PathWiper Malware

ਯੂਕਰੇਨ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਕੀਤੇ ਗਏ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿੱਚ ਵਿਨਾਸ਼ਕਾਰੀ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਨਵੇਂ ਕਿਸਮ, ਜਿਸਨੂੰ ਪਾਥਵਾਈਪਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ। ਇਸਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਸਪੱਸ਼ਟ ਹੈ: ਦੇਸ਼ ਦੇ ਅੰਦਰ ਸੰਚਾਲਨ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਿਗਾੜਨਾ ਅਤੇ ਅਪਾਹਜ ਕਰਨਾ।

ਜਾਇਜ਼ ਔਜ਼ਾਰਾਂ ਰਾਹੀਂ ਸਟੀਲਥੀ ਡਿਪਲਾਇਮੈਂਟ

ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਜਾਇਜ਼ ਐਂਡਪੁਆਇੰਟ ਐਡਮਿਨਿਸਟ੍ਰੇਸ਼ਨ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪਾਥਵਾਈਪਰ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ। ਡਿਲੀਵਰੀ ਦਾ ਇਹ ਤਰੀਕਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਪਹਿਲਾਂ ਹੀ ਇੱਕ ਸਮਝੌਤੇ ਰਾਹੀਂ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸਿਸਟਮਾਂ ਤੱਕ ਪ੍ਰਸ਼ਾਸਕੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਚੁੱਕੇ ਸਨ, ਜੋ ਹਮਲੇ ਦੇ ਪਿੱਛੇ ਦੀ ਸੂਝ-ਬੂਝ ਅਤੇ ਯੋਜਨਾਬੰਦੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

ਵਿਸ਼ੇਸ਼ਤਾ: ਇੱਕ ਜਾਣੂ ਵਿਰੋਧੀ ਵਾਪਸੀ

ਇਸ ਘਟਨਾ ਦੀ ਜਾਂਚ ਕਰ ਰਹੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸ ਹਮਲੇ ਨੂੰ ਰੂਸ ਨਾਲ ਜੁੜੇ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (ਏਪੀਟੀ) ਨਾਲ ਜੋੜਿਆ ਹੈ। ਦੇਖੇ ਗਏ ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ (ਟੀਟੀਪੀ) ਸੈਂਡਵਰਮ ਨਾਲ ਮਿਲਦੇ-ਜੁਲਦੇ ਹਨ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਯੂਕਰੇਨ ਵਿੱਚ ਹਰਮੇਟਿਕਵਾਈਪਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਖ਼ਤਰਾ ਸਮੂਹ ਸੀ।

ਪਾਥਵਾਈਪਰ: ਹਰਮੇਟਿਕਵਾਈਪਰ ਦਾ ਸੰਭਾਵੀ ਉੱਤਰਾਧਿਕਾਰੀ

ਪਾਥਵਾਈਪਰ ਹਰਮੇਟਿਕਵਾਈਪਰ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਸਮਾਨਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦਾ ਹੈ, ਜੋ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਹ ਉਸ ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਦਾ ਵਿਕਾਸ ਹੋ ਸਕਦਾ ਹੈ। ਦੋਵਾਂ ਦਾ ਉਦੇਸ਼ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮ ਡੇਟਾ ਨੂੰ ਭ੍ਰਿਸ਼ਟ ਕਰਕੇ ਵੱਧ ਤੋਂ ਵੱਧ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਣਾ ਹੈ, ਅਤੇ ਵਿਵਹਾਰ ਵਿੱਚ ਓਵਰਲੈਪ ਇੱਕੋ ਜਾਂ ਨਜ਼ਦੀਕੀ ਤੌਰ 'ਤੇ ਸੰਬੰਧਿਤ ਧਮਕੀ ਸਮੂਹਾਂ ਦੀ ਸ਼ਮੂਲੀਅਤ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ

ਮਾਲਵੇਅਰ ਇੱਕ ਬਹੁ-ਪੜਾਵੀ ਪ੍ਰਕਿਰਿਆ ਰਾਹੀਂ ਚਲਦਾ ਹੈ:

• ਇੱਕ ਵਿੰਡੋਜ਼ ਬੈਚ ਫਾਈਲ ਇੱਕ ਖਤਰਨਾਕ VBScript (uacinstall.vbs) ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ।
• ਸਕ੍ਰਿਪਟ ਕੋਰ ਪੇਲੋਡ (sha256sum.exe) ਨੂੰ ਛੱਡਦੀ ਹੈ ਅਤੇ ਚਲਾਉਂਦੀ ਹੈ, ਜੋ ਕਿ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਸ਼ਾਸਕੀ ਟੂਲ ਵਰਗਾ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ।

ਐਡਵਾਂਸਡ ਡਰਾਈਵ ਗਣਨਾ ਅਤੇ ਵਾਲੀਅਮ ਸਾਬੋਟੇਜ

ਹਰਮੇਟਿਕਵਾਈਪਰ ਦੇ ਉਲਟ, ਜੋ ਭੌਤਿਕ ਡਰਾਈਵਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸੀ, ਪਾਥਵਾਈਪਰ ਸਾਰੇ ਜੁੜੇ ਡਰਾਈਵਾਂ ਦੀ ਪ੍ਰੋਗਰਾਮੇਟਿਕ ਤੌਰ 'ਤੇ ਪਛਾਣ ਕਰਕੇ ਇੱਕ ਕਦਮ ਹੋਰ ਅੱਗੇ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਥਾਨਕ, ਨੈੱਟਵਰਕ, ਅਤੇ ਡਿਸਮਾਊਂਟਡ ਵਾਲੀਅਮ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਫਿਰ ਤੋੜ-ਫੋੜ ਦੀ ਤਿਆਰੀ ਵਿੱਚ ਇਹਨਾਂ ਵਾਲੀਅਮਾਂ ਨੂੰ ਡਿਸਮਾਊਂਟ ਕਰਨ ਲਈ Windows APIs ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਹਰੇਕ ਵਾਲੀਅਮ ਲਈ ਥ੍ਰੈੱਡ ਪੈਦਾ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਜ਼ਰੂਰੀ NTFS ਢਾਂਚਿਆਂ ਨੂੰ ਓਵਰਰਾਈਟ ਕੀਤਾ ਜਾ ਸਕੇ, ਜਿਸ ਨਾਲ ਸਿਸਟਮ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਕੰਮ ਕਰਨ ਤੋਂ ਅਸਮਰੱਥ ਹੋ ਜਾਂਦੇ ਹਨ।

ਕੋਰ ਸਿਸਟਮ ਫਾਈਲਾਂ ਦਾ ਨਿਸ਼ਾਨਾ ਵਿਨਾਸ਼

PathWiper ਦੁਆਰਾ ਖਰਾਬ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਸਿਸਟਮ ਹਿੱਸਿਆਂ ਵਿੱਚੋਂ ਇਹ ਹਨ:

• MBR (ਮਾਸਟਰ ਬੂਟ ਰਿਕਾਰਡ): ਇਸ ਵਿੱਚ ਬੂਟਲੋਡਰ ਅਤੇ ਪਾਰਟੀਸ਼ਨ ਟੇਬਲ ਹੁੰਦਾ ਹੈ।
• $MFT (ਮਾਸਟਰ ਫਾਈਲ ਟੇਬਲ): ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਦੇ ਇੰਡੈਕਸ ਨੂੰ ਬਣਾਈ ਰੱਖਦਾ ਹੈ।
• $LogFile: ਇਕਸਾਰਤਾ ਅਤੇ ਰਿਕਵਰੀ ਲਈ ਬਦਲਾਵਾਂ ਨੂੰ ਟਰੈਕ ਕਰਦਾ ਹੈ।
• $Boot: ਬੂਟ ਸੈਕਟਰ ਅਤੇ ਫਾਈਲ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਸਟੋਰ ਕਰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੰਜ ਹੋਰ ਮਹੱਤਵਪੂਰਨ NTFS ਮੈਟਾਡੇਟਾ ਫਾਈਲਾਂ ਨੂੰ ਬੇਤਰਤੀਬ ਬਾਈਟਾਂ ਨਾਲ ਓਵਰਰਾਈਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ ਕਿ ਪ੍ਰਭਾਵਿਤ ਸਿਸਟਮਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ।

ਕੋਈ ਰਿਹਾਈ ਨਹੀਂ, ਕੋਈ ਮੰਗ ਨਹੀਂ - ਸਿਰਫ਼ ਤਬਾਹੀ

ਖਾਸ ਤੌਰ 'ਤੇ, ਪਾਥਵਾਈਪਰ ਨਾਲ ਜੁੜੇ ਹਮਲਿਆਂ ਵਿੱਚ ਕਿਸੇ ਵੀ ਤਰ੍ਹਾਂ ਦੀ ਜਬਰਦਸਤੀ ਜਾਂ ਫਿਰੌਤੀ ਦੀ ਮੰਗ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ। ਇਹ ਗੈਰਹਾਜ਼ਰੀ ਮੁੱਖ ਉਦੇਸ਼ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੀ ਹੈ: ਵਿੱਤੀ ਲਾਭ ਦੀ ਬਜਾਏ ਕਾਰਜਾਂ ਵਿੱਚ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵਿਘਨ।

ਵਾਈਪਰ: ਹਾਈਬ੍ਰਿਡ ਯੁੱਧ ਵਿੱਚ ਇੱਕ ਆਵਰਤੀ ਸੰਦ

ਯੂਕਰੇਨ ਵਿੱਚ ਯੁੱਧ ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਬਾਅਦ, ਡੇਟਾ ਵਾਈਪਰ ਰੂਸੀ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਇੱਕ ਪਛਾਣ ਬਣ ਗਏ ਹਨ। ਇਹਨਾਂ ਔਜ਼ਾਰਾਂ ਨੂੰ ਕਈ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵਿਨਾਸ਼ਕਾਰੀ ਪ੍ਰਭਾਵ ਦੇ ਨਾਲ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਖੋਜੇ ਗਏ ਹਮਲੇ ਦੇ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਵਾਈਪਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ: ਕੈਡੀਵਾਈਪਰ , ਹਰਮੇਟਿਕਵਾਈਪਰ , ਆਈਜ਼ੈਕਵਾਈਪਰ , ਐਸਿਡਰੇਨ , ਅਤੇ ਹੋਰ।

ਇਨ੍ਹਾਂ ਵਿੱਚੋਂ ਹਰੇਕ ਨੇ ਸਾਈਬਰ ਯੁੱਧ ਰਾਹੀਂ ਯੂਕਰੇਨੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਅਸਥਿਰ ਕਰਨ ਦੀ ਇੱਕ ਵਿਆਪਕ ਰਣਨੀਤੀ ਵਿੱਚ ਭੂਮਿਕਾ ਨਿਭਾਈ ਹੈ।

ਸਿੱਟਾ: ਪਾਥਵਾਈਪਰ ਇੱਕ ਖ਼ਤਰਨਾਕ ਵਿਕਾਸ ਦੀ ਨਿਸ਼ਾਨਦੇਹੀ ਕਰਦਾ ਹੈ

ਪਾਥਵਾਈਪਰ ਯੂਕਰੇਨ ਵਿਰੁੱਧ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਵਿਨਾਸ਼ਕਾਰੀ ਸਾਈਬਰ ਟੂਲਸ ਵਿੱਚ ਚੱਲ ਰਹੇ ਵਾਧੇ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ। ਉੱਨਤ ਚੋਰੀ ਤਕਨੀਕਾਂ, ਡੂੰਘੀ ਸਿਸਟਮ-ਪੱਧਰ ਦੀ ਤੋੜ-ਫੋੜ, ਅਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਰੂਸੀ ਏਪੀਟੀ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹੋਏ ਵਿਸ਼ੇਸ਼ਤਾ ਦੇ ਨਾਲ, ਇਹ ਆਧੁਨਿਕ ਸਾਈਬਰ ਟਕਰਾਅ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।