PicassoLoader Malware

Infosec ਮਾਹਰਾਂ ਨੇ ਯੂਕਰੇਨ ਅਤੇ ਪੋਲੈਂਡ ਵਿੱਚ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਸਾਈਬਰ ਅਟੈਕ ਮੁਹਿੰਮਾਂ ਦੀ ਇੱਕ ਲੜੀ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਫੌਜੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਨਾਗਰਿਕ ਉਪਭੋਗਤਾਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ। ਇਹਨਾਂ ਮੁਹਿੰਮਾਂ ਦਾ ਉਦੇਸ਼ ਗੈਰ-ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਨਿਰੰਤਰ ਰਿਮੋਟ ਪਹੁੰਚ ਸਥਾਪਤ ਕਰਨਾ ਹੈ।

ਅਪ੍ਰੈਲ 2022 ਤੋਂ ਜੁਲਾਈ 2023 ਤੱਕ ਦੀ ਮਿਆਦ ਫੈਲੀ, ਇਹ ਘੁਸਪੈਠ ਮੁਹਿੰਮ ਵੱਖ-ਵੱਖ ਚਾਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਫਿਸ਼ਿੰਗ ਲਾਲਚ ਅਤੇ ਧੋਖੇਬਾਜ਼ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਪੀੜਤਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਅਤੇ PicassoLoader ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਡਾਊਨਲੋਡਰ ਮਾਲਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦੇਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਸੌਫਟਵੇਅਰ ਹੋਰ ਅਸੁਰੱਖਿਅਤ ਟੂਲਸ, ਖਾਸ ਤੌਰ 'ਤੇ Cobalt Strike ਬੀਕਨ ਅਤੇ njRAT ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਗੇਟਵੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

ਫਿਸ਼ਿੰਗ ਲੁਭਾਉਣੇ ਧੋਖੇਬਾਜ਼ ਤਕਨੀਕਾਂ ਹਨ ਜੋ ਵਿਅਕਤੀਆਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ, ਜਿਵੇਂ ਕਿ ਉਪਭੋਗਤਾ ਨਾਮ, ਪਾਸਵਰਡ ਜਾਂ ਖਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਖੁਲਾਸਾ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਡੀਕੌਏ ਦਸਤਾਵੇਜ਼ ਭੇਸ ਵਾਲੀਆਂ ਫਾਈਲਾਂ ਹਨ ਜੋ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ ਪਰ ਅਸਲ ਵਿੱਚ ਅਸੁਰੱਖਿਅਤ ਪੇਲੋਡ ਸ਼ਾਮਲ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ ਇਹਨਾਂ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਲਈ ਭਰਮਾਉਣ ਦੁਆਰਾ, ਹਮਲਾਵਰ ਆਪਣੇ ਸਿਸਟਮਾਂ 'ਤੇ ਪਿਕਾਸੋਲੋਡਰ ਡਾਊਨਲੋਡਰ ਨੂੰ ਚਲਾ ਸਕਦੇ ਹਨ।

ਇੱਕ ਵਾਰ PicassoLoader ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਹ ਹਮਲੇ ਦੇ ਅਗਲੇ ਪੜਾਅ ਲਈ ਇੱਕ ਨਲੀ ਦਾ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਦੋ ਵਾਧੂ ਕਿਸਮਾਂ ਦੇ ਮਾਲਵੇਅਰ ਦੀ ਸਥਾਪਨਾ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ: ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਅਤੇ ਐਨਜੇਆਰਏਟੀ। ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਇੱਕ ਵਧੀਆ ਪ੍ਰਵੇਸ਼ ਜਾਂਚ ਟੂਲ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ njRAT ਲਈ, ਇਹ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਪ੍ਰਣਾਲੀਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਰਿਮੋਟ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਅਣਪਛਾਤੇ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

PicassoLoader Malware ਨੂੰ ਮਲਟੀਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ

ਪਿਕਾਸੋਲੋਡਰ ਦੇ ਪਿੱਛੇ ਹਮਲਾਵਰਾਂ ਨੇ ਆਪਣੀਆਂ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਮਲਟੀਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਵਿੱਚ ਮਾਈਕਰੋਸਾਫਟ ਆਫਿਸ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਸੀ, ਜਿਸ ਵਿੱਚ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਕਸਲ ਅਤੇ ਪਾਵਰਪੁਆਇੰਟ ਫਾਈਲ ਫਾਰਮੈਟ ਸਭ ਤੋਂ ਵੱਧ ਆਮ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਹਨ। ਇਹ ਦਸਤਾਵੇਜ਼ ਹਮਲੇ ਲਈ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ।

ਦਫਤਰ ਦੇ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਬਾਅਦ, ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਡਾਉਨਲੋਡਰ ਅਤੇ ਪੇਲੋਡ ਇੱਕ ਚਿੱਤਰ ਫਾਈਲ ਵਿੱਚ ਛੁਪੇ ਹੋਏ ਹਨ। ਇਹ ਚਾਲ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਲਈ ਡਾਊਨਲੋਡਰ ਅਤੇ ਪੇਲੋਡ ਦੀ ਖੋਜ ਨੂੰ ਵਧੇਰੇ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਣ ਲਈ ਵਰਤੀ ਗਈ ਸੀ। ਇੱਕ ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਅੰਦਰ ਛੁਪ ਕੇ, ਹਮਲਾਵਰਾਂ ਦਾ ਟੀਚਾ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ ਅਤੇ ਸਫਲ ਘੁਸਪੈਠ ਦੀਆਂ ਸੰਭਾਵਨਾਵਾਂ ਨੂੰ ਵਧਾਉਣਾ ਹੈ।

ਇਹਨਾਂ ਵਿੱਚੋਂ ਕੁਝ ਹਮਲਿਆਂ ਨੂੰ ਘੋਸਟ ਰਾਈਟਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਗਿਆ ਹੈ, ਜਿਸਨੂੰ UAC-0057 ਜਾਂ UNC1151 ਵਜੋਂ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਗੋਸਟ ਰਾਈਟਰ ਦੀਆਂ ਪ੍ਰੇਰਣਾਵਾਂ ਅਤੇ ਉਦੇਸ਼ ਬੇਲਾਰੂਸ ਸਰਕਾਰ ਦੇ ਹਿੱਤਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ।

ਯੂਕਰੇਨ ਦੇ ਖਿਲਾਫ ਕਈ ਨਿਸ਼ਾਨਾ ਹਮਲੇ ਦੇਖੇ ਗਏ ਹਨ

ਜ਼ਿਕਰਯੋਗ ਹੈ ਕਿ ਪਿਛਲੇ ਸਾਲ ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਦੁਆਰਾ ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਦਾ ਇੱਕ ਉਪ ਸਮੂਹ ਪਹਿਲਾਂ ਹੀ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਵਿੱਚ ਦਰਜ ਕੀਤਾ ਗਿਆ ਸੀ। ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਉਦਾਹਰਣ ਜੁਲਾਈ 2022 ਵਿੱਚ ਆਈ, ਜਿੱਥੇ Agent Tesla ਮਾਲਵੇਅਰ ਨੂੰ ਡਿਲੀਵਰ ਕਰਨ ਲਈ ਮੈਕਰੋ ਨਾਲ ਭਰੇ ਪਾਵਰਪੁਆਇੰਟ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਸੀ। ਇਸ ਘਟਨਾ ਨੇ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਅਤੇ ਪੀੜਤਾਂ ਦੇ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਸਾਧਨ ਵਜੋਂ ਮੈਕਰੋ ਦੀ ਵਰਤੋਂ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ।

ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਜਾਣ ਵਾਲੀਆਂ ਇਨਫੈਕਸ਼ਨ ਚੇਨਾਂ ਆਫਿਸ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਮੈਕਰੋ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਪੀੜਤਾਂ ਨੂੰ ਯਕੀਨ ਦਿਵਾਉਣ ਲਈ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਤਰੀਕਿਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ। ਇੱਕ ਵਾਰ ਮੈਕਰੋ ਦੇ ਸਮਰੱਥ ਹੋਣ 'ਤੇ, ਇੱਕ VBA ਮੈਕਰੋ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ PicassoLoader DLL ਡਾਊਨਲੋਡਰ ਖ਼ਤਰੇ ਦੀ ਤੈਨਾਤੀ ਹੋ ਜਾਂਦੀ ਹੈ। ਇਹ ਡਾਉਨਲੋਡਰ ਫਿਰ ਅਗਲੀ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਾਈਟ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਜੋ ਇੱਕ ਜਾਇਜ਼ ਜਾਇਜ਼ ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤਾ ਗਿਆ ਹੈ। ਅੰਤਮ ਮਾਲਵੇਅਰ ਇਸ ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਅੰਦਰ ਛੁਪਿਆ ਹੋਇਆ ਹੈ।

CERT-UA ਦੁਆਰਾ ਇਹ ਤਾਜ਼ਾ ਖੁਲਾਸੇ SmokeLoader ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਵਾਲੇ ਕਈ ਫਿਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨਾਂ 'ਤੇ ਉਨ੍ਹਾਂ ਦੀ ਰਿਪੋਰਟਿੰਗ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਨ੍ਹਾਂ ਦੇ ਖਾਤਿਆਂ 'ਤੇ ਅਣਅਧਿਕਾਰਤ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਟੈਲੀਗ੍ਰਾਮ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਮੁਸਕਰਾਉਣ ਵਾਲੇ ਹਮਲੇ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ।

ਗੋਸਟ ਰਾਈਟਰ ਯੂਕਰੇਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ

ਬਦਨਾਮ ਰੂਸੀ ਰਾਸ਼ਟਰ-ਰਾਜ ਸਮੂਹ APT28 ਸਮੇਤ ਯੂਕਰੇਨ ਕਈ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦਾ ਨਿਸ਼ਾਨਾ ਬਣ ਗਿਆ ਹੈ। APT28 ਨੂੰ HTML ਅਟੈਚਮੈਂਟਾਂ ਦੇ ਨਾਲ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਭੇਜਣ ਦੀ ਇੱਕ ਚਾਲ ਵਰਤਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਇਹ ਵਿਸ਼ਵਾਸ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਗਿਆ ਹੈ ਕਿ ਉਹਨਾਂ ਦੇ UKR.NET ਅਤੇ Yahoo! ਵਿੱਚ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀ ਹੈ। ਖਾਤੇ। ਈਮੇਲਾਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਪਣੇ ਪਾਸਵਰਡ ਬਦਲਣ ਲਈ ਪ੍ਰੇਰਦੀਆਂ ਹਨ ਪਰ ਇਸਦੀ ਬਜਾਏ, ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਜਾਅਲੀ ਲੈਂਡਿੰਗ ਪੰਨਿਆਂ ਵੱਲ ਲੈ ਜਾਂਦੇ ਹਨ।

ਇਹ ਤਾਜ਼ਾ ਵਿਕਾਸ ਰੂਸੀ ਮਿਲਟਰੀ ਇੰਟੈਲੀਜੈਂਸ (ਜੀਆਰਯੂ) ਨਾਲ ਜੁੜੇ ਹੈਕਰਾਂ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਇੱਕ ਵਿਆਪਕ ਪੈਟਰਨ ਦਾ ਹਿੱਸਾ ਹੈ। ਉਹਨਾਂ ਨੇ ਆਪਣੇ ਹਮਲਿਆਂ ਦੀ ਗਤੀ, ਪੈਮਾਨੇ ਅਤੇ ਤੀਬਰਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਕੋਸ਼ਿਸ਼ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹੋਏ, ਯੂਕਰੇਨ ਦੇ ਵਿਰੁੱਧ ਆਪਣੇ ਵਿਘਨਕਾਰੀ ਕਾਰਜਾਂ ਵਿੱਚ ਇੱਕ 'ਮਿਆਰੀ ਪੰਜ-ਪੜਾਅ ਪਲੇਬੁੱਕ' ਨੂੰ ਅਪਣਾਇਆ ਹੈ।