ਲੋਪਟਿਕਮੌਡ ਮਾਲਵੇਅਰ
DoNot APT ਸਮੂਹ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਸਾਹਮਣੇ ਆਈ ਹੈ, ਜਿਸ ਵਿੱਚ LoptikMod ਨਾਮਕ ਇੱਕ ਗੁਪਤ ਅਤੇ ਨਿਰੰਤਰ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਦੀ ਵਰਤੋਂ ਦਿਖਾਈ ਗਈ ਹੈ। ਇਸ ਟੂਲ ਨੂੰ ਇੱਕ ਯੂਰਪੀਅਨ ਵਿਦੇਸ਼ ਮੰਤਰਾਲੇ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਹਮਲੇ ਵਿੱਚ ਵਰਤਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਸਮੂਹ ਦੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਤੋਂ ਪਰੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਧਮਕੀ ਅਦਾਕਾਰ ਜਿਸਦੀ ਪਹੁੰਚ ਵਧਦੀ ਜਾ ਰਹੀ ਹੈ
ਇਸ ਮੁਹਿੰਮ ਨੂੰ ਡੂਨੋਟ ਟੀਮ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਸੂਝਵਾਨ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (ਏਪੀਟੀ) ਸਮੂਹ ਹੈ ਜਿਸਨੂੰ ਵੱਖ-ਵੱਖ ਉਪਨਾਮਾਂ ਨਾਲ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ APT-C-35, ਮਿੰਟ ਟੈਂਪੈਸਟ, ਓਰੀਗਾਮੀ ਐਲੀਫੈਂਟ, SECTOR02, ਅਤੇ ਵਾਇਸਰਾਏ ਟਾਈਗਰ ਸ਼ਾਮਲ ਹਨ। ਘੱਟੋ-ਘੱਟ 2016 ਤੋਂ ਚੱਲ ਰਹੇ ਕਾਰਜਾਂ ਦੇ ਨਾਲ, ਇਸ ਸਮੂਹ ਦਾ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ, ਵਿਦੇਸ਼ ਮੰਤਰਾਲਿਆਂ, ਰੱਖਿਆ ਸੰਸਥਾਵਾਂ ਅਤੇ ਗੈਰ-ਸਰਕਾਰੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦਾ ਇੱਕ ਦਸਤਾਵੇਜ਼ੀ ਇਤਿਹਾਸ ਹੈ, ਖਾਸ ਕਰਕੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਅਤੇ ਯੂਰਪ ਵਿੱਚ।
ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, DoNot APT ਨੇ ਕਸਟਮ-ਬਿਲਟ ਮਾਲਵੇਅਰ, ਖਾਸ ਤੌਰ 'ਤੇ YTY ਅਤੇ GEdit, ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਜੋ ਅਕਸਰ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਅਤੇ ਖਤਰਨਾਕ ਦਸਤਾਵੇਜ਼ ਅਟੈਚਮੈਂਟਾਂ ਰਾਹੀਂ ਤੈਨਾਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਟੀਚੇ ਨੂੰ ਲੁਭਾਉਣਾ: ਫਿਸ਼ਿੰਗ ਨੂੰ ਇੱਕ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ ਵਜੋਂ
ਇਹ ਹਮਲਾ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਅਤੇ ਭਰੋਸੇਮੰਦ ਦਿਖਣ ਲਈ ਬਣਾਈ ਗਈ ਹੈ। ਇਹ ਸੁਨੇਹੇ, ਇੱਕ ਜੀਮੇਲ ਖਾਤੇ ਤੋਂ ਭੇਜੇ ਗਏ ਹਨ, ਰੱਖਿਆ ਅਧਿਕਾਰੀਆਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ ਅਤੇ ਇੱਕ ਇਤਾਲਵੀ ਰੱਖਿਆ ਅਟੈਚੀ ਦੁਆਰਾ ਢਾਕਾ, ਬੰਗਲਾਦੇਸ਼ ਦੀ ਫੇਰੀ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ ਵਿਸ਼ਾ ਲਾਈਨਾਂ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਈਮੇਲਾਂ ਨੂੰ 'é' ਵਰਗੇ ਵਿਸ਼ੇਸ਼ ਅੱਖਰਾਂ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਪੇਸ਼ ਕਰਨ ਲਈ HTML ਦੀ ਵਰਤੋਂ ਕਰਕੇ UTF-8 ਏਨਕੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਫਾਰਮੈਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਉਹਨਾਂ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿੱਚ ਵਾਧਾ ਕਰਦਾ ਹੈ।
ਈਮੇਲ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤਾ ਇੱਕ Google ਡਰਾਈਵ ਲਿੰਕ ਇੱਕ RAR ਆਰਕਾਈਵ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ। ਇਸ ਆਰਕਾਈਵ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ ਜੋ ਇੱਕ PDF ਫਾਈਲ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਜਦੋਂ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ LoptikMod ਦੀ ਤੈਨਾਤੀ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਜੋ ਘੱਟੋ ਘੱਟ 2018 ਤੋਂ DoNot APT ਲਈ ਵਿਸ਼ੇਸ਼ ਹੈ।
ਲੋਪਟਿਕਮੌਡ ਮਾਲਵੇਅਰ ਦੇ ਅੰਦਰ
ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, LoptikMod ਸਥਿਰਤਾ ਲਈ ਨਿਰਧਾਰਤ ਕਾਰਜਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਹੋਸਟ ਸਿਸਟਮ ਵਿੱਚ ਆਪਣੇ ਆਪ ਨੂੰ ਏਮਬੇਡ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਰ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਲਈ ਇੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਵਾਪਸ ਭੇਜਣਾ
- ਵਾਧੂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ
- ਵਾਧੂ ਖਤਰਨਾਕ ਮਾਡਿਊਲ ਡਾਊਨਲੋਡ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ
- ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ
ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਫੋਰੈਂਸਿਕ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ, LoptikMod ਐਂਟੀ-VM (ਵਰਚੁਅਲ ਮਸ਼ੀਨ) ਤਕਨੀਕਾਂ ਅਤੇ ASCII ਔਫਫਸਕੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਇਸਦੀ ਪੂਰੀ ਕਾਰਜਸ਼ੀਲਤਾ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਕਿਸੇ ਵੀ ਸਮੇਂ ਇੱਕ ਡਿਵਾਈਸ 'ਤੇ ਸਿਰਫ਼ ਇੱਕ ਹੀ ਉਦਾਹਰਣ ਚੱਲਦੀ ਹੈ, ਅੰਦਰੂਨੀ ਟਕਰਾਅ ਨੂੰ ਰੋਕਦੀ ਹੈ ਅਤੇ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ।
ਮੌਜੂਦਾ ਮੁਹਿੰਮ ਸਥਿਤੀ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ
ਜਦੋਂ ਕਿ LoptikMod ਖੁਦ ਸਮਰੱਥ ਅਤੇ ਨਿਰੰਤਰ ਹੈ, ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਹਮਲੇ ਵਿੱਚ ਸ਼ਾਮਲ C2 ਸਰਵਰ ਇਸ ਸਮੇਂ ਅਕਿਰਿਆਸ਼ੀਲ ਹੈ। ਇਸ ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਦਾ ਮਤਲਬ ਇਹ ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਔਫਲਾਈਨ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਸਥਾਈ ਤੌਰ 'ਤੇ ਬੰਦ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜਾਂ ਇੱਕ ਨਵੇਂ, ਅਣਪਛਾਤੇ ਸਰਵਰ ਨਾਲ ਬਦਲ ਦਿੱਤਾ ਗਿਆ ਹੈ।
ਸਰਵਰ ਦੀ ਅਕਿਰਿਆਸ਼ੀਲ ਸਥਿਤੀ ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਸੰਕਰਮਿਤ ਐਂਡਪੁਆਇੰਟਸ ਅਤੇ ਹਮਲਾਵਰਾਂ ਵਿਚਕਾਰ ਬਦਲੇ ਗਏ ਸਹੀ ਕਮਾਂਡਾਂ ਅਤੇ ਡੇਟਾ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਦੀ ਯੋਗਤਾ ਨੂੰ ਸੀਮਤ ਕਰਦੀ ਹੈ।
ਰਣਨੀਤਕ ਤਬਦੀਲੀ ਦੇ ਸੰਕੇਤ: ਯੂਰਪੀ ਟੀਚੇ ਫੋਕਸ ਵਿੱਚ
ਡੌਨਾਟ ਏਪੀਟੀ ਦੀ ਨਵੀਨਤਮ ਗਤੀਵਿਧੀ ਵਿਕਾਸ ਦੇ ਸੰਕੇਤ ਦਰਸਾਉਂਦੀ ਹੈ। ਜਦੋਂ ਕਿ ਸਮੂਹ ਨੇ ਰਵਾਇਤੀ ਤੌਰ 'ਤੇ ਦੱਖਣੀ ਏਸ਼ੀਆਈ ਹਿੱਤਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਹੈ, ਇਹ ਹਾਲੀਆ ਕਾਰਵਾਈ ਯੂਰਪੀਅਨ ਕੂਟਨੀਤਕ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਵਿੱਚ ਵਧਦੀ ਦਿਲਚਸਪੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਖਾਸ ਕਰਕੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਨਾਲ ਸਬੰਧਤ।
ਇਹ ਤਬਦੀਲੀ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਵਧੀਆਂ ਸੰਚਾਲਨ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਵਧੇਰੇ ਮਹੱਤਵਾਕਾਂਖੀ ਖੁਫੀਆ ਉਦੇਸ਼ਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਸਮੂਹ ਦੇ ਸੰਚਾਲਕ ਪੱਛਮੀ ਕੂਟਨੀਤਕ ਰਣਨੀਤੀਆਂ, ਰੱਖਿਆ ਨੀਤੀਆਂ ਅਤੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਨਾਲ ਅੰਤਰਰਾਸ਼ਟਰੀ ਰੁਝੇਵਿਆਂ ਬਾਰੇ ਸਮਝ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ।
ਮੁੱਖ ਗੱਲਾਂ
ਅਜਿਹੇ ਹਮਲਿਆਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਘਟਾਉਣ ਲਈ, ਸੰਗਠਨਾਂ ਨੂੰ ਆਪਣੇ ਸਟਾਫ ਨੂੰ ਫਿਸ਼ਿੰਗ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਸਿੱਖਿਅਤ ਕਰਕੇ ਸ਼ੁਰੂਆਤ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਭਾਵੇਂ ਸੁਨੇਹੇ ਬਹੁਤ ਹੀ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ। ਕਿਸੇ ਵੀ ਅਸਾਧਾਰਨ ਵਿਵਹਾਰ, ਜਿਵੇਂ ਕਿ ਅਣਕਿਆਸੇ ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਜਾਂ ਅਣਜਾਣ ਸਰਵਰਾਂ ਨਾਲ ਬਾਹਰੀ ਕਨੈਕਸ਼ਨਾਂ, ਲਈ ਸਿਸਟਮਾਂ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਕਰਨਾ ਵੀ ਉਨਾ ਹੀ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਜੋ ਸਮਝੌਤਾ ਦਰਸਾ ਸਕਦੇ ਹਨ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸੈਂਡਬਾਕਸਿੰਗ ਅਤੇ ਵਿਵਹਾਰ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਸ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸ਼ੱਕੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਖੋਜਣ ਅਤੇ ਬੇਅਸਰ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦਾ ਹੈ। ਸਿਸਟਮਾਂ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਪੈਚ ਕਰਨਾ ਅਤੇ ਨਵੀਨਤਮ ਧਮਕੀ ਖੁਫੀਆ ਫੀਡਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਤੁਰੰਤ ਹੱਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਅੰਤ ਵਿੱਚ, ਨੈੱਟਵਰਕ ਨੂੰ ਵੰਡਣ ਨਾਲ ਮਾਲਵੇਅਰ ਦੇ ਪਾਸੇ ਵੱਲ ਫੈਲਣ ਦੇ ਜੋਖਮ ਨੂੰ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਭਾਵੀ ਉਲੰਘਣਾਵਾਂ ਨੂੰ ਵਧੇਰੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰੋਕਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਸਿੱਟਾ: ਚੌਕਸੀ ਜ਼ਰੂਰੀ ਹੈ
ਯੂਰਪੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਵਿੱਚ DoNot APT ਸਮੂਹ ਵੱਲੋਂ LoptikMod ਦੀ ਤਾਇਨਾਤੀ, ਵਿਕਸਤ ਹੋ ਰਹੇ ਖ਼ਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ। ਜਿਵੇਂ ਕਿ APT ਸਮੂਹ ਆਪਣੇ ਸਾਧਨਾਂ ਨੂੰ ਵਧਾਉਣਾ ਅਤੇ ਆਪਣੇ ਨਿਸ਼ਾਨਾ ਨੂੰ ਵਧਾਉਣਾ ਜਾਰੀ ਰੱਖਦੇ ਹਨ, ਖਾਸ ਕਰਕੇ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਕੂਟਨੀਤਕ ਸੰਪਤੀਆਂ ਵੱਲ, ਸੰਗਠਨਾਂ ਨੂੰ ਆਪਣੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਚਾਅ ਵਿੱਚ ਚੌਕਸ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ।
