ਖਤਰਨਾਕ ਪੈਕਜਿਸਟ PHP ਪੈਕੇਜ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਪੈਕਾਗਿਸਟ 'ਤੇ ਖਤਰਨਾਕ PHP ਪੈਕੇਜਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਇੱਕ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹੋਏ ਜਾਇਜ਼ Laravel ਸਹਾਇਕ ਲਾਇਬ੍ਰੇਰੀਆਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਹ ਮਾਲਵੇਅਰ Windows, macOS, ਅਤੇ Linux ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਸਹਿਜੇ ਹੀ ਕੰਮ ਕਰਦਾ ਹੈ, ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ।

ਪਛਾਣੇ ਗਏ ਪੈਕੇਜਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• nhattuanbl/lara-helper (37 ਡਾਊਨਲੋਡ)
• nhattuanbl/simple-queue (29 ਡਾਊਨਲੋਡ)
• nhattuanbl/lara-swagger (49 ਡਾਊਨਲੋਡ)

ਹਾਲਾਂਕਿ nhattuanbl/lara-swagger ਵਿੱਚ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਕੋਡ ਨਹੀਂ ਹੁੰਦਾ, ਇਹ nhattuanbl/lara-helper ਨੂੰ ਇੱਕ ਕੰਪੋਜ਼ਰ ਨਿਰਭਰਤਾ ਵਜੋਂ ਸੂਚੀਬੱਧ ਕਰਦਾ ਹੈ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਏਮਬੈਡਡ RAT ਦੀ ਸਥਾਪਨਾ ਹੁੰਦੀ ਹੈ। ਜਨਤਕ ਖੁਲਾਸੇ ਦੇ ਬਾਵਜੂਦ, ਇਹ ਪੈਕੇਜ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਪਹੁੰਚਯੋਗ ਰਹਿੰਦੇ ਹਨ ਅਤੇ ਕਿਸੇ ਵੀ ਪ੍ਰਭਾਵਿਤ ਵਾਤਾਵਰਣ ਤੋਂ ਤੁਰੰਤ ਹਟਾ ਦਿੱਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ।

ਦੁਰਭਾਵਨਾਪੂਰਨ ਇਰਾਦੇ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਗੁੰਝਲਦਾਰ ਰਣਨੀਤੀਆਂ

ਵਿਸਤ੍ਰਿਤ ਕੋਡ ਵਿਸ਼ਲੇਸ਼ਣ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਲਾਰਾ-ਹੈਲਪਰ ਅਤੇ ਸਿੰਪਲ-ਕਿਊ ਦੋਵਾਂ ਵਿੱਚ src/helper.php ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਹੈ ਜੋ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। ਮਾਲਵੇਅਰ ਵਿੱਚ ਉੱਨਤ ਔਫਫਸਕੇਸ਼ਨ ਰਣਨੀਤੀਆਂ ਸ਼ਾਮਲ ਹਨ, ਜਿਸ ਵਿੱਚ ਕੰਟਰੋਲ ਫਲੋ ਹੇਰਾਫੇਰੀ, ਏਨਕੋਡ ਕੀਤੇ ਡੋਮੇਨ ਨਾਮ ਅਤੇ ਕਮਾਂਡ ਸਤਰ, ਛੁਪੇ ਹੋਏ ਫਾਈਲ ਮਾਰਗ, ਅਤੇ ਬੇਤਰਤੀਬ ਵੇਰੀਏਬਲ ਅਤੇ ਫੰਕਸ਼ਨ ਪਛਾਣਕਰਤਾ ਸ਼ਾਮਲ ਹਨ।

ਇਹ ਤਕਨੀਕਾਂ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀਆਂ ਹਨ ਅਤੇ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨੂੰ ਰਵਾਇਤੀ ਕੋਡ ਸਮੀਖਿਆ ਅਤੇ ਸਵੈਚਾਲਿਤ ਸੁਰੱਖਿਆ ਸਕੈਨਿੰਗ ਟੂਲਸ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੀਆਂ ਹਨ।

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪੂਰੇ ਹੋਸਟ ਟੇਕਓਵਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ

ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, RAT ਪੋਰਟ 2096 'ਤੇ helper.leuleu.net 'ਤੇ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਸਿਸਟਮ ਰੀਕਨਾਈਸੈਂਸ ਡੇਟਾ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਸਥਾਈ ਸੁਣਨ ਵਾਲੀ ਸਥਿਤੀ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ। PHP ਦੇ stream_socket_client() ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ TCP ਉੱਤੇ ਸੰਚਾਰ ਹੁੰਦਾ ਹੈ।

ਬੈਕਡੋਰ ਆਪਰੇਟਰ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਕਮਾਂਡਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜੋ ਪੂਰੇ ਸਿਸਟਮ ਨਿਯੰਤਰਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਪਿੰਗ ਰਾਹੀਂ ਹਰ 60 ਸਕਿੰਟਾਂ ਵਿੱਚ ਸਵੈਚਾਲਿਤ ਦਿਲ ਦੀ ਧੜਕਣ ਦੇ ਸੰਕੇਤ।
• ਜਾਣਕਾਰੀ ਰਾਹੀਂ ਸਿਸਟਮ ਪ੍ਰੋਫਾਈਲਿੰਗ ਡੇਟਾ ਦਾ ਸੰਚਾਰ।
• ਸ਼ੈੱਲ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (cmd)।
• ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (ਪਾਵਰਸ਼ੈਲ)।
• ਬੈਕਗ੍ਰਾਊਂਡ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (ਚਲਾਓ)।

ਭਰੋਸੇਯੋਗਤਾ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਲਈ, RAT PHP disable_functions ਸੰਰਚਨਾ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਅਤੇ ਹੇਠ ਲਿਖਿਆਂ ਵਿੱਚੋਂ ਪਹਿਲਾ ਉਪਲਬਧ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਿਧੀ ਚੁਣਦਾ ਹੈ: popen, proc_open, exec, shell_exec, system, ਜਾਂ passthru। ਇਹ ਅਨੁਕੂਲ ਪਹੁੰਚ ਇਸਨੂੰ ਆਮ PHP ਸਖ਼ਤ ਕਰਨ ਦੇ ਮਾਪਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਸਥਾਈ ਪੁਨਰ-ਕਨੈਕਸ਼ਨ ਵਿਧੀ ਜੋਖਮ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ

ਹਾਲਾਂਕਿ ਪਛਾਣਿਆ ਗਿਆ C2 ਸਰਵਰ ਇਸ ਵੇਲੇ ਜਵਾਬਦੇਹ ਨਹੀਂ ਹੈ, ਮਾਲਵੇਅਰ ਨੂੰ ਹਰ 15 ਸਕਿੰਟਾਂ ਵਿੱਚ ਇੱਕ ਨਿਰੰਤਰ ਲੂਪ ਵਿੱਚ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਦੁਬਾਰਾ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸਥਿਰਤਾ ਵਿਧੀ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਹਮਲਾਵਰ ਸਰਵਰ ਦੀ ਉਪਲਬਧਤਾ ਨੂੰ ਬਹਾਲ ਕਰਨ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਬੇਨਕਾਬ ਰਹਿਣ।

ਕੋਈ ਵੀ Laravel ਐਪਲੀਕੇਸ਼ਨ ਜਿਸਨੇ lara-helper ਜਾਂ simple-queue ਨੂੰ ਸਥਾਪਿਤ ਕੀਤਾ ਹੈ, ਇੱਕ ਏਮਬੈਡਡ RAT ਨਾਲ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ਪੂਰੀ ਰਿਮੋਟ ਸ਼ੈੱਲ ਪਹੁੰਚ, ਮਨਮਾਨੇ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨ ਅਤੇ ਸੋਧਣ ਦੀ ਯੋਗਤਾ, ਅਤੇ ਹਰੇਕ ਸੰਕਰਮਿਤ ਹੋਸਟ ਲਈ ਸਿਸਟਮ-ਪੱਧਰ ਦੇ ਵੇਰਵਿਆਂ ਵਿੱਚ ਨਿਰੰਤਰ ਦਿੱਖ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸੰਦਰਭ ਪ੍ਰਭਾਵ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ

ਐਪਲੀਕੇਸ਼ਨ ਬੂਟ ਦੌਰਾਨ ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਰਾਹੀਂ ਜਾਂ ਸਧਾਰਨ-ਕਤਾਰ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਕਲਾਸ ਆਟੋਲੋਡਿੰਗ ਰਾਹੀਂ ਐਕਟੀਵੇਸ਼ਨ ਆਪਣੇ ਆਪ ਹੁੰਦਾ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, RAT ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਵਾਂਗ ਹੀ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅੰਦਰ ਚੱਲਦਾ ਹੈ, ਇੱਕੋ ਜਿਹੇ ਫਾਈਲ ਸਿਸਟਮ ਅਨੁਮਤੀਆਂ ਅਤੇ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਇਹ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸੰਦਰਭ ਹਮਲਾਵਰ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਸੰਪਤੀਆਂ ਜਿਵੇਂ ਕਿ ਡੇਟਾਬੇਸ ਪ੍ਰਮਾਣ ਪੱਤਰ, API ਕੁੰਜੀਆਂ, ਅਤੇ .env ਫਾਈਲ ਦੀ ਸਮੱਗਰੀ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸ ਲਈ ਸਮਝੌਤਾ ਸਿਸਟਮ-ਪੱਧਰ ਦੇ ਨਿਯੰਤਰਣ ਤੋਂ ਪਰੇ ਐਪਲੀਕੇਸ਼ਨ ਭੇਦ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਪਹੁੰਚ ਦੇ ਪੂਰੇ ਐਕਸਪੋਜ਼ਰ ਤੱਕ ਫੈਲਦਾ ਹੈ।

ਸਾਫ਼-ਸੁਥਰੇ ਪੈਕੇਜਾਂ ਰਾਹੀਂ ਭਰੋਸੇਯੋਗਤਾ-ਨਿਰਮਾਣ ਰਣਨੀਤੀ

ਹੋਰ ਜਾਂਚ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਉਸੇ ਪ੍ਰਕਾਸ਼ਕ ਨੇ ਵਾਧੂ ਪੈਕੇਜ - nhattuanbl/lara-media, nhattuanbl/snooze, ਅਤੇ nhattuanbl/syslog - ਜਾਰੀ ਕੀਤੇ ਸਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਨਹੀਂ ਹੈ। ਇਹ ਵਿਸ਼ਵਾਸ ਵਧਾਉਣ ਅਤੇ ਹਥਿਆਰਬੰਦ ਪੈਕੇਜਾਂ ਨੂੰ ਅਪਣਾਉਣ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਪ੍ਰਤਿਸ਼ਠਾ-ਨਿਰਮਾਣ ਕਲਾਕ੍ਰਿਤੀਆਂ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਜਾਪਦੇ ਹਨ।

ਤੁਰੰਤ ਘਟਾਉਣ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਉਪਾਅ

ਜਿਨ੍ਹਾਂ ਸੰਗਠਨਾਂ ਨੇ ਕਿਸੇ ਵੀ ਖਤਰਨਾਕ ਪੈਕੇਜ ਨੂੰ ਸਥਾਪਿਤ ਕੀਤਾ ਹੈ, ਉਨ੍ਹਾਂ ਨੂੰ ਸਮਝੌਤਾ ਮੰਨ ਲੈਣਾ ਚਾਹੀਦਾ ਹੈ। ਲੋੜੀਂਦੀਆਂ ਜਵਾਬੀ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਪ੍ਰਭਾਵਿਤ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨੂੰ ਤੁਰੰਤ ਹਟਾਉਣਾ, ਐਪਲੀਕੇਸ਼ਨ ਵਾਤਾਵਰਣ ਤੋਂ ਪਹੁੰਚਯੋਗ ਸਾਰੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਘੁੰਮਾਉਣਾ, ਅਤੇ ਪਛਾਣੇ ਗਏ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਕੋਸ਼ਿਸ਼ ਕੀਤੇ ਕਨੈਕਸ਼ਨਾਂ ਲਈ ਆਊਟਬਾਉਂਡ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਦਾ ਪੂਰਾ ਆਡਿਟ ਸ਼ਾਮਲ ਹੈ।

ਜੇਕਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਦੁਬਾਰਾ ਚਾਲੂ ਹੋ ਜਾਂਦਾ ਹੈ ਤਾਂ ਫੈਸਲਾਕੁੰਨ ਜਵਾਬ ਦੇਣ ਵਿੱਚ ਅਸਫਲਤਾ ਸਿਸਟਮ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੀ ਨਵੀਂ ਪਹੁੰਚ ਲਈ ਕਮਜ਼ੋਰ ਬਣਾ ਸਕਦੀ ਹੈ।