PLUGGYAPE ਮਾਲਵੇਅਰ
ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ (CERT-UA) ਨੇ ਰਾਸ਼ਟਰੀ ਰੱਖਿਆ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਸਾਈਬਰ ਕਾਰਵਾਈਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਅਕਤੂਬਰ ਅਤੇ ਦਸੰਬਰ 2025 ਦੇ ਵਿਚਕਾਰ ਦੇਖੇ ਗਏ ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਵਿੱਚ PLUGGYAPE ਨਾਮਕ ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਤਣਾਅ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਯੂਕਰੇਨੀ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਨਿਰਦੇਸ਼ਿਤ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਅਤੇ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ ਦੋਵਾਂ ਵਿੱਚ ਨਿਰੰਤਰ ਵਿਕਾਸ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਵਿਸ਼ੇਸ਼ਤਾ ਅਤੇ ਧਮਕੀ ਅਦਾਕਾਰ ਪ੍ਰੋਫਾਈਲ
ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ, ਦਰਮਿਆਨੇ ਭਰੋਸੇ ਨਾਲ, ਰੂਸ-ਅਨੁਕੂਲ ਹੈਕਿੰਗ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਜਿਸਨੂੰ ਵੋਇਡ ਬਲਿਜ਼ਾਰਡ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ ਲਾਂਡਰੀ ਬੀਅਰ ਜਾਂ UAC-0190 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਖੁਫੀਆ ਮੁਲਾਂਕਣ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ ਅਪ੍ਰੈਲ 2024 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਉਨ੍ਹਾਂ ਦੇ ਹਾਲੀਆ ਕਾਰਜ ਫੌਜੀ ਅਤੇ ਰੱਖਿਆ-ਸਬੰਧਤ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਕੇਂਦ੍ਰਿਤ ਦਿਲਚਸਪੀ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।
ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ
ਇਨਫੈਕਸ਼ਨ ਲੜੀ ਸ਼ੋਸ਼ਣ ਨਾਲ ਨਹੀਂ, ਸਗੋਂ ਧੋਖੇ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਿਗਨਲ ਅਤੇ ਵਟਸਐਪ ਵਰਗੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਭਰੋਸੇਮੰਦ ਇੰਸਟੈਂਟ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਰਾਹੀਂ ਸੰਪਰਕ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ। ਚੈਰੀਟੇਬਲ ਸੰਸਥਾਵਾਂ ਦੇ ਪ੍ਰਤੀਨਿਧੀਆਂ ਵਜੋਂ ਪੇਸ਼ ਹੋ ਕੇ, ਉਹ ਪੀੜਤਾਂ ਨੂੰ ਨਕਲੀ ਮਾਨਵਤਾਵਾਦੀ ਵੈੱਬਸਾਈਟਾਂ ਵੱਲ ਲੈ ਜਾਣ ਵਾਲੇ ਲਿੰਕ ਖੋਲ੍ਹਣ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ harthulp-ua.com ਅਤੇ solidarity-help.org ਵਰਗੇ ਡੋਮੇਨ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਸਾਈਟਾਂ ਜਾਇਜ਼ ਬੁਨਿਆਦਾਂ ਦੀ ਨਕਲ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਪੁਰਾਲੇਖਾਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਦੀਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਖਤਰਨਾਕ ਪੇਲੋਡ ਹੁੰਦਾ ਹੈ।
ਹਮਲਾਵਰ ਯੂਕਰੇਨੀ ਮੋਬਾਈਲ ਆਪਰੇਟਰਾਂ ਨਾਲ ਜੁੜੇ ਸਮਝੌਤਾ ਕੀਤੇ ਜਾਂ ਯਕੀਨਨ ਤਿਆਰ ਕੀਤੇ ਖਾਤਿਆਂ 'ਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਸੰਚਾਰ ਯੂਕਰੇਨੀ ਭਾਸ਼ਾ ਵਿੱਚ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਇਸ ਵਿੱਚ ਵੌਇਸ ਜਾਂ ਵੀਡੀਓ ਕਾਲਾਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਬਹੁਤ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਵਿਰੋਧੀ ਪੀੜਤ ਦੇ ਪਿਛੋਕੜ, ਸੰਗਠਨ ਅਤੇ ਸੰਚਾਲਨ ਸੰਦਰਭ ਨਾਲ ਵਿਸਤ੍ਰਿਤ ਜਾਣੂਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਯਤਨਾਂ ਦੀ ਸਫਲਤਾ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਵਾਧਾ ਹੁੰਦਾ ਹੈ।
ਪਲੱਗਇਨ ਦੇ ਅੰਦਰ: ਮਾਲਵੇਅਰ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਵਿਕਾਸ
ਡਾਊਨਲੋਡ ਕੀਤੇ ਪੁਰਾਲੇਖ PyInstaller ਨਾਲ ਬਣੇ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ, ਜੋ PLUGGYAPE ਬੈਕਡੋਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ। Python ਵਿੱਚ ਲਿਖਿਆ, ਮਾਲਵੇਅਰ ਓਪਰੇਟਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਰਿਮੋਟਲੀ ਆਰਬਿਟਰੇਰੀ ਕੋਡ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਸਮੇਂ ਦੇ ਨਾਲ, ਨਵੇਂ ਰੂਪਾਂ ਵਿੱਚ ਮਜ਼ਬੂਤ ਔਫਫਸਕੇਸ਼ਨ ਤਕਨੀਕਾਂ ਅਤੇ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਧੀਆਂ ਸ਼ਾਮਲ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ ਜੋ ਵਰਚੁਅਲਾਈਜ਼ਡ ਜਾਂ ਖੋਜ ਵਾਤਾਵਰਣ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਰੋਕਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ।
PLUGGYAPE WebSocket ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ ਆਪਰੇਟਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ ਅਤੇ, ਦਸੰਬਰ 2025 ਤੱਕ, MQTT ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਵੀ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਲਚਕਤਾ ਅਤੇ ਲਚਕਤਾ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਇਹ ਸੰਚਾਰ ਚੈਨਲ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹੋਸਟਾਂ 'ਤੇ ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਤੇਜ਼ੀ ਨਾਲ ਕੰਮ ਕਰਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।
ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਲਚਕੀਲਾਪਣ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਸੁਰੱਖਿਆ
ਕੰਟਰੋਲ ਸਰਵਰ ਐਡਰੈੱਸਾਂ ਨੂੰ ਸਿੱਧੇ ਮਾਲਵੇਅਰ ਵਿੱਚ ਏਮਬੈਡ ਕਰਨ ਦੀ ਬਜਾਏ, ਆਪਰੇਟਰ rentry.co ਅਤੇ pastebin.com ਵਰਗੀਆਂ ਜਨਤਕ ਪੇਸਟ ਸੇਵਾਵਾਂ ਤੋਂ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਐਂਡਪੁਆਇੰਟ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਇਹ ਐਡਰੈੱਸ base64-ਏਨਕੋਡਡ ਰੂਪ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਮਾਲਵੇਅਰ ਨੂੰ ਦੁਬਾਰਾ ਤਾਇਨਾਤ ਕੀਤੇ ਬਿਨਾਂ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਬਦਲ ਸਕਦੇ ਹਨ। ਇਹ ਪਹੁੰਚ ਟੇਕਡਾਊਨ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀ ਹੈ ਅਤੇ ਜੇਕਰ ਜਾਣੇ-ਪਛਾਣੇ ਸਰਵਰਾਂ ਦੀ ਖੋਜ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਉਹਨਾਂ ਵਿੱਚ ਵਿਘਨ ਪੈਂਦਾ ਹੈ ਤਾਂ ਕਾਰਜਸ਼ੀਲ ਨਿਰੰਤਰਤਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।
ਮੈਸੇਂਜਰ-ਅਧਾਰਤ ਧਮਕੀ ਡਿਲੀਵਰੀ ਵੱਲ ਇੱਕ ਵਿਸ਼ਾਲ ਤਬਦੀਲੀ
CERT-UA ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ ਕਿ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ ਅਤੇ ਨਿੱਜੀ ਕੰਪਿਊਟਰਾਂ ਦੋਵਾਂ 'ਤੇ ਪ੍ਰਸਿੱਧ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੇਜ਼ੀ ਨਾਲ ਸਾਈਬਰ ਖ਼ਤਰੇ ਦੀ ਵੰਡ ਲਈ ਮੁੱਖ ਚੈਨਲ ਬਣ ਰਹੀਆਂ ਹਨ। ਉਨ੍ਹਾਂ ਦੀ ਸਰਵਵਿਆਪੀਤਾ, ਉਪਭੋਗਤਾ ਵਿਸ਼ਵਾਸ ਅਤੇ ਅਸਲ-ਸਮੇਂ ਦੀ ਗੱਲਬਾਤ ਦੇ ਨਾਲ, ਉਨ੍ਹਾਂ ਨੂੰ ਖਤਰਨਾਕ ਸਾਧਨਾਂ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਅਤੇ ਪੀੜਤਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਨ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਪਲੇਟਫਾਰਮ ਬਣਾਉਂਦੀ ਹੈ।
