EndRAT ਮਾਲਵੇਅਰ

ਕੋਨੀ ਧਮਕੀ ਸਮੂਹ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਗਿਆ ਇੱਕ ਸੂਝਵਾਨ ਸਾਈਬਰ ਮੁਹਿੰਮ ਲੰਬੇ ਸਮੇਂ ਦੀ ਘੁਸਪੈਠ, ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਅਤੇ ਲੇਟਰਲ ਪ੍ਰਸਾਰ ਲਈ ਇੱਕ ਗਣਨਾਤਮਕ ਪਹੁੰਚ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਦੇ ਕੇਂਦਰ ਵਿੱਚ EndRAT ਮਾਲਵੇਅਰ ਹੈ, ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਜੋ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਚੁੱਪਚਾਪ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ ਕਿ ਇਸਦੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਲਈ ਭਰੋਸੇਯੋਗ ਸੰਚਾਰ ਚੈਨਲਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।

ਧੋਖੇਬਾਜ਼ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ: ਹਥਿਆਰਬੰਦ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ

ਇਹ ਘੁਸਪੈਠ ਇੱਕ ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤੀ ਗਈ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਪ੍ਰਾਪਤਕਰਤਾ ਨੂੰ ਉੱਤਰੀ ਕੋਰੀਆਈ ਮਨੁੱਖੀ ਅਧਿਕਾਰਾਂ ਦੇ ਲੈਕਚਰਾਰ ਵਜੋਂ ਨਿਯੁਕਤ ਕਰਨ ਵਾਲੇ ਇੱਕ ਅਧਿਕਾਰਤ ਨੋਟਿਸ ਦੇ ਭੇਸ ਵਿੱਚ ਹੁੰਦੀ ਹੈ। ਇਹ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀ ਭਰੋਸੇਯੋਗਤਾ ਅਤੇ ਉਤਸੁਕਤਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।

ਇੱਕ ਵਾਰ ਜਦੋਂ ਪ੍ਰਾਪਤਕਰਤਾ ਨੱਥੀ ZIP ਆਰਕਾਈਵ ਖੋਲ੍ਹਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਖਤਰਨਾਕ Windows ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਚਲਾਈ ਜਾਂਦੀ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ:

• LNK ਫਾਈਲ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਇੱਕ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ।
• ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਨਿਰਧਾਰਤ ਕੰਮਾਂ ਦੁਆਰਾ ਦ੍ਰਿੜਤਾ ਸਥਾਪਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ
• ਇੱਕ ਡੀਕੋਏ ਪੀਡੀਐਫ ਦਸਤਾਵੇਜ਼ ਪੀੜਤ ਦਾ ਧਿਆਨ ਭਟਕਾਉਣ ਲਈ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਦੋਂ ਕਿ ਖਤਰਨਾਕ ਪ੍ਰਕਿਰਿਆਵਾਂ ਪਿਛੋਕੜ ਵਿੱਚ ਚੱਲਦੀਆਂ ਹਨ।

ਇਹ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਤੁਰੰਤ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ EndRAT ਦੀ ਤਾਇਨਾਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

EndRAT ਅਨਲੀਸ਼ਡ: ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟ੍ਰੇਸ਼ਨ

EndRAT (ਜਿਸਨੂੰ EndClient RAT ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ), ਜੋ ਕਿ AutoIt ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਹਮਲੇ ਦੀ ਕਾਰਜਸ਼ੀਲ ਰੀੜ੍ਹ ਦੀ ਹੱਡੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹੋਸਟ ਉੱਤੇ ਪੂਰਾ ਰਿਮੋਟ ਕੰਟਰੋਲ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

EndRAT ਦੀਆਂ ਮੁੱਖ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਰਿਮੋਟ ਸ਼ੈੱਲ ਐਕਸੈਸ
• ਫਾਈਲ ਸਿਸਟਮ ਹੇਰਾਫੇਰੀ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ
• ਪੀੜਤ ਅਤੇ ਹਮਲਾਵਰ ਵਿਚਕਾਰ ਸੁਰੱਖਿਅਤ ਡੇਟਾ ਟ੍ਰਾਂਸਫਰ
• ਸਟੀਲਥ ਵਿਧੀਆਂ ਰਾਹੀਂ ਨਿਰੰਤਰ ਪੈਰ ਜਮਾਉਣਾ

ਇਹ ਮਾਲਵੇਅਰ ਲੰਬੇ ਸਮੇਂ ਲਈ ਲੁਕਿਆ ਰਹਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਅੰਦਰੂਨੀ ਦਸਤਾਵੇਜ਼ਾਂ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਅਤੇ ਐਕਸਟਰੈਕਸ਼ਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਲੇਅਰਡ ਥਰੈਟ ਡਿਪਲਾਇਮੈਂਟ: ਲਚਕੀਲੇਪਣ ਲਈ ਕਈ RATs

ਹੋਰ ਫੋਰੈਂਸਿਕ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ EndRAT ਨੂੰ ਅਲੱਗ-ਥਲੱਗ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ। RftRAT ਅਤੇ RemcosRAT ਨਾਲ ਜੁੜੇ AutoIt-ਅਧਾਰਿਤ ਸਕ੍ਰਿਪਟਾਂ ਸਮੇਤ ਵਾਧੂ ਖਤਰਨਾਕ ਹਿੱਸੇ, ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪੇਸ਼ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਇਹ ਲੇਅਰਡ ਡਿਪਲਾਇਮੈਂਟ ਰਣਨੀਤੀ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ ਨੂੰ ਬੇਲੋੜੇ ਨਿਯੰਤਰਣ ਵਿਧੀਆਂ ਦੇ ਅਧੀਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਦਾ ਪਤਾ ਲੱਗਣ ਜਾਂ ਹਟਾਏ ਜਾਣ 'ਤੇ ਵੀ ਕਾਰਜਸ਼ੀਲ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ। ਕਈ RAT ਪਰਿਵਾਰਾਂ ਦੀ ਮੌਜੂਦਗੀ ਹਮਲਾਵਰ ਦੀ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਰੱਖਿਆਤਮਕ ਉਪਾਵਾਂ ਦੇ ਅਨੁਕੂਲ ਹੋਣ ਦੀ ਯੋਗਤਾ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧਾਉਂਦੀ ਹੈ।

ਹਥਿਆਰ ਬਣਾਉਣ ਵਾਲਾ ਟਰੱਸਟ: ਕਾਕਾਓਟਾਕ ਇੱਕ ਮਾਲਵੇਅਰ ਵੰਡ ਚੈਨਲ ਵਜੋਂ

ਇਸ ਮੁਹਿੰਮ ਦੀ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਵਿਸ਼ੇਸ਼ਤਾ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਸਥਾਪਤ ਕਾਕਾਓਟਾਕ ਡੈਸਕਟੌਪ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਦੁਰਵਰਤੋਂ ਹੈ। ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਹਮਲਾਵਰ ਪੀੜਤਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਦੇ ਅਣਜਾਣੇ ਵਿਤਰਕਾਂ ਵਿੱਚ ਬਦਲ ਦਿੰਦੇ ਹਨ।

ਸਮਝੌਤਾ ਕੀਤੇ ਖਾਤੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਖਤਰਨਾਕ ZIP ਫਾਈਲਾਂ ਨੂੰ ਚੋਣਵੇਂ ਤੌਰ 'ਤੇ ਪੀੜਤ ਦੇ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਸੰਪਰਕਾਂ ਨੂੰ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਫਾਈਲਾਂ ਅਕਸਰ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਸਬੰਧਤ ਸਮੱਗਰੀ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਹੁੰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਆਪਸੀ ਤਾਲਮੇਲ ਅਤੇ ਅਮਲ ਦੀ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ।

ਇਹ ਰਣਨੀਤੀ ਸਥਾਪਿਤ ਵਿਸ਼ਵਾਸ ਸਬੰਧਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ, ਲਾਗ ਦੀ ਸਫਲਤਾ ਦਰ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸੁਧਾਰ ਕਰਦੀ ਹੈ ਅਤੇ ਸਮਾਜਿਕ ਅਤੇ ਪੇਸ਼ੇਵਰ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਨਿਸ਼ਾਨਾਬੱਧ ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ।

ਰਣਨੀਤੀਆਂ ਦਾ ਵਿਕਾਸ: ਮੈਸੇਜਿੰਗ ਦੁਰਵਰਤੋਂ ਤੋਂ ਲੈ ਕੇ ਡਿਵਾਈਸ ਸਾਬੋਟੇਜ ਤੱਕ

ਇਹ ਮੁਹਿੰਮ ਨਵੰਬਰ 2025 ਤੋਂ ਪਹਿਲਾਂ ਦੇਖੀ ਗਈ ਗਤੀਵਿਧੀ 'ਤੇ ਆਧਾਰਿਤ ਹੈ, ਜਦੋਂ ਉਸੇ ਧਮਕੀ ਸਮੂਹ ਨੇ ਖਤਰਨਾਕ ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਕਾਕਾਓਟਾਕ ਸੈਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ। ਉਸ ਕਾਰਵਾਈ ਦੌਰਾਨ, ਹਮਲਾਵਰਾਂ ਨੇ ਪੀੜਤਾਂ ਦੇ ਐਂਡਰਾਇਡ ਡਿਵਾਈਸਾਂ ਦੇ ਰਿਮੋਟ ਵਾਈਪਸ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਚੋਰੀ ਕੀਤੇ ਗੂਗਲ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਵੀ ਲਾਭ ਉਠਾਇਆ।

ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਿਰੰਤਰ ਵਰਤੋਂ ਰਵਾਇਤੀ ਪੁੰਜ-ਵੰਡ ਤਕਨੀਕਾਂ ਦੀ ਬਜਾਏ ਅਕਾਊਂਟ ਹਾਈਜੈਕਿੰਗ ਅਤੇ ਭਰੋਸੇਯੋਗ ਸੰਚਾਰ ਚੈਨਲਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਇੱਕ ਵਿਕਸਤ ਹੋ ਰਹੀ ਰਣਨੀਤੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਰਣਨੀਤਕ ਮੁਲਾਂਕਣ: ਇੱਕ ਸਥਾਈ ਅਤੇ ਅਨੁਕੂਲ ਧਮਕੀ ਮਾਡਲ

ਇਹ ਕਾਰਵਾਈ ਇੱਕ ਬਹੁਤ ਹੀ ਤਾਲਮੇਲ ਵਾਲੇ, ਬਹੁ-ਪੜਾਵੀ ਹਮਲੇ ਦੇ ਢਾਂਚੇ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦੀ ਹੈ ਜੋ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤੇ ਤੋਂ ਕਿਤੇ ਵੱਧ ਫੈਲਿਆ ਹੋਇਆ ਹੈ। ਬਰਛੀ-ਫਿਸ਼ਿੰਗ, ਸਟੀਲਥੀ ਪਰਸਿਸਟੈਂਸ, EndRAT ਰਾਹੀਂ ਉੱਨਤ ਰਿਮੋਟ ਪਹੁੰਚ, ਅਤੇ ਖਾਤਾ-ਅਧਾਰਤ ਪ੍ਰਸਾਰ ਨੂੰ ਜੋੜ ਕੇ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਆਪਣੀ ਘੁਸਪੈਠ ਰਣਨੀਤੀ ਵਿੱਚ ਡੂੰਘਾਈ ਅਤੇ ਚੌੜਾਈ ਦੋਵਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਸੰਪਰਕਾਂ ਨੂੰ ਚੁਣਨਯੋਗ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤੀ ਗਈ ਨਕਲੀ ਸਮੱਗਰੀ ਦੇ ਨਾਲ, ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਅਤੇ ਖੁਫੀਆ ਜਾਣਕਾਰੀ-ਅਧਾਰਤ ਪਹੁੰਚ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਕੇਂਦਰੀ ਨਿਯੰਤਰਣ ਵਿਧੀ ਵਜੋਂ EndRAT 'ਤੇ ਨਿਰਭਰਤਾ ਆਧੁਨਿਕ ਸਾਈਬਰ ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਾਧਨ ਵਜੋਂ ਇਸਦੀ ਭੂਮਿਕਾ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ, ਭਰੋਸੇਮੰਦ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਨਿਰੰਤਰ ਪਹੁੰਚ, ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਸਕੇਲੇਬਲ ਇਨਫੈਕਸ਼ਨ ਚੇਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ।