ਸਟੈਗਨੋਅਮੋਰ ਅਟੈਕ ਓਪਰੇਸ਼ਨ
TA558 ਹੈਕਿੰਗ ਗਰੁੱਪ ਨੇ ਚਿੱਤਰਾਂ ਦੇ ਅੰਦਰ ਹਾਨੀਕਾਰਕ ਕੋਡ ਨੂੰ ਏਮਬੇਡ ਕਰਨ ਲਈ ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕੀਤੀ ਹੈ। ਇਹ ਤਕਨੀਕ ਉਹਨਾਂ ਨੂੰ ਖਾਸ ਸਿਸਟਮਾਂ 'ਤੇ ਮਾਲਵੇਅਰ ਟੂਲਸ ਦੀ ਇੱਕ ਸੀਮਾ ਨੂੰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਵੰਡਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੋਵਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਦੀ ਹੈ।
2018 ਤੋਂ, TA558 ਨੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖਤਰਾ ਪੈਦਾ ਕੀਤਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਲਾਤੀਨੀ ਅਮਰੀਕਾ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦੇ ਹੋਏ, ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਪਰਾਹੁਣਚਾਰੀ ਅਤੇ ਸੈਰ-ਸਪਾਟਾ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ। ਹਾਲ ਹੀ ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਸਟੈਗਨੋਗ੍ਰਾਫੀ 'ਤੇ ਇਸਦੀ ਭਾਰੀ ਨਿਰਭਰਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹੋਏ, 'ਸਟੇਗਨੋਅਮੋਰ' ਨਾਮਕ ਉਹਨਾਂ ਦੇ ਨਵੀਨਤਮ ਯਤਨਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਇਸ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੇ 320 ਤੋਂ ਵੱਧ ਹਮਲਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਵਿਭਿੰਨ ਖੇਤਰਾਂ ਅਤੇ ਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ।
ਵਿਸ਼ਾ - ਸੂਚੀ
SteganoAmor ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਦੇ ਪ੍ਰਸਾਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ
ਹਮਲੇ ਦੀ ਸ਼ੁਰੂਆਤ ਧੋਖੇਬਾਜ਼ ਈਮੇਲਾਂ ਨਾਲ ਹੁੰਦੀ ਹੈ ਜੋ ਜਾਪਦੇ ਨੁਕਸਾਨਦੇਹ ਦਸਤਾਵੇਜ਼ ਅਟੈਚਮੈਂਟਾਂ ਨੂੰ ਲੈ ਕੇ ਹੁੰਦੀਆਂ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਐਕਸਲ ਜਾਂ ਵਰਡ ਫਾਰਮੈਟ ਵਿੱਚ, CVE-2017-11882 ਕਮਜ਼ੋਰੀ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀਆਂ ਹਨ। ਇਹ ਨੁਕਸ, ਜਿਸ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਸਮੀਕਰਨ ਸੰਪਾਦਕ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ ਅਤੇ 2017 ਵਿੱਚ ਪੈਚ ਕੀਤਾ ਗਿਆ ਸੀ, ਇੱਕ ਆਮ ਟੀਚੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਈਮੇਲ ਸਮਝੌਤਾ ਕੀਤੇ SMTP ਸਰਵਰਾਂ ਤੋਂ ਉਹਨਾਂ ਦੀ ਜਾਇਜ਼ਤਾ ਨੂੰ ਵਧਾਉਣ ਅਤੇ ਬਲੌਕ ਕੀਤੇ ਜਾਣ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਣ ਲਈ ਭੇਜੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।
ਅਜਿਹੇ ਮਾਮਲਿਆਂ ਵਿੱਚ ਜਿੱਥੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਦਾ ਇੱਕ ਪੁਰਾਣਾ ਸੰਸਕਰਣ ਵਰਤੋਂ ਵਿੱਚ ਹੈ, ਸ਼ੋਸ਼ਣ ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ (VBS) ਦੇ ਡਾਊਨਲੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ 'file.ee' ਸੇਵਾ ਨੂੰ ਖੋਲ੍ਹਣ 'ਤੇ ਜਾਇਜ਼ 'ਪੇਸਟ' ਤੋਂ। ਇਸ ਤੋਂ ਬਾਅਦ, ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਇੱਕ ਚਿੱਤਰ ਫਾਈਲ (JPG) ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਅਧਾਰ-64 ਏਨਕੋਡਡ ਪੇਲੋਡ ਹੁੰਦਾ ਹੈ। ਚਿੱਤਰ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤੀ ਸਕ੍ਰਿਪਟ ਦੇ ਅੰਦਰ, ਪਾਵਰਸ਼ੇਲ ਕੋਡ ਅੰਤਮ ਪੇਲੋਡ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਇੱਕ ਟੈਕਸਟ ਫਾਈਲ ਵਿੱਚ ਛੁਪਿਆ ਹੋਇਆ ਹੈ ਅਤੇ ਉਲਟ ਬੇਸ64 ਫਾਰਮੈਟ ਵਿੱਚ ਏਨਕੋਡ ਕੀਤਾ ਗਿਆ ਹੈ।
ਅੰਤਮ ਪੇਲੋਡ ਦੇ ਤੌਰ 'ਤੇ ਕਈ ਨੁਕਸਾਨਦੇਹ ਧਮਕੀਆਂ ਤਾਇਨਾਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਮਲੇ ਦੀ ਲੜੀ ਦੇ ਕਈ ਦੁਹਰਾਓ ਦੇਖੇ ਹਨ, ਹਰ ਇੱਕ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੀ ਇੱਕ ਵਿਭਿੰਨ ਸ਼੍ਰੇਣੀ ਨੂੰ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚੋਂ AgentTesla , ਕੀਲੌਗਿੰਗ ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਸਪਾਈਵੇਅਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ; ਫਾਰਮਬੁੱਕ, ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਅਤੇ ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਵਿੱਚ ਮਾਹਰ; Remcos , ਰਿਮੋਟ ਮਸ਼ੀਨ ਪ੍ਰਬੰਧਨ ਅਤੇ ਨਿਗਰਾਨੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ; ਲੋਕੀਬੋਟ , ਵੱਖ-ਵੱਖ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ; Gulo a der, ਸੈਕੰਡਰੀ ਪੇਲੋਡਸ ਲਈ ਡਾਊਨਲੋਡਰ ਦੇ ਤੌਰ 'ਤੇ ਸੇਵਾ ਕਰ ਰਿਹਾ ਹੈ, Snake Keylogger , ਕੀਸਟ੍ਰੋਕ ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਅਤੇ XWorm ਨੂੰ ਕੈਪਚਰ ਕਰਨਾ, ਸਮਝੌਤਾ ਕੀਤੇ ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਰਿਮੋਟ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਅੰਤਮ ਪੇਲੋਡ ਅਤੇ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਅਕਸਰ ਉਹਨਾਂ ਦੀ ਅਨੁਕੂਲ ਪ੍ਰਤਿਸ਼ਠਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਅਤੇ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ Google ਡਰਾਈਵ ਵਰਗੀਆਂ ਨਾਮਵਰ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਵਿੱਚ ਸ਼ਰਨ ਪਾਉਂਦੀਆਂ ਹਨ। ਵਾਢੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਜਾਇਜ਼ FTP ਸਰਵਰਾਂ 'ਤੇ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਆਵਾਜਾਈ ਨੂੰ ਆਮ ਦਿਖਾਈ ਦੇਣ ਲਈ ਮਾਸਕਿੰਗ ਕਰਦਾ ਹੈ। 320 ਤੋਂ ਵੱਧ ਹਮਲਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਦੇਸ਼ਾਂ 'ਤੇ ਮੁੱਖ ਫੋਕਸ ਦੇ ਨਾਲ, ਹਾਲਾਂਕਿ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦਾ ਦਾਇਰਾ ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ ਫੈਲਿਆ ਹੋਇਆ ਹੈ।
ਫਿਸ਼ਿੰਗ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੇ ਅਸਲੇ ਵਿੱਚ ਇੱਕ ਬਹੁਤ ਹੀ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸੰਦ ਹੈ
ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਰੂਸ, ਬੇਲਾਰੂਸ, ਕਜ਼ਾਕਿਸਤਾਨ, ਉਜ਼ਬੇਕਿਸਤਾਨ, ਕਿਰਗਿਸਤਾਨ, ਤਜ਼ਾਕਿਸਤਾਨ ਅਤੇ ਅਰਮੇਨੀਆ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਇਨਫੋਸੈਕਸ ਮਾਹਰਾਂ ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਹਮਲੇ LazyStealer ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ Google Chrome ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਖੋਜਕਰਤਾ ਹਮਲਿਆਂ ਦੀ ਇਸ ਲੜੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ, ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ ਆਲਸੀ ਕੋਆਲਾ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਦਾ ਨਾਮ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟਸ ਦੇ ਕਥਿਤ ਕੰਟਰੋਲਰ ਦੇ ਨਾਮ 'ਤੇ ਰੱਖਿਆ ਗਿਆ ਹੈ ਜੋ ਕਿ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੀੜਤ ਜਨਸੰਖਿਆ ਅਤੇ ਮਾਲਵੇਅਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ YoroTrooper (ਜਿਸਨੂੰ SturgeonPhisher ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਹੋਰ ਹੈਕਿੰਗ ਸਮੂਹ ਨਾਲ ਸੰਭਾਵੀ ਕਨੈਕਸ਼ਨਾਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ। ਇਸ ਸਮੂਹ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਪ੍ਰਾਇਮਰੀ ਟੂਲ ਇੱਕ ਮੁਢਲੇ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਹੈ, ਜੋ ਖੋਜ ਤੋਂ ਬਚਣ, ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ, ਸਾਰੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰਨ, ਅਤੇ ਇਸਨੂੰ ਟੈਲੀਗ੍ਰਾਮ ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਟੈਲੀਗ੍ਰਾਮ ਨੂੰ ਸੰਚਾਰ ਦੇ ਇੱਕ ਸੁਰੱਖਿਅਤ ਸਾਧਨ ਵਜੋਂ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵੱਧ ਤੋਂ ਵੱਧ ਪਸੰਦ ਕੀਤਾ ਗਿਆ ਹੈ।
