ਲਾਈਟਲੇਸ ਕੈਨ ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਸਪੇਨ ਵਿੱਚ ਇੱਕ ਅਣਦੱਸੀ ਏਰੋਸਪੇਸ ਕੰਪਨੀ ਦੇ ਖਿਲਾਫ ਇੱਕ ਜਾਸੂਸੀ ਹਮਲੇ ਨੂੰ ਅੰਜਾਮ ਦਿੱਤਾ ਹੈ। ਇਸ ਘਟਨਾ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਕੰਪਨੀ ਦੇ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਮੇਟਾ (ਪਹਿਲਾਂ ਫੇਸਬੁੱਕ) ਨਾਲ ਜੁੜੇ ਇੱਕ ਭਰਤੀ ਕਰਨ ਵਾਲੇ ਦੀ ਆੜ ਵਿੱਚ ਮੰਨਿਆ। ਇਹਨਾਂ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਧੋਖੇਬਾਜ਼ ਭਰਤੀ ਕਰਨ ਵਾਲੇ ਦੁਆਰਾ ਲਿੰਕਡਇਨ ਦੁਆਰਾ ਸੰਪਰਕ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਇੱਕ ਧਮਕੀ ਭਰੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਖੋਲ੍ਹਣ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਧੋਖੇ ਵਾਲੀ ਫ਼ਾਈਲ ਨੂੰ ਕੋਡਿੰਗ ਚੁਣੌਤੀ ਜਾਂ ਕਵਿਜ਼ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ। ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਬਾਅਦ ਵਿੱਚ ਲਾਈਟਲੇਸ ਕੈਨ ਦੇ ਰੂਪ ਵਿੱਚ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਪਿਛਲੀ ਅਣਜਾਣ ਬੈਕਡੋਰ ਧਮਕੀ ਨਾਲ ਸੰਕਰਮਿਤ ਹੋਏ ਸਨ।

ਇਹ ਸਾਈਬਰ ਹਮਲਾ "ਓਪਰੇਸ਼ਨ ਡਰੀਮ ਜੌਬ" ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸਥਾਪਿਤ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹੈ। ਇਹ ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਅਭਿਨੇਤਾ ਜੋ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਓਪਰੇਸ਼ਨ ਡਰੀਮ ਜੌਬ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਉਹਨਾਂ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਲੁਭਾਉਣਾ ਹੈ ਜੋ ਰਣਨੀਤਕ ਹਿੱਤਾਂ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਵਿੱਚ ਕੰਮ ਕਰ ਰਹੇ ਹਨ। ਹਮਲਾਵਰ ਆਪਣੇ ਟੀਚਿਆਂ ਦੇ ਸਿਸਟਮਾਂ ਅਤੇ ਡੇਟਾ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਅੰਤਮ ਟੀਚੇ ਦੇ ਨਾਲ, ਲਾਗ ਦੀ ਲੜੀ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਆਕਰਸ਼ਕ ਨੌਕਰੀ ਦੇ ਮੌਕਿਆਂ ਦੇ ਵਾਅਦੇ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਲਾਈਟਲੇਸ ਕੈਨ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ

ਹਮਲੇ ਦੀ ਲੜੀ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਵਿਅਕਤੀ ਨੂੰ ਮੈਟਾ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨੁਮਾਇੰਦਗੀ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕਰਨ ਵਾਲੇ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਭਰਤੀਕਰਤਾ ਤੋਂ ਲਿੰਕਡਇਨ ਰਾਹੀਂ ਇੱਕ ਸੁਨੇਹਾ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਜਾਅਲੀ ਭਰਤੀ ਕਰਨ ਵਾਲਾ ਫਿਰ ਭਰਤੀ ਪ੍ਰਕਿਰਿਆ ਦੇ ਹਿੱਸੇ ਵਜੋਂ, ਦੋ ਕੋਡਿੰਗ ਚੁਣੌਤੀਆਂ ਭੇਜਣ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ। ਉਹਨਾਂ ਨੇ ਪੀੜਤ ਨੂੰ ਇਹਨਾਂ ਟੈਸਟ ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਫਲਤਾਪੂਰਵਕ ਯਕੀਨ ਦਿਵਾਇਆ, ਜੋ ਕਿ ਇੱਕ ਤੀਜੀ-ਧਿਰ ਕਲਾਉਡ ਸਟੋਰੇਜ ਪਲੇਟਫਾਰਮ ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ ਅਤੇ Quiz1.iso ਅਤੇ Quiz2.iso ਨਾਮਕ ਹਨ।

ਜਿਵੇਂ ਕਿ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਇਹ ISO ਫਾਈਲਾਂ ਕੁਇਜ਼1.exe ਅਤੇ Quiz2.exe ਵਜੋਂ ਜਾਣੀਆਂ ਜਾਣ ਵਾਲੀਆਂ ਖਤਰਨਾਕ ਬਾਈਨਰੀ ਫਾਈਲਾਂ ਰੱਖਦੀਆਂ ਹਨ। ਪੀੜਤਾਂ ਤੋਂ ਉਮੀਦ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਉਹ ਟਾਰਗੇਟਡ ਕੰਪਨੀ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ 'ਤੇ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਲਾਗੂ ਕਰਨਗੇ। ਅਜਿਹਾ ਕਰਨ ਨਾਲ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਹੋ ਜਾਵੇਗਾ, ਜਿਸ ਨਾਲ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ ਦੀ ਉਲੰਘਣਾ ਹੋਵੇਗੀ।

ਇਹ ਉਲੰਘਣਾ NickelLoader ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ HTTP(S) ਡਾਊਨਲੋਡਰ ਦੀ ਤੈਨਾਤੀ ਲਈ ਦਰਵਾਜ਼ਾ ਖੋਲ੍ਹਦੀ ਹੈ। ਇਸ ਸਾਧਨ ਦੇ ਨਾਲ, ਹਮਲਾਵਰ ਕਿਸੇ ਵੀ ਲੋੜੀਂਦੇ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ ਦੀ ਮੈਮੋਰੀ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਤੈਨਾਤ ਕੀਤੇ ਗਏ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ LightlessCan ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਅਤੇ BLINDINGCAN ਦਾ ਇੱਕ ਰੂਪ, miniBlindingCan (ਜਿਸਨੂੰ AIRDRY.V2 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਸੀ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਟੂਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਰਿਮੋਟ ਪਹੁੰਚ ਅਤੇ ਕੰਟਰੋਲ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੇ ਹਨ।

ਲਾਈਟਲੇਸ ਕੈਨ ਲਾਜ਼ਰ ਦੇ ਸ਼ਕਤੀਸ਼ਾਲੀ ਆਰਸਨਲ ਦੇ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ

ਹਮਲੇ ਦਾ ਸਭ ਤੋਂ ਸਬੰਧਤ ਪਹਿਲੂ ਲਾਈਟਲੇਸ ਕੈਨ ਨਾਮਕ ਇੱਕ ਨਾਵਲ ਪੇਲੋਡ ਦੀ ਸ਼ੁਰੂਆਤ ਦੇ ਦੁਆਲੇ ਘੁੰਮਦਾ ਹੈ। ਇਹ ਆਧੁਨਿਕ ਸਾਧਨ ਨੁਕਸਾਨਦੇਹ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਰੱਕੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜਦੋਂ ਇਸਦੇ ਪੂਰਵਵਰਤੀ, ਬਲਿੰਡਿੰਗਕਨ (ਏਡਰੀ ਜਾਂ ਜ਼ੇਟਾਨਾਇਲ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਦੀ ਤੁਲਨਾ ਵਿੱਚ. BLINDINGCAN ਪਹਿਲਾਂ ਹੀ ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ-ਅਮੀਰ ਮਾਲਵੇਅਰ ਸੀ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੇ ਸਮਰੱਥ ਸੀ।

LightlessCan 68 ਵੱਖਰੀਆਂ ਕਮਾਂਡਾਂ ਲਈ ਸਮਰਥਨ ਨਾਲ ਲੈਸ ਹੈ, ਹਾਲਾਂਕਿ ਇਸਦਾ ਮੌਜੂਦਾ ਸੰਸਕਰਣ ਇਹਨਾਂ ਵਿੱਚੋਂ ਸਿਰਫ 43 ਕਮਾਂਡਾਂ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਕੁਝ ਕਾਰਜਸ਼ੀਲਤਾ ਦੇ ਨਾਲ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ miniBlindingCan ਲਈ, ਇਹ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਅਤੇ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਵਰਗੇ ਕੰਮਾਂ ਨੂੰ ਸੰਭਾਲਦਾ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਦੀ ਇੱਕ ਧਿਆਨ ਦੇਣ ਯੋਗ ਵਿਸ਼ੇਸ਼ਤਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਗਾਰਡਰੇਲ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਹੈ। ਇਹ ਉਪਾਅ ਪੇਲੋਡਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕੀਤੇ ਜਾਣ ਤੋਂ ਰੋਕਦੇ ਹਨ ਅਤੇ ਕਿਸੇ ਵੀ ਮਸ਼ੀਨ 'ਤੇ ਇੱਛਤ ਪੀੜਤ ਤੋਂ ਇਲਾਵਾ ਕਿਸੇ ਵੀ ਮਸ਼ੀਨ 'ਤੇ ਲਾਗੂ ਨਹੀਂ ਹੁੰਦੇ ਹਨ।

LightlessCan ਨੂੰ ਅਜਿਹੇ ਤਰੀਕੇ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਕਈ ਮੂਲ ਵਿੰਡੋਜ਼ ਕਮਾਂਡਾਂ ਦੀਆਂ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਇਹ RAT ਨੂੰ ਰੌਲੇ-ਰੱਪੇ ਵਾਲੇ ਕੰਸੋਲ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਲੋੜ ਤੋਂ ਬਚਦੇ ਹੋਏ, ਆਪਣੇ ਅੰਦਰ ਹੀ ਸਮਝਦਾਰੀ ਨਾਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਇਹ ਰਣਨੀਤਕ ਤਬਦੀਲੀ ਗੁਪਤਤਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਵਧੇਰੇ ਚੁਣੌਤੀਪੂਰਨ ਹੁੰਦਾ ਹੈ।