MURKYTOUR Backdoor
ਅਕਤੂਬਰ 2024 ਵਿੱਚ, ਈਰਾਨ ਨਾਲ ਜੁੜੇ ਇੱਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ, UNC2428, ਨੇ ਇਜ਼ਰਾਈਲੀ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਇੱਕ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕੀਤੀ। ਇਜ਼ਰਾਈਲੀ ਰੱਖਿਆ ਠੇਕੇਦਾਰ ਰਾਫੇਲ ਤੋਂ ਭਰਤੀ ਕਰਨ ਵਾਲਿਆਂ ਦੇ ਰੂਪ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਇੱਕ ਨੌਕਰੀ-ਥੀਮ ਵਾਲੀ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਯੋਜਨਾ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਵਿਅਕਤੀਆਂ ਨੇ ਦਿਲਚਸਪੀ ਦਿਖਾਈ, ਤਾਂ ਉਹਨਾਂ ਨੂੰ ਰਾਫੇਲ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੀ ਇੱਕ ਧੋਖਾਧੜੀ ਵਾਲੀ ਵੈੱਬਸਾਈਟ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਗਿਆ, ਜਿੱਥੇ ਉਹਨਾਂ ਨੂੰ 'RafaelConnect.exe' ਨਾਮਕ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਟੂਲ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਿਹਾ ਗਿਆ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਦਿਲਚਸਪੀ ਤੋਂ ਘੁਸਪੈਠ ਤੱਕ: ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਚੇਨ
ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਟੂਲ ਅਸਲ ਵਿੱਚ ਇੱਕ ਇੰਸਟਾਲਰ ਸੀ ਜਿਸਨੂੰ LONEFLEET ਕਿਹਾ ਜਾਂਦਾ ਸੀ। ਇਸ ਵਿੱਚ ਇੱਕ ਗ੍ਰਾਫਿਕਲ ਯੂਜ਼ਰ ਇੰਟਰਫੇਸ (GUI) ਸੀ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਨੌਕਰੀ ਐਪਲੀਕੇਸ਼ਨ ਪੋਰਟਲ ਵਾਂਗ ਦਿਖਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਵਿੱਚ ਨਿੱਜੀ ਵੇਰਵਿਆਂ ਅਤੇ ਇੱਕ ਰੈਜ਼ਿਊਮੇ ਅਪਲੋਡ ਦੀ ਬੇਨਤੀ ਕੀਤੀ ਗਈ ਸੀ। ਇਹ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ ਕਿ ਨੁਕਸਾਨ ਰਹਿਤ ਇੰਟਰਫੇਸ ਨੁਕਸਾਨਦੇਹ ਇਰਾਦੇ ਨੂੰ ਛੁਪਾਉਂਦਾ ਸੀ। ਡੇਟਾ ਸਬਮਿਸ਼ਨ 'ਤੇ, MURKYTOUR ਨਾਮਕ ਇੱਕ ਬੈਕਡੋਰ ਨੂੰ LEAFPILE ਨਾਮਕ ਲਾਂਚਰ ਰਾਹੀਂ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਚੁੱਪਚਾਪ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੱਕ ਨਿਰੰਤਰ ਪਹੁੰਚ ਮਿਲਦੀ ਸੀ। ਇਹ ਪਹੁੰਚ ਮਾਲਵੇਅਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸੁਭਾਵਕ ਗਤੀਵਿਧੀ ਵਜੋਂ ਛੁਪਾਉਣ ਲਈ GUIs ਦੇ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੇ ਰਣਨੀਤਕ ਵਰਤੋਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਇੱਕ ਤੋਂ ਵੱਧ ਖਿਡਾਰੀ: ਵਧਦਾ ਈਰਾਨੀ ਸਾਈਬਰ ਖ਼ਤਰੇ ਦਾ ਦ੍ਰਿਸ਼
UNC2428 ਇੱਕ ਵਿਆਪਕ ਈਰਾਨੀ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨ ਪਹੇਲੀ ਦਾ ਸਿਰਫ਼ ਇੱਕ ਟੁਕੜਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਬਲੈਕ ਸ਼ੈਡੋ ਨਾਲ ਜੁੜੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨਾਲ ਜੁੜੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦੀ ਹੈ, ਇੱਕ ਅਜਿਹੀ ਸੰਸਥਾ ਜਿਸ 'ਤੇ ਇਜ਼ਰਾਈਲ ਨੈਸ਼ਨਲ ਸਾਈਬਰ ਡਾਇਰੈਕਟੋਰੇਟ ਦੁਆਰਾ ਦੋਸ਼ ਲਗਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਈਰਾਨ ਦੇ ਖੁਫੀਆ ਅਤੇ ਸੁਰੱਖਿਆ ਮੰਤਰਾਲੇ (MOIS) ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦੀ ਹੈ। ਉਨ੍ਹਾਂ ਦੇ ਨਿਸ਼ਾਨੇ ਇਜ਼ਰਾਈਲ ਦੇ ਕਈ ਖੇਤਰਾਂ ਵਿੱਚ ਫੈਲੇ ਹੋਏ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਸਰਕਾਰ ਅਤੇ ਰੱਖਿਆ
- ਸਿਹਤ ਸੰਭਾਲ ਅਤੇ ਵਿੱਤ
- ਤਕਨਾਲੋਜੀ ਅਤੇ ਸੰਚਾਰ
ਇੱਕ ਹੋਰ ਐਕਟਰ, UNC3313, ਜੋ ਕਿ MuddyWater ਸਮੂਹ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, 2022 ਤੋਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਚਲਾ ਰਿਹਾ ਹੈ ਅਤੇ ਸਟੀਲਥ ਅਤੇ ਨਿਰੰਤਰ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਜਾਇਜ਼ ਰਿਮੋਟ ਨਿਗਰਾਨੀ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਦੌਰਾਨ, UNC1549 ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਵਿੱਚ ਬਿਹਤਰ ਢੰਗ ਨਾਲ ਮਿਲਾਉਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਕਲਾਉਡ-ਅਧਾਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਵਧਿਆ ਹੈ।
ਹੇਰਾਫੇਰੀ ਦੇ ਮਾਸਟਰਮਾਈਂਡ: APT42 ਅਤੇ ਉਸ ਤੋਂ ਪਰੇ
APT42 , ਜਿਸਨੂੰ ਚਾਰਮਿੰਗ ਕਿਟਨ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਆਪਣੀਆਂ ਸੂਝਵਾਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਲਈ ਮਸ਼ਹੂਰ ਹੈ। ਇਸ ਸਮੂਹ ਨੇ ਗੂਗਲ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਤੇ ਯਾਹੂ ਵਰਗੇ ਪ੍ਰਮੁੱਖ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ ਨਕਲੀ ਲੌਗਇਨ ਪੇਜ ਤਾਇਨਾਤ ਕੀਤੇ ਹਨ ਤਾਂ ਜੋ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕੀਤੇ ਜਾ ਸਕਣ। ਉਨ੍ਹਾਂ ਨੇ ਪੀੜਤਾਂ ਨੂੰ ਇਨ੍ਹਾਂ ਖਤਰਨਾਕ ਪੰਨਿਆਂ 'ਤੇ ਭੇਜਣ ਲਈ ਗੂਗਲ ਸਾਈਟਸ ਅਤੇ ਡ੍ਰੌਪਬਾਕਸ ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਨ੍ਹਾਂ ਦੀ ਧੋਖਾਧੜੀ ਵਧਦੀ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, APT34 (OilRig) ਨੇ ਇਰਾਕੀ ਸਰਕਾਰੀ ਪ੍ਰਣਾਲੀਆਂ 'ਤੇ ਹਮਲਿਆਂ ਵਿੱਚ DODGYLAFFA ਅਤੇ SPAREPRIZE ਵਰਗੇ ਕਸਟਮ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਕੁੱਲ ਮਿਲਾ ਕੇ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ 2024 ਵਿੱਚ ਵੱਖ-ਵੱਖ ਮੱਧ ਪੂਰਬੀ ਸਾਈਬਰ ਕਾਰਜਾਂ ਵਿੱਚ ਈਰਾਨੀ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵਿਕਸਤ ਜਾਂ ਵਰਤੇ ਗਏ 20 ਤੋਂ ਵੱਧ ਵਿਲੱਖਣ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ।
ਸਿੱਟਾ: ਇੱਕ ਸਥਾਈ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਖ਼ਤਰਾ
ਈਰਾਨੀ ਸਾਈਬਰ ਅਦਾਕਾਰਾਂ ਨੇ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਦਿਖਾਇਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਮਨੋਵਿਗਿਆਨਕ ਹੇਰਾਫੇਰੀ ਨੂੰ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। GUI, ਜਾਇਜ਼ ਔਜ਼ਾਰਾਂ ਅਤੇ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਰਾਹੀਂ, ਉਹ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਆਪਣੇ ਪਹੁੰਚ ਨੂੰ ਸੁਧਾਰ ਰਹੇ ਹਨ, ਜੋ ਖੇਤਰੀ ਅਤੇ ਵਿਸ਼ਵਵਿਆਪੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਯਤਨਾਂ ਲਈ ਇੱਕ ਨਿਰੰਤਰ ਚੁਣੌਤੀ ਦਾ ਸੰਕੇਤ ਹੈ।
