ResolverRAT Malware

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ResolverRAT ਨਾਮਕ ਇੱਕ ਅਤਿ-ਆਧੁਨਿਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਸਿਹਤ ਸੰਭਾਲ ਅਤੇ ਫਾਰਮਾਸਿਊਟੀਕਲ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਹਮਲਿਆਂ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਹ ਨਵਾਂ ਖੋਜਿਆ ਗਿਆ ਮਾਲਵੇਅਰ ਆਪਣੇ ਗੁਪਤ ਵਿਵਹਾਰ ਅਤੇ ਗੁੰਝਲਦਾਰ ਲਾਗ ਵਿਧੀਆਂ ਦੇ ਕਾਰਨ ਇੱਕ ਗੰਭੀਰ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ।

ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ: ਇੱਕ ਹਥਿਆਰ ਵਜੋਂ ਡਰ

ਇਹ ਮੁਹਿੰਮ ਡਰ ਪੈਦਾ ਕਰਨ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ, ਜੋ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਤੁਰੰਤ ਇੱਕ ਖਤਰਨਾਕ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਇਹ ਲਾਲਚ ਅਕਸਰ ਕਾਨੂੰਨੀ ਮੁਸ਼ਕਲਾਂ ਜਾਂ ਕਾਪੀਰਾਈਟ ਉਲੰਘਣਾਵਾਂ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹਨ, ਜੋ ਦਹਿਸ਼ਤ ਪੈਦਾ ਕਰਨ ਅਤੇ ਜਲਦਬਾਜ਼ੀ ਪ੍ਰਤੀਕਿਰਿਆ ਭੜਕਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਇੱਕ ਵਾਰ ਕਲਿੱਕ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਲਿੰਕ ਇੱਕ ਫਾਈਲ ਦੇ ਡਾਊਨਲੋਡ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ ਜੋ ResolverRAT ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ।

ਖੇਤਰ-ਵਿਸ਼ੇਸ਼ ਧੋਖਾ

ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਇੱਕ ਪ੍ਰਮੁੱਖ ਤੱਤ ਸਥਾਨਕ ਫਿਸ਼ਿੰਗ ਸਮੱਗਰੀ ਦੀ ਵਰਤੋਂ ਹੈ। ਈਮੇਲਾਂ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਖੇਤਰਾਂ ਦੀਆਂ ਮੂਲ ਭਾਸ਼ਾਵਾਂ - ਹਿੰਦੀ, ਇਤਾਲਵੀ, ਚੈੱਕ, ਤੁਰਕੀ, ਪੁਰਤਗਾਲੀ ਅਤੇ ਇੰਡੋਨੇਸ਼ੀਆਈ - ਵਿੱਚ ਲਿਖੀਆਂ ਗਈਆਂ ਹਨ ਜੋ ਹਮਲਾਵਰਾਂ ਦੇ ਖੇਤਰ-ਵਿਸ਼ੇਸ਼ ਟੇਲਰਿੰਗ ਦੁਆਰਾ ਲਾਗ ਦੀ ਸਫਲਤਾ ਨੂੰ ਵਧਾਉਣ ਦੇ ਇਰਾਦੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ।

ਇਨਫੈਕਸ਼ਨ ਮਕੈਨਿਕਸ: ਇੱਕ ਸਟੀਲਥੀ ਚੇਨ ਰਿਐਕਸ਼ਨ

ResolverRAT ਆਪਣੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਪਹਿਲਾ ਪੜਾਅ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਇੱਕ ਇਨ-ਮੈਮੋਰੀ ਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਏਨਕ੍ਰਿਪਟਡ, ਸੰਕੁਚਿਤ, ਅਤੇ ਕਦੇ ਵੀ ਡਿਸਕ ਤੇ ਨਹੀਂ ਲਿਖਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਤਕਨੀਕਾਂ ਇਸਨੂੰ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਅਣਪਛਾਤੇ ਰਹਿਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਰਿਡੰਡੈਂਸੀ ਰਾਹੀਂ ਲਚਕੀਲਾਪਣ

ਇਹ ਮਾਲਵੇਅਰ ਸਿਰਫ਼ ਸਟੀਲਥ 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦਾ - ਇਹ ਬਚਣ ਲਈ ਬਣਾਇਆ ਗਿਆ ਹੈ। ResolverRAT ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਬੂਟਸਟ੍ਰੈਪਿੰਗ ਪ੍ਰਕਿਰਿਆ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਬੇਲੋੜੀ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਹਨ, ਜੋ Windows ਫਾਈਲ ਸਿਸਟਮ ਅਤੇ ਰਜਿਸਟਰੀ 'ਤੇ ਵੱਖ-ਵੱਖ ਥਾਵਾਂ 'ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਏਮਬੈਡ ਕਰਦੀਆਂ ਹਨ। ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਭਾਵੇਂ ਮਾਲਵੇਅਰ ਦਾ ਕੁਝ ਹਿੱਸਾ ਹਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਦੁਬਾਰਾ ਸਥਾਪਿਤ ਕਰ ਸਕਦਾ ਹੈ।

ਉੱਨਤ C2 ਬੁਨਿਆਦੀ ਢਾਂਚਾ: ਸਾਦੀ ਨਜ਼ਰ ਵਿੱਚ ਲੁਕਿਆ ਹੋਇਆ

ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ResolverRAT ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਸਰਟੀਫਿਕੇਟ-ਅਧਾਰਤ ਪ੍ਰਮਾਣਿਕਤਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਰੂਟ ਅਥਾਰਟੀ ਵੈਲੀਡੇਸ਼ਨ ਨੂੰ ਛੱਡ ਕੇ। ਇਸ ਵਿੱਚ C2 ਸਰਵਰਾਂ ਨੂੰ ਬਦਲਣ ਲਈ IP ਰੋਟੇਸ਼ਨ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵੀ ਹੈ ਜੇਕਰ ਕੋਈ ਡਾਊਨ ਹੋ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਅਤੇ ਟੇਕਡਾਊਨ ਯਤਨ ਹੋਰ ਵੀ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦੇ ਹਨ।

ਚੋਰੀ ਦੀ ਮੁਹਾਰਤ: ਅਦਿੱਖ ਪਰ ਮੌਜੂਦ

ਰਡਾਰ ਦੇ ਹੇਠਾਂ ਰਹਿਣ ਲਈ, ResolverRAT ਸਰਟੀਫਿਕੇਟ ਪਿੰਨਿੰਗ, ਸਰੋਤ ਕੋਡ ਅੜਿੱਕਾ, ਅਤੇ ਅਨਿਯਮਿਤ ਬੀਕਨਿੰਗ ਪੈਟਰਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਇਹ ਤਰੀਕੇ ਨਾ ਸਿਰਫ਼ ਆਪਣੀ ਮੌਜੂਦਗੀ ਨੂੰ ਲੁਕਾਉਂਦੇ ਹਨ ਬਲਕਿ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਮਿਆਰੀ ਖੋਜ ਤਕਨੀਕਾਂ ਨੂੰ ਵੀ ਹਰਾਉਂਦੇ ਹਨ।

ਸਾਈਲੈਂਟ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ

ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ C2 ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਹੈ। ਇਹ ਚਲਾਕੀ ਨਾਲ ਵੱਡੀਆਂ ਡੇਟਾ ਫਾਈਲਾਂ ਨੂੰ 16 KB ਦੇ ਟੁਕੜਿਆਂ ਵਿੱਚ ਵੰਡਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਨੈੱਟਵਰਕ ਨਿਗਰਾਨੀ ਟੂਲਸ ਦੁਆਰਾ ਖੋਜ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਇਆ ਜਾਂਦਾ ਹੈ।

ਵਿਸ਼ੇਸ਼ਤਾ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹੈ, ਪਰ ਪੈਟਰਨ ਉੱਭਰਦੇ ਹਨ

ਹਾਲਾਂਕਿ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਅਜੇ ਵੀ ਅਣਗੌਲੀ ਹੈ, ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਥੀਮਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ - ਖਾਸ ਕਰਕੇ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਅਤੇ ਫਿਸ਼ਿੰਗ ਲੁਭਾਉਣ ਦੀ ਵਰਤੋਂ - ਪਹਿਲਾਂ ਦਸਤਾਵੇਜ਼ੀ ਹਮਲਿਆਂ ਦੇ ਸੰਭਾਵੀ ਲਿੰਕ ਵੱਲ ਸੰਕੇਤ ਕਰਦੀ ਹੈ। ਇਹ ਓਵਰਲੈਪ ਇੱਕ ਸਾਂਝੇ ਐਫੀਲੀਏਟ ਨੈੱਟਵਰਕ ਜਾਂ ਤਾਲਮੇਲ ਵਾਲੇ ਧਮਕੀ ਐਕਟਰ ਗਤੀਵਿਧੀ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰ ਸਕਦਾ ਹੈ।

ਸਿੱਟਾ: ਇੱਕ ਨਿਰੰਤਰ, ਟਾਲ-ਮਟੋਲ ਵਾਲਾ ਸਾਈਬਰ ਖ਼ਤਰਾ

ResolverRAT ਮਾਲਵੇਅਰ ਦੀ ਅਗਲੀ ਪੀੜ੍ਹੀ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ—ਚੁਪਚਾਪ, ਅਨੁਕੂਲ, ਅਤੇ ਲਚਕੀਲਾ। ਇਸਦਾ ਡਿਜ਼ਾਈਨ ਆਧੁਨਿਕ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਚਾਅ ਦੀ ਇੱਕ ਸੂਝਵਾਨ ਸਮਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜੋ ਇਸਨੂੰ ਨਿਸ਼ਾਨਾ ਉਦਯੋਗਾਂ ਲਈ ਇੱਕ ਭਿਆਨਕ ਖ਼ਤਰਾ ਅਤੇ ਡਿਫੈਂਡਰਾਂ ਲਈ ਇੱਕ ਉੱਚ-ਪ੍ਰਾਥਮਿਕਤਾ ਵਾਲੀ ਚਿੰਤਾ ਬਣਾਉਂਦਾ ਹੈ।