ਪਜ਼ਲਮੇਕਰ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗੈਂਗ

infosec ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ. ਓਪਰੇਸ਼ਨ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹਾਂ ਦੇ ਕਿਸੇ ਵੀ ਟੀਟੀਪੀ (ਟੈਕਟਿਕਸ, ਤਕਨੀਕਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ) ਨਾਲ ਮੇਲ ਨਹੀਂ ਖਾਂਦੀਆਂ। ਪਿਛਲੀਆਂ ਹਮਲਾ ਮੁਹਿੰਮਾਂ ਦੇ ਨਾਲ ਓਵਰਲੈਪ ਦੀ ਘਾਟ ਨੇ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਇੱਕ ਨਵੇਂ ਮਨੋਨੀਤ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ ਦੇਖੇ ਗਏ ਹਮਲੇ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਦੇਣ ਲਈ ਅਗਵਾਈ ਕੀਤੀ ਜਿਸਦਾ ਨਾਮ ਉਹਨਾਂ ਨੇ ਪਜ਼ਲਮੇਕਰ ਰੱਖਿਆ।

ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਵੈਕਟਰ

ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਿਆ ਹੈ ਕਿ ਪਜ਼ਲਮੇਕਰ ਹੈਕਰ ਗੂਗਲ ਕਰੋਮ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਪਾਈਆਂ ਗਈਆਂ ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀਆਂ 'ਤੇ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਕ੍ਰੋਮ ਦੇ ਸਹੀ ਕਾਰਨਾਮੇ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਪਰ ਹਾਲਾਤ ਸੰਬੰਧੀ ਸਬੂਤ CVE-2021-21224 ਕਮਜ਼ੋਰੀ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ ਜੋ 90.0.4420.72 ਕ੍ਰੋਮ ਬਿਲਡ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਵਿਸ਼ੇਸ਼ ਕਾਰਨਾਮੇ ਨੂੰ Google ਦੁਆਰਾ 20 ਅਪ੍ਰੈਲ, 2021 ਨੂੰ ਹੱਲ ਕੀਤਾ ਗਿਆ ਸੀ।

ਹਾਲਾਂਕਿ, ਪਜ਼ਲਮੇਕਰ ਹਮਲੇ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਵਿੰਡੋਜ਼ ਦੀਆਂ ਦੋ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ ਅਤੇ ਉਹਨਾਂ ਨੂੰ CVE-2021-31955 ਅਤੇ CVE-2021-31956 ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੁਆਰਾ 8 ਜੂਨ, 2021 ਨੂੰ ਦੋਵੇਂ ਕਾਰਨਾਮੇ ਪੈਚ ਕੀਤੇ ਗਏ ਸਨ।

CVE-2021-31955 ntoskrnl.exe ਵਿੱਚ ਇੱਕ ਜਾਣਕਾਰੀ ਪ੍ਰਗਟਾਵੇ ਦੀ ਕਮਜ਼ੋਰੀ ਹੈ। ਇਹ ਸੁਪਰਫੈਚ ਨਾਮਕ ਵਿਸ਼ੇਸ਼ਤਾ ਨਾਲ ਸਬੰਧਤ ਹੈ ਜੋ ਵਿੰਡੋਜ਼ ਵਿਸਟਾ ਨਾਲ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਸੀ। ਸੁਪਰਫੈਚ ਨੂੰ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਲੋਡ ਦੇ ਸਮੇਂ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਡਿਜ਼ਾਇਨ ਕੀਤਾ ਗਿਆ ਸੀ ਕੁਝ ਖਾਸ ਅਕਸਰ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਪ੍ਰੀਲੋਡ ਕਰਕੇ। CVE-2021-31956 ਨੂੰ ntfs.sys ਵਿੱਚ ਇੱਕ ਹੀਪ-ਆਧਾਰਿਤ ਬਫਰ ਓਵਰਫਲੋ ਵਜੋਂ ਦਰਸਾਇਆ ਗਿਆ ਹੈ।

ਪਜ਼ਲਮੇਕਰ ਮਾਲਵੇਅਰ

ਨਿਸ਼ਾਨਾ ਸਿਸਟਮ 'ਤੇ ਪੈਰ ਜਮਾਉਣ ਤੋਂ ਬਾਅਦ, ਪਜ਼ਲਮੇਕਰ ਗੈਂਗ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿਚ ਵੱਖਰੇ ਪੜਾਅ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਚਾਰ ਮਾਲਵੇਅਰ ਮੋਡੀਊਲ ਛੱਡਣ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ। ਪਹਿਲਾਂ, ਇੱਕ ਸਟੇਜਰ ਮੋਡੀਊਲ ਸਫਲ ਉਲੰਘਣਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਅਤੇ ਹੈਕਰਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਇੱਕ ਹੋਰ ਵਧੀਆ, ਅਗਲੇ ਪੜਾਅ ਦੇ ਡਰਾਪਰ ਮੋਡੀਊਲ ਲਿਆਉਂਦਾ ਹੈ। ਇਹ ਜਾਪਦਾ ਹੈ ਕਿ ਹਰੇਕ ਪੀੜਤ 'ਤੇ ਸੁੱਟੇ ਗਏ ਸਟੈਜ਼ਰ ਮੋਡੀਊਲ ਵਿੱਚ ਇੱਕ ਅਨੁਕੂਲਿਤ ਸੰਰਚਨਾ ਬਲੌਬ ਹੁੰਦਾ ਹੈ ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ, ਸੈਸ਼ਨ ID, ਅਤੇ ਅਗਲੇ ਮਾਲਵੇਅਰ ਮੋਡੀਊਲ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਲੋੜੀਂਦੀਆਂ ਕੁੰਜੀਆਂ ਦਾ URL ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ।

ਡਰਾਪਰ ਮੋਡੀਊਲ ਸਮਝੌਤਾ ਮਸ਼ੀਨ ਦੇ %SYSTEM% ਫੋਲਡਰ ਵਿੱਚ ਦੋ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ। WmiPrvMon.exe ਇੱਕ ਸੇਵਾ ਵਜੋਂ ਰਜਿਸਟਰਡ ਹੈ ਅਤੇ ਇਹ ਦੂਜੀ ਫਾਈਲ ਲਈ ਲਾਂਚਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਹਮਲੇ ਦਾ ਮੁੱਖ ਪੇਲੋਡ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ wmimon.dll ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਇੱਕ ਰਿਮੋਟ ਸ਼ੈੱਲ ਸਥਾਪਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਸ਼ੈੱਲ ਵਿੱਚ ਇੱਕ ਹਾਰਡਕੋਡ ਕੀਤਾ URL ਹੁੰਦਾ ਹੈ ਜਿਸਦੀ ਵਰਤੋਂ C&C ਸਰਵਰ ਤੱਕ ਪਹੁੰਚਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਸਰਵਰ ਅਤੇ ਮਾਲਵੇਅਰ ਵਿਚਕਾਰ ਸਾਰਾ ਟ੍ਰੈਫਿਕ ਅਧਿਕਾਰਤ ਅਤੇ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਰਿਮੋਟ ਸ਼ੈੱਲ ਦੁਆਰਾ, ਪਜ਼ਲਮੇਕਰ ਗੈਂਗ ਸੰਕਰਮਿਤ ਸਿਸਟਮ 'ਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰ ਸਕਦਾ ਹੈ, ਇਸਨੂੰ ਸਲੀਪ ਮੋਡ ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਲਈ ਮਜਬੂਰ ਕਰ ਸਕਦਾ ਹੈ, ਵਾਧੂ ਫਾਈਲਾਂ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦਾ ਹੈ ਜਾਂ ਚੁਣੇ ਹੋਏ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢ ਸਕਦਾ ਹੈ, ਨਾਲ ਹੀ ਮਾਲਵੇਅਰ ਨੂੰ ਆਪਣੇ ਆਪ ਨੂੰ ਮਿਟਾਉਣ ਦਾ ਹੁਕਮ ਦੇ ਸਕਦਾ ਹੈ।