PHANTOMPULSE ਚੂਹਾ

ਇੱਕ ਸੂਝਵਾਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਮੁਹਿੰਮ ਉਭਰੀ ਹੈ, ਜੋ ਕਿ ਓਬਸੀਡੀਅਨ ਨੂੰ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤਦੀ ਹੈ ਤਾਂ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਵਿੰਡੋਜ਼ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਨੂੰ PHANTOMPULSE ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਖਾਸ ਤੌਰ 'ਤੇ ਵਿੱਤੀ ਅਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਖੇਤਰਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੇ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ, ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਉਮੀਦਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਜਾਇਜ਼ ਸਾਧਨਾਂ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ।

ਓਪਰੇਸ਼ਨ REF6598: ਪੇਸ਼ੇਵਰ ਨੈੱਟਵਰਕਾਂ ਰਾਹੀਂ ਧੋਖਾ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ REF6598 ਵਜੋਂ ਮਨੋਨੀਤ, ਇਹ ਮੁਹਿੰਮ ਲਿੰਕਡਇਨ ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਰਾਹੀਂ ਉੱਨਤ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ ਇੱਕ ਉੱਦਮ ਪੂੰਜੀ ਫਰਮ ਨਾਲ ਸਹਿਯੋਗ ਦੇ ਬਹਾਨੇ ਟੀਚਿਆਂ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਗੱਲਬਾਤਾਂ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਟੈਲੀਗ੍ਰਾਮ ਸਮੂਹ ਚੈਟਾਂ ਵਿੱਚ ਤਬਦੀਲ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਨਕਲ ਕੀਤੇ 'ਭਾਈਵਾਲਾਂ' ਨਾਲ ਭਰੀਆਂ ਹੁੰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਜਾਇਜ਼ਤਾ ਦਾ ਇੱਕ ਯਕੀਨਨ ਚਿਹਰਾ ਬਣ ਜਾਂਦਾ ਹੈ।

ਇਹਨਾਂ ਸਮੂਹਾਂ ਦੇ ਅੰਦਰ, ਵਿਚਾਰ-ਵਟਾਂਦਰੇ ਵਿੱਤੀ ਸੇਵਾਵਾਂ ਅਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਤਰਲਤਾ ਰਣਨੀਤੀਆਂ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਘੁੰਮਦੇ ਹਨ, ਭਰੋਸੇਯੋਗਤਾ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੇ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ ਅੰਤ ਵਿੱਚ ਪ੍ਰਦਾਨ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਲਾਉਡ-ਹੋਸਟਡ ਓਬਸੀਡੀਅਨ ਵਾਲਟ ਰਾਹੀਂ ਇੱਕ ਸਾਂਝੇ ਡੈਸ਼ਬੋਰਡ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ।

ਲੁਕਿਆ ਹੋਇਆ ਟਰਿੱਗਰ: ਖਤਰਨਾਕ ਵਾਲਟ ਐਕਟੀਵੇਸ਼ਨ

ਜਦੋਂ ਪੀੜਤ ਓਬਸੀਡੀਅਨ ਦੇ ਅੰਦਰ ਸਾਂਝਾ ਵਾਲਟ ਖੋਲ੍ਹਦਾ ਹੈ ਤਾਂ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸਰਗਰਮ ਹੋ ਜਾਂਦੀ ਹੈ। ਇਸ ਪੜਾਅ 'ਤੇ, ਉਪਭੋਗਤਾ ਨੂੰ 'ਇੰਸਟਾਲ ਕੀਤੇ ਕਮਿਊਨਿਟੀ ਪਲੱਗਇਨ' ਲਈ ਸਿੰਕ੍ਰੋਨਾਈਜ਼ੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਜੋ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਅਯੋਗ ਹੁੰਦੀ ਹੈ। ਇਹ ਮੈਨੂਅਲ ਐਕਸ਼ਨ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਏਮਬੈਡਡ ਖਤਰਨਾਕ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਹਮਲਾਵਰ ਅਣਅਧਿਕਾਰਤ ਕੋਡ ਚਲਾਉਣ ਲਈ ਜਾਇਜ਼ ਪਲੱਗਇਨਾਂ, ਖਾਸ ਕਰਕੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਅਤੇ ਹਾਈਡਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਜਦੋਂ ਕਿ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦੀਆਂ ਹਨ, ਹਾਈਡਰ ਸਟੇਟਸ ਬਾਰ ਅਤੇ ਟੂਲਟਿਪਸ ਵਰਗੇ ਇੰਟਰਫੇਸ ਤੱਤਾਂ ਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਜਾਂਦੀ ਹੈ। ਹਮਲਾ ਪੂਰੀ ਤਰ੍ਹਾਂ ਉਪਭੋਗਤਾ ਨੂੰ ਪਲੱਗਇਨ ਸਿੰਕ੍ਰੋਨਾਈਜ਼ੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਮਨਾਉਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ ਬਿਲਟ-ਇਨ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦਾ ਹੈ।

ਡਿਜ਼ਾਈਨ ਦੁਆਰਾ ਚੋਰੀ: ਜਾਇਜ਼ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਤੋਂ ਦੂਰ ਰਹਿਣਾ

ਇਹ ਮੁਹਿੰਮ ਸਾਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਬਜਾਏ ਭਰੋਸੇਯੋਗ ਐਪਲੀਕੇਸ਼ਨ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਰਣਨੀਤਕ ਦੁਰਵਰਤੋਂ ਲਈ ਵੱਖਰੀ ਹੈ। ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਖਤਰਨਾਕ ਪੇਲੋਡ JSON ਕੌਂਫਿਗਰੇਸ਼ਨ ਫਾਈਲਾਂ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ ਖੋਜ ਨੂੰ ਟਰਿੱਗਰ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਹੋ ਜਾਂਦੀ ਹੈ।
• ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਇੱਕ ਦਸਤਖਤ ਕੀਤੇ ਇਲੈਕਟ੍ਰੌਨ-ਅਧਾਰਿਤ ਐਪਲੀਕੇਸ਼ਨ ਰਾਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਮਾਪਿਆਂ-ਪ੍ਰਕਿਰਿਆ-ਅਧਾਰਿਤ ਖੋਜ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।
• ਦ੍ਰਿੜਤਾ ਅਤੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪੂਰੀ ਤਰ੍ਹਾਂ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਅੰਦਰ ਜਾਇਜ਼ ਪਲੱਗਇਨ ਵਿਧੀਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ।

ਵਿੰਡੋਜ਼ ਇਨਫੈਕਸ਼ਨ ਚੇਨ: ਲੋਡਰ ਤੋਂ ਮੈਮੋਰੀ-ਰੈਜ਼ੀਡੈਂਟ ਬੈਕਡੋਰ ਤੱਕ

ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ, ਹਮਲਾ ਇੱਕ PowerShell-ਅਧਾਰਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਜੋ PHANTOMPULL ਨਾਮਕ ਇੱਕ ਵਿਚਕਾਰਲੇ ਲੋਡਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਇਹ ਲੋਡਰ ਡਿਸਕ-ਅਧਾਰਿਤ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹੋਏ, PHANTOMPULSE ਨੂੰ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਡਿਕ੍ਰਿਪਟ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ।

PHANTOMPULSE, Ethereum ਨੈੱਟਵਰਕ ਦੀ ਪੁੱਛਗਿੱਛ ਕਰਕੇ ਬਲਾਕਚੈਨ-ਅਧਾਰਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਰੈਜ਼ੋਲਿਊਸ਼ਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ। ਇਹ ਆਪਣੇ C2 ਸਰਵਰ ਨੂੰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਇੱਕ ਹਾਰਡ-ਕੋਡ ਕੀਤੇ ਵਾਲਿਟ ਪਤੇ ਨਾਲ ਜੁੜੇ ਨਵੀਨਤਮ ਲੈਣ-ਦੇਣ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਸੰਚਾਰ WinHTTP ਦੁਆਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਕਮਾਂਡ ਪ੍ਰਾਪਤੀ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਰਿਪੋਰਟਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਰਿਮੋਟ ਕੰਟਰੋਲ ਸਮਰੱਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਮੂਹ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ:

• ਇੰਜੈਕਟ: ਸ਼ੈੱਲਕੋਡ, DLL, ਜਾਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।
• ਡ੍ਰੌਪ: ਡਿਸਕ ਤੇ ਫਾਈਲਾਂ ਲਿਖਦਾ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ
• ਸਕ੍ਰੀਨਸ਼ੌਟ: ਸਕ੍ਰੀਨ ਡੇਟਾ ਨੂੰ ਕੈਪਚਰ ਅਤੇ ਅਪਲੋਡ ਕਰਦਾ ਹੈ
• ਕੀਲੌਗ: ਕੀਸਟ੍ਰੋਕ ਲੌਗਿੰਗ ਨੂੰ ਸਮਰੱਥ ਜਾਂ ਅਯੋਗ ਕਰਦਾ ਹੈ
• ਅਣਇੰਸਟੌਲ ਕਰੋ: ਸਥਿਰਤਾ ਵਿਧੀ ਨੂੰ ਹਟਾਉਂਦਾ ਹੈ ਅਤੇ ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ ਨੂੰ ਸਾਫ਼ ਕਰਦਾ ਹੈ
• ਐਲੀਵੇਟ: COM ਐਲੀਵੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ SYSTEM ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।
• ਡਾਊਨਗ੍ਰੇਡ: ਸਿਸਟਮ ਤੋਂ ਪ੍ਰਸ਼ਾਸਕ ਪੱਧਰ ਤੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ।

macOS ਵੇਰੀਐਂਟ: ਔਫਸਕੇਸ਼ਨ ਅਤੇ ਲਚਕਦਾਰ C2 ਬੁਨਿਆਦੀ ਢਾਂਚਾ

macOS 'ਤੇ, ਹਮਲਾ ਉਸੇ ਪਲੱਗਇਨ ਵਿਧੀ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤੀ ਗਈ ਇੱਕ ਅਸਪਸ਼ਟ AppleScript ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਸਕ੍ਰਿਪਟ ਡੋਮੇਨਾਂ ਦੀ ਇੱਕ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਸੂਚੀ ਵਿੱਚੋਂ ਲੰਘਦੀ ਹੈ ਅਤੇ C2 ਖੋਜ ਲਈ ਟੈਲੀਗ੍ਰਾਮ ਨੂੰ ਫਾਲਬੈਕ ਡੈੱਡ-ਡ੍ਰੌਪ ਰੈਜ਼ੋਲਵਰ ਵਜੋਂ ਵਰਤਦੀ ਹੈ। ਇਹ ਡਿਜ਼ਾਈਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਤੇਜ਼ ਰੋਟੇਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਰਵਾਇਤੀ ਡੋਮੇਨ-ਬਲਾਕਿੰਗ ਰਣਨੀਤੀਆਂ ਨੂੰ ਬੇਅਸਰ ਬਣਾਉਂਦਾ ਹੈ।

ਅੰਤਿਮ ਪੜਾਅ ਵਿੱਚ ਓਸਾਸਕ੍ਰਿਪਟ ਰਾਹੀਂ ਇੱਕ ਸੈਕੰਡਰੀ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ ਸ਼ਾਮਲ ਹੈ। ਹਾਲਾਂਕਿ, ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਸਮੇਂ C2 ਸਰਵਰਾਂ ਦੇ ਨਾ-ਸਰਗਰਮ ਹੋਣ ਕਾਰਨ, ਇਸ ਪੇਲੋਡ ਦੀਆਂ ਪੂਰੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਨਿਸ਼ਚਿਤ ਰਹਿੰਦੀਆਂ ਹਨ।

ਹਮਲੇ ਦੇ ਨਤੀਜੇ ਅਤੇ ਰਣਨੀਤਕ ਪ੍ਰਭਾਵ

ਦੇਖਿਆ ਗਿਆ ਘੁਸਪੈਠ ਅੰਤ ਵਿੱਚ ਅਸਫਲ ਰਿਹਾ, ਕਿਉਂਕਿ ਰੱਖਿਆਤਮਕ ਉਪਾਵਾਂ ਨੇ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਹਮਲੇ ਦਾ ਪਤਾ ਲਗਾਇਆ ਅਤੇ ਰੋਕ ਦਿੱਤਾ। ਫਿਰ ਵੀ, REF6598 ਧਮਕੀ ਅਦਾਕਾਰ ਵਿਧੀ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

ਭਰੋਸੇਯੋਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਅਤੇ ਉਪਭੋਗਤਾ-ਸੰਚਾਲਿਤ ਸੰਰਚਨਾ ਤਬਦੀਲੀਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਕੇ, ਵਿਰੋਧੀ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦੇ ਹਨ। ਇਹ ਪਹੁੰਚ ਇੱਕ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ: ਗੁਪਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੈਨਲਾਂ ਵਜੋਂ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਹਥਿਆਰੀਕਰਨ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਚਾਅ ਵਿੱਚ ਉਪਭੋਗਤਾ ਜਾਗਰੂਕਤਾ ਅਤੇ ਵਿਵਹਾਰਕ ਨਿਗਰਾਨੀ ਨੂੰ ਵਧਾਉਣ ਦੀ ਜ਼ਰੂਰਤ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ।