ਨੈਪਲਿਸਟਨਰ
ਹਾਲ ਹੀ ਵਿੱਚ, REF2924 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਧਮਕੀ ਸਮੂਹ ਇੱਕ ਨਵੀਂ ਕਿਸਮ ਦੇ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੱਖਣੀ ਅਤੇ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ NAPLISTENER ਵਜੋਂ ਟ੍ਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਇਹ ਇੱਕ ਕਿਸਮ ਦਾ HTTP ਲਿਸਨਰ ਹੈ ਜੋ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ C# ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਣਾਇਆ ਗਿਆ ਸੀ। NAPLISTENER ਪਹਿਲਾਂ ਨਹੀਂ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਇਸ ਨੂੰ ਪਹਿਲਾਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਨਫੋਸੈਕਸ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਇਸ ਬਾਰੇ ਵੇਰਵੇ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹਨ।
NAPLISTENER ਖਾਸ ਤੌਰ 'ਤੇ 'ਨੈਟਵਰਕ-ਅਧਾਰਿਤ ਖੋਜ ਦੇ ਰੂਪਾਂ' ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਜਾਪਦਾ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਰਵਾਇਤੀ ਖੋਜ ਵਿਧੀਆਂ ਜੋ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਵਿਸ਼ਲੇਸ਼ਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ, NAPLISTENER ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਨਹੀਂ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਇਹ ਨੋਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ REF2924 ਦਾ ਉਹਨਾਂ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਉੱਨਤ ਅਤੇ ਆਧੁਨਿਕ ਰਣਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਇਤਿਹਾਸ ਹੈ। ਇਸ ਲਈ, ਇਸ ਨਵੇਂ ਵਿਕਾਸ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਖੇਤਰਾਂ ਵਿੱਚ ਸੰਗਠਨਾਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣ ਅਤੇ REF2924 ਦੁਆਰਾ ਸੰਭਾਵੀ ਹਮਲਿਆਂ ਤੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਬਚਾਉਣ ਲਈ ਆਪਣੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਤਰਜੀਹ ਦੇਣ ਲਈ ਇੱਕ ਚੇਤਾਵਨੀ ਵਜੋਂ ਕੰਮ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
REF2924 ਹੈਕਰ ਗਰੁੱਪ ਨੇ ਆਪਣੇ ਖਤਰੇ ਵਾਲੇ ਆਰਸਨਲ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ
'REF2924' ਨਾਮ ਸਾਈਬਰ ਹਮਲਾਵਰਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ 2022 ਵਿੱਚ ਅਫਗਾਨਿਸਤਾਨ ਵਿੱਚ ਇੱਕ ਟੀਚੇ ਦੇ ਨਾਲ-ਨਾਲ ਆਸੀਆਨ ਦੇ ਇੱਕ ਮੈਂਬਰ ਦੇ ਵਿਦੇਸ਼ ਮਾਮਲਿਆਂ ਦੇ ਦਫਤਰ ਦੇ ਵਿਰੁੱਧ ਹਮਲੇ ਕਰਨ ਵਿੱਚ ਸ਼ਾਮਲ ਸਨ। ਇਹ ਹਮਲਾਵਰ ਸਮਾਨ ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦੇ ਹਨ। , ਅਤੇ ਇੱਕ ਹੋਰ ਹੈਕਿੰਗ ਸਮੂਹ ਦੇ ਨਾਲ ਪ੍ਰਕਿਰਿਆਵਾਂ ਜਿਸਨੂੰ 'ChamelGang' ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਦੀ ਪਛਾਣ ਅਕਤੂਬਰ 2021 ਵਿੱਚ ਰੂਸ ਦੀ ਇੱਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕੰਪਨੀ, ਪੋਜ਼ੀਟਿਵ ਟੈਕਨੋਲੋਜੀ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਸੀ।
ਹਮਲੇ ਦੇ ਸਮੂਹ ਦੇ ਪ੍ਰਾਇਮਰੀ ਢੰਗ ਵਿੱਚ ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਕਸਚੇਂਜ ਸਰਵਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ ਜੋ ਇੰਟਰਨੈਟ ਦੇ ਸੰਪਰਕ ਵਿੱਚ ਹਨ। ਉਹ ਇਸ ਕਮਜ਼ੋਰੀ ਦੀ ਵਰਤੋਂ ਟਾਰਗੇਟ ਸਿਸਟਮਾਂ 'ਤੇ ਪਿਛਲੇ ਦਰਵਾਜ਼ਿਆਂ ਜਿਵੇਂ ਕਿ DOORME, SIESTAGRAPH, ਅਤੇ S HadowPad ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕਰਦੇ ਹਨ। ਸ਼ੈਡੋਪੈਡ ਦੀ ਵਰਤੋਂ ਖਾਸ ਤੌਰ 'ਤੇ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਨਾਲ ਇੱਕ ਸੰਭਾਵੀ ਕਨੈਕਸ਼ਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਜੋ ਪਹਿਲਾਂ ਵੱਖ-ਵੱਖ ਸਾਈਬਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰ ਚੁੱਕੇ ਹਨ।
NAPLISTENER ਇੱਕ ਜਾਇਜ਼ ਸੇਵਾ ਵਜੋਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ
REF2924 ਹੈਕਿੰਗ ਗਰੁੱਪ ਨੇ ਮਾਲਵੇਅਰ ਦੇ ਆਪਣੇ ਲਗਾਤਾਰ ਵਧ ਰਹੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਇੱਕ ਨਵਾਂ ਹਥਿਆਰ ਜੋੜਿਆ ਹੈ। ਇਹ ਨਵਾਂ ਮਾਲਵੇਅਰ, ਜਿਸਨੂੰ NAPLISTENER ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ 'wmdtc.exe' ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਵਜੋਂ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਜਾਇਜ਼ ਮਾਈਕਰੋਸਾਫਟ ਡਿਸਟਰੀਬਿਊਟਡ ਟ੍ਰਾਂਜੈਕਸ਼ਨ ਕੋਆਰਡੀਨੇਟਰ ਸੇਵਾ ('msdtc.exe') ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਭੇਸ ਦਾ ਉਦੇਸ਼ ਖੋਜ ਤੋਂ ਬਚਣਾ ਅਤੇ ਨਿਸ਼ਾਨਾ ਸਿਸਟਮ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ।
NAPLISTENER ਇੱਕ HTTP ਬੇਨਤੀ ਸੁਣਨ ਵਾਲਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਇੰਟਰਨੈਟ ਤੋਂ ਆਉਣ ਵਾਲੀਆਂ ਬੇਨਤੀਆਂ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਫਿਰ ਕਿਸੇ ਵੀ ਜਮ੍ਹਾਂ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਪੜ੍ਹਦਾ ਹੈ, ਇਸਨੂੰ ਬੇਸ 64 ਫਾਰਮੈਟ ਤੋਂ ਡੀਕੋਡ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਸਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਦੇ ਕੋਡ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ REF2924 ਨੇ GitHub 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਓਪਨ-ਸਰੋਤ ਪ੍ਰੋਜੈਕਟਾਂ ਤੋਂ ਕੋਡ ਉਧਾਰ ਲਿਆ ਜਾਂ ਦੁਬਾਰਾ ਤਿਆਰ ਕੀਤਾ। ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਸਮੂਹ ਆਪਣੇ ਸਾਈਬਰ ਹਥਿਆਰਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਸੁਧਾਰ ਅਤੇ ਸੁਧਾਰ ਕਰ ਸਕਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਉਨ੍ਹਾਂ ਦੇ ਹਮਲਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਬਚਾਅ ਕਰਨਾ ਹੋਰ ਵੀ ਮੁਸ਼ਕਲ ਬਣਾ ਰਿਹਾ ਹੈ।
