PowerModul Implant

ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਦਾਕਾਰ - ਜਿਸਨੂੰ GOFFEE ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ - ਪਾਵਰਮਾਡੂਲ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਇਮਪਲਾਂਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਰੂਸੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਜੁਲਾਈ ਅਤੇ ਦਸੰਬਰ 2024 ਦੇ ਵਿਚਕਾਰ, ਉਨ੍ਹਾਂ ਦੇ ਹਮਲੇ ਮੁੱਖ ਉਦਯੋਗਾਂ 'ਤੇ ਕੇਂਦਰਿਤ ਹੋ ਗਏ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਮਾਸ ਮੀਡੀਆ, ਦੂਰਸੰਚਾਰ, ਨਿਰਮਾਣ, ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਊਰਜਾ ਖੇਤਰ ਸ਼ਾਮਲ ਹਨ।

ਇੱਕ ਸਥਾਈ ਵਿਰੋਧੀ: 2022 ਤੋਂ ਮੁਹਿੰਮਾਂ

ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਨੇ 2022 ਤੋਂ ਲੈ ਕੇ ਹੁਣ ਤੱਕ ਘੱਟੋ-ਘੱਟ ਸੱਤ ਮੁਹਿੰਮਾਂ ਚਲਾਈਆਂ ਹਨ। ਸਮੂਹ ਦਾ ਨਿਰੰਤਰ ਧਿਆਨ ਸਰਕਾਰ, ਊਰਜਾ, ਵਿੱਤੀ ਅਤੇ ਮੀਡੀਆ ਖੇਤਰਾਂ ਦੇ ਅੰਦਰ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ 'ਤੇ ਰਿਹਾ ਹੈ।

ਜਾਸੂਸੀ ਤੋਂ ਵੱਧ: ਹਮਲੇ ਦੀਆਂ ਜ਼ੰਜੀਰਾਂ ਵਿੱਚ ਵਿਨਾਸ਼ਕਾਰੀ ਮੋੜ

ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਦੇ ਕੰਮ ਰਵਾਇਤੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਤੋਂ ਪਰੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੀਆਂ ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਵਿੱਚ ਵਿਘਨਕਾਰੀ ਹਿੱਸੇ ਸ਼ਾਮਲ ਹੁੰਦੇ ਦੇਖੇ ਗਏ ਹਨ, ਜਿਵੇਂ ਕਿ ਕਰਮਚਾਰੀ ਖਾਤੇ ਦੇ ਪਾਸਵਰਡ ਬਦਲਣਾ, ਜੋ ਕਿ ਸਿਰਫ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਦੇ ਇਰਾਦੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਨਾ ਕਿ ਕਾਰਜਾਂ ਨੂੰ ਵਿਗਾੜਨ ਦੇ।

ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ: ਫਿਸ਼ਿੰਗ ਲੁਅਰਸ ਅਤੇ ਪਾਵਰਆਰਏਟੀ

ਹਮਲੇ ਆਮ ਤੌਰ 'ਤੇ ਮੈਕਰੋ-ਲੇਸਡ ਦਸਤਾਵੇਜ਼ਾਂ ਵਾਲੇ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਪੀੜਤ ਫਾਈਲ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦਾ ਹੈ ਅਤੇ ਮੈਕਰੋ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਤਾਂ ਇੱਕ ਪਾਵਰਸ਼ੈਲ-ਅਧਾਰਤ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਜਿਸਨੂੰ PowerRAT ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਹੋਰ ਉੱਨਤ ਪੇਲੋਡ ਲਈ ਪੜਾਅ ਤੈਅ ਕਰਦਾ ਹੈ।

ਕਸਟਮ ਮਾਲਵੇਅਰ ਆਰਸਨਲ: ਪਾਵਰਟਾਸਕੇਲ, ਕਵਾਕਮਾਈਏਜੈਂਟ ਅਤੇ ਓਵੋਵਾ

ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡਾਂ ਵਿੱਚ ਅਕਸਰ PowerTaskel ਅਤੇ QwakMyAgent ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਜੋ ਕਿ ਮਿਥਿਕ ਫਰੇਮਵਰਕ 'ਤੇ ਅਧਾਰਤ ਏਜੰਟਾਂ ਦੇ ਕਸਟਮ ਸੰਸਕਰਣ ਹਨ। ਇੱਕ ਹੋਰ ਟੂਲ, Owowa, ਇੱਕ ਖਤਰਨਾਕ IIS ਮੋਡੀਊਲ, ਵੈੱਬ ਕਲਾਇੰਟਸ ਦੁਆਰਾ ਦਾਖਲ ਕੀਤੇ ਗਏ Microsoft Outlook ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਨਵੀਂ ਇਨਫੈਕਸ਼ਨ ਰਣਨੀਤੀ: RAR ਪੁਰਾਲੇਖਾਂ ਵਿੱਚ ਭੇਸ ਬਦਲੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ

ਹਮਲਿਆਂ ਦੀ ਨਵੀਨਤਮ ਲਹਿਰ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ RAR ਪੁਰਾਲੇਖ ਹੈ ਜਿਸ ਵਿੱਚ ਡਬਲ ਐਕਸਟੈਂਸ਼ਨਾਂ (ਜਿਵੇਂ ਕਿ *.pdf.exe) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ PDF ਜਾਂ Word ਦਸਤਾਵੇਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, ਇੱਕ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਉਪਭੋਗਤਾ ਨੂੰ ਦਿਖਾਇਆ ਜਾਂਦਾ ਹੈ ਜਦੋਂ ਕਿ ਸਿਸਟਮ ਚੁੱਪਚਾਪ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਸੰਕਰਮਿਤ ਹੁੰਦਾ ਹੈ।

ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਅਸਲ ਵਿੱਚ ਇੱਕ ਪੈਚ ਕੀਤੀ ਵਿੰਡੋਜ਼ ਸਿਸਟਮ ਫਾਈਲ ਹੈ (ਜਿਵੇਂ ਕਿ explorer.exe), ਜਿਸ ਵਿੱਚ ਇੱਕ ਗੁੰਝਲਦਾਰ ਮਿਥਿਕ ਏਜੰਟ ਵਾਲੇ ਖਤਰਨਾਕ ਸ਼ੈੱਲਕੋਡ ਨਾਲ ਏਮਬੈਡ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਹੋਰ ਹਦਾਇਤਾਂ ਲਈ C2 ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ।

ਵਿਕਲਪਿਕ ਹਮਲੇ ਦਾ ਰਸਤਾ: ਪਾਵਰਮਾਡਿਊਲ ਸੈਂਟਰ ਸਟੇਜ ਲੈਂਦਾ ਹੈ

ਇੱਕ ਵਿਕਲਪਿਕ ਢੰਗ ਵਿੱਚ, ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਇੱਕ ਮੈਕਰੋ-ਲੇਸਡ ਆਫਿਸ ਦਸਤਾਵੇਜ਼ ਦੇ ਨਾਲ ਇੱਕ RAR ਆਰਕਾਈਵ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ ਪਾਵਰਮਾਡਿਊਲ ਲਈ ਇੱਕ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਪਾਵਰਸ਼ੈਲ ਸਕ੍ਰਿਪਟ C2 ਸਰਵਰ ਤੋਂ ਵਾਧੂ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾ ਸਕਦੀ ਹੈ, ਇਸਨੂੰ ਇੱਕ ਬਹੁਪੱਖੀ ਬੈਕਡੋਰ ਬਣਾਉਂਦੀ ਹੈ।

ਪੇਲੋਡ ਪਰੇਡ: ਜਾਸੂਸੀ ਅਤੇ ਇਨਫੈਕਸ਼ਨ ਲਈ ਇੱਕ ਟੂਲਕਿੱਟ

ਪਾਵਰਮਾਡੁੱਲ 2024 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਵਰਤੋਂ ਵਿੱਚ ਆ ਰਿਹਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਪਾਵਰਟਾਸਕੇਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ। ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਪੇਲੋਡਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• FlashFileGrabber : ਫਲੈਸ਼ ਡਰਾਈਵਾਂ ਤੋਂ ਫਾਈਲਾਂ ਚੋਰੀ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢ ਦਿੰਦਾ ਹੈ।
• FlashFileGrabberOffline : ਫਲੈਸ਼ ਮੀਡੀਆ 'ਤੇ ਖਾਸ ਐਕਸਟੈਂਸ਼ਨਾਂ ਵਾਲੀਆਂ ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਉਹਨਾਂ ਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕਰਦਾ ਹੈ।
• USB ਵਰਮ : ਮਾਲਵੇਅਰ ਨੂੰ ਹੋਰ ਫੈਲਾਉਣ ਲਈ ਪਾਵਰਮਾਡਿਊਲ ਦੀ ਇੱਕ ਕਾਪੀ ਨਾਲ ਫਲੈਸ਼ ਡਰਾਈਵਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦਾ ਹੈ।

ਪਾਵਰਟਾਸਕੇਲ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ: ਸਿਰਫ਼ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਵੱਧ

ਜਦੋਂ ਕਿ PowerModul ਦੇ ਸਮਾਨ, PowerTaskel ਵਧੇਰੇ ਸਮਰੱਥ ਹੈ। ਇਹ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਇੱਕ 'ਚੈੱਕਇਨ' ਸੁਨੇਹਾ ਭੇਜਦਾ ਹੈ, C2 ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਚਲਾਉਂਦਾ ਹੈ, ਅਤੇ PsExec ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾ ਸਕਦਾ ਹੈ। ਇੱਕ ਮਾਮਲੇ ਵਿੱਚ, ਇਸਨੂੰ ਇੱਕ FolderFileGrabber ਸਕ੍ਰਿਪਟ ਚਲਾਉਂਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਸੀ ਜੋ ਹਾਰਡਕੋਡ ਕੀਤੇ SMB ਨੈੱਟਵਰਕ ਮਾਰਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਰਿਮੋਟ ਸਿਸਟਮਾਂ ਤੋਂ ਫਾਈਲਾਂ ਇਕੱਠੀਆਂ ਕਰਦਾ ਹੈ।

ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਵਿਕਾਸ: ਪਾਵਰਟਾਸਕਲ ਤੋਂ ਦੂਰ ਜਾਣਾ

ਪਹਿਲੀ ਵਾਰ, ਪੇਪਰ ਵੇਅਰਵੋਲਫ ਨੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਲਈ VBA ਸਕ੍ਰਿਪਟਾਂ ਵਾਲੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਵਰਡ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਹਾਲੀਆ ਖੋਜਾਂ ਇੱਕ ਰਣਨੀਤਕ ਤਬਦੀਲੀ ਨੂੰ ਵੀ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਸਮੂਹ ਪਾਵਰਟਾਸਕੇਲ ਤੋਂ ਦੂਰ ਜਾ ਰਿਹਾ ਹੈ ਅਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਲਈ ਬਾਈਨਰੀ ਮਿਥਿਕ ਏਜੰਟਾਂ 'ਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਨਿਰਭਰ ਕਰ ਰਿਹਾ ਹੈ।

ਅੰਤਿਮ ਵਿਚਾਰ: ਵਿਕਸਤ ਤਕਨੀਕਾਂ ਨਾਲ ਵਧਦਾ ਖ਼ਤਰਾ

ਪੇਪਰ ਵੇਅਰਵੁਲਫ ਆਪਣੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਸੁਧਾਰ ਰਿਹਾ ਹੈ ਅਤੇ ਆਪਣੇ ਅਸਲੇ ਦਾ ਵਿਸਤਾਰ ਕਰ ਰਿਹਾ ਹੈ। ਰੂਸੀ ਸੰਸਥਾਵਾਂ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਧਿਆਨ, ਵਿਘਨਕਾਰੀ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਇੱਕ ਵਿਕਸਤ ਹੋ ਰਹੀ ਇਨਫੈਕਸ਼ਨ ਰਣਨੀਤੀ ਦੇ ਨਾਲ, ਇਸਨੂੰ ਦੂਰੀ 'ਤੇ ਇੱਕ ਗੰਭੀਰ ਅਤੇ ਨਿਰੰਤਰ ਸਾਈਬਰ ਖ਼ਤਰਾ ਬਣਾਉਂਦਾ ਹੈ।