SIGNBT ਮਾਲਵੇਅਰ

ਲਾਜ਼ਰਸ ਗਰੁੱਪ, ਜੋ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ ਇੱਕ ਸਾਈਬਰ ਮੁਹਿੰਮ ਦੇ ਦੋਸ਼ੀ ਵਜੋਂ ਪਛਾਣਿਆ ਗਿਆ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਵਿੱਚ, ਇੱਕ ਅਣਪਛਾਤੇ ਸੌਫਟਵੇਅਰ ਵਿਕਰੇਤਾ ਇੱਕ ਪ੍ਰਮੁੱਖ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਕੀਤੇ ਗਏ ਹਮਲੇ ਦਾ ਸ਼ਿਕਾਰ ਹੋ ਗਿਆ। ਹਮਲਿਆਂ ਦੀ ਲੜੀ ਨੇ ਆਖਰਕਾਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਾਫਟਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ SIGNBT ਵੀ ਸ਼ਾਮਲ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਹੈਕਿੰਗ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਇਸ ਧਮਕੀ ਅਦਾਕਾਰ ਦੁਆਰਾ ਸੰਭਾਵਿਤ ਪੀੜਤਾਂ ਦੀ ਪ੍ਰੋਫਾਈਲਿੰਗ ਅਤੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਵਰਗੀਆਂ ਗਤੀਵਿਧੀਆਂ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ। ਇਸ ਸਾਧਨ ਨੂੰ ਟਰੈਕਿੰਗ ਯਤਨਾਂ ਵਿੱਚ LPEClient ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਹੈਕਰ ਗਰੁੱਪ ਨੇ ਇੱਕੋ ਪੀੜਤ ਨੂੰ ਵਾਰ-ਵਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ

ਇਸ ਹਮਲੇ ਵਿੱਚ SIGNBT ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਨੇ ਇੱਕ ਬਹੁਪੱਖੀ ਸੰਕਰਮਣ ਪ੍ਰਕਿਰਿਆ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਅਤੇ ਉੱਨਤ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਨੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਡਿਵੈਲਪਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਟਾਰਗੇਟ ਕੰਪਨੀ ਦੇ ਸਾਫਟਵੇਅਰ ਦੇ ਅੰਦਰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਜਾਰੀ ਰੱਖਿਆ। ਉਨ੍ਹਾਂ ਦੀਆਂ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ, ਜੁਲਾਈ 2023 ਦੇ ਅੱਧ ਤੱਕ ਕਈ ਪੀੜਤਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ।

ਇਹਨਾਂ ਪੀੜਤਾਂ ਨੂੰ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟਾਂ ਰਾਹੀਂ ਵੈੱਬ ਸੰਚਾਰਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਜਾਇਜ਼ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੁਆਰਾ ਹਮਲੇ ਦਾ ਸ਼ਿਕਾਰ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਸੌਫਟਵੇਅਰ ਦੇ ਨਾਮ ਦਾ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਤੇ ਸਹੀ ਢੰਗ ਜਿਸ ਰਾਹੀਂ ਇਸਨੂੰ SIGNBT ਨੂੰ ਵੰਡਣ ਲਈ ਹਥਿਆਰ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਅਣਜਾਣ ਹੈ।

ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਪੈਰ ਜਮਾਉਣ ਅਤੇ ਕਾਇਮ ਰੱਖਣ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਹਮਲੇ ਦੇ ਕ੍ਰਮਾਂ ਨੇ ਇੱਕ ਇਨ-ਮੈਮੋਰੀ ਲੋਡਰ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਜੋ SIGNBT ਮਾਲਵੇਅਰ ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਨਦੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

SIGNBT ਮਾਲਵੇਅਰ ਵਧੀਕ ਹਿਦਾਇਤਾਂ ਲਈ ਇੱਕ C2 ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ

SIGNBT ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨਾ ਅਤੇ ਸੰਕਰਮਿਤ ਹੋਸਟ 'ਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਹੋਰ ਹਦਾਇਤਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਇਸਦੀਆਂ ਵੱਖਰੀਆਂ ਸਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣਾ ਨਾਮ ਕਮਾਉਂਦਾ ਹੈ ਜੋ ਇਸਦੇ HTTP- ਅਧਾਰਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਵਿੱਚ "SIGNBT" ਦੇ ਨਾਲ ਪ੍ਰੀਫਿਕਸ ਹੁੰਦੇ ਹਨ:

• SIGNBTLG, ਸ਼ੁਰੂਆਤੀ ਕੁਨੈਕਸ਼ਨ ਲਈ
• C2 ਸਰਵਰ ਤੋਂ ਇੱਕ ਸਫਲਤਾ ਸੁਨੇਹਾ ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ SIGNBTKE
• SIGNBTGC, ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ
• SIGNBTFI, ਸੰਚਾਰ ਅਸਫਲਤਾਵਾਂ ਨੂੰ ਸੰਭਾਲਣ ਲਈ
• ਸਫਲ ਸੰਚਾਰ ਨੂੰ ਦਰਸਾਉਣ ਲਈ SIGNBTSR

ਇਸ ਦੌਰਾਨ, ਵਿੰਡੋਜ਼ ਬੈਕਡੋਰ ਸਮਰੱਥਾ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨਾਲ ਲੈਸ ਹੈ ਜਿਸਦਾ ਉਦੇਸ਼ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ। ਇਹਨਾਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਗਣਨਾ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਫਾਈਲ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਓਪਰੇਸ਼ਨ ਕਰਨਾ, ਅਤੇ LPEClient ਵਰਗੇ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਕੱਢਣ ਲਈ ਹੋਰ ਸਾਧਨ ਸ਼ਾਮਲ ਹਨ।

ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਆਪਣੀਆਂ ਤਕਨੀਕਾਂ ਅਤੇ ਮਾਲਵੇਅਰ ਆਰਸਨਲ ਨੂੰ ਵਿਕਸਿਤ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ

ਸਿਰਫ਼ 2023 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਘੱਟੋ-ਘੱਟ ਤਿੰਨ ਵੱਖ-ਵੱਖ ਲਾਜ਼ਰ ਮੁਹਿੰਮਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਇਹਨਾਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਦੇ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਅਤੇ ਲਾਗ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਾਲਾਂਕਿ, ਉਹਨਾਂ ਨੇ ਅੰਤਿਮ-ਪੜਾਅ ਦੇ ਅਸੁਰੱਖਿਅਤ ਸੌਫਟਵੇਅਰ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਲਗਾਤਾਰ LPEClient ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।

ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਮੁਹਿੰਮ ਨੇ ਗੋਪੁਰਮ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇਮਪਲਾਂਟ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਈ। ਇਹ ਇਮਪਲਾਂਟ 3CX ਵੌਇਸ ਅਤੇ ਵੀਡੀਓ ਕਾਨਫਰੰਸਿੰਗ ਸੌਫਟਵੇਅਰ ਦੇ ਛੇੜਛਾੜ ਵਾਲੇ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਕੰਪਨੀਆਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿੱਚ ਲਗਾਇਆ ਗਿਆ ਸੀ।

ਇਹ ਹਾਲੀਆ ਖੋਜਾਂ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਸਾਈਬਰ ਕਾਰਜਾਂ ਦੀ ਉਦਾਹਰਨ ਦਿੰਦੀਆਂ ਹਨ ਅਤੇ ਲਾਜ਼ਰ ਗਰੁੱਪ ਦੇ ਲਗਾਤਾਰ ਵਿਕਾਸ ਅਤੇ ਇਸ ਦੇ ਸਾਧਨਾਂ, ਰਣਨੀਤੀਆਂ ਅਤੇ ਤਕਨੀਕਾਂ ਦੇ ਸ਼ਸਤਰ ਦੇ ਵਿਸਥਾਰ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ। ਲਾਜ਼ਰਸ ਸਮੂਹ ਸਮਕਾਲੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਸਰਗਰਮ ਅਤੇ ਅਨੁਕੂਲ ਧਮਕੀ ਅਭਿਨੇਤਾ ਬਣਿਆ ਹੋਇਆ ਹੈ।