forceCopy Stealer

ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਹੈਕਿੰਗ ਸਮੂਹ ਕਿਮਸੁਕੀ ਨੂੰ ਫੋਰਸਕਾਪੀ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਹਮਲੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਇੱਕ ਭੇਸ ਵਾਲੀ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਜਾਂ PDF ਦਸਤਾਵੇਜ਼ ਵਾਂਗ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ। ਅਣਜਾਣੇ ਵਿੱਚ ਫਾਈਲ ਖੋਲ੍ਹਣ ਵਾਲੇ ਬੇਸ਼ੱਕ ਪ੍ਰਾਪਤਕਰਤਾ ਇੱਕ ਚੇਨ ਰਿਐਕਸ਼ਨ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ ਜੋ ਖਤਰਨਾਕ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ।

ਧਮਕੀ ਭਰੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਜਾਇਜ਼ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਉਪਭੋਗਤਾ ਹਾਨੀਕਾਰਕ ਅਟੈਚਮੈਂਟ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਨਫੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ PowerShell ਜਾਂ 'mshta.exe' ਨੂੰ ਚਲਾ ਕੇ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ HTML ਐਪਲੀਕੇਸ਼ਨ (HTA) ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਉਪਯੋਗਤਾ ਹੈ। ਇਹ ਤਕਨੀਕ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਕਿਸੇ ਬਾਹਰੀ ਸਰੋਤ ਤੋਂ ਵਾਧੂ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਤੈਨਾਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਟ੍ਰੋਜਨ ਅਤੇ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਟੂਲਸ ਦੀ ਤੈਨਾਤੀ

ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਅੰਤ ਵਿੱਚ ਜਾਣੇ-ਪਛਾਣੇ ਖਤਰਿਆਂ ਦੀ ਤੈਨਾਤੀ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ PEBBLEDASH ਟਰੋਜਨ ਅਤੇ RDP ਰੈਪਰ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਐਕਸੈਸ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਟੂਲ ਹੈ। ਇਹਨਾਂ ਦੇ ਨਾਲ, ਪ੍ਰੌਕਸੀ ਮਾਲਵੇਅਰ ਨੂੰ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਰਾਹੀਂ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੇ ਬਾਹਰੀ ਨੈੱਟਵਰਕ ਵਿਚਕਾਰ ਨਿਰੰਤਰ ਕਨੈਕਸ਼ਨ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇੱਕ ਕੀਲੌਗਰ ਅਤੇ ਫੋਰਸ ਕਾਪੀ: ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਕਿਮਸੁਕੀ ਨੂੰ ਕੀਸਟ੍ਰੋਕ ਕੈਪਚਰ ਕਰਨ ਲਈ ਪਾਵਰਸ਼ੈਲ-ਅਧਾਰਤ ਕੀਲੌਗਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵੀ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਦੀ ਉਨ੍ਹਾਂ ਦੀ ਯੋਗਤਾ ਨੂੰ ਹੋਰ ਵਧਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨਵਾਂ ਖੋਜਿਆ ਗਿਆ ਫੋਰਸਕਾਪੀ ਮਾਲਵੇਅਰ ਖਾਸ ਤੌਰ 'ਤੇ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸੁਰੱਖਿਆ ਪਾਬੰਦੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਕੌਂਫਿਗਰੇਸ਼ਨ ਫਾਈਲਾਂ ਤੱਕ ਸਿੱਧੇ ਪਹੁੰਚ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਜਿੱਥੇ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਕਸਰ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਇੱਕ ਰਣਨੀਤਕ ਤਬਦੀਲੀ: ਹੋਸਟ ਕੰਟਰੋਲ ਲਈ RDP ਦੀ ਵਰਤੋਂ

ਆਰਡੀਪੀ ਰੈਪਰ ਅਤੇ ਪ੍ਰੌਕਸੀ ਮਾਲਵੇਅਰ 'ਤੇ ਸਮੂਹ ਦੀ ਨਿਰਭਰਤਾ ਉਨ੍ਹਾਂ ਦੇ ਕਾਰਜਾਂ ਵਿੱਚ ਇੱਕ ਰਣਨੀਤਕ ਤਬਦੀਲੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਪਹਿਲਾਂ, ਕਿਮਸੁਕੀ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ ਲਈ ਕਸਟਮ-ਬਿਲਟ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਸੀ। ਹੁਣ, ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਉਹ ਖੋਜ ਦੀਆਂ ਸੰਭਾਵਨਾਵਾਂ ਨੂੰ ਘਟਾਉਂਦੇ ਹੋਏ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਦਾ ਟੀਚਾ ਰੱਖਦੇ ਹਨ।

APT43: ਇੱਕ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲਿਆ ਆ ਰਿਹਾ ਸਾਈਬਰ ਜਾਸੂਸੀ ਖ਼ਤਰਾ

ਕਿਮਸੁਕੀ, ਜਿਸਨੂੰ APT43, ਬਲੈਕ ਬੈਨਸ਼ੀ, ਅਤੇ ਐਮਰਾਲਡ ਸਲੀਟ ਵਰਗੇ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਰਿਕੋਨਾਈਸੈਂਸ ਜਨਰਲ ਬਿਊਰੋ (RGB) ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਦੇਸ਼ ਦੀ ਪ੍ਰਮੁੱਖ ਵਿਦੇਸ਼ੀ ਖੁਫੀਆ ਸੇਵਾ ਹੈ। ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਸਰਗਰਮ, ਇਸ ਸਮੂਹ ਦਾ ਈਮੇਲ ਸੁਰੱਖਿਆ ਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਸੂਝਵਾਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਦਾ ਲੰਮਾ ਇਤਿਹਾਸ ਹੈ।

ਰੂਸੀ-ਅਧਾਰਤ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਨਾਲ ਕਾਰਜਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਨਾ

ਹਾਲੀਆ ਖੋਜਾਂ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਕਿਮਸੁਕੀ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਮੁਹਿੰਮਾਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਰੂਸੀ ਈਮੇਲ ਸੇਵਾਵਾਂ ਤੋਂ ਭੇਜੀਆਂ ਗਈਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ। ਦਸੰਬਰ 2024 ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਇਹ ਅਨੁਕੂਲਨ, ਸਮੂਹ ਦੀਆਂ ਵਿਕਸਤ ਹੋ ਰਹੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿਉਂਕਿ ਇਹ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਆਪਣੀਆਂ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਨੂੰ ਸੁਧਾਰਦਾ ਰਹਿੰਦਾ ਹੈ।