RTX RAT

CPUID ਨਾਲ ਜੁੜੀ ਇੱਕ ਸੁਰੱਖਿਆ ਘਟਨਾ ਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਸਦੀ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟ, cpuid.com ਰਾਹੀਂ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਦੇ ਸੰਪਰਕ ਵਿੱਚ ਲਿਆਂਦਾ। 24 ਘੰਟਿਆਂ ਤੋਂ ਵੀ ਘੱਟ ਸਮੇਂ ਲਈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਨੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਾਰਡਵੇਅਰ ਨਿਗਰਾਨੀ ਸਾਧਨਾਂ ਦੇ ਸੰਕਰਮਿਤ ਸੰਸਕਰਣਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਡਾਊਨਲੋਡ ਲਿੰਕਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਹੇਰਾਫੇਰੀ ਕੀਤੀ।

ਇਹ ਸਮਝੌਤਾ 9 ਅਪ੍ਰੈਲ ਨੂੰ 15:00 UTC ਤੇ ਅਤੇ 10 ਅਪ੍ਰੈਲ ਨੂੰ 10:00 UTC ਤੇ ਹੋਇਆ, ਜਿਸ ਦੌਰਾਨ ਜਾਇਜ਼ ਇੰਸਟਾਲਰ ਲਿੰਕਾਂ ਨੂੰ ਰੁਕ-ਰੁਕ ਕੇ ਖਤਰਨਾਕ ਰੀਡਾਇਰੈਕਟਸ ਨਾਲ ਬਦਲ ਦਿੱਤਾ ਗਿਆ। ਮਹੱਤਵਪੂਰਨ ਗੱਲ ਇਹ ਹੈ ਕਿ, CPUID ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ ਇਸਦੇ ਅਸਲ ਦਸਤਖਤ ਕੀਤੇ ਬਾਈਨਰੀ ਬਰਕਰਾਰ ਰਹੇ, ਕਿਉਂਕਿ ਉਲੰਘਣਾ ਇੱਕ ਸੈਕੰਡਰੀ ਵਿਸ਼ੇਸ਼ਤਾ, ਅਸਲ ਵਿੱਚ ਇੱਕ ਸਾਈਡ API ਤੋਂ ਪੈਦਾ ਹੋਈ ਸੀ, ਜਿਸ ਕਾਰਨ ਵੈੱਬਸਾਈਟ ਨੇ ਕੋਰ ਸੌਫਟਵੇਅਰ ਨੂੰ ਬਦਲਣ ਦੀ ਬਜਾਏ ਬੇਤਰਤੀਬ ਤੌਰ 'ਤੇ ਨੁਕਸਾਨਦੇਹ ਲਿੰਕ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੇ।

ਖ਼ਰਾਬ ਬੁਨਿਆਦੀ ਢਾਂਚਾ: ਹਮਲੇ ਦੇ ਪਿੱਛੇ ਠੱਗ ਡੋਮੇਨ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਜਾਂਚ ਨੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਪੇਲੋਡਾਂ ਨੂੰ ਹੋਸਟ ਕਰਨ ਅਤੇ ਡਿਲੀਵਰ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਕਈ ਡੋਮੇਨਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਹਨਾਂ ਠੱਗ ਵੈੱਬਸਾਈਟਾਂ ਨੇ ਬੇਖਬਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਾਊਨਲੋਡਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਵਿੱਚ ਕੇਂਦਰੀ ਭੂਮਿਕਾ ਨਿਭਾਈ:

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• ਟ੍ਰਾਂਜ਼ਿਟੋਪਲੇਰਮੋ[.]com
• ਵੈਟਰੋਬਰਾਨ[.]ਘੰਟਾ

ਇਹ ਡੋਮੇਨ ਮਾਲਵੇਅਰ ਵੰਡ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਕਾਰਜਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਇੱਕ ਵਿਸ਼ਾਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਹਿੱਸਾ ਸਨ।

ਸਟੀਲਥੀ ਡਿਲੀਵਰੀ ਵਿਧੀ: DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੁਰਵਿਵਹਾਰ

ਹਮਲਾਵਰਾਂ ਨੇ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਨਾਮਕ ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ ਚੋਰੀ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ZIP ਆਰਕਾਈਵ ਅਤੇ ਸਟੈਂਡਅਲੋਨ ਇੰਸਟਾਲਰ ਦੋਵਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਸੀ, ਹਰੇਕ ਵਿੱਚ ਦੋ ਹਿੱਸੇ ਸਨ: ਇੱਕ ਜਾਇਜ਼, ਦਸਤਖਤ ਕੀਤੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਅਤੇ 'CRYPTBASE.dll' ਨਾਮਕ ਇੱਕ ਠੱਗ ਡਾਇਨਾਮਿਕ ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ।

ਦਸਤਖਤ ਕੀਤੇ ਬਾਈਨਰੀਆਂ ਵਿੱਚ ਰੱਖੇ ਗਏ ਭਰੋਸੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੌਰਾਨ ਖਤਰਨਾਕ DLL ਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਗੁਪਤ ਸਮਝੌਤਾ ਸੰਭਵ ਹੋ ਗਿਆ ਸੀ। ਹੋਰ ਕਾਰਵਾਈਆਂ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਮਾਲਵੇਅਰ ਨੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਾਤਾਵਰਣ ਵਿੱਚ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਐਂਟੀ-ਸੈਂਡਬਾਕਸ ਜਾਂਚਾਂ ਕੀਤੀਆਂ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇਹ ਜਾਂਚਾਂ ਪਾਸ ਹੋ ਗਈਆਂ, ਤਾਂ ਇਸਨੇ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕੀਤਾ।

STX RAT ਤੈਨਾਤੀ: ਇੱਕ ਬਹੁਪੱਖੀ ਪੋਸਟ-ਸ਼ੋਸ਼ਣ ਟੂਲ

ਇਸ ਮੁਹਿੰਮ ਦਾ ਅੰਤਮ ਉਦੇਸ਼ STX RAT ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਸੀ, ਜੋ ਕਿ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਹੈ ਜੋ ਲੁਕਵੇਂ ਵਰਚੁਅਲ ਨੈੱਟਵਰਕ ਕੰਪਿਊਟਿੰਗ (HVNC) ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਵਿਆਪਕ ਡੇਟਾ ਚੋਰੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨਾਲ ਲੈਸ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਨਿਰੰਤਰ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• EXE, DLL, PowerShell ਸਕ੍ਰਿਪਟਾਂ, ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਦਾ ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਰਿਵਰਸ ਪ੍ਰੌਕਸੀਇੰਗ ਅਤੇ ਨੈੱਟਵਰਕ ਟਨਲਿੰਗ
• ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਇੰਟਰੈਕਸ਼ਨ ਅਤੇ ਨਿਗਰਾਨੀ

ਅਜਿਹੀਆਂ ਸਮਰੱਥਾਵਾਂ STX RAT ਨੂੰ ਵਿਅਕਤੀਗਤ ਅਤੇ ਉੱਦਮ ਦੋਵਾਂ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਖਾਸ ਤੌਰ 'ਤੇ ਖ਼ਤਰਨਾਕ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਮੁਹਿੰਮ ਓਵਰਲੈਪ: ਪਹਿਲਾਂ ਦੇ ਫਾਈਲਜ਼ਿਲਾ ਹਮਲਿਆਂ ਦੇ ਲਿੰਕ

ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਇਸ ਘਟਨਾ ਵਿੱਚ ਵਰਤਿਆ ਗਿਆ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪਹਿਲਾਂ ਫਾਈਲਜ਼ਿਲਾ ਦੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਇੰਸਟਾਲਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀ ਇੱਕ ਵੱਖਰੀ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ। ਇੱਕੋ ਸਰਵਰ ਸੰਰਚਨਾ ਅਤੇ ਸੰਚਾਰ ਡੋਮੇਨਾਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਦੋਵਾਂ ਮੁਹਿੰਮਾਂ ਵਿਚਕਾਰ ਕਾਰਜਸ਼ੀਲ ਓਵਰਲੈਪ ਨੂੰ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਦਰਸਾਉਂਦੀ ਹੈ।

ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਇਸ ਦੁਹਰਾਓ ਨੇ ਖੋਜ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾ ਲਈ ਕੀਮਤੀ ਸੰਕੇਤਕ ਪ੍ਰਦਾਨ ਕੀਤੇ।

ਲੰਬੇ ਸਮੇਂ ਦੀ ਕਾਰਵਾਈ: 10-ਮਹੀਨਿਆਂ ਦੀ ਮੁਹਿੰਮ ਸਮਾਂ-ਰੇਖਾ

ਹੋਰ ਜਾਂਚ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ CPUID ਉਲੰਘਣਾ ਜੁਲਾਈ 2025 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਈ ਇੱਕ ਵਿਸ਼ਾਲ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹੈ। ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਜਾਣਿਆ ਜਾਣ ਵਾਲਾ ਮਾਲਵੇਅਰ ਨਮੂਨਾ, ਜਿਸਦੀ ਪਛਾਣ 'superbad.exe' ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਨੂੰ 95.216.51.236 'ਤੇ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਸੀ।

ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਦਾ ਮੁਲਾਂਕਣ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਵਿਅਕਤੀ ਰੂਸੀ ਬੋਲਣ ਵਾਲਾ ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹੋ ਸਕਦਾ ਹੈ ਜਾਂ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ, ਇੱਕ ਅਜਿਹੀ ਸੰਸਥਾ ਜੋ ਸਿਸਟਮਾਂ ਵਿੱਚ ਪੈਰ ਜਮਾਉਣ ਅਤੇ ਉਸ ਪਹੁੰਚ ਨੂੰ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਵੇਚਣ ਵਿੱਚ ਮਾਹਰ ਹੈ।

ਪ੍ਰਭਾਵ ਮੁਲਾਂਕਣ: ਵਿਭਿੰਨ ਪੀੜਤਾਂ ਨਾਲ ਵਿਸ਼ਵਵਿਆਪੀ ਪਹੁੰਚ

ਇਸ ਹਮਲੇ ਨੇ 150 ਤੋਂ ਵੱਧ ਪੁਸ਼ਟੀ ਕੀਤੇ ਪੀੜਤਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਮੁੱਖ ਤੌਰ 'ਤੇ ਵਿਅਕਤੀਗਤ ਉਪਭੋਗਤਾ ਸ਼ਾਮਲ ਹਨ। ਹਾਲਾਂਕਿ, ਕਈ ਉਦਯੋਗਾਂ ਦੇ ਸੰਗਠਨਾਂ ਨੂੰ ਵੀ ਸਮਝੌਤਾ ਹੋਇਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਚੂਨ, ਨਿਰਮਾਣ, ਸਲਾਹ, ਦੂਰਸੰਚਾਰ ਅਤੇ ਖੇਤੀਬਾੜੀ ਖੇਤਰ ਸ਼ਾਮਲ ਹਨ।

ਭੂਗੋਲਿਕ ਤੌਰ 'ਤੇ, ਜ਼ਿਆਦਾਤਰ ਲਾਗਾਂ ਦੀ ਪਛਾਣ ਬ੍ਰਾਜ਼ੀਲ, ਰੂਸ ਅਤੇ ਚੀਨ ਵਿੱਚ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਵਿਆਪਕ ਅਤੇ ਮੌਕਾਪ੍ਰਸਤ ਨਿਸ਼ਾਨਾ ਰਣਨੀਤੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਕਾਰਜਸ਼ੀਲ ਕਮਜ਼ੋਰੀਆਂ: ਗਲਤੀਆਂ ਜੋ ਖੋਜ ਵੱਲ ਲੈ ਗਈਆਂ

ਮੁਹਿੰਮ ਦੇ ਪੈਮਾਨੇ ਦੇ ਬਾਵਜੂਦ, ਕਈ ਸੰਚਾਲਨ ਸੁਰੱਖਿਆ ਅਸਫਲਤਾਵਾਂ ਨੇ ਹਮਲਾਵਰਾਂ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਕਾਫ਼ੀ ਕਮਜ਼ੋਰ ਕਰ ਦਿੱਤਾ। ਪਹਿਲਾਂ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਤੋਂ ਇੱਕੋ ਜਿਹੀਆਂ ਇਨਫੈਕਸ਼ਨ ਚੇਨਾਂ, STX RAT ਪੇਲੋਡ, ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਡੋਮੇਨਾਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਨੇ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰਨਾ ਅਤੇ ਆਪਸੀ ਸਬੰਧ ਬਣਾਉਣਾ ਆਸਾਨ ਬਣਾ ਦਿੱਤਾ।

ਇਹ ਕਮੀਆਂ ਮਾਲਵੇਅਰ ਵਿਕਾਸ ਅਤੇ ਤੈਨਾਤੀ ਅਭਿਆਸਾਂ ਵਿੱਚ ਮੁਕਾਬਲਤਨ ਘੱਟ ਸੂਝ-ਬੂਝ ਦਾ ਸੰਕੇਤ ਦਿੰਦੀਆਂ ਹਨ। ਨਤੀਜੇ ਵਜੋਂ, ਡਿਫੈਂਡਰ ਵਾਟਰਿੰਗ ਹੋਲ ਹਮਲੇ ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਬਾਅਦ ਜਲਦੀ ਹੀ ਪਤਾ ਲਗਾਉਣ ਦੇ ਯੋਗ ਹੋ ਗਏ, ਇਸਦੇ ਸਮੁੱਚੇ ਪ੍ਰਭਾਵ ਅਤੇ ਐਕਸਪੋਜ਼ਰ ਵਿੰਡੋ ਨੂੰ ਸੀਮਤ ਕਰਦੇ ਹੋਏ।