SPICA ਬੈਕਡੋਰ

ਖਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਕੋਲਡਰਾਈਵਰ, ਜੋ ਰੂਸ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਟਾਈ ਤੋਂ ਪਰੇ ਆਪਣੇ ਕਾਰਜਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਸਨੇ ਰਸਟ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਵਿੱਚ ਵਿਕਸਤ ਆਪਣਾ ਪਹਿਲਾ ਕਸਟਮ ਮਾਲਵੇਅਰ ਪੇਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ SPICA ਬੈਕਡੋਰ ਵਜੋਂ ਟ੍ਰੈਕ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਕੋਲਡਰਾਈਵਰ ਨਾਲ ਜੁੜੀਆਂ ਹਮਲੇ ਦੀਆਂ ਰਣਨੀਤੀਆਂ, ਛੂਤਕਾਰੀ ਖਾਤਿਆਂ ਤੋਂ ਪੈਦਾ ਹੋਣ ਵਾਲੀਆਂ ਧੋਖੇਬਾਜ਼ ਈਮੇਲਾਂ ਦੇ ਨਾਲ, ਲਾਗ ਦੇ ਕ੍ਰਮ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਡੀਕੌਏ ਦਸਤਾਵੇਜ਼ਾਂ ਵਜੋਂ PDF ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ।

ਕੋਲਡਰਾਈਵਰ, ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਬਲੂ ਕੈਲਿਸਟੋ, ਬਲੂਚਾਰਲੀ (TAG-53), ਕੈਲਿਸਟੋ (ਕੈਲਿਸਟੋ), ਡਾਂਸਿੰਗ ਸਲੋਮ, ਗੋਸਾਮਰ ਬੀਅਰ, ਸਟਾਰ ਬਲਿਜ਼ਾਰਡ (ਪਹਿਲਾਂ ਸੀਬੋਰਜਿਅਮ), TA446, ਅਤੇ UNC4057 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, 2019 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਸਦੇ ਟੀਚੇ ਵਿਭਿੰਨ ਖੇਤਰਾਂ ਵਿੱਚ ਫੈਲੇ ਹੋਏ ਹਨ, ਅਕਾਦਮਿਕਤਾ, ਰੱਖਿਆ, ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਗੈਰ-ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ, ਥਿੰਕ ਟੈਂਕ, ਰਾਜਨੀਤਿਕ ਸੰਸਥਾਵਾਂ, ਅਤੇ, ਹਾਲ ਹੀ ਵਿੱਚ, ਰੱਖਿਆ-ਉਦਯੋਗਿਕ ਅਤੇ ਊਰਜਾ ਸਹੂਲਤਾਂ ਸ਼ਾਮਲ ਹਨ।

ਮਾਲਵੇਅਰ ਨੂੰ ਡਿਲੀਵਰ ਕਰਨ ਲਈ ਕੋਲਡਰਾਈਵਰ ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ

ਗਰੁੱਪ ਦੁਆਰਾ ਮਾਊਂਟ ਕੀਤੀਆਂ ਗਈਆਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਨੂੰ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਨਾਲ ਭਰੋਸੇ ਨੂੰ ਜੋੜਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਅਤੇ ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਜਾਅਲੀ ਸਾਈਨ-ਇਨ ਪੰਨਿਆਂ ਨੂੰ ਸਾਂਝਾ ਕਰਨ ਦੇ ਅੰਤਮ ਟੀਚੇ ਨਾਲ ਭਰੋਸੇ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਨੂੰ ਐਕਟਰ-ਨਿਯੰਤਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਸਵੈਚਲਿਤ ਸਕੈਨਿੰਗ ਨੂੰ ਰੋਕਣ ਲਈ ਸਰਵਰ-ਸਾਈਡ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਫਿਸ਼ਿੰਗ ਲੈਂਡਿੰਗ ਪੰਨਿਆਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਦਿਲਚਸਪੀ ਦੇ ਟੀਚਿਆਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਫਾਈਲਾਂ ਨੂੰ ਖੋਲ੍ਹਣ ਲਈ ਟੀਚਿਆਂ ਨੂੰ ਭਰਮਾਉਣ ਲਈ ਨਵੰਬਰ 2022 ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਦੇ ਤੌਰ 'ਤੇ ਨਰਮ PDF ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ। ਕੋਲਡਰਾਈਵਰ ਇਹਨਾਂ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਇੱਕ ਨਵੇਂ ਓਪ-ਐਡ ਜਾਂ ਕਿਸੇ ਹੋਰ ਕਿਸਮ ਦੇ ਲੇਖ ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜਿਸ ਨੂੰ ਛਪਾਈ ਖਾਤਾ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਿਹਾ ਹੈ, ਟੀਚੇ ਤੋਂ ਫੀਡਬੈਕ ਮੰਗਦਾ ਹੈ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਬੇਨਾਈਨ PDF ਨੂੰ ਖੋਲ੍ਹਦਾ ਹੈ, ਤਾਂ ਟੈਕਸਟ ਐਨਕ੍ਰਿਪਟਡ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ।

ਘਟਨਾ ਵਿੱਚ, ਪ੍ਰਾਪਤਕਰਤਾ ਸੰਦੇਸ਼ ਦਾ ਜਵਾਬ ਦਿੰਦਾ ਹੈ ਕਿ ਉਹ ਦਸਤਾਵੇਜ਼ ਨੂੰ ਨਹੀਂ ਪੜ੍ਹ ਸਕਦਾ ਹੈ ਅਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਇੱਕ ਕਲਾਉਡ ਸਟੋਰੇਜ ਸੇਵਾ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਡਿਕ੍ਰਿਪਸ਼ਨ ਟੂਲ ('Proton-decrypter.exe') ਦੇ ਲਿੰਕ ਨਾਲ ਜਵਾਬ ਦਿੰਦਾ ਹੈ। 'Proton-decrypter.exe' ਨਾਮ ਦੀ ਚੋਣ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿਉਂਕਿ ਵਿਰੋਧੀ ਮੁੱਖ ਤੌਰ 'ਤੇ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ ਦੁਆਰਾ PDF ਲੁਭਾਉਣ ਲਈ ਪ੍ਰੋਟੋਨ ਡਰਾਈਵ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

SPICA ਬੈਕਡੋਰ ਨੂੰ ਇੱਕ ਡੀਕ੍ਰਿਪਟਰ ਦੀ ਆੜ ਵਿੱਚ ਛੱਡ ਦਿੱਤਾ ਗਿਆ ਹੈ

ਅਸਲ ਵਿੱਚ, ਡਿਕ੍ਰਿਪਟਰ ਇੱਕ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੇ ਖਤਰੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਜਿਸਨੂੰ SPICA ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਕੋਲਡਰਾਈਵਰ ਨੂੰ ਧੋਖੇ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣ ਲਈ ਇੱਕ ਡੀਕੌਏ ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕਰਦੇ ਹੋਏ ਸਿਸਟਮ ਨੂੰ ਸਮਝਦਾਰੀ ਨਾਲ ਐਕਸੈਸ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ। SPICA, COLDRIVER ਦਾ ਉਦਘਾਟਨੀ ਕਸਟਮ ਮਾਲਵੇਅਰ, JSON ਨੂੰ WebSockets for Command-and-Control (C2) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਵੱਖ-ਵੱਖ ਕਾਰਵਾਈਆਂ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਮਨਮਾਨੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਕੂਕੀਜ਼ ਨੂੰ ਪਾਇਲ ਕਰਨਾ, ਫਾਈਲਾਂ ਨੂੰ ਅੱਪਲੋਡ ਕਰਨਾ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰਨਾ, ਅਤੇ ਡੇਟਾ ਦੀ ਗਣਨਾ ਅਤੇ ਬਾਹਰ ਕੱਢਣਾ। ਨਿਰੰਤਰਤਾ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਦੁਆਰਾ ਸਥਾਪਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ.

ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, SPICA ਇੱਕ ਏਮਬੈਡਡ PDF ਨੂੰ ਡੀਕੋਡ ਕਰਦਾ ਹੈ, ਇਸਨੂੰ ਡਿਸਕ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਸਨੂੰ ਉਪਭੋਗਤਾ ਲਈ ਇੱਕ ਡੀਕੋਏ ਵਜੋਂ ਖੋਲ੍ਹਦਾ ਹੈ। ਇਸਦੇ ਨਾਲ ਹੀ, ਇਹ ਸਥਿਰਤਾ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰਾਇਮਰੀ C2 ਲੂਪ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਕਮਾਂਡਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ।

ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਨੇਸ਼ਨ-ਸਟੇਟ ਐਕਟਰ ਨੇ ਨਵੰਬਰ 2022 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਇਸ ਇਮਪਲਾਂਟ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤੀ ਸੀ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਟੀਮ ਨੇ 'ਏਨਕ੍ਰਿਪਟਡ' PDF ਲਾਲਚ ਦੇ ਕਈ ਰੂਪਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ ਟੀਚਿਆਂ ਨੂੰ ਭੇਜੇ ਗਏ ਖਾਸ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ਾਂ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ SPICA ਦੇ ਵੱਖ-ਵੱਖ ਸੰਸਕਰਣਾਂ ਦੀ ਸੰਭਾਵਤ ਮੌਜੂਦਗੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। .

ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ SPICA ਬੈਕਡੋਰ ਨੂੰ NGO, ਸਾਬਕਾ ਖੁਫੀਆ ਅਤੇ ਫੌਜੀ ਅਧਿਕਾਰੀਆਂ, ਰੱਖਿਆ ਖੇਤਰਾਂ ਅਤੇ ਨਾਟੋ ਸਰਕਾਰਾਂ ਦੇ ਅੰਦਰ ਪ੍ਰਮੁੱਖ ਵਿਅਕਤੀਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦੇ ਨਾਲ, ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾ ਅਤੇ ਸੀਮਤ ਹਮਲਿਆਂ ਵਿੱਚ ਲਗਾਇਆ ਗਿਆ ਹੈ।