SVCR ਤਿਆਰ

ਸਾਈਬਰ ਅਪਰਾਧੀ ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। HP ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਖ਼ਤਰੇ ਅਤੇ ਇਸ ਨਾਲ ਸੰਬੰਧਿਤ ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਬਾਰੇ ਵੇਰਵੇ ਲੋਕਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕੀਤੇ ਗਏ ਸਨ। ਖੋਜਕਰਤਾਵਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, SCVReady ਦੇ ਰੂਪ ਵਿੱਚ ਟ੍ਰੈਕ ਕੀਤੀ ਧਮਕੀ ਇੱਕ ਅਸਾਧਾਰਨ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜਦੋਂ ਇਸਨੂੰ ਪੀੜਤ ਦੇ ਡਿਵਾਈਸ ਉੱਤੇ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਹਾਲਾਂਕਿ ਖਤਰੇ ਨੂੰ ਕਿਸੇ ਖਾਸ APT ਸਮੂਹ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਨਹੀਂ ਠਹਿਰਾਇਆ ਜਾ ਸਕਦਾ ਹੈ, ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਅਤੇ TA551 (ਸ਼ੈਟੈਕ) ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਪਿਛਲੇ ਧਮਕੀ ਭਰੇ ਓਪਰੇਸ਼ਨਾਂ ਵਿਚਕਾਰ ਕੁਝ ਸਬੰਧ ਹਨ।

SVCReady ਨੂੰ ਲਾਲਚ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਨਾਲ ਜੁੜੀਆਂ ਜ਼ਹਿਰੀਲੀਆਂ ਵਰਡ ਫਾਈਲਾਂ ਦੇ ਅੰਦਰ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ। ਨਿਕਾਰਾ ਫਾਈਲਾਂ ਅਜੇ ਵੀ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ VBA ਮੈਕਰੋ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਬਦਲੇ ਵਿੱਚ ਇੱਕ ਰਿਮੋਟ ਟਿਕਾਣੇ ਤੋਂ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ। ਹਾਲਾਂਕਿ, SVCReady ਦੇ ਮਾਮਲੇ ਵਿੱਚ, VBA ਮੈਕਰੋ ਅਤੇ ਸ਼ੈੱਲਕੋਡ ਵੱਖ-ਵੱਖ ਵੰਡੇ ਗਏ ਹਨ, ਹਮਲਾਵਰਾਂ ਨੇ ਫਾਈਲ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਅੰਦਰ ਸਮਝੌਤਾ ਕੀਤੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਲੁਕਾਇਆ ਹੋਇਆ ਹੈ। ਇੱਕ ਵਾਰ ਖ਼ਤਰਾ ਸਿਸਟਮ ਵਿੱਚ ਤੈਨਾਤ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਪਹਿਲਾਂ ਰਜਿਸਟਰੀ ਸਵਾਲਾਂ ਅਤੇ ਵਿੰਡੋਜ਼ API ਕਾਲਾਂ ਰਾਹੀਂ ਸ਼ੁਰੂਆਤੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੇਗਾ। ਐਕੁਆਇਰ ਕੀਤਾ ਡੇਟਾ ਫਿਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ 'ਤੇ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਵੇਗਾ। ਧਮਕੀ ਦੇ ਬਾਅਦ ਦੇ ਸੰਸਕਰਣਾਂ ਅਤੇ ਇਸਦੇ C2 ਸਰਵਰ ਵਿਚਕਾਰ ਸੰਚਾਰ RC4 ਐਨਕ੍ਰਿਪਟਡ ਹੈ।

ਲੋਡਰ ਇਹ ਪਤਾ ਲਗਾਉਣ ਦੀ ਵੀ ਕੋਸ਼ਿਸ਼ ਕਰੇਗਾ ਕਿ ਕੀ ਇਹ ਦੋ WMI ਪੁੱਛਗਿੱਛਾਂ ਬਣਾ ਕੇ ਇੱਕ ਵਰਚੁਅਲਾਈਜ਼ਡ ਵਾਤਾਵਰਨ ਦੇ ਅੰਦਰ ਚਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਨਤੀਜਿਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਿਆਂ, SVCReady 30-ਮਿੰਟ ਦੀ ਨੀਂਦ ਵਿੱਚ ਦਾਖਲ ਹੋ ਸਕਦਾ ਹੈ। ਇਸਦੀ ਸਥਿਰਤਾ ਵਿਧੀ ਲਈ, ਧਮਕੀ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਅਤੇ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਇੱਕ ਨਵੀਂ ਰਜਿਸਟਰੀ ਕੁੰਜੀ ਬਣਾਏਗੀ। ਹਾਲਾਂਕਿ, ਇਸ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਵਰਤਮਾਨ ਵਿੱਚ ਗਲਤ ਹੈ ਅਤੇ ਗਲਤੀਆਂ ਵੱਲ ਖੜਦਾ ਹੈ ਜੋ ਮਾਲਵੇਅਰ ਨੂੰ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਲਾਂਚ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਇਹ ਕਾਰਜਕੁਸ਼ਲਤਾ ਅਗਲੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ ਫਿਕਸ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਕਿਉਂਕਿ HP ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਹੈ ਕਿ SVCReady ਅਜੇ ਵੀ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਮਾਲਵੇਅਰ ਨੂੰ ਮਨਮਾਨੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਇੱਕ ਚੁਣੀ ਗਈ ਫਾਈਲ ਚਲਾਉਣ ਜਾਂ ਵਾਧੂ ਧਮਕੀ ਭਰੇ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦੇ ਸਕਦੇ ਹਨ।