ਸਟਾਰੀਡੌਬਰੀ ਹਮਲਾ

ਪ੍ਰਸਿੱਧ ਸਿਮੂਲੇਸ਼ਨ ਅਤੇ ਭੌਤਿਕ ਵਿਗਿਆਨ-ਅਧਾਰਿਤ ਗੇਮਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਖਿਡਾਰੀਆਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਆਪਣੇ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਇੱਕ ਲੁਕਿਆ ਹੋਇਆ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਸਥਾਪਤ ਕਰ ਲਿਆ ਹੋ ਸਕਦਾ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਦਸੰਬਰ 2024 ਦੇ ਅਖੀਰ ਵਿੱਚ ਇਸ ਵੱਡੇ ਪੱਧਰ ਦੇ ਆਪ੍ਰੇਸ਼ਨ, ਜਿਸਦਾ ਕੋਡਨੇਮ ਸਟਾਰੀਡੌਬਰੀ ਸੀ, ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਹ ਮੁਹਿੰਮ ਕਥਿਤ ਤੌਰ 'ਤੇ ਲਗਭਗ ਇੱਕ ਮਹੀਨਾ ਚੱਲੀ, ਜਿਸ ਵਿੱਚ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਕਈ ਮਸ਼ੀਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ।

ਮਾਈਨਿੰਗ ਲਈ ਵਰਤੀਆਂ ਗਈਆਂ ਉੱਚ-ਪ੍ਰਦਰਸ਼ਨ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ

ਇਸ ਮੁਹਿੰਮ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਕਈ ਖੇਤਰਾਂ ਵਿੱਚ ਵਿਅਕਤੀਗਤ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਕਾਰੋਬਾਰਾਂ ਦੋਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, ਜਿਸ ਵਿੱਚ ਰੂਸ, ਬ੍ਰਾਜ਼ੀਲ, ਜਰਮਨੀ, ਬੇਲਾਰੂਸ ਅਤੇ ਕਜ਼ਾਕਿਸਤਾਨ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਲਾਗ ਦਰਾਂ ਸਨ। ਸ਼ਕਤੀਸ਼ਾਲੀ ਹਾਰਡਵੇਅਰ ਵਾਲੇ ਗੇਮਿੰਗ ਸੈੱਟਅੱਪਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਕੇ, ਹਮਲਾਵਰਾਂ ਨੇ ਆਪਣੇ ਗੁਪਤ ਮਾਈਨਿੰਗ ਕਾਰਜਾਂ ਦੀ ਕੁਸ਼ਲਤਾ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕੀਤਾ।

ਲਾਲਚ ਵਜੋਂ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਪ੍ਰਸਿੱਧ ਖੇਡਾਂ

ਇਹ ਹਮਲਾ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਇੰਸਟਾਲਰਾਂ ਨੂੰ ਮਸ਼ਹੂਰ ਗੇਮਾਂ ਦੀਆਂ ਜਾਇਜ਼ ਕਾਪੀਆਂ ਵਜੋਂ ਭੇਸ ਦੇਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਸੀ। ਦਾਣੇ ਵਜੋਂ ਵਰਤੇ ਗਏ ਸਿਰਲੇਖਾਂ ਵਿੱਚ BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox ਅਤੇ Plutocracy ਸ਼ਾਮਲ ਸਨ। ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਸਤੰਬਰ 2024 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਹੀ ਇਹਨਾਂ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਇੰਸਟਾਲਰਾਂ ਨੂੰ ਟੋਰੈਂਟ ਸਾਈਟਾਂ 'ਤੇ ਅਪਲੋਡ ਕਰ ਦਿੱਤਾ ਸੀ, ਜੋ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਕਾਰਵਾਈ ਧਿਆਨ ਨਾਲ ਪਹਿਲਾਂ ਤੋਂ ਯੋਜਨਾਬੱਧ ਸੀ।

ਸੰਕਰਮਿਤ ਇੰਸਟਾਲਰ ਇੱਕ ਸਟੀਲਥੀ ਅਟੈਕ ਚੇਨ ਨੂੰ ਚਾਲੂ ਕਰਦੇ ਹਨ

ਇਹਨਾਂ ਅਖੌਤੀ 'ਰੀਪੈਕ' ਡਾਊਨਲੋਡ ਕਰਨ ਵਾਲੇ ਬੇਖ਼ਬਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਮਿਆਰੀ ਇੰਸਟਾਲੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦਿਖਾਈ ਦਿੱਤੀ। ਸੈੱਟਅੱਪ ਦੌਰਾਨ, ਇੱਕ ਲੁਕਵੀਂ ਡਰਾਪਰ ਫਾਈਲ ('unrar.dll') ਨੂੰ ਬੈਕਗ੍ਰਾਊਂਡ ਵਿੱਚ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਅਤੇ ਚਲਾਇਆ ਗਿਆ, ਜਿਸ ਨਾਲ ਇਨਫੈਕਸ਼ਨ ਦਾ ਅਗਲਾ ਪੜਾਅ ਸ਼ੁਰੂ ਹੋਇਆ।

ਕਾਰਵਾਈ ਵਿੱਚ ਉੱਨਤ ਚੋਰੀ ਤਕਨੀਕਾਂ

ਅੱਗੇ ਵਧਣ ਤੋਂ ਪਹਿਲਾਂ, ਡਰਾਪਰ ਨੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਈ ਜਾਂਚਾਂ ਕੀਤੀਆਂ ਕਿ ਇਹ ਵਰਚੁਅਲਾਈਜ਼ਡ ਜਾਂ ਸੈਂਡਬੌਕਸਡ ਵਾਤਾਵਰਣ ਵਿੱਚ ਨਹੀਂ ਚੱਲ ਰਿਹਾ ਸੀ, ਆਪਣੀਆਂ ਸੂਝਵਾਨ ਚੋਰੀ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹੋਏ। ਫਿਰ ਇਸਨੇ IP ਪਤੇ ਇਕੱਠੇ ਕਰਨ ਅਤੇ ਉਪਭੋਗਤਾ ਸਥਾਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ api.myip.com, ip-api.com, ਅਤੇ ipwho.is ਵਰਗੀਆਂ ਬਾਹਰੀ ਸੇਵਾਵਾਂ ਨਾਲ ਸੰਪਰਕ ਕੀਤਾ। ਜੇਕਰ ਇਹ ਕਦਮ ਅਸਫਲ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸਿਸਟਮ ਨੂੰ ਚੀਨ ਜਾਂ ਬੇਲਾਰੂਸ ਦਾ ਇੱਕ ਡਿਫੌਲਟ ਸਥਾਨ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਸੀ ਕਿਉਂਕਿ ਇਹ ਅਸਪਸ਼ਟ ਰਹਿੰਦਾ ਹੈ।

ਇੱਕ ਗੁੰਝਲਦਾਰ ਬਹੁ-ਪੜਾਵੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਕਿਰਿਆ

ਇੱਕ ਵਾਰ ਮਸ਼ੀਨ ਦੇ ਫਿੰਗਰਪ੍ਰਿੰਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਡਰਾਪਰ ਨੇ 'MTX64.exe' ਨਾਮਕ ਇੱਕ ਹੋਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਡਿਕ੍ਰਿਪਟ ਕੀਤਾ ਅਤੇ ਚਲਾਇਆ। ਇਸ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੇ ਆਪਣੀ ਸਮੱਗਰੀ ਨੂੰ ਇੱਕ ਸਿਸਟਮ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ 'Windows.Graphics.ThumbnailHandler.dll' ਦੇ ਰੂਪ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤਾ। ਇੱਕ ਜਾਇਜ਼ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟ, EpubShellExtThumbnailHandler ਦੇ ਅਧਾਰ ਤੇ, ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੇ ਹੇਠਾਂ ਦਿੱਤੇ ਪੇਲੋਡ, 'Kickstarter' ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ Windows Shell Extension ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ।

ਕਿੱਕਸਟਾਰਟਰ ਕੰਪੋਨੈਂਟ ਨੇ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਡੇਟਾ ਬਲੌਬ ਕੱਢਿਆ ਅਤੇ ਇਸਨੂੰ ਉਪਭੋਗਤਾ ਦੀ ਐਪਡਾਟਾ ਡਾਇਰੈਕਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਲੁਕਵੇਂ ਫੋਲਡਰ ਵਿੱਚ 'Unix.Directory.IconHandler.dll' ਨਾਮ ਹੇਠ ਡਿਸਕ ਤੇ ਲਿਖਿਆ। ਇਸ ਨਵੀਂ ਫਾਈਲ ਨੇ ਫਿਰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਅੰਤਿਮ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਅਸਲ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਸੀ।

ਸਟੀਲਥੀ ਮਾਈਨਰ ਡਿਪਲਾਇਮੈਂਟ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਨਿਗਰਾਨੀ

ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਮਾਈਨਰ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਨੇੜਿਓਂ ਨਿਗਰਾਨੀ ਕੀਤੀ ਗਈ। ਇਹ ਟਾਸਕ ਮੈਨੇਜਰ ('taskmgr.exe') ਅਤੇ ਪ੍ਰੋਸੈਸ ਮਾਨੀਟਰ ('procmon.exe') ਵਰਗੇ ਸਿਸਟਮ ਨਿਗਰਾਨੀ ਸਾਧਨਾਂ ਦੀ ਲਗਾਤਾਰ ਜਾਂਚ ਕਰਦਾ ਰਿਹਾ। ਜੇਕਰ ਇਹਨਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਵੀ ਪ੍ਰਕਿਰਿਆ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਜਾਂਚ ਤੋਂ ਬਚਣ ਲਈ ਮਾਈਨਰ ਨੂੰ ਤੁਰੰਤ ਬੰਦ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਸੀ।

ਚੋਣਵੇਂ ਮਾਈਨਿੰਗ ਲਈ XMRig ਟਵੀਕ ਕੀਤਾ ਗਿਆ

ਇਸ ਕਾਰਵਾਈ ਦੇ ਮੂਲ ਵਿੱਚ XMRig ਮਾਈਨਰ ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ ਸੀ। ਇਹ ਸਿਰਫ਼ ਘੱਟੋ-ਘੱਟ ਅੱਠ ਕੋਰਾਂ ਵਾਲੇ CPUs 'ਤੇ ਹੀ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਸੀ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਸੀ ਕਿ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਗਈਆਂ ਮਸ਼ੀਨਾਂ ਕੋਲ ਕੁਸ਼ਲਤਾ ਨਾਲ ਮਾਈਨਿੰਗ ਕਰਨ ਲਈ ਕਾਫ਼ੀ ਪ੍ਰੋਸੈਸਿੰਗ ਸ਼ਕਤੀ ਹੋਵੇ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇੱਕ ਜਨਤਕ ਮਾਈਨਿੰਗ ਪੂਲ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, ਹਮਲਾਵਰਾਂ ਨੇ ਮਾਈਨਿੰਗ ਮੁਨਾਫ਼ਿਆਂ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਨਿਰਦੇਸ਼ਤ ਕਰਨ ਲਈ ਆਪਣਾ ਨਿੱਜੀ ਸਰਵਰ ਸਥਾਪਤ ਕੀਤਾ।

XMRig ਨੇ ਆਪਣੀ ਬਿਲਟ-ਇਨ ਕਾਰਜਸ਼ੀਲਤਾ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹੋਏ ਕਮਾਂਡ-ਲਾਈਨ ਨਿਰਦੇਸ਼ਾਂ ਨੂੰ ਪਾਰਸ ਕੀਤਾ ਜਦੋਂ ਕਿ ਸਰਗਰਮ ਨਿਗਰਾਨੀ ਸਾਧਨਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਵੱਖਰਾ ਥ੍ਰੈੱਡ ਬਣਾਈ ਰੱਖਿਆ। ਇਸ ਨਿਰੰਤਰ ਸਵੈ-ਰੱਖਿਆ ਵਿਧੀ ਨੇ ਮਾਈਨਿੰਗ ਗਤੀਵਿਧੀ ਨੂੰ ਉਪਭੋਗਤਾ ਤੋਂ ਲੁਕਾਉਣ ਵਿੱਚ ਸਹਾਇਤਾ ਕੀਤੀ।

ਰੂਸੀ ਸੁਰਾਗਾਂ ਨਾਲ ਇੱਕ ਰਹੱਸਮਈ ਖ਼ਤਰਾ

ਕਾਰਵਾਈ ਦੇ ਪੈਮਾਨੇ ਅਤੇ ਸੂਝ-ਬੂਝ ਦੇ ਬਾਵਜੂਦ, ਦੋਸ਼ੀਆਂ ਦੀ ਪਛਾਣ ਅਣਜਾਣ ਹੈ। ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸਿਆਂ ਦੇ ਅੰਦਰ ਰੂਸੀ-ਭਾਸ਼ਾ ਦੀਆਂ ਤਾਰਾਂ ਦੀ ਖੋਜ ਕੀਤੀ, ਜਿਸ ਤੋਂ ਪਤਾ ਚੱਲਿਆ ਕਿ ਹਮਲਾ ਕਿਸੇ ਰੂਸੀ-ਭਾਸ਼ੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਤੋਂ ਹੋਇਆ ਹੋ ਸਕਦਾ ਹੈ।

ਸਟਾਰੀਡੌਬਰੀ ਮੁਹਿੰਮ ਗੈਰ-ਪ੍ਰਮਾਣਿਤ ਸਰੋਤਾਂ ਤੋਂ ਸਾਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਨਾਲ ਜੁੜੇ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਗੇਮ ਇੰਸਟਾਲਰਾਂ ਨੂੰ ਦਾਣੇ ਵਜੋਂ ਵਰਤ ਕੇ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਇੱਕ ਗੁਪਤ ਮੌਜੂਦਗੀ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਇੱਕ ਲੁਕੇ ਹੋਏ ਮਾਈਨਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਹੋਏ। ਇਹ ਘਟਨਾ ਔਨਲਾਈਨ ਸਾਫਟਵੇਅਰ ਪ੍ਰਾਪਤ ਕਰਨ ਵੇਲੇ ਸਾਵਧਾਨੀ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿਉਂਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਆਪਣੀਆਂ ਧੋਖੇਬਾਜ਼ ਚਾਲਾਂ ਨੂੰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ।