PLAYFULGHOST ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਉੱਭਰ ਰਹੇ ਖਤਰੇ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜਿਸਨੂੰ ਪਲੇਫੁਲਗੋਸਟ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਬੈਕਡੋਰ ਜੋ ਜਾਣਕਾਰੀ-ਕਟਾਈ ਫੰਕਸ਼ਨਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਪੈਕਟ੍ਰਮ ਨਾਲ ਲੈਸ ਹੈ। ਇਸ ਵਿੱਚ ਕੀਲੌਗਿੰਗ, ਸਕ੍ਰੀਨ ਅਤੇ ਆਡੀਓ ਕੈਪਚਰ, ਰਿਮੋਟ ਸ਼ੈੱਲ ਐਕਸੈਸ ਅਤੇ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਜਾਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਸ਼ਾਮਲ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
Gh0st RAT ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ
PLAYFULGHOST Gh0st RAT ਦੇ ਨਾਲ ਕਾਰਜਸ਼ੀਲ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਰਿਮੋਟ ਐਡਮਿਨਿਸਟ੍ਰੇਸ਼ਨ ਟੂਲ ਜੋ 2008 ਵਿੱਚ ਇਸਦੇ ਸਰੋਤ ਕੋਡ ਦੇ ਲੀਕ ਹੋਣ ਤੋਂ ਬਾਅਦ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹੋ ਗਿਆ ਸੀ। ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਪਲੇਫੁਲਗੋਸਟ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੇ ਸੁਧਾਰਾਂ ਅਤੇ ਵਿਕਾਸ ਨੂੰ ਪੇਸ਼ ਕਰਦੇ ਹੋਏ ਪੁਰਾਣੇ ਟੂਲ ਦੀ ਬੁਨਿਆਦ 'ਤੇ ਬਣਾਇਆ ਹੋ ਸਕਦਾ ਹੈ। ਇਸ ਦੀ ਸਮਰੱਥਾ.
ਸ਼ੁਰੂਆਤੀ ਲਾਗ ਵੈਕਟਰ
PLAYFULGHOST ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰ ਟਾਰਗੇਟ ਸਿਸਟਮਾਂ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਹਨਾਂ ਵਿੱਚ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਸ਼ਾਮਲ ਹਨ ਜੋ ਕੋਡ-ਆਫ-ਆਚਾਰ-ਸਬੰਧਤ ਥੀਮਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀਆਂ ਹਨ ਅਤੇ ਜਾਇਜ਼ VPN ਐਪਲੀਕੇਸ਼ਨਾਂ ਜਿਵੇਂ ਕਿ LetsVPN ਦੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣਾਂ ਨੂੰ ਵੰਡਣ ਲਈ SEO ਜ਼ਹਿਰੀਲੀ ਰਣਨੀਤੀਆਂ ਨੂੰ ਵਰਤਦੀਆਂ ਹਨ।
ਇੱਕ ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ, ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਖਰਾਬ RAR ਪੁਰਾਲੇਖ ਖੋਲ੍ਹਣ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਇੱਕ ਗੁੰਮਰਾਹਕੁੰਨ '.jpg' ਐਕਸਟੈਂਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕਰੇਡ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਐਕਸਟਰੈਕਟ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਪੁਰਾਲੇਖ ਇੱਕ ਹਾਨੀਕਾਰਕ ਵਿੰਡੋਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਛੱਡਦਾ ਹੈ, ਜੋ ਫਿਰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਪਲੇਫੁਲਗੋਸਟ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ।
ਐਸਈਓ ਜ਼ਹਿਰ, ਦੂਜੇ ਪਾਸੇ, ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ LetsVPN ਸਥਾਪਕ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਲਈ ਅਸੰਭਵ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, ਇਹ ਇੰਸਟੌਲਰ ਇੱਕ ਵਿਚੋਲੇ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜੋ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਮੁੱਖ ਭਾਗਾਂ ਨੂੰ ਲਿਆਉਂਦਾ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਕਰਦਾ ਹੈ।
ਉੱਨਤ ਚੋਰੀ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਰਣਨੀਤੀਆਂ
PLAYFULGHOST ਖੋਜ ਤੋਂ ਭੱਜਣ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਪੈਰ ਜਮਾਉਣ ਲਈ ਵੱਖ-ਵੱਖ ਸਟੀਲਥ ਤਕਨੀਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤਾ DLL ਪੇਸ਼ ਕਰਨ ਲਈ DLL ਖੋਜ ਆਰਡਰ ਹਾਈਜੈਕਿੰਗ ਅਤੇ DLL ਸਾਈਡਲੋਡਿੰਗ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਫਿਰ ਡਿਕ੍ਰਿਪਟ ਅਤੇ ਮੈਮੋਰੀ ਵਿੱਚ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।
ਇੱਕ ਹੋਰ ਵਿਸਤ੍ਰਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਿਧੀ ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ ਫਾਈਲ ('QQLaunch.lnk') ਦੀ ਵਰਤੋਂ ਨੂੰ ਦੇਖਿਆ, ਜੋ ਇੱਕ ਠੱਗ DLL ਬਣਾਉਣ ਲਈ ਦੋ ਵਾਧੂ ਫਾਈਲਾਂ ('h' ਅਤੇ 't') ਨੂੰ ਜੋੜਦਾ ਹੈ। ਇਸ DLL ਨੂੰ 'curl.exe' ਦੇ ਇੱਕ ਬਦਲੇ ਹੋਏ ਸੰਸਕਰਣ ਦੁਆਰਾ ਸਾਈਡਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀ ਗੁਪਤ ਤੈਨਾਤੀ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਨਿਰੰਤਰਤਾ ਅਤੇ ਡੇਟਾ ਸੰਗ੍ਰਹਿ
ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, PLAYFULGHOST ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲਾਗ ਵਾਲੇ ਸਿਸਟਮ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ (ਰਨ ਕੁੰਜੀ) ਨੂੰ ਸੋਧਣਾ, ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾਉਣਾ, ਵਿੰਡੋਜ਼ ਸਟਾਰਟਅਪ ਫੋਲਡਰ ਵਿੱਚ ਐਂਟਰੀਆਂ ਸ਼ਾਮਲ ਕਰਨਾ, ਅਤੇ ਵਿੰਡੋਜ਼ ਸੇਵਾ ਵਜੋਂ ਰਜਿਸਟਰ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
ਬੈਕਡੋਰ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਇਸ ਨੂੰ ਕੀਸਟ੍ਰੋਕ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ, ਆਡੀਓ ਰਿਕਾਰਡਿੰਗਾਂ, ਕਲਿੱਪਬੋਰਡ ਡੇਟਾ, ਸਥਾਪਿਤ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੇ ਵੇਰਵੇ, ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ ਅਤੇ QQ ਖਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਸਮੇਤ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਕੀਬੋਰਡ ਅਤੇ ਮਾਊਸ ਇਨਪੁਟਸ ਨੂੰ ਬਲੌਕ ਕਰਕੇ, ਇਵੈਂਟ ਲੌਗਸ ਨਾਲ ਛੇੜਛਾੜ ਕਰਕੇ, ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਸਮਗਰੀ ਨੂੰ ਕਲੀਅਰ ਕਰਕੇ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਆਪਸੀ ਤਾਲਮੇਲ ਵਿੱਚ ਵਿਘਨ ਪਾਉਣ ਲਈ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ।
PLAYFULGHOST ਫਾਈਲ ਹੇਰਾਫੇਰੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਇਸ ਨੂੰ Sogou, QQ, 360 Safety, Firefox ਅਤੇ Google Chrome ਵਰਗੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਬ੍ਰਾਊਜ਼ਰ ਕੈਚ ਅਤੇ ਪ੍ਰੋਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਸਕਾਈਪ, ਟੈਲੀਗ੍ਰਾਮ ਅਤੇ QQ ਵਰਗੇ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਜੁੜੇ ਪ੍ਰੋਫਾਈਲਾਂ ਅਤੇ ਸਥਾਨਕ ਸਟੋਰੇਜ ਨੂੰ ਹੋਰ ਹਟਾ ਸਕਦਾ ਹੈ।
ਵਾਧੂ ਸਾਧਨਾਂ ਦੀ ਤੈਨਾਤੀ
ਪਲੇਫੁਲਗੋਸਟ ਦੇ ਨਾਲ-ਨਾਲ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਪ੍ਰਣਾਲੀਆਂ 'ਤੇ ਆਪਣੇ ਨਿਯੰਤਰਣ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਪੂਰਕ ਸਾਧਨਾਂ ਦੀ ਤਾਇਨਾਤੀ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਵਿੱਚੋਂ Mimikatz , ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਪ੍ਰਮਾਣ-ਪੱਤਰ-ਡੰਪਿੰਗ ਟੂਲ, ਅਤੇ ਇੱਕ ਰੂਟਕਿਟ ਹੈ ਜੋ ਖਾਸ ਰਜਿਸਟਰੀ ਐਂਟਰੀਆਂ, ਫਾਈਲਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਟਰਮੀਨੇਟਰ ਨਾਮਕ ਇੱਕ ਓਪਨ-ਸਰੋਤ ਉਪਯੋਗਤਾ ਨੂੰ ਇੱਕ ਬ੍ਰਿੰਗ ਯੂਅਰ ਓਨ ਵੁਲਨੇਰੇਬਲ ਡ੍ਰਾਈਵਰ (BYOVD) ਤਕਨੀਕ ਦੁਆਰਾ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ।
ਘੱਟੋ-ਘੱਟ ਇੱਕ ਮੌਕੇ ਵਿੱਚ, PLAYFULGHOST ਨੂੰ BOOSTWAVE ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਸ਼ੈੱਲਕੋਡ-ਅਧਾਰਿਤ ਇਨ-ਮੈਮੋਰੀ ਡਰਾਪਰ ਜੋ ਜੋੜਿਆ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (PE) ਪੇਲੋਡਾਂ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।
ਇੱਕ ਸੰਭਾਵੀ ਟੀਚਾ ਜਨਸੰਖਿਆ
Sogou, QQ, ਅਤੇ 360 ਸੇਫਟੀ ਵਰਗੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਫੋਕਸ, LetsVPN ਦੀ ਇੱਕ ਲਾਲਚ ਵਜੋਂ ਵਰਤੋਂ ਦੇ ਨਾਲ, ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਮੁੱਖ ਤੌਰ 'ਤੇ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਵਿੰਡੋਜ਼ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਹੈ। ਹਾਲਾਂਕਿ, PLAYFULGHOST ਦੀਆਂ ਉੱਨਤ ਸਮਰੱਥਾਵਾਂ ਇਸ ਖਾਸ ਜਨਸੰਖਿਆ ਤੋਂ ਪਰੇ ਸ਼ੋਸ਼ਣ ਦੀ ਇੱਕ ਵਿਆਪਕ ਸੰਭਾਵਨਾ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।
