Vampire Bot Malware

ਇੱਕ ਵੀਅਤਨਾਮੀ ਬੋਲਣ ਵਾਲਾ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਦਾਕਾਰ ਜਿਸਨੂੰ ਬੈਟਸ਼ੈਡੋ ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਮੁਹਿੰਮ ਚਲਾ ਰਿਹਾ ਹੈ ਜੋ ਨੌਕਰੀ ਲੱਭਣ ਵਾਲਿਆਂ ਅਤੇ ਡਿਜੀਟਲ-ਮਾਰਕੀਟਿੰਗ ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਗੋ-ਅਧਾਰਤ ਮਾਲਵੇਅਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਲੁਭਾਉਂਦਾ ਹੈ ਜਿਸਨੂੰ ਖੋਜਕਰਤਾ ਵੈਂਪਾਇਰ ਬੋਟ ਕਹਿੰਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਭਰਤੀ ਕਰਨ ਵਾਲਿਆਂ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ ਅਤੇ ਜਾਪਦਾ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਨੌਕਰੀ ਦੇ ਵੇਰਵੇ ਅਤੇ ਕਾਰਪੋਰੇਟ PDF ਵੰਡਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ 'ਤੇ, ਇੱਕ ਬਹੁ-ਪੜਾਅ ਦੀ ਲਾਗ ਲੜੀ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ ਅਤੇ ਰਿਮੋਟ ਨਿਗਰਾਨੀ ਅਤੇ ਡੇਟਾ-ਚੋਰੀ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਲਾਲਚ ਡਿਲੀਵਰੀ

ਹਮਲਾਵਰ ਭਰਤੀ-ਸ਼ੈਲੀ ਦੇ ਸੁਨੇਹੇ ਅਤੇ ਜ਼ਿਪ ਅਟੈਚਮੈਂਟ ਤਿਆਰ ਕਰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ PDF ਫਾਈਲਾਂ ਨੂੰ ਨਕਲੀ ਬਣਾਉਣ ਲਈ ਖਤਰਨਾਕ ਸ਼ਾਰਟਕੱਟ (LNK) ਜਾਂ PDF ਦੇ ਭੇਸ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੁੰਦੇ ਹਨ। ਦਸਤਾਵੇਜ਼ ਲਾਲਚ ਖਾਸ ਤੌਰ 'ਤੇ ਮਾਰਕੀਟਿੰਗ ਭੂਮਿਕਾਵਾਂ (ਇੱਕ ਲਾਲਚ ਜੋ ਮੈਰੀਅਟ ਮਾਰਕੀਟਿੰਗ ਨੌਕਰੀ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ ਤਾਂ ਜੋ ਇਰਾਦੇ ਵਾਲੇ ਪੀੜਤਾਂ ਨਾਲ ਭਰੋਸੇਯੋਗਤਾ ਵਧਾਈ ਜਾ ਸਕੇ। ਪੀੜਤਾਂ ਨੂੰ ਨੌਕਰੀ ਦੇ ਵੇਰਵੇ ਦਾ 'ਪੂਰਵਦਰਸ਼ਨ' ਕਰਨ ਜਾਂ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਬਹੁ-ਪੜਾਵੀ ਸ਼ੋਸ਼ਣ ਕ੍ਰਮ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਪ੍ਰਗਤੀ

ZIP ਪੈਕੇਜਾਂ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ LNK ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ ਇੱਕ ਏਮਬੈਡਡ PowerShell ਸਕ੍ਰਿਪਟ ਚਲਾਉਂਦਾ ਹੈ। ਉਹ ਸਕ੍ਰਿਪਟ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦੀ ਹੈ ਤਾਂ ਜੋ ਇੱਕ lure PDF ਅਤੇ ਇੱਕ ਵੱਖਰਾ ZIP ਬੰਡਲ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕੇ ਜਿਸ ਵਿੱਚ XtraViewer (ਰਿਮੋਟ-ਡੈਸਕਟਾਪ ਸੌਫਟਵੇਅਰ) ਨਾਲ ਸਬੰਧਤ ਫਾਈਲਾਂ ਹੁੰਦੀਆਂ ਹਨ। XtraViewer ਕੰਪੋਨੈਂਟਸ ਨੂੰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ - ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸਥਿਰਤਾ ਜਾਂ ਰਿਮੋਟ ਐਕਸੈਸ ਸਥਾਪਤ ਕਰਨ ਲਈ - ਅਤੇ ਚੇਨ ਉਦੋਂ ਤੱਕ ਜਾਰੀ ਰਹਿੰਦੀ ਹੈ ਜਦੋਂ ਤੱਕ Go ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਤੈਨਾਤ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ।

ਐਜ ਰੀਡਾਇਰੈਕਟਸ ਦੀ ਦੁਰਵਰਤੋਂ

ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਇੱਕ ਮੁੱਖ ਚਾਲ ਇੱਕ ਲੈਂਡਿੰਗ ਪੰਨਾ ਹੈ ਜੋ ਇੱਕ ਨਕਲੀ 'ਅਸਮਰਥਿਤ ਬ੍ਰਾਊਜ਼ਰ' ਗਲਤੀ ਦਿਖਾਉਂਦਾ ਹੈ ਅਤੇ ਪੀੜਤਾਂ ਨੂੰ URL ਕਾਪੀ ਕਰਨ ਅਤੇ ਇਸਨੂੰ Microsoft Edge ਵਿੱਚ ਖੋਲ੍ਹਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ। ਸਕ੍ਰਿਪਟਡ ਰੀਡਾਇਰੈਕਟ ਅਕਸਰ ਆਧੁਨਿਕ ਬ੍ਰਾਊਜ਼ਰਾਂ ਦੁਆਰਾ ਬਲੌਕ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਇਸ ਲਈ ਹਮਲਾਵਰ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਦਸਤੀ ਕਾਰਵਾਈ (ਐਜ ਵਿੱਚ ਕਾਪੀ/ਪੇਸਟ) ਕਰਨ ਲਈ ਮਨਾਉਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਜਿਸਨੂੰ ਫਿਰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਡਾਊਨਲੋਡ ਪ੍ਰਵਾਹ ਨੂੰ ਜਾਰੀ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਐਜ ਵਿੱਚ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ ਪੰਨਾ ਇੱਕ ਹੋਰ ਨਕਲੀ ਗਲਤੀ ਦਿਖਾਉਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਦਾਅਵਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਕਿ PDF ਨੂੰ ਸੰਕੁਚਿਤ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ 'ਤੁਹਾਡੀ ਡਿਵਾਈਸ ਤੇ ਭੇਜਿਆ ਗਿਆ ਸੀ', ਜੋ ਇੱਕ ਆਟੋਮੈਟਿਕ ZIP ਡਾਊਨਲੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ।

ਪੇਲੋਡ ਅਤੇ ਡੀਕੋਏ ਨਾਮਕਰਨ ਚਾਲ

ਆਟੋ-ਡਾਊਨਲੋਡ ਕੀਤੇ ZIP ਵਿੱਚ ਕਥਿਤ ਨੌਕਰੀ ਦਾ ਵੇਰਵਾ ਅਤੇ PDF ਵਾਂਗ ਦਿਖਾਈ ਦੇਣ ਲਈ ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਇੱਕ ਖਤਰਨਾਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ (ਉਦਾਹਰਨ ਲਈ, 'Marriott_Marketing_Job_Description.pdf.exe')। ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਨੇਮ ਪੈਡਿੰਗ ('.pdf' ਅਤੇ '.exe' ਵਿਚਕਾਰ ਵਾਧੂ ਸਪੇਸ) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਇਸ ਲਈ ਇਹ ਕੁਝ ਦ੍ਰਿਸ਼ਾਂ ਵਿੱਚ PDF ਵਰਗਾ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਪੀੜਤਾਂ ਦੁਆਰਾ ਇਸਨੂੰ ਚਲਾਉਣ ਦੀ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ।

ਵੈਂਪਾਇਰ ਬੋਟ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਛੱਡਿਆ ਗਿਆ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਇੱਕ ਗੋਲੰਗ ਬਾਈਨਰੀ ਹੈ ਜਿਸਨੂੰ ਵੈਂਪਾਇਰ ਬੋਟ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸਦੀਆਂ ਦੇਖੀਆਂ ਗਈਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸੰਕਰਮਿਤ ਹੋਸਟ ਦੀ ਗਿਣਤੀ ਅਤੇ ਪ੍ਰੋਫਾਈਲਿੰਗ,

• ਡੇਟਾ ਦਾ ਇੱਕ ਵਿਸ਼ਾਲ ਸਮੂਹ (ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸਟੋਰ, ਫਾਈਲਾਂ, ਆਦਿ) ਚੋਰੀ ਕਰਨਾ,

• ਇੱਕ ਸੰਰਚਨਾਯੋਗ ਸ਼ਡਿਊਲ 'ਤੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣਾ,
  ਅਤੇ

• ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਜਾਂ ਵਾਧੂ ਪੇਲੋਡ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਹਮਲਾਵਰ ਸਰਵਰ (api3.samsungcareers.work ਵਜੋਂ ਰਿਪੋਰਟ ਕੀਤਾ ਗਿਆ) ਨਾਲ ਕਮਾਂਡ-ਅਤੇ-ਨਿਯੰਤਰਣ ਸੰਚਾਰ ਬਣਾਈ ਰੱਖਣਾ।

ਵਿਸ਼ੇਸ਼ਤਾ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ

ਵਿਸ਼ਲੇਸ਼ਕ ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਮੁੜ ਵਰਤੋਂ ਦੇ ਆਧਾਰ 'ਤੇ ਵੀਅਤਨਾਮ ਨਾਲ ਜੋੜਦੇ ਹਨ - ਉਦਾਹਰਨ ਲਈ, ਇੱਕ IP ਪਤਾ (103.124.95.161) ਜੋ ਪਹਿਲਾਂ ਵੀਅਤਨਾਮ ਨਾਲ ਜੁੜੇ ਆਪਰੇਟਰਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ - ਅਤੇ ਟਾਰਗੇਟਿੰਗ ਪੈਟਰਨਾਂ 'ਤੇ। BatShadow ਨੇ ਪਹਿਲਾਂ ਡਿਜੀਟਲ-ਮਾਰਕੀਟਿੰਗ ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ ਅਤੇ ਹੋਰ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਵੀਅਤਨਾਮੀ ਸਮੂਹਾਂ ਨਾਲ ਓਵਰਲੈਪ ਕਰਦਾ ਹੈ ਜੋ ਫੇਸਬੁੱਕ ਬਿਜ਼ਨਸ ਸੰਪਤੀਆਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਵਾਲੇ ਚੋਰੀ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਸਾਲ ਤੋਂ ਸਰਗਰਮ ਜਾਪਦਾ ਹੈ ਅਤੇ ਪਹਿਲਾਂ ਏਜੰਟ ਟੇਸਲਾ, ਲੂਮਾ ਸਟੀਲਰ, ਵੇਨਮ RAT ਸਮੇਤ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਵੰਡਣ ਲਈ samsung-work.com ਵਰਗੇ ਡੋਮੇਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਚੁੱਕਾ ਹੈ, ਅਤੇ, ਅਕਤੂਬਰ 2024 ਵਿੱਚ, ਇਸੇ ਤਰ੍ਹਾਂ ਦੀਆਂ ਬੂਬੀ-ਟ੍ਰੈਪਡ ਨੌਕਰੀ ਵਰਣਨ ਫਾਈਲਾਂ ਰਾਹੀਂ ਕਵਾਸਰ RAT ਵੰਡਣ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ।

ਹਮਲਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਕਿਉਂ ਹੈ?

ਬੈਟਸ਼ੈਡੋ ਉਦਯੋਗ-ਸੰਬੰਧਿਤ ਲਾਲਚ (ਮਾਰਕੀਟਿੰਗ ਨੌਕਰੀ ਦੇ ਇਸ਼ਤਿਹਾਰ), ਫਾਈਲਨਾਮ ਟ੍ਰਿਕਸ, ਸਟੇਜਡ ਪੇਲੋਡ (ਸਧਾਰਨ ਫਾਈਲ ਸਕੈਨਿੰਗ ਤੋਂ ਬਚਣ ਲਈ), ਅਤੇ ਇੱਕ ਪ੍ਰਵਾਹ ਨੂੰ ਜੋੜਦਾ ਹੈ ਜੋ ਸਕ੍ਰਿਪਟਡ ਰੀਡਾਇਰੈਕਟ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਇੱਕ ਮੈਨੂਅਲ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸ਼ਨ ਨੂੰ ਮਜਬੂਰ ਕਰਦਾ ਹੈ। ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਬਹੁ-ਪੜਾਅ ਤਕਨੀਕੀ ਕਦਮਾਂ ਦਾ ਇਹ ਮਿਸ਼ਰਣ ਸਫਲ ਸਮਝੌਤਾ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।

ਸਿੱਟਾ

ਬੈਟਸ਼ੈਡੋ ਦੀ ਮੁਹਿੰਮ ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੀ ਹੈ ਕਿ ਜਦੋਂ ਇੱਕ ਸਟੇਜਡ, ਟਾਲ-ਮਟੋਲ ਵਾਲੀ ਤਕਨੀਕੀ ਲੜੀ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ ਤਾਂ ਨਿਸ਼ਾਨਾਬੱਧ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਕਿੰਨੀ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹੁੰਦੀ ਹੈ। ਉਹ ਸੰਗਠਨ ਜੋ ਅਕਸਰ ਭਰਤੀ ਕਰਦੇ ਹਨ ਜਾਂ ਬਿਨੈਕਾਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਸੰਭਾਲਦੇ ਹਨ - ਅਤੇ ਡਿਜੀਟਲ ਮਾਰਕੀਟਿੰਗ ਵਿੱਚ ਪੇਸ਼ੇਵਰ ਜੋ ਔਨਲਾਈਨ ਸੰਪਤੀਆਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦੇ ਹਨ - ਨੂੰ ਮੇਲ/ਅਟੈਚਮੈਂਟ ਹੈਂਡਲਿੰਗ ਨੂੰ ਸਖ਼ਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਸਖ਼ਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨਿਯੰਤਰਣ ਲਾਗੂ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ, ਅਤੇ ਭਰਤੀ-ਸ਼ੈਲੀ ਦੇ ਅਟੈਚਮੈਂਟਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਹੋਣ ਤੱਕ ਉੱਚ-ਜੋਖਮ ਵਜੋਂ ਮੰਨਣਾ ਚਾਹੀਦਾ ਹੈ।