TodoSwift ਮੈਕ ਮਾਲਵੇਅਰ

ਮਾਲਵੇਅਰ, ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਵਿੱਚ Mezo ਦੁਆਰਾ

ਇਸ ਵਿੱਚ ਅਨੁਵਾਦ ਕਰੋ:

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਟੋਡੋਸਵਿਫਟ ਨਾਮਕ ਮੈਕੋਸ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਨਵੇਂ ਤਣਾਅ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਨਾਲ ਜੁੜੇ ਜਾਣੇ-ਪਛਾਣੇ ਮਾਲਵੇਅਰ ਨਾਲ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦਾ ਹੈ।

ਇਹ ਐਪਲੀਕੇਸ਼ਨ ਮਾਲਵੇਅਰ ਦੇ ਸਮਾਨ ਕਈ ਵਿਵਹਾਰਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀ ਹੈ ਜੋ ਪਹਿਲਾਂ ਉੱਤਰੀ ਕੋਰੀਆ (DPRK), ਖਾਸ ਤੌਰ 'ਤੇ ਬਲੂਨੋਰੋਫ ਧਮਕੀ ਸਮੂਹ, ਜੋ ਕਿ KANDYKORN ਅਤੇ RustBucke ਵਰਗੇ ਮਾਲਵੇਅਰ ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ। RustBucket, ਪਹਿਲੀ ਵਾਰ ਜੁਲਾਈ 2023 ਵਿੱਚ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ, ਇੱਕ AppleScript-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਹੈ ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਵਾਧੂ ਪੇਲੋਡਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਵਿਸ਼ਾ - ਸੂਚੀ

ਉੱਤਰੀ ਕੋਰੀਆਈ-ਲਿੰਕਡ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ

ਪਿਛਲੇ ਸਾਲ ਦੇ ਅਖੀਰ ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਹੋਰ ਮੈਕੋਸ ਮਾਲਵੇਅਰ ਦੀ ਖੋਜ ਕੀਤੀ ਜਿਸਨੂੰ KANDYKORN ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਇੱਕ ਬੇਨਾਮ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਐਕਸਚੇਂਜ 'ਤੇ ਬਲਾਕਚੈਨ ਇੰਜੀਨੀਅਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਾਈਬਰ ਹਮਲੇ ਵਿੱਚ ਕੀਤੀ ਗਈ ਸੀ।

KANDYKORN ਇੱਕ ਗੁੰਝਲਦਾਰ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦੁਆਰਾ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ ਤੋਂ ਡਾਟਾ ਐਕਸੈਸ ਕਰਨ ਅਤੇ ਬਾਹਰ ਕੱਢਣ ਲਈ ਲੈਸ ਹੁੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਆਪਹੁਦਰੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਹੋਸਟ ਸਿਸਟਮ 'ਤੇ ਕਮਾਂਡਾਂ ਚਲਾ ਸਕਦਾ ਹੈ।

ਦੋ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਵਿੱਚ ਇੱਕ ਮੁੱਖ ਸਮਾਨਤਾ ਉਹਨਾਂ ਦੀ ਕਮਾਂਡ-ਐਂਡ ਕੰਟਰੋਲ (C2) ਕਾਰਵਾਈਆਂ ਲਈ linkpc.net ਡੋਮੇਨਾਂ ਦੀ ਵਰਤੋਂ ਹੈ। RustBucket ਅਤੇ KANDYKORN ਦੋਵੇਂ ਹੀ ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਦਾ ਕੰਮ ਮੰਨੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਬਲੂਨੋਰੋਫ਼ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇਸ ਦੇ ਸਬ-ਕਲੱਸਟਰ ਵੀ ਸ਼ਾਮਲ ਹਨ।

ਉੱਤਰੀ ਕੋਰੀਆ, ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਵਰਗੇ ਸਮੂਹਾਂ ਰਾਹੀਂ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਉਦਯੋਗ ਵਿੱਚ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ ਤਾਂ ਜੋ ਅੰਤਰਰਾਸ਼ਟਰੀ ਪਾਬੰਦੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਦੀ ਕਟਾਈ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਉਹਨਾਂ ਦੇ ਆਰਥਿਕ ਵਿਕਾਸ ਅਤੇ ਇੱਛਾਵਾਂ ਨੂੰ ਸੀਮਤ ਕੀਤਾ ਜਾ ਸਕੇ।

ਟੋਡੋਸਵਿਫਟ ਅਟੈਕ ਚੇਨ

ਟੋਡੋਸਵਿਫਟ ਹਮਲੇ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਇੱਕ ਜਨਤਕ ਚੈਟ ਸਰਵਰ 'ਤੇ ਬਲਾਕਚੈਨ ਇੰਜੀਨੀਅਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਹੁਨਰਾਂ ਅਤੇ ਰੁਚੀਆਂ ਦੇ ਅਨੁਸਾਰ, ਵਿੱਤੀ ਇਨਾਮਾਂ ਦਾ ਵਾਅਦਾ ਕਰਦੇ ਹੋਏ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ।

ਤਾਜ਼ਾ ਖੋਜਾਂ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਟੋਡੋਸਵਿਫਟ ਨੂੰ ਟੋਡੋਟਾਸਕ ਨਾਮਕ ਇੱਕ ਹਸਤਾਖਰਿਤ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਡਰਾਪਰ ਕੰਪੋਨੈਂਟ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਕੰਪੋਨੈਂਟ SwiftUI ਦੇ ਨਾਲ ਬਣਾਇਆ ਗਿਆ ਇੱਕ GUI ਐਪਲੀਕੇਸ਼ਨ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਦੂਜੇ-ਪੜਾਅ ਦੀ ਬਾਈਨਰੀ ਨੂੰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਵੇਲੇ ਪੀੜਤ ਨੂੰ ਇੱਕ ਹਥਿਆਰਬੰਦ PDF ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਤਕਨੀਕ RustBucket ਦੁਆਰਾ ਵੀ ਵਰਤੀ ਜਾਂਦੀ ਹੈ।

ਪੀਡੀਐਫ ਦਾ ਲਾਲਚ ਗੂਗਲ ਡਰਾਈਵ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਬਿਟਕੋਇਨ-ਸਬੰਧਤ ਦਸਤਾਵੇਜ਼ ਹੈ, ਜਦੋਂ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਪੇਲੋਡ ਇੱਕ ਅਭਿਨੇਤਾ-ਨਿਯੰਤਰਿਤ ਡੋਮੇਨ, 'buy2x.com' ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਪੇਲੋਡ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਵਾਧੂ ਮਾਲਵੇਅਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਡਿਵਾਈਸ ਬਾਰੇ ਵੇਰਵੇ ਇਕੱਠੇ ਕਰ ਸਕਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ OS ਸੰਸਕਰਣ ਅਤੇ ਹਾਰਡਵੇਅਰ ਮਾਡਲ, API ਦੁਆਰਾ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਡਿਵਾਈਸ ਉੱਤੇ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਵਿੱਚ ਡੇਟਾ ਲਿਖ ਸਕਦਾ ਹੈ। ਲਾਲਚ ਲਈ ਇੱਕ Google ਡਰਾਈਵ URL ਦੀ ਵਰਤੋਂ ਅਤੇ C2 URL ਨੂੰ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਬਾਈਨਰੀ ਲਈ ਇੱਕ ਲਾਂਚ ਆਰਗੂਮੈਂਟ ਵਜੋਂ ਪਾਸ ਕਰਨਾ ਪਿਛਲੇ DPRK ਮਾਲਵੇਅਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਮੈਕੋਸ ਸਿਸਟਮਾਂ ਵਿੱਚ ਵੇਖੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਨਾਲ ਅਨੁਕੂਲ ਹੈ।