ਇੱਕ ਸਾਲ-ਲੰਬੇ ਸਾਈਬਰ ਜਾਸੂਸੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਨਾ: ਟਾਰਗੇਟਡ ਆਈਟੀ ਫਰਮ ਵਿੱਚ ਕਸਟਮ ਮਾਲਵੇਅਰ RDStealer ਦਾ ਦਿਲਚਸਪ ਖੁਲਾਸਾ
ਇੱਕ ਪੂਰਬੀ ਏਸ਼ੀਆਈ ਆਈਟੀ ਫਰਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਇੱਕ ਵਿਆਪਕ ਅਤੇ ਸਾਵਧਾਨੀ ਨਾਲ ਯੋਜਨਾਬੱਧ ਸਾਈਬਰ ਹਮਲਾ ਸਾਹਮਣੇ ਆਇਆ ਹੈ, ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਗੁੰਝਲਦਾਰ ਚਾਲਾਂ 'ਤੇ ਰੌਸ਼ਨੀ ਪਾਉਂਦਾ ਹੈ। ਇਹ ਲੰਬੇ ਸਮੇਂ ਦੀ ਕਾਰਵਾਈ, ਇੱਕ ਸਾਲ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੱਕ ਚੱਲੀ, ਗੋਲਾਂਗ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵਿਕਸਿਤ ਕੀਤੇ ਗਏ ਇੱਕ ਵਧੀਆ ਮਾਲਵੇਅਰ ਰੂਪ, RDStealer ਨੂੰ ਤੈਨਾਤ ਕਰਕੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। Bitdefender ਖੋਜਕਰਤਾ ਵਿਕਟਰ ਵਰਬੀ ਦੁਆਰਾ ਇੱਕ ਤਕਨੀਕੀ ਰਿਪੋਰਟ ਵਿੱਚ ਪੇਸ਼ ਕੀਤੇ ਗਏ ਵਿਸਤ੍ਰਿਤ ਖੋਜਾਂ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਹਮਲੇ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਕੀਮਤੀ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸੀ।
ਰੋਮਾਨੀਅਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਫਰਮ ਦੁਆਰਾ ਇਕੱਠੇ ਕੀਤੇ ਗਏ ਵਿਆਪਕ ਸਬੂਤ 2022 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਮੁਹਿੰਮ ਦੀ ਸ਼ੁਰੂਆਤ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ, ਖਾਸ ਟੀਚਾ ਪੂਰਬੀ ਏਸ਼ੀਆ ਵਿੱਚ ਇੱਕ ਅਣਦੱਸੀ ਆਈਟੀ ਕੰਪਨੀ ਹੈ। ਇਹ ਖੁਲਾਸਾ ਅੱਜ ਦੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਸੰਸਾਰ ਵਿੱਚ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੇ ਵਿਕਾਸਸ਼ੀਲਤਾ ਅਤੇ ਨਿਰੰਤਰਤਾ ਦੀ ਇੱਕ ਪੂਰੀ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਪ੍ਰਗਤੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਦੇ ਹੋਏ
ਓਪਰੇਸ਼ਨ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਵਾਂ ਦੇ ਦੌਰਾਨ, ਆਮ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਜਿਵੇਂ ਕਿ ਅਸਿੰਕਰੈਟ ਅਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਨੇ ਇੱਕ ਸਰਗਰਮ ਭੂਮਿਕਾ ਨਿਭਾਈ। ਹਾਲਾਂਕਿ, ਕਸਟਮ-ਡਿਜ਼ਾਈਨ ਕੀਤੇ ਮਾਲਵੇਅਰ ਨੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਕਦਮ ਰੱਖਿਆ ਕਿਉਂਕਿ ਹਮਲਾ 2021 ਦੇ ਅਖੀਰ ਵਿੱਚ ਜਾਂ 2022 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਹੋਇਆ। ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਰਣਨੀਤੀ ਵਿੱਚ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼ ਫੋਲਡਰਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਸਕੈਨ ਤੋਂ ਛੋਟ ਦਿੱਤੀ ਗਈ ਹੈ, ਜਿਵੇਂ ਕਿ ਸਿਸਟਮ32 ਅਤੇ ਪ੍ਰੋਗਰਾਮ ਫਾਈਲਾਂ, ਬੈਕਡੋਰ ਪੇਲੋਡਸ ਨੂੰ ਸਟੋਰ ਕਰਨ ਲਈ। ਇਸ ਪਹੁੰਚ ਦਾ ਉਦੇਸ਼ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੀਆਂ ਸੀਮਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਅਤੇ ਹਮਲੇ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾਉਣਾ ਹੈ।
ਇੱਕ ਖਾਸ ਸਬ-ਫੋਲਡਰ ਜਿਸਨੇ ਹਮਲੇ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਈ ਹੈ "C:\Program Files\Dell\CommandUpdate," ਜੋ ਕਿ ਡੈਲ ਕਮਾਂਡ ਲਈ ਸਥਾਨ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ | ਅੱਪਡੇਟ, ਇੱਕ ਜਾਇਜ਼ Dell ਐਪਲੀਕੇਸ਼ਨ. ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, ਸਾਰੀ ਘਟਨਾ ਦੌਰਾਨ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਗਈਆਂ ਸਾਰੀਆਂ ਮਸ਼ੀਨਾਂ ਡੈਲ-ਨਿਰਮਿਤ ਸਨ, ਜੋ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਇਸ ਫੋਲਡਰ ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਲਈ ਇੱਕ ਛਲਾਵੇ ਵਜੋਂ ਵਰਤਣ ਲਈ ਜਾਣਬੁੱਝ ਕੇ ਚੋਣ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ। ਇਹ ਨਿਰੀਖਣ ਇਸ ਤੱਥ ਦੁਆਰਾ ਮਜ਼ਬੂਤ ਹੁੰਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ "dell-a[.]ntp-update[.]com" ਵਰਗੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਡੋਮੇਨਾਂ ਨੂੰ ਰਜਿਸਟਰ ਕੀਤਾ ਹੈ, ਜੋ ਕਿ ਟਾਰਗੇਟ ਵਾਤਾਵਰਣ ਵਿੱਚ ਨਿਰਵਿਘਨ ਰਲਾਉਣ ਲਈ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਘੁਸਪੈਠ ਮੁਹਿੰਮ ਇੱਕ ਸਰਵਰ-ਸਾਈਡ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜਿਸਨੂੰ RDStealer ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਲਾਗ ਵਾਲੇ ਹੋਸਟ 'ਤੇ ਕਲਿੱਪਬੋਰਡ ਅਤੇ ਕੀਸਟ੍ਰੋਕ ਤੋਂ ਲਗਾਤਾਰ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਵਿੱਚ ਮੁਹਾਰਤ ਰੱਖਦਾ ਹੈ। ਇਹ ਵਿਵਹਾਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਵਿਲੱਖਣ ਵਿਸ਼ੇਸ਼ਤਾ
ਕੀ ਇਸ ਹਮਲੇ ਨੂੰ ਅਲੱਗ ਕਰਦਾ ਹੈ ਆਉਣ ਵਾਲੇ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਅਤੇ ਜੇਕਰ ਕਲਾਇੰਟ ਡਰਾਈਵ ਮੈਪਿੰਗ ਸਮਰੱਥ ਹੈ ਤਾਂ ਰਿਮੋਟ ਮਸ਼ੀਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਇੱਕ ਵਾਰ ਇੱਕ ਨਵੇਂ RDP ਕਲਾਇੰਟ ਕਨੈਕਸ਼ਨ ਦਾ ਪਤਾ ਲੱਗਣ 'ਤੇ, RDStealer mRemoteNG, KeePass, ਅਤੇ Google Chrome ਵਰਗੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ, ਬ੍ਰਾਊਜ਼ਿੰਗ ਇਤਿਹਾਸ, ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ, ਅਤੇ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ ਸਮੇਤ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ ਜਾਰੀ ਕਰਦਾ ਹੈ। ਇਹ ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸਰਗਰਮੀ ਨਾਲ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ ਅਤੇ ਹੋਰ ਪ੍ਰਣਾਲੀਆਂ ਨਾਲ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਮਾਰਿਨ ਜ਼ੁਗੇਕ, ਬਿਟਡੇਫੈਂਡਰ ਦੇ ਇੱਕ ਖੋਜਕਰਤਾ, ਨੇ ਇੱਕ ਵੱਖਰੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਉਜਾਗਰ ਕੀਤਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਮਝੌਤਾ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ ਨਾਲ ਜੁੜਨ ਵਾਲੇ RDP ਕਲਾਇੰਟਸ ਲੋਗੁਟਿਲ ਨੂੰ ਫੜਦੇ ਹਨ, ਇੱਕ ਹੋਰ ਕਸਟਮ ਗੋਲੰਗ-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ।
Logutil ਪੀੜਤ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਸਹੂਲਤ ਲਈ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਬਾਰੇ ਸੀਮਤ ਜਾਣਕਾਰੀ ਉਪਲਬਧ ਹੈ, ਸਿਵਾਏ ਉਹਨਾਂ ਦੀ 2020 ਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਛੱਡ ਕੇ। ਜ਼ੁਗੇਕ ਨੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੀ ਨਿਰੰਤਰ ਨਵੀਨਤਾ ਅਤੇ ਵਿਕਾਸਸ਼ੀਲ ਸੂਝ-ਬੂਝ 'ਤੇ ਟਿੱਪਣੀ ਕੀਤੀ, ਜੋ ਆਪਣੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਨਵੀਂ ਅਤੇ ਸਥਾਪਿਤ ਤਕਨੀਕਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਇਹ ਹਮਲਾ ਆਧੁਨਿਕ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੀ ਵਧਦੀ ਗੁੰਝਲਤਾ ਅਤੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਅਪਣਾਈਆਂ ਗਈਆਂ ਤਕਨਾਲੋਜੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੀ ਯੋਗਤਾ ਦੇ ਸਬੂਤ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।
ਇੱਕ ਸਾਲ-ਲੰਬੇ ਸਾਈਬਰ ਜਾਸੂਸੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਨਾ: ਟਾਰਗੇਟਡ ਆਈਟੀ ਫਰਮ ਵਿੱਚ ਕਸਟਮ ਮਾਲਵੇਅਰ RDStealer ਦਾ ਦਿਲਚਸਪ ਖੁਲਾਸਾ ਸਕ੍ਰੀਨਸ਼ਾਟ
