੇ ਹਨ। ਇਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਖੋਲ੍ਹਣ 'ਤੇ, ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਮੈਕਰੋਜ਼ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਧਮਕੀ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ VBA ਕੋਡ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ।

EarlyRat ਨੂੰ ਇੱਕ ਸਿੱਧੇ ਪਰ ਸੀਮਤ ਬੈਕਡੋਰ ਵਜੋਂ ਦਰਸਾਇਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨੂੰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਸ ਵਿਚ ਆਰਬਿਟਰੇਰੀ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਵੱਖ-ਵੱਖ ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਲਿਖੇ ਜਾਣ ਦੇ ਬਾਵਜੂਦ, EarlyRat ਅਤੇ MagicRAT ਵਿਚਕਾਰ ਮਹੱਤਵਪੂਰਨ ਸਮਾਨਤਾਵਾਂ ਹਨ। EarlyRat PureBasic ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ MagicRAT Qt ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਪਿਛਲੇ ਸਾਲ ਦੇਖੀ ਗਈ Log4j Log4Shell ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੇ ਹਮਲਿਆਂ ਦੇ ਸੰਦਰਭ ਵਿੱਚ, ਇੱਕ ਪਹਿਲਾਂ ਅਣਦੇਖੀ ਰਣਨੀਤੀ ਹੁਣ ਸਾਹਮਣੇ ਆਈ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੂੰ ਆਪਣੇ ਟੀਚਿਆਂ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਯੰਤਰਾਂ ਦਾ ਹੋਰ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ 3Proxy , ForkDump, NTDSDumpEx, Powerline, ਅਤੇ PuTTY ਵਰਗੇ ਜਾਇਜ਼ ਆਫ-ਦੀ-ਸ਼ੈਲਫ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹ ਪਹੁੰਚ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਲਈ ਮੌਜੂਦਾ ਸਾਧਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਹਮਲਿਆਂ ਦੇ ਸੰਭਾਵੀ ਪ੍ਰਭਾਵ ਅਤੇ ਸੂਝ-ਬੂਝ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।