ਮਡੀਵਾਟਰ ਫਾਲਸ ਫਲੈਗ ਰੈਨਸਮਵੇਅਰ ਹਮਲਾ

ਈਰਾਨੀ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਧਮਕੀ ਸਮੂਹ MuddyWater, ਜਿਸਨੂੰ ਮੈਂਗੋ ਸੈਂਡਸਟੋਰਮ, ਸੀਡਵਰਮ, ਅਤੇ ਸਟੈਟਿਕ ਕਿਟਨ ਵਰਗੇ ਉਪਨਾਮਾਂ ਹੇਠ ਵੀ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਨੂੰ ਇੱਕ ਸੂਝਵਾਨ ਰੈਨਸਮਵੇਅਰ ਮੁਹਿੰਮ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਜਿਸਨੂੰ ਜਾਂਚਕਰਤਾ ਇੱਕ ਝੂਠੇ-ਝੰਡੇ ਵਾਲੇ ਆਪ੍ਰੇਸ਼ਨ ਵਜੋਂ ਦਰਸਾਉਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ ਘੁਸਪੈਠ ਸ਼ੁਰੂ ਵਿੱਚ ਕੈਓਸ ਰੈਨਸਮਵੇਅਰ ਬ੍ਰਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਰਵਾਇਤੀ ਰੈਨਸਮਵੇਅਰ-ਏਜ਼-ਏ-ਸਰਵਿਸ (RaaS) ਆਪ੍ਰੇਸ਼ਨ ਨਾਲ ਜੁੜੀ ਗਤੀਵਿਧੀ ਵਰਗੀ ਸੀ, ਡੂੰਘੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਜਬਰਦਸਤੀ ਦੇ ਭੇਸ ਵਿੱਚ ਇੱਕ ਨਿਸ਼ਾਨਾ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਸਾਈਬਰ ਹਮਲੇ ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ।

2026 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਪਛਾਣੇ ਗਏ ਇਸ ਆਪ੍ਰੇਸ਼ਨ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਰਾਹੀਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕੀਤਾ। ਹਮਲਾਵਰਾਂ ਨੇ ਪੀੜਤਾਂ ਨਾਲ ਬਹੁਤ ਜ਼ਿਆਦਾ ਇੰਟਰਐਕਟਿਵ ਸ਼ਮੂਲੀਅਤ ਸੈਸ਼ਨ ਕੀਤੇ, ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਅਤੇ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਸਕ੍ਰੀਨ-ਸ਼ੇਅਰਿੰਗ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦਾ ਲਾਭ ਉਠਾਇਆ। ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਫਾਈਲ ਐਨਕ੍ਰਿਪਸ਼ਨ ਵਰਗੀਆਂ ਰਵਾਇਤੀ ਰੈਨਸਮਵੇਅਰ ਰਣਨੀਤੀਆਂ ਨੂੰ ਛੱਡ ਦਿੱਤਾ ਅਤੇ ਇਸਦੀ ਬਜਾਏ ਰਿਮੋਟ ਪ੍ਰਬੰਧਨ ਉਪਯੋਗਤਾਵਾਂ ਰਾਹੀਂ ਡੇਟਾ ਚੋਰੀ, ਚੋਰੀ-ਛਿਪੇ ਸਥਿਰਤਾ, ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਨੈੱਟਵਰਕ ਪਹੁੰਚ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ।

ਰਾਜ ਦੇ ਕਾਰਜਾਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਟ੍ਰੇਡਕ੍ਰਾਫਟ

ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ MuddyWater ਦੁਆਰਾ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਈਕੋਸਿਸਟਮ ਨਾਲ ਜੁੜੇ ਸਾਧਨਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਨੂੰ ਅਪਣਾ ਕੇ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਦੀ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਸਮੂਹ ਨੇ ਵਪਾਰਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਭੂਮੀਗਤ ਮਾਲਵੇਅਰ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਫਰੇਮਵਰਕ ਨੂੰ ਆਪਣੇ ਕਾਰਜਾਂ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਜੋੜਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ CastleRAT ਅਤੇ Tsundere ਵਰਗੇ ਸਾਧਨ ਸ਼ਾਮਲ ਹਨ।

ਇਹ ਰਣਨੀਤੀ ਪਿਛਲੀਆਂ MuddyWater ਮੁਹਿੰਮਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ਜਾਸੂਸੀ ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਗਤੀਵਿਧੀ ਨੂੰ ਰੈਨਸਮਵੇਅਰ-ਸ਼ੈਲੀ ਦੇ ਕਾਰਜਾਂ ਨਾਲ ਮਿਲਾਇਆ ਸੀ। 2020 ਵਿੱਚ, ਸਮੂਹ ਨੇ ਥਾਨੋਸ ਰੈਨਸਮਵੇਅਰ ਦੇ ਇੱਕ ਵਿਨਾਸ਼ਕਾਰੀ ਰੂਪ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ PowGoop ਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪ੍ਰਮੁੱਖ ਇਜ਼ਰਾਈਲੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। 2023 ਵਿੱਚ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਸਮੂਹ ਨੂੰ DEV-1084 ਨਾਲ ਜੋੜਿਆ, ਜੋ ਕਿ ਡਾਰਕਬਿਟ ਵਿਅਕਤੀ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਅਦਾਕਾਰ ਸੀ, ਰੈਨਸਮਵੇਅਰ ਘਟਨਾਵਾਂ ਦੇ ਭੇਸ ਵਿੱਚ ਹਮਲਿਆਂ ਦੌਰਾਨ। 2025 ਦੇ ਅਖੀਰ ਤੱਕ, ਈਰਾਨ ਨਾਲ ਜੁੜੇ ਆਪਰੇਟਰਾਂ ਨੂੰ ਇੱਕ ਇਜ਼ਰਾਈਲੀ ਸਰਕਾਰੀ ਹਸਪਤਾਲ ਦੇ ਵਿਰੁੱਧ ਕਿਲਿਨ ਰੈਨਸਮਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਵੀ ਸ਼ੱਕ ਸੀ।

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਿੱਟਾ ਕੱਢਿਆ ਕਿ ਨਵੀਨਤਮ ਮੁਹਿੰਮ ਵਿੱਚ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਈਰਾਨੀ-ਸਬੰਧਤ ਓਪਰੇਟਰ ਸ਼ਾਮਲ ਸਨ ਜੋ ਸਥਾਪਿਤ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਰਾਹੀਂ ਕੰਮ ਕਰ ਰਹੇ ਸਨ ਜਦੋਂ ਕਿ ਵਿਆਪਕ ਭੂ-ਰਾਜਨੀਤਿਕ ਉਦੇਸ਼ਾਂ ਦਾ ਪਿੱਛਾ ਕਰ ਰਹੇ ਸਨ। ਕਿਲਿਨ ਦੀ ਵਰਤੋਂ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਐਫੀਲੀਏਟ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਭਾਗੀਦਾਰੀ ਨੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸੰਚਾਲਨ ਕਵਰ, ਸੰਭਾਵੀ ਇਨਕਾਰਯੋਗਤਾ, ਅਤੇ ਪਰਿਪੱਕ ਹਮਲੇ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਦੋਂ ਕਿ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇਜ਼ਰਾਈਲੀ ਰੱਖਿਆਤਮਕ ਨਿਗਰਾਨੀ ਤੋਂ ਬਚਣ ਵਿੱਚ ਮਦਦ ਕੀਤੀ।

ਕੈਓਸ ਰਾਸ: ਇੱਕ ਵਧਦਾ ਹੋਇਆ ਜ਼ਬਰਦਸਤੀ ਈਕੋਸਿਸਟਮ

2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਹਫੜਾ-ਦਫੜੀ ਇੱਕ ਰੈਨਸਮਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ ਓਪਰੇਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਉਭਰੀ ਜੋ ਹਮਲਾਵਰ ਦੋਹਰੀ-ਜਬਰਦਸਤੀ ਰਣਨੀਤੀਆਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਸਮੂਹ ਨੇ ਆਪਣੇ ਐਫੀਲੀਏਟ ਪ੍ਰੋਗਰਾਮ ਨੂੰ RAMP ਅਤੇ RehubCom ਵਰਗੇ ਭੂਮੀਗਤ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਫੋਰਮਾਂ 'ਤੇ ਪ੍ਰਚਾਰਿਆ ਅਤੇ ਤੇਜ਼ੀ ਨਾਲ ਆਪਣੀ ਕਾਰਜਸ਼ੀਲ ਪਹੁੰਚ ਦਾ ਵਿਸਥਾਰ ਕੀਤਾ।

ਹਫੜਾ-ਦਫੜੀ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਆਮ ਤੌਰ 'ਤੇ ਈਮੇਲ ਹੜ੍ਹ, ਵੌਇਸ ਫਿਸ਼ਿੰਗ, ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਦੇ ਨਕਲ ਹਮਲਿਆਂ ਨੂੰ ਜੋੜਦੀਆਂ ਹਨ ਜਿਸ ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਆਈਟੀ ਸਹਾਇਤਾ ਸਟਾਫ ਵਜੋਂ ਪੇਸ਼ ਹੁੰਦੇ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਕੁਇੱਕ ਅਸਿਸਟ ਵਰਗੇ ਰਿਮੋਟ ਐਕਸੈਸ ਐਪਲੀਕੇਸ਼ਨਾਂ ਸਥਾਪਤ ਕਰਨ ਲਈ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪੈਰ ਜਮਾਉਣ, ਪਾਸੇ ਵੱਲ ਜਾਣ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ ਤਾਇਨਾਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।

ਇਸ ਸਮੂਹ ਨੇ ਵਧਦੇ ਹਮਲਾਵਰ ਜਬਰਦਸਤੀ ਮਾਡਲਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਵੀ ਕੀਤਾ ਹੈ:

• ਡਾਟਾ ਚੋਰੀ ਅਤੇ ਫਿਰੌਤੀ ਦੀ ਮੰਗ ਰਾਹੀਂ ਦੋਹਰੀ ਜਬਰਦਸਤੀ
• ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡਿਨਾਇਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਹਮਲਿਆਂ ਦੀਆਂ ਧਮਕੀਆਂ ਨਾਲ ਜੁੜੀ ਤੀਹਰੀ ਜ਼ਬਰਦਸਤੀ
• ਚਾਰ ਗੁਣਾ ਜ਼ਿਆਦਾ ਜਬਰਦਸਤੀ ਦੀਆਂ ਚਾਲਾਂ ਜਿਸ ਵਿੱਚ ਪੀੜਤਾਂ 'ਤੇ ਦਬਾਅ ਵਧਾਉਣ ਲਈ ਗਾਹਕਾਂ, ਭਾਈਵਾਲਾਂ ਜਾਂ ਮੁਕਾਬਲੇਬਾਜ਼ਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਦੀਆਂ ਧਮਕੀਆਂ ਸ਼ਾਮਲ ਹਨ।

ਮਾਰਚ 2026 ਤੱਕ, ਕੈਓਸ ਨੇ ਆਪਣੇ ਲੀਕ ਪਲੇਟਫਾਰਮ 'ਤੇ 36 ਪੀੜਤਾਂ ਦਾ ਦਾਅਵਾ ਕੀਤਾ ਸੀ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਜ਼ਿਆਦਾਤਰ ਸੰਗਠਨ ਸੰਯੁਕਤ ਰਾਜ ਵਿੱਚ ਸਥਿਤ ਸਨ। ਉਸਾਰੀ, ਨਿਰਮਾਣ ਅਤੇ ਵਪਾਰਕ ਸੇਵਾਵਾਂ ਖੇਤਰ ਸਭ ਤੋਂ ਵੱਧ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਉਦਯੋਗਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦਿਖਾਈ ਦਿੱਤੇ।

ਘੁਸਪੈਠ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ

ਜਾਂਚ ਅਧੀਨ ਘੁਸਪੈਠ ਦੌਰਾਨ, ਹਮਲਾਵਰਾਂ ਨੇ ਵਿਸ਼ਵਾਸ ਹਾਸਲ ਕਰਨ ਅਤੇ ਸਕ੍ਰੀਨ-ਸ਼ੇਅਰਿੰਗ ਸੈਸ਼ਨਾਂ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਲਈ ਕਰਮਚਾਰੀਆਂ ਨਾਲ ਬਾਹਰੀ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮ ਗੱਲਬਾਤ ਸ਼ੁਰੂ ਕੀਤੀ। ਫਿਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਨੂੰ ਖੋਜ, ਨਿਰੰਤਰਤਾ, ਪਾਸੇ ਦੀ ਗਤੀ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਵਰਤਿਆ ਗਿਆ।

ਪੀੜਤ ਪ੍ਰਣਾਲੀਆਂ ਨਾਲ ਜੁੜੇ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਹਮਲਾਵਰਾਂ ਨੇ ਖੋਜ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕੀਤਾ, VPN-ਸਬੰਧਤ ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ, ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਬਣਾਏ ਗਏ ਟੈਕਸਟ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਹੱਥੀਂ ਦਰਜ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤੇ। ਕਈ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਰਿਮੋਟ ਐਕਸੈਸ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ AnyDesk ਸਥਾਪਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਕਰਲ ਯੂਟਿਲਿਟੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਬਾਹਰੀ ਸਰਵਰ ਐਡਰੈੱਸ 172.86.126.208 ਤੋਂ "ms_upd.exe" ਨਾਮਕ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਦੀ ਵਰਤੋਂ ਵੀ ਕੀਤੀ। ਇੱਕ ਵਾਰ ਲਾਂਚ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਨੇ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕੀਤੀ ਜੋ ਵਾਧੂ ਖਤਰਨਾਕ ਹਿੱਸਿਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਅਤੇ ਨਿਰੰਤਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।

ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਮਾਲਵੇਅਰ ਆਰਸਨਲ

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਵਿੱਚ ਕਈ ਵੱਖਰੇ ਮਾਲਵੇਅਰ ਹਿੱਸੇ ਸ਼ਾਮਲ ਸਨ ਜੋ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇਕੱਠੇ ਕੰਮ ਕਰਦੇ ਸਨ:

• 'ms_upd.exe' (Stagecomp) ਨੇ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕੀਤੀ ਅਤੇ 'game.exe,' 'WebView2Loader.dll,' ਅਤੇ 'visualwincomp.txt' ਸਮੇਤ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕੀਤਾ।

ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਹਰ 60 ਸਕਿੰਟਾਂ ਵਿੱਚ ਆਪਣੇ ਕਮਾਂਡ ਸਰਵਰ ਨਾਲ ਲਗਾਤਾਰ ਸੰਚਾਰ ਕਰਦਾ ਰਹਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਓਪਰੇਟਰਾਂ ਨੂੰ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣ, ਸਿਸਟਮ ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਫਾਈਲਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਇੰਟਰਐਕਟਿਵ ਕਮਾਂਡ-ਲਾਈਨ ਸੈਸ਼ਨ ਪੈਦਾ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਓਪਰੇਸ਼ਨ ਨੂੰ ਮਡੀਵਾਟਰ ਨਾਲ ਜੋੜਨ ਦੇ ਸਬੂਤ

'ਡੋਨਾਲਡ ਗੇ' ਨਾਲ ਜੁੜੇ ਇੱਕ ਕੋਡ-ਸਾਈਨਿੰਗ ਸਰਟੀਫਿਕੇਟ ਦੀ ਖੋਜ ਦੁਆਰਾ MuddyWater ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਮਜ਼ਬੂਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਦੀ ਵਰਤੋਂ 'ms_upd.exe' ਮਾਲਵੇਅਰ ਨਮੂਨੇ 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ। ਉਹੀ ਸਰਟੀਫਿਕੇਟ ਪਹਿਲਾਂ MuddyWater ਮਾਲਵੇਅਰ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ, ਜਿਸ ਵਿੱਚ ਇੱਕ CastleLoader ਡਾਊਨਲੋਡਰ ਵੇਰੀਐਂਟ ਵੀ ਸ਼ਾਮਲ ਸੀ ਜਿਸਨੂੰ Fakeset ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਇਸ ਕਾਰਵਾਈ ਨੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਜਾਸੂਸੀ ਗਤੀਵਿਧੀ ਅਤੇ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਸੰਚਾਲਨ ਤਰੀਕਿਆਂ ਵਿਚਕਾਰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਾਂਝ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ। ਰੈਨਸਮਵੇਅਰ ਬ੍ਰਾਂਡਿੰਗ, ਜਬਰਦਸਤੀ ਗੱਲਬਾਤ, ਅਤੇ ਵਪਾਰਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਦੇ ਏਕੀਕਰਨ ਨੇ ਵਿਸ਼ੇਸ਼ਤਾ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਇਆ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲਸ ਦੁਆਰਾ ਸਥਾਪਤ ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਿਰੰਤਰਤਾ ਵਿਧੀਆਂ ਦੀ ਬਜਾਏ ਤੁਰੰਤ ਫਿਰੌਤੀ ਪ੍ਰਤੀਕਿਰਿਆ ਗਤੀਵਿਧੀਆਂ ਵੱਲ ਰੱਖਿਆਤਮਕ ਧਿਆਨ ਮੋੜਿਆ।

ਹਮਲਾ ਕਿਉਂ ਸਾਹਮਣੇ ਆਇਆ

ਮੁਹਿੰਮ ਦੇ ਸਭ ਤੋਂ ਅਸਾਧਾਰਨ ਪਹਿਲੂਆਂ ਵਿੱਚੋਂ ਇੱਕ ਸੀ ਕੈਓਸ ਰੈਨਸਮਵੇਅਰ ਆਰਟੀਫੈਕਟਸ ਦੀ ਵਰਤੋਂ ਦੇ ਬਾਵਜੂਦ ਵਿਆਪਕ ਫਾਈਲ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਸਪੱਸ਼ਟ ਗੈਰਹਾਜ਼ਰੀ। ਸਟੈਂਡਰਡ ਰੈਨਸਮਵੇਅਰ ਵਿਵਹਾਰ ਤੋਂ ਇਹ ਭਟਕਣਾ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਕਿ ਰੈਨਸਮਵੇਅਰ ਕੰਪੋਨੈਂਟ ਮੁੱਖ ਤੌਰ 'ਤੇ ਪ੍ਰਾਇਮਰੀ ਮਿਸ਼ਨ ਉਦੇਸ਼ ਦੀ ਬਜਾਏ ਛਲਾਵੇ ਜਾਂ ਸੰਚਾਲਨ ਗਲਤ ਦਿਸ਼ਾ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਸੀ।

ਇਹ ਮੁਹਿੰਮ ਈਰਾਨੀ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਵਿੱਚ ਰਾਜ-ਨਿਰਦੇਸ਼ਿਤ ਕਾਰਜਾਂ ਵਿੱਚ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਟੂਲਿੰਗ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਵੀ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਮੌਜੂਦਾ ਭੂਮੀਗਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਮਾਲਵੇਅਰ ਈਕੋਸਿਸਟਮ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, MuddyWater ਵਰਗੇ ਸਮੂਹ ਵਧੇਰੇ ਸੰਚਾਲਨ ਲਚਕਤਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਅੰਦਰੂਨੀ ਵਿਕਾਸ ਲਾਗਤਾਂ ਨੂੰ ਘਟਾਉਂਦੇ ਹਨ, ਅਤੇ ਡਿਫੈਂਡਰਾਂ ਅਤੇ ਖੁਫੀਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਲਈ ਵਿਸ਼ੇਸ਼ਤਾ ਯਤਨਾਂ ਨੂੰ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੇ ਹਨ।