LuminousMoth APT

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਵੱਡੇ ਪੈਮਾਨੇ 'ਤੇ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਦਾ ਕਾਰਨ ਉਹ LuminousMoth ਨਾਮਕ ਇੱਕ ਨਵੇਂ APT (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਸਮੂਹ ਨੂੰ ਦਿੰਦੇ ਹਨ। APT-ਸਬੰਧਤ ਮੁਹਿੰਮਾਂ ਆਮ ਤੌਰ 'ਤੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਸੰਕਰਮਣ ਚੇਨ ਨੂੰ ਤਿਆਰ ਕਰਨ ਵਾਲੇ ਅਤੇ ਤੈਨਾਤ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਨਾਲ ਖਾਸ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ ਜਿਸ ਦੀ ਉਹ ਉਲੰਘਣਾ ਕਰਨ ਦਾ ਟੀਚਾ ਰੱਖ ਰਹੇ ਹਨ। ਹਾਲਾਂਕਿ, LuminousMoth ਹਮਲੇ ਨੇ ਅਸਾਧਾਰਨ ਤੌਰ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗਿਣਤੀ ਵਿੱਚ ਪੀੜਤ ਪੈਦਾ ਕੀਤੇ ਹਨ - ਮਿਆਂਮਾਰ ਵਿੱਚ ਲਗਭਗ 100 ਅਤੇ ਫਿਲੀਪੀਨਜ਼ ਵਿੱਚ 1400 ਦੇ ਕਰੀਬ। ਇਹ ਸੰਭਾਵਨਾ ਤੋਂ ਵੱਧ ਹੈ ਕਿ ਮੁਹਿੰਮ ਦੇ ਅਸਲ ਟੀਚੇ ਖੋਜੇ ਗਏ ਪੀੜਤਾਂ ਦੇ ਇੱਕ ਛੋਟੇ ਉਪ ਸਮੂਹ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ। ਹੈਕਰ ਦੋਵਾਂ ਦੇਸ਼ਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਵਿਦੇਸ਼ਾਂ ਦੀਆਂ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਤੋਂ ਬਾਅਦ ਜਾਪਦੇ ਹਨ।

ਲਾਗ ਚੇਨ

ਸ਼ੁਰੂਆਤੀ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਇੱਕ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਜਾਪਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਡ੍ਰੌਪਬਾਕਸ ਡਾਉਨਲੋਡ ਲਿੰਕ ਹੁੰਦਾ ਹੈ ਜਿਸ ਨਾਲ ਇੱਕ ਖਰਾਬ ਫਾਈਲ ਹੁੰਦੀ ਹੈ। ਫਾਈਲ ਇੱਕ ਵਰਡ ਡੌਕੂਮੈਂਟ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰਦੀ ਹੈ ਪਰ ਇੱਕ RAR ਆਰਕਾਈਵ ਹੈ ਜਿਸ ਵਿੱਚ ਦੋ ਸਮਝੌਤਾ ਕੀਤੀਆਂ DLL ਲਾਇਬ੍ਰੇਰੀਆਂ ਅਤੇ ਦੋ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹਨ ਜੋ DLL ਨੂੰ ਸਾਈਡ-ਲੋਡ ਕਰਨ ਦਾ ਕੰਮ ਕਰਦੇ ਹਨ। ਪੁਰਾਲੇਖਾਂ ਨੇ 'COVID-19 ਕੇਸ 12-11-2020(MOTC).rar' ਅਤੇ 'DACU Projects.r01' ਵਰਗੇ ਦਾਣੇ ਦੇ ਨਾਮ ਵਰਤੇ। ਮਿਆਂਮਾਰ ਵਿੱਚ, MOTC ਦਾ ਅਰਥ ਆਵਾਜਾਈ ਅਤੇ ਸੰਚਾਰ ਮੰਤਰਾਲੇ ਹੈ, ਜਦੋਂ ਕਿ DACU ਵਿਕਾਸ ਸਹਾਇਤਾ ਤਾਲਮੇਲ ਯੂਨਿਟ ਹੈ।

ਸਿਸਟਮ ਦੀ ਸ਼ੁਰੂਆਤੀ ਉਲੰਘਣਾ ਤੋਂ ਬਾਅਦ, LuminousMoth ਪਾਸੇ ਵੱਲ ਜਾਣ ਲਈ ਇੱਕ ਵੱਖਰਾ ਤਰੀਕਾ ਵਰਤਦਾ ਹੈ। ਧਮਕੀ ਹਟਾਉਣਯੋਗ ਮੀਡੀਆ ਜਿਵੇਂ ਕਿ USB ਡਰਾਈਵਾਂ ਲਈ ਸਮਝੌਤਾ ਕੀਤੀ ਡਿਵਾਈਸ ਨੂੰ ਸਕੈਨ ਕਰਦੀ ਹੈ। ਇਹ ਫਿਰ ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਸਟੋਰ ਕਰਨ ਲਈ ਲੁਕਵੀਂ ਡਾਇਰੈਕਟਰੀਆਂ ਬਣਾਉਂਦਾ ਹੈ।

ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੇ ਸਾਧਨ

ਕੁਝ ਚੁਣੇ ਹੋਏ ਟੀਚਿਆਂ 'ਤੇ, LuminousMoth ਨੇ ਅਤਿਰਿਕਤ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਾਧਨਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਕੇ ਹਮਲੇ ਨੂੰ ਵਧਾ ਦਿੱਤਾ। Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਚੋਰੀ ਦਾ ਖ਼ਤਰਾ ਦੇਖਿਆ ਜੋ ਪ੍ਰਸਿੱਧ ਵੀਡੀਓ ਕਾਨਫਰੰਸ ਐਪਲੀਕੇਸ਼ਨ ਜ਼ੂਮ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਜਾਇਜ਼ਤਾ ਜੋੜਨ ਲਈ, ਭੇਸ ਵਿੱਚ ਇੱਕ ਵੈਧ ਡਿਜੀਟਲ ਦਸਤਖਤ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਹੈ। ਇੱਕ ਵਾਰ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਨੂੰ ਖਾਸ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਲਈ ਸਕੈਨ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ (C2, C&C) ਵਿੱਚ ਐਕਸਫਿਲਟ੍ਰੇਟ ਕਰਦਾ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਖਾਸ ਸਿਸਟਮਾਂ ਨੂੰ ਇੱਕ ਕ੍ਰੋਮ ਕੂਕੀ ਸਟੀਲਰ ਵੀ ਪ੍ਰਦਾਨ ਕੀਤਾ। ਟੂਲ ਨੂੰ ਦੋ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਲਈ ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਨਾਮ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਇਹ ਡੇਟਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਕੁਝ ਟੈਸਟਾਂ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਬਾਅਦ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਹ ਨਿਰਧਾਰਿਤ ਕੀਤਾ ਕਿ ਇਸ ਟੂਲ ਦਾ ਟੀਚਾ ਹਾਈਜੈਕ ਕਰਨਾ ਹੈ ਅਤੇ ਫਿਰ ਟੀਚਿਆਂ ਦੇ ਜੀਮੇਲ ਸੈਸ਼ਨਾਂ ਦੀ ਨਕਲ ਕਰਨਾ ਹੈ।

ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ LuminousMoth APT ਇੱਕ ਅੰਤ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਵਜੋਂ ਇੱਕ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਦੀ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਕੀ LuminousMoth ਇੱਕ ਨਵਾਂ ਧਮਕੀ ਅਦਾਕਾਰ ਹੈ?

ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ LuminousMoth ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਹਨੀਮਾਈਟ (ਮਸਟੈਂਗ ਪਾਂਡਾ) ਨਾਮਕ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਸਥਾਪਤ ਚੀਨੀ-ਸਬੰਧਤ APT ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਕੁਝ ਖਾਸ ਸਮਾਨਤਾਵਾਂ ਰੱਖਦੀ ਹੈ। ਦੋਵੇਂ ਸਮੂਹ ਇੱਕੋ ਜਿਹੇ ਟੀਚੇ ਦੇ ਮਾਪਦੰਡ ਅਤੇ ਟੀਟੀਪੀ (ਟੈਕਟਿਕਸ, ਤਕਨੀਕਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ) ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੇ ਹਨ ਜਿਸ ਵਿੱਚ ਸਾਈਡ-ਲੋਡਿੰਗ ਅਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਲੋਡਰਾਂ ਦੀ ਤੈਨਾਤੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, LuminousMoth ਹਮਲੇ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ Chome ਕੂਕੀ ਸਟੀਲਰ ਪਿਛਲੀਆਂ HoneyMyte ਗਤੀਵਿਧੀਆਂ ਦੇ ਇੱਕ ਖਰਾਬ ਹਿੱਸੇ ਵਰਗਾ ਹੈ। ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਓਵਰਲੈਪ ਸਮੂਹਾਂ ਵਿਚਕਾਰ ਵਾਧੂ ਲਿੰਕ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਸ ਸਮੇਂ ਇਹ ਨਿਰਣਾਇਕ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਕੀ LuminousMoth ਸੱਚਮੁੱਚ ਇੱਕ ਨਵਾਂ ਹੈਕਰ ਸਮੂਹ ਹੈ ਜਾਂ ਜੇ ਇਹ ਮਾਲਵੇਅਰ ਟੂਲਸ ਦੇ ਇੱਕ ਨਵੇਂ ਸ਼ਸਤਰ ਨਾਲ ਲੈਸ ਹਨੀਮਾਈਟ ਦਾ ਇੱਕ ਸੁਧਾਰਿਆ ਸੰਸਕਰਣ ਹੈ.