TransferLoader Malware

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਰੋਮਕਾਮ RAT ਦੇ ਪਿੱਛੇ ਬਦਨਾਮ ਅਦਾਕਾਰਾਂ ਅਤੇ ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਲੋਡਰ ਵਿਚਕਾਰ ਸਬੰਧ ਬਣਾ ਰਹੇ ਹਨ। ਇਹ ਮੁਹਿੰਮ, ਜਿਸਨੇ ਜਾਸੂਸੀ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਨਾਲ ਇਕਾਈਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ, ਅਤਿ-ਆਧੁਨਿਕ ਤਕਨੀਕਾਂ ਅਤੇ ਓਵਰਲੈਪਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਦੀ ਨੇੜਿਓਂ ਜਾਂਚ ਦੀ ਮੰਗ ਹੁੰਦੀ ਹੈ।

ਦੋ ਧਮਕੀ ਅਦਾਕਾਰ ਕਲੱਸਟਰ: TA829 ਅਤੇ UNK_GreenSec

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਨਾਲ ਸਬੰਧਤ ਗਤੀਵਿਧੀ ਨੂੰ ਦੋ ਮੁੱਖ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸਮੂਹਾਂ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਹੈ:

• TA829, ਨੂੰ RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, ਅਤੇ Void Rabisu ਵਰਗੇ ਉਪਨਾਮਾਂ ਹੇਠ ਵੀ ਟਰੈਕ ਕੀਤਾ ਗਿਆ।
• UNK_GreenSec, ਇੱਕ ਘੱਟ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਕਲੱਸਟਰ ਜੋ ਸਮਾਨ ਰਣਨੀਤੀਆਂ ਦੇ ਨਾਲ ਸਮਾਨਾਂਤਰ ਕੰਮ ਕਰਦਾ ਹੈ।

TA829 ਆਪਣੇ ਹਾਈਬ੍ਰਿਡ ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਖਾਸ ਤੌਰ 'ਤੇ ਪ੍ਰਸਿੱਧ ਹੈ, ਜੋ ਜਾਸੂਸੀ ਅਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹਮਲਿਆਂ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਇਸ ਰੂਸ-ਅਨੁਕੂਲ ਸਮੂਹ ਨੇ ਪਹਿਲਾਂ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਗਲੋਬਲ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, ਰੋਮਕਾਮ RAT ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਮੋਜ਼ੀਲਾ ਫਾਇਰਫਾਕਸ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਇਆ ਹੈ।

ਟ੍ਰਾਂਸਫਰਲੋਡਰ: ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਉਭਾਰ ਅਤੇ ਭੂਮਿਕਾ

ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਦੀ ਪਛਾਣ ਪਹਿਲੀ ਵਾਰ ਫਰਵਰੀ 2025 ਵਿੱਚ ਮੋਰਫਿਅਸ ਰੈਨਸਮਵੇਅਰ, ਜੋ ਕਿ ਹੈਲਕੈਟ ਰੈਨਸਮਵੇਅਰ ਦਾ ਇੱਕ ਰੀਬ੍ਰਾਂਡਡ ਵਰਜਨ ਹੈ, ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਮੁਹਿੰਮ ਦੌਰਾਨ ਕੀਤੀ ਗਈ ਸੀ। ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਇੱਕ ਅਣਜਾਣ ਯੂਐਸ-ਅਧਾਰਤ ਕਾਨੂੰਨ ਫਰਮ ਦੇ ਵਿਰੁੱਧ ਕੀਤੀ ਗਈ ਸੀ। ਰੋਮਕਾਮ ਦੇ ਉਲਟ, ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਇੱਕ ਸਟੀਲਥੀ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਮੈਟਾਸਪਲੋਇਟ ਅਤੇ ਮੋਰਫਿਅਸ ਵਰਗੇ ਵਾਧੂ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਦੀ ਤੈਨਾਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਦਾ ਮਿਸ਼ਨ ਸਰਲ ਹੈ: ਅਣਪਛਾਤੇ ਰਹਿਣਾ ਅਤੇ ਹੋਰ ਮਾਲਵੇਅਰ ਪਹੁੰਚਾਉਣਾ।

REM ਪ੍ਰੌਕਸੀ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਖੋਜ ਕਰਨਾ

TA829 ਅਤੇ UNK_GreenSec ਦੋਵੇਂ REM ਪ੍ਰੌਕਸੀ ਸੇਵਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਜੋ ਅਕਸਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ MikroTik ਰਾਊਟਰਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਪ੍ਰੌਕਸੀਆਂ ਦੀ ਵਰਤੋਂ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੂਟ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇਸਦੇ ਅਸਲ ਮੂਲ ਨੂੰ ਲੁਕਾਉਂਦੇ ਹੋਏ। ਸਮੂਹ ਇਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਇਸ ਲਈ ਕਰਦੇ ਹਨ:

• ਫ੍ਰੀਮੇਲ ਸੇਵਾਵਾਂ (ਜਿਵੇਂ ਕਿ Gmail, ukr.net) ਰਾਹੀਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਭੇਜੋ।
• ਅੱਪਸਟ੍ਰੀਮ ਗਤੀਵਿਧੀ ਨੂੰ ਲੁਕਾਉਣ ਲਈ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਲੇਅ ਕਰੋ
• ਨਵੇਂ ਬਣਾਏ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਈਮੇਲ ਖਾਤਿਆਂ ਦੋਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੁਹਿੰਮਾਂ ਸ਼ੁਰੂ ਕਰੋ।

ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ ਈਮੇਲ ਬਿਲਡਰ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ ਜੋ ਭੇਜਣ ਵਾਲੇ ਪਤਿਆਂ ਜਿਵੇਂ ਕਿ ximajazehox333@gmail.com ਅਤੇ hannahsilva1978@ukr.net ਨੂੰ ਫਿਸ਼ਿੰਗ ਵੰਡ ਲਈ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਤਿਆਰ ਕਰਦੇ ਹਨ।

ਫਿਸ਼ਿੰਗ ਮਕੈਨਿਕਸ ਅਤੇ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਦੋਵਾਂ ਕਲੱਸਟਰਾਂ ਦੁਆਰਾ ਭੇਜੇ ਗਏ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਅਕਸਰ ਈਮੇਲ ਬਾਡੀ ਜਾਂ PDF ਅਟੈਚਮੈਂਟਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਲਿੰਕ ਹੁੰਦੇ ਹਨ। ਇਹਨਾਂ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਵਾਲੇ ਪੀੜਤਾਂ ਨੂੰ ਰੀਬ੍ਰਾਂਡਲੀ ਰਾਹੀਂ ਰੀਡਾਇਰੈਕਸ਼ਨਾਂ ਦੀ ਇੱਕ ਲੜੀ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ, ਜੋ ਅੰਤ ਵਿੱਚ ਨਕਲੀ Google ਡਰਾਈਵ ਜਾਂ Microsoft OneDrive ਪੰਨਿਆਂ 'ਤੇ ਪਹੁੰਚਦੇ ਹਨ। ਇਹਨਾਂ ਰੀਡਾਇਰੈਕਟਸ ਵਿੱਚ ਵਿਧੀਆਂ ਸ਼ਾਮਲ ਹਨ:

• ਸੈਂਡਬੌਕਸ ਵਾਤਾਵਰਣ ਨੂੰ ਬਾਈਪਾਸ ਕਰੋ
• ਦਿਲਚਸਪੀ ਵਾਲੇ ਸਿਸਟਮਾਂ ਨੂੰ ਫਿਲਟਰ ਕਰੋ
• ਧਮਕੀ ਸਮੂਹ ਦੇ ਆਧਾਰ 'ਤੇ ਵੱਖ-ਵੱਖ ਅੰਤਿਮ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰੋ

ਵੱਖ-ਵੱਖ ਹਮਲੇ ਦੇ ਰਸਤੇ :

• UNK_GreenSec TransferLoader ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਇਸ ਰੂਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
• TA829 ਟਾਰਗੇਟਾਂ ਨੂੰ ਸਲਿੱਪਸਕ੍ਰੀਨ ਮਾਲਵੇਅਰ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ

ਸਾਂਝੇ ਔਜ਼ਾਰ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ

ਦੋਵੇਂ ਐਕਟਰ ਗਰੁੱਪ ਓਵਰਲੈਪਿੰਗ ਟੂਲਸੈੱਟ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਕਲਪਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ:

• SSH ਸੁਰੰਗਾਂ ਸਥਾਪਤ ਕਰਨ ਲਈ PuTTY ਦੀ PLINK ਸਹੂਲਤ ਦੀ ਵਰਤੋਂ
• IPFS (ਇੰਟਰਪਲੈਨੇਟਰੀ ਫਾਈਲ ਸਿਸਟਮ) ਸੇਵਾਵਾਂ 'ਤੇ ਖਤਰਨਾਕ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨਾ
• ਟ੍ਰੈਫਿਕ ਫਿਲਟਰਿੰਗ ਲਈ ਗਤੀਸ਼ੀਲ PHP-ਅਧਾਰਿਤ ਰੀਡਾਇਰੈਕਸ਼ਨ ਐਂਡਪੁਆਇੰਟਸ ਦਾ ਲਾਭ ਉਠਾਉਣਾ

ਇਹ ਸਾਂਝੇ ਤਰੀਕੇ ਸੰਭਾਵੀ ਤਾਲਮੇਲ ਜਾਂ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰਣਨੀਤੀਆਂ ਦੇ ਆਪਸੀ ਅਪਣਾਉਣ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਥੀਮ ਅਤੇ ਡਿਲੀਵਰੀ ਰਣਨੀਤੀਆਂ

ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਨਾਲ ਜੁੜੀਆਂ ਮੁਹਿੰਮਾਂ ਅਕਸਰ ਨੌਕਰੀ ਦੇ ਮੌਕੇ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦੀਆਂ ਹਨ, ਪੀੜਤਾਂ ਨੂੰ PDF ਰੈਜ਼ਿਊਮੇ ਵੱਲ ਲੈ ਜਾਣ ਦਾ ਦਾਅਵਾ ਕਰਨ ਵਾਲੇ ਲਿੰਕਾਂ ਨਾਲ ਲੁਭਾਉਂਦੀਆਂ ਹਨ। ਅਸਲ ਵਿੱਚ, ਇਹ ਲਿੰਕ IPFS ਵੈੱਬਸ਼ੇਅਰਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਦੇ ਡਾਊਨਲੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ।

ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਓਪਰੇਸ਼ਨਾਂ ਦੀਆਂ ਮੁੱਖ ਤਕਨੀਕੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ

ਬਚਦਾ ਖੋਜ - ਰਵਾਇਤੀ ਬਚਾਅ ਪੱਖਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਰੀਡਾਇਰੈਕਸ਼ਨ, ਫਿਲਟਰਿੰਗ ਅਤੇ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਹੋਸਟਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਪੇਲੋਡ ਡਿਲੀਵਰੀ - ਰੈਨਸਮਵੇਅਰ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲਸ ਸਮੇਤ ਵਧੇਰੇ ਖਤਰਨਾਕ ਮਾਲਵੇਅਰ ਲਈ ਇੱਕ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

ਵਿਭਿੰਨ ਤਕਨੀਕਾਂ - ਗਤੀਸ਼ੀਲ ਸਮੱਗਰੀ ਡਿਲੀਵਰੀ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਵਿਲੱਖਣ ਰੀਡਾਇਰੈਕਟ ਢਾਂਚੇ (ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਤੋਂ PHP ਐਂਡਪੁਆਇੰਟ) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਸਿੱਟਾ: ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਖ਼ਤਰੇ ਨੂੰ ਸਮਝਣਾ

ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇੱਕ ਸਟੀਲਥੀ ਲੋਡਰ ਹੈ ਜੋ ਉੱਚ-ਪ੍ਰਭਾਵ ਵਾਲੇ ਹਮਲਿਆਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। UNK_GreenSec ਅਤੇ TA829 ਦੋਵਾਂ ਦੁਆਰਾ ਇਸਦੀ ਵਰਤੋਂ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਆਪਣੇ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਨਵੀਨਤਾ, ਸੰਦ ਸਾਂਝੇ ਕਰਨ ਅਤੇ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਰਹਿੰਦੇ ਹਨ।

ਟ੍ਰਾਂਸਫਰਲੋਡਰ ਖ਼ਤਰੇ ਦੇ ਸੂਚਕਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• REM ਪ੍ਰੌਕਸੀ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ
• ਨੌਕਰੀ ਦੀਆਂ ਅਰਜ਼ੀਆਂ ਜਾਂ ਰੈਜ਼ਿਊਮੇ ਦਾ ਹਵਾਲਾ ਦੇਣ ਲਈ ਈਮੇਲ ਲੁਭਾਉਂਦਾ ਹੈ
• ਰੀਬ੍ਰਾਂਡਲੀ ਲਿੰਕਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀਆਂ ਰੀਡਾਇਰੈਕਟ ਚੇਨਾਂ
• IPFS-ਅਧਾਰਿਤ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਪੇਲੋਡ

ਸੰਗਠਨਾਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਮਜ਼ਬੂਤ ਈਮੇਲ ਅਤੇ ਵੈੱਬ ਫਿਲਟਰਿੰਗ ਲਾਗੂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਇਹਨਾਂ ਚਾਲਾਂ ਨਾਲ ਜੁੜੇ ਅਸਧਾਰਨ ਨੈੱਟਵਰਕ ਵਿਵਹਾਰ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ।