PureCrypter
ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦਾ ਇੱਕ ਸਮੂਹ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ (APAC) ਅਤੇ ਉੱਤਰੀ ਅਮਰੀਕੀ ਖੇਤਰਾਂ ਵਿੱਚ ਇੱਕ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡਰ ਨਾਲ PureCrypter ਨਾਲ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ 'ਤੇ ਹਮਲਾ ਕਰ ਰਿਹਾ ਹੈ। ਹਮਲੇ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਇਹਨਾਂ ਸੰਗਠਨਾਂ ਦੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਯੋਗ ਸਨ ਜਾਂ, ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਰੈਨਸਮਵੇਅਰ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮ ਨੂੰ ਬੰਧਕ ਬਣਾ ਲੈਂਦੇ ਸਨ। ਹਮਲੇ ਦੀ ਗੰਭੀਰਤਾ ਇਸ ਤੱਥ ਨਾਲ ਵਧਦੀ ਹੈ ਕਿ ਇਹ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਅਕਸਰ ਸੰਵੇਦਨਸ਼ੀਲ ਅਤੇ ਵਰਗੀਕ੍ਰਿਤ ਜਾਣਕਾਰੀ ਨੂੰ ਸਟੋਰ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਉਹ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਲਈ ਮੁੱਖ ਨਿਸ਼ਾਨੇ ਬਣਦੇ ਹਨ।
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਇਆ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਸ਼ੁਰੂਆਤੀ ਪੇਲੋਡ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਲਈ ਡਿਸਕਾਰਡ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਅਤੇ ਮੁਹਿੰਮ ਵਿੱਚ ਵਰਤੇ ਗਏ ਵਾਧੂ ਮੇਜ਼ਬਾਨਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਇੱਕ ਗੈਰ-ਮੁਨਾਫ਼ਾ ਸੰਗਠਨ ਨਾਲ ਸਮਝੌਤਾ ਵੀ ਕੀਤਾ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਮਾਲਵੇਅਰ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੇਲੋਡ ਨੂੰ ਵੰਡਣ ਲਈ ਡਿਸਕਾਰਡ ਵਰਗੇ ਇੱਕ ਜਾਇਜ਼ ਪਲੇਟਫਾਰਮ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਲਈ ਇਸਨੂੰ ਖੋਜਣਾ ਅਤੇ ਬਲੌਕ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੋ ਗਿਆ। ਮਾਲਵੇਅਰ ਰੈੱਡਲਾਈਨ ਸਟੀਲਰ, ਏਜੰਟਟੇਸਲਾ , ਈਟਰਨਿਟੀ , ਬਲੈਕਮੂਨ ਅਤੇ ਫਿਲਾਡੇਲਫੀਆ ਰੈਨਸਮਵੇਅਰ ਸਮੇਤ ਕਈ ਵੱਖ-ਵੱਖ ਮਾਲਵੇਅਰ ਤਣਾਅ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
PureCrypter ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਦਾ ਹਿੱਸਾ ਹੈ
PureCrypter ਮਾਲਵੇਅਰ ਡਾਉਨਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲਾ ਹਮਲਾ ਇੱਕ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਹੈ ਜਿਸ ਵਿੱਚ ਡਿਸਕਾਰਡ ਐਪਲੀਕੇਸ਼ਨ URL ਹੈ। ਇਹ URL ਇੱਕ PureCrypter ਨਮੂਨੇ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ ਜੋ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ZIP ਆਰਕਾਈਵ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। PureCrypter ਇੱਕ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡਰ ਹੈ ਜੋ .NET-ਅਧਾਰਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਸ ਦਾ ਆਪਰੇਟਰ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਦੇ ਉਦੇਸ਼ ਲਈ ਇਸਨੂੰ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਕਿਰਾਏ 'ਤੇ ਦਿੰਦਾ ਹੈ। ਇੱਕ ਵਾਰ PureCrypter ਨੂੰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਤੋਂ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਲਿਆਉਂਦਾ ਹੈ ਅਤੇ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸ ਖਾਸ ਕੇਸ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਗਿਆ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰ ਇੱਕ ਗੈਰ-ਮੁਨਾਫ਼ਾ ਸੰਸਥਾ ਦਾ ਸਮਝੌਤਾ ਸਰਵਰ ਸੀ।
ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਗਿਆ ਨਮੂਨਾ AgentTesla ਸੀ, ਇੱਕ ਕਿਸਮ ਦਾ ਮਾਲਵੇਅਰ ਜੋ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ ਤੋਂ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਲਾਂਚ ਹੋਣ ਤੋਂ ਬਾਅਦ, AgentTesla ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਭੇਜਣ ਲਈ ਇੱਕ ਪਾਕਿਸਤਾਨ-ਅਧਾਰਤ FTP ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਆਪਣਾ FTP ਸਰਵਰ ਸਥਾਪਤ ਨਹੀਂ ਕੀਤਾ, ਸਗੋਂ ਮੌਜੂਦਾ ਇੱਕ ਨੂੰ ਕੰਟਰੋਲ ਕਰਨ ਲਈ ਲੀਕ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਪਹਿਲਾਂ ਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਉਹ ਪਛਾਣੇ ਜਾਣ ਦੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਂਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਟਰੇਸ ਨੂੰ ਘੱਟ ਕਰਦੇ ਹਨ.
ਏਜੰਟ ਟੇਸਲਾ ਇੱਕ ਧਮਕੀ ਭਰਿਆ ਸਾਈਬਰ ਕ੍ਰਾਈਮਿਨਲ ਟੂਲ ਬਣਿਆ ਹੋਇਆ ਹੈ
AgentTesla ਇੱਕ ਕਿਸਮ ਦਾ .NET ਮਾਲਵੇਅਰ ਹੈ ਜੋ ਪਿਛਲੇ ਅੱਠ ਸਾਲਾਂ ਤੋਂ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ 2020 ਦੇ ਅਖੀਰ ਅਤੇ 2021 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਵੱਧ ਰਹੀ ਹੈ। ਆਪਣੀ ਉਮਰ ਦੇ ਬਾਵਜੂਦ, AgentTesla ਇੱਕ ਉੱਚ-ਸਮਰੱਥ ਅਤੇ ਲਾਗਤ-ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਬੈਕਡੋਰ ਬਣਿਆ ਹੋਇਆ ਹੈ ਜੋ ਲਗਾਤਾਰ ਸਾਲਾਂ ਵਿੱਚ ਵਿਕਸਤ ਅਤੇ ਸੁਧਾਰਿਆ ਗਿਆ।
AgentTesla ਦੀਆਂ ਮੁੱਖ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ ਪੀੜਤ ਦੇ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਲੌਗ ਕਰਨ ਦੀ ਯੋਗਤਾ, ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ, ਜਿਵੇਂ ਕਿ ਪਾਸਵਰਡ ਹਾਸਲ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਮਾਲਵੇਅਰ ਉਹਨਾਂ ਪਾਸਵਰਡਾਂ ਨੂੰ ਵੀ ਇਕੱਤਰ ਕਰ ਸਕਦਾ ਹੈ ਜੋ FTP ਕਲਾਇੰਟਸ, ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਜਾਂ ਈਮੇਲ ਕਲਾਇੰਟਸ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤੇ ਗਏ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, AgentTesla ਪੀੜਤ ਦੇ ਡੈਸਕਟੌਪ ਦੇ ਸਕਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰ ਸਕਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ। ਇਹ ਟੈਕਸਟ, ਪਾਸਵਰਡ ਅਤੇ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਵੇਰਵਿਆਂ ਸਮੇਤ, ਸਿਸਟਮ ਦੇ ਕਲਿੱਪਬੋਰਡ ਵਿੱਚ ਕਾਪੀ ਕੀਤੇ ਗਏ ਕਿਸੇ ਵੀ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਅਤੇ ਰੋਕ ਸਕਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਇਕੱਠਾ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਡੇਟਾ ਨੂੰ FTP ਜਾਂ SMTP ਰਾਹੀਂ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਿੱਚ ਐਕਸਫਿਲਟਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
PureCrypter ਹਮਲਿਆਂ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ 'cvtres.exe' ਨਾਮਕ ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਏਜੰਟਟੇਸਲਾ ਪੇਲੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਲਈ "ਪ੍ਰੋਸੈਸ ਹੋਲੋਇੰਗ" ਨਾਮਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇਹ ਤਕਨੀਕ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਤੋਂ ਖੋਜ ਤੋਂ ਬਚਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।
C2 ਸਰਵਰ ਅਤੇ ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਦੇ ਨਾਲ ਇਸ ਦੇ ਸੰਚਾਰ ਨੂੰ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਮਾਨੀਟਰਿੰਗ ਟੂਲਸ ਦੁਆਰਾ ਖੋਜੇ ਜਾਣ ਤੋਂ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਲਈ, AgentTesla XOR ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਐਨਕ੍ਰਿਪਸ਼ਨ ਵਿਧੀ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਲਈ C2 ਸਰਵਰ ਨਾਲ ਮਾਲਵੇਅਰ ਦੇ ਸੰਚਾਰ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਇਸ ਨੂੰ ਖੋਜਣ ਅਤੇ ਘਟਾਉਣਾ ਇੱਕ ਚੁਣੌਤੀਪੂਰਨ ਖ਼ਤਰਾ ਬਣ ਜਾਂਦਾ ਹੈ।
