IDAT ਲੋਡਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ, ਜਿਸਦੀ ਪਛਾਣ ਇੱਕ ਯੂਕਰੇਨੀ ਟਰੋਜਨ ਲਈ ਖਤਰੇ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ ਜਿਸਨੂੰ Remcos RAT ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ IDAT ਲੋਡਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦੁਆਰਾ ਸਹੂਲਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA), ਨੇ UAC-0184 (TA544) ਦੇ ਤੌਰ 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਨੂੰ ਟਰੈਕ ਕਰਦੇ ਹੋਏ, ਹਮਲੇ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਹੈ।
ਹਮਲਾ, IDAT ਲੋਡਰ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਕੀਤਾ ਗਿਆ, ਇੱਕ ਤਕਨੀਕ ਵਜੋਂ ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਸਟੈਗਨੋਗ੍ਰਾਫਿਕ, ਜਾਂ 'ਸਟੀਗੋ' ਤਕਨੀਕਾਂ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਹਨ। ਸਟੈਗਨੋਗ੍ਰਾਫਿਕ ਤਕਨੀਕਾਂ ਵਿੱਚ ਕਿਸੇ ਹੋਰ ਮਾਧਿਅਮ ਵਿੱਚ ਜਾਣਕਾਰੀ ਨੂੰ ਛੁਪਾਉਣਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਚਿੱਤਰਾਂ, ਆਡੀਓ ਫਾਈਲਾਂ, ਜਾਂ ਹੋਰ ਡਿਜੀਟਲ ਸਮੱਗਰੀ ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਲੁਕਾਉਣਾ, ਬਿਨਾਂ ਧਿਆਨ ਖਿੱਚੇ ਗੁਪਤ ਸੰਚਾਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ। ਰੱਖਿਆ ਉਪਾਵਾਂ ਤੋਂ ਬਚਣ ਵਿੱਚ ਉਨ੍ਹਾਂ ਦੀ ਭੂਮਿਕਾ ਨੂੰ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
IDAT ਲੋਡਰ ਨੈਕਸਟ-ਸਟੇਜ ਮਾਲਵੇਅਰ ਪੇਲੋਡਸ ਦੀ ਡਿਲਿਵਰੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ
IDAT ਲੋਡਰ, ਹਾਈਜੈਕ ਲੋਡਰ ਨਾਮਕ ਇੱਕ ਹੋਰ ਲੋਡਰ ਪਰਿਵਾਰ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਵਾਲਾ, ਕਈ ਮਹੀਨਿਆਂ ਤੋਂ DanaBot , SystemBC , ਅਤੇ RedLine Stealer ਸਮੇਤ ਵੱਖ-ਵੱਖ ਪੇਲੋਡਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਤੈਨਾਤ ਕਰ ਰਿਹਾ ਹੈ। ਇਸ ਲੋਡਰ ਨੂੰ TA544 ਦੇ ਤੌਰ 'ਤੇ ਪਛਾਣੇ ਜਾਣ ਵਾਲੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਦੁਆਰਾ ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਰਾਹੀਂ Remcos RAT ਅਤੇ SystemBC ਦਾ ਪ੍ਰਸਾਰ ਕਰਨ ਲਈ ਲਗਾਇਆ ਗਿਆ ਹੈ।
ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ, ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ ਜਨਵਰੀ 2024 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ CERT-UA ਦੁਆਰਾ ਖੁਲਾਸਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਵਿੱਚ ਇੱਕ ਸੰਕਰਮਣ ਲੜੀ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਯੁੱਧ-ਥੀਮ ਵਾਲੇ ਦਾਣਾ ਵਰਤਣਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਚੇਨ ਆਖਰਕਾਰ IDAT ਲੋਡਰ ਦੀ ਤੈਨਾਤੀ ਵੱਲ ਲੈ ਜਾਂਦੀ ਹੈ, ਜੋ ਕਿ Remcos RAT ਨੂੰ ਲੱਭਣ ਅਤੇ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਇੱਕ ਏਮਬੈਡਡ ਸਟੈਗਨੋਗ੍ਰਾਫਿਕ PNG ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ।
Remcos RAT ਨੂੰ ਅਕਸਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
REMCOS RAT ਇੱਕ ਪ੍ਰਚਲਿਤ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ ਦੇ ਰੂਪ ਵਿੱਚ ਖੜ੍ਹਾ ਹੈ ਜੋ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਅਤੇ ਜਾਸੂਸੀ ਦੇ ਯਤਨਾਂ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ। ਕੰਪਿਊਟਰਾਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਜ਼ਬਤ ਕਰਨ ਦੀ ਆਪਣੀ ਸਮਰੱਥਾ ਲਈ ਮਸ਼ਹੂਰ, REMCOS ਕੀਸਟ੍ਰੋਕ, ਆਡੀਓ, ਵੀਡੀਓ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ, ਅਤੇ ਸਿਸਟਮ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰ ਸਕਦਾ ਹੈ ਜਦੋਂ ਕਿ ਵਾਧੂ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਦੀ ਡਿਲੀਵਰੀ ਦੀ ਸਹੂਲਤ ਵੀ ਦਿੰਦਾ ਹੈ। ਆਮ ਤੌਰ 'ਤੇ, ਇਹ ਮਾਲਵੇਅਰ ਖਤਰਨਾਕ ਅਟੈਚਮੈਂਟਾਂ ਜਾਂ ਲਿੰਕਾਂ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਫੈਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ RAT ਦੀ ਸਥਾਪਨਾ ਹੁੰਦੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, REMCOS ਨੂੰ ਮਾਲਵੇਅਰ ਲੋਡਰਾਂ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਸਾਧਨਾਂ ਰਾਹੀਂ ਵੰਡਿਆ ਜਾਂਦਾ ਦੇਖਿਆ ਗਿਆ ਹੈ। 2010 ਦੇ ਦਹਾਕੇ ਦੇ ਮੱਧ ਤੋਂ ਮਾਲਵੇਅਰ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।
REMCOS ਦੇ ਸਫਲਤਾਪੂਰਵਕ ਲਾਗੂ ਹੋਣ 'ਤੇ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਟਾਰਗੇਟ ਸਿਸਟਮ ਉੱਤੇ ਵਿਆਪਕ ਨਿਯੰਤਰਣ ਅਤੇ ਨਿਗਰਾਨੀ ਸਮਰੱਥਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਅਵਧੀ ਲਈ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਖੋਜ ਤੋਂ ਬਚਦਾ ਹੈ। ਅਜਿਹੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਵਰਤੋਂ, ਟੀਚੇ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ, ਪੀੜਤਾਂ ਨੂੰ ਬਲੈਕਮੇਲ ਦਾ ਸਾਹਮਣਾ ਕਰਨ, ਕੰਪਨੀ ਦੇ ਡੇਟਾ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਜਾਣ 'ਤੇ ਸੰਭਾਵਿਤ ਨੌਕਰੀ ਦੇ ਨੁਕਸਾਨ, ਅਤੇ ਸੰਗਠਨਾਤਮਕ ਡੇਟਾ ਦੀ ਚੋਰੀ ਦਾ ਜੋਖਮ ਹੁੰਦਾ ਹੈ। ਇਸ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਦਾ ਫਿਰ ਵੱਡੇ ਪੱਧਰ 'ਤੇ, ਆਧੁਨਿਕ ਹਮਲਿਆਂ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਲਈ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਪ੍ਰਭਾਵਿਤ ਸੰਸਥਾਵਾਂ ਜਾਂ ਵਿਅਕਤੀਆਂ ਦੀ ਰੋਜ਼ੀ-ਰੋਟੀ ਨੂੰ ਗੰਭੀਰ ਅਤੇ ਸੰਭਵ ਤੌਰ 'ਤੇ ਨਾ ਪੂਰਾ ਹੋਣ ਵਾਲਾ ਨੁਕਸਾਨ ਹੁੰਦਾ ਹੈ।
ਯੂਕਰੇਨ ਰੂਸ ਨਾਲ ਜੁੜੇ ਹੈਕਰ ਸਮੂਹਾਂ ਦੁਆਰਾ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਹਮਲਿਆਂ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣਿਆ ਹੋਇਆ ਹੈ
CERT-UA ਨੇ ਕੁੱਕਬਾਕਸ ਬੈਕਡੋਰ ਨਾਲ ਯੂਕਰੇਨ ਦੇ ਆਰਮਡ ਫੋਰਸਿਜ਼ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਕੰਪਿਊਟਰ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਨਿਸ਼ਾਨਾ ਸਾਈਬਰ ਅਟੈਕ ਦੀ ਚੇਤਾਵਨੀ ਵੀ ਦਿੱਤੀ ਹੈ।
CERT-UA ਦੇ ਅਨੁਸਾਰ, ਇੱਕ ਅਣਪਛਾਤੇ ਵਿਅਕਤੀ ਨੇ '1_ф_5.39-2024.xlsm' ਨਾਮ ਦਾ ਇੱਕ XLS ਦਸਤਾਵੇਜ਼ ਕਈ ਫੌਜੀ ਕਰਮਚਾਰੀਆਂ ਵਿੱਚ ਸਿਗਨਲ ਮੈਸੇਂਜਰ ਦੁਆਰਾ ਵੰਡਿਆ, ਰਿਪੋਰਟ ਬਣਾਉਣ ਵਿੱਚ ਸਮੱਸਿਆਵਾਂ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕੀਤਾ। ਉਕਤ ਫਾਈਲ ਵਿੱਚ ਇੱਕ ਵਾਧੂ VBA ਸਕ੍ਰਿਪਟ ਹੈ ਜਿਸ ਨੇ 'mob2002.data' ਨਾਮ ਦੀ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸ਼ੁਰੂ ਕੀਤਾ।
GitHub ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੀ PowerShell ਸਕ੍ਰਿਪਟ OS ਰਜਿਸਟਰੀ ਵਿੱਚ ਕੁਝ ਬਦਲਾਅ ਕਰਦੀ ਹੈ। ਹੋਰ ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' ਵਿੱਚ ਇੱਕ ਬੇਸ64-ਏਨਕੋਡਡ ਪੇਲੋਡ ਛੱਡਦਾ ਹੈ, ਜੋ ਆਖਿਰਕਾਰ ਕੁੱਕਬਾਕਸ ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਕੁੱਕਬਾਕਸ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਹੈ ਜੋ PowerShell cmdlets ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਲਾਗੂ ਕਰਦੀ ਹੈ।
ਡਾਇਨਾਮਿਕ DNS ਸੇਵਾਵਾਂ (ਜਿਵੇਂ ਕਿ gotdns.ch, myftp.biz) ਅਤੇ Cloudflare ਵਰਕਰ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰਾਂ ਦੇ ਸੰਚਾਲਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪ੍ਰਗਟ ਕੀਤੇ ਗਏ ਅੰਕੜਿਆਂ ਅਨੁਸਾਰ, ਵਰਣਿਤ ਗਤੀਵਿਧੀ, UAC-0149 ਵਜੋਂ ਟਰੈਕ ਕੀਤੀ ਗਈ, ਘੱਟੋ ਘੱਟ ਪਤਝੜ 2023 ਤੋਂ ਜਾਰੀ ਹੈ।
