ਜ਼ਹਿਰੀਲਾ#ਸਹਾਇਤਾ-ਪੱਖੀ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ
ਇੱਕ ਸੂਝਵਾਨ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ VENOMOUS#HELPER ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਘੱਟੋ-ਘੱਟ ਅਪ੍ਰੈਲ 2025 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਜੋ ਕਿ ਜਾਇਜ਼ ਰਿਮੋਟ ਮਾਨੀਟਰਿੰਗ ਐਂਡ ਮੈਨੇਜਮੈਂਟ (RMM) ਟੂਲਸ ਦੀ ਦੁਰਵਰਤੋਂ ਦੁਆਰਾ ਕਈ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। 80 ਤੋਂ ਵੱਧ ਸੰਗਠਨ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ, ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ। ਇਹ ਗਤੀਵਿਧੀ ਪਹਿਲਾਂ ਦਸਤਾਵੇਜ਼ੀ ਕਲੱਸਟਰਾਂ ਨਾਲ ਓਵਰਲੈਪ ਕਰਦੀ ਹੈ ਜੋ STAC6405 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ ਐਟ੍ਰਬਿਊਸ਼ਨ ਅਨਿਸ਼ਚਿਤ ਰਹਿੰਦਾ ਹੈ, ਸੰਚਾਲਨ ਪੈਟਰਨ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਚਲਾਏ ਜਾਣ ਵਾਲੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ (IABs) ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਪੂਰਵਗਾਮੀ ਸਮੂਹਾਂ ਨਾਲ ਮਜ਼ਬੂਤੀ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਹਨ ਜੋ ਬਾਅਦ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਲਈ ਪੈਰ ਜਮਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਹੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਭਰੋਸੇਯੋਗ ਔਜ਼ਾਰਾਂ ਤੋਂ ਦੂਰ ਰਹਿਣਾ: ਜਾਇਜ਼ RMM ਸੌਫਟਵੇਅਰ ਦੀ ਦੁਰਵਰਤੋਂ
ਹਮਲਾਵਰ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਬਜਾਏ, ਸਿੰਪਲਹੈਲਪ ਅਤੇ ਕਨੈਕਟਵਾਈਜ਼ ਸਕ੍ਰੀਨਕਨੈਕਟ ਵਰਗੇ ਜਾਇਜ਼ ਟੂਲਸ ਦੇ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਕਿਉਂਕਿ ਇਹ ਐਪਲੀਕੇਸ਼ਨ ਆਮ ਤੌਰ 'ਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਵਿੱਚ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਇਸ ਲਈ ਇਹਨਾਂ ਦੀ ਮੌਜੂਦਗੀ ਅਕਸਰ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੀ ਹੈ ਅਤੇ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਤੋਂ ਬਚਦੀ ਹੈ।
ਦੋਵਾਂ ਟੂਲਸ ਦੀ ਇੱਕੋ ਸਮੇਂ ਤੈਨਾਤੀ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਚਾਲ ਹੈ। ਦੋਹਰੇ ਰਿਮੋਟ ਐਕਸੈਸ ਚੈਨਲ ਸਥਾਪਤ ਕਰਕੇ, ਹਮਲਾਵਰ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ। ਜੇਕਰ ਇੱਕ ਕਨੈਕਸ਼ਨ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਉਸਨੂੰ ਨਿਰਪੱਖ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਦੂਜਾ ਚੈਨਲ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿੰਦਾ ਹੈ, ਬਿਨਾਂ ਕਿਸੇ ਰੁਕਾਵਟ ਦੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਫਿਸ਼ਿੰਗ ਐਂਟਰੀ ਪੁਆਇੰਟ: ਇੱਕ ਭਰੋਸੇਮੰਦ ਭੇਸ ਨਾਲ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ
ਹਮਲੇ ਦੀ ਲੜੀ ਯੂਐਸ ਸੋਸ਼ਲ ਸਿਕਿਉਰਿਟੀ ਐਡਮਿਨਿਸਟ੍ਰੇਸ਼ਨ (SSA) ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ ਇੱਕ ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਸੁਨੇਹਾ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਆਪਣੇ ਈਮੇਲ ਪਤੇ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਅਤੇ ਇੱਕ ਏਮਬੈਡਡ ਲਿੰਕ ਰਾਹੀਂ ਇੱਕ ਕਥਿਤ SSA ਸਟੇਟਮੈਂਟ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਤਾਕੀਦ ਕਰਦਾ ਹੈ।
ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ ਲਿੰਕ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਜਾਇਜ਼ ਪਰ ਸਮਝੌਤਾ ਕੀਤੇ ਮੈਕਸੀਕਨ ਕਾਰੋਬਾਰੀ ਵੈੱਬਸਾਈਟ ਵੱਲ ਭੇਜਦਾ ਹੈ, ਜੋ ਕਿ ਸਪੈਮ ਫਿਲਟਰਾਂ ਅਤੇ ਪ੍ਰਤਿਸ਼ਠਾ-ਅਧਾਰਤ ਬਚਾਅ ਤੋਂ ਬਚਣ ਲਈ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੇ ਗਏ ਯਤਨਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਉੱਥੋਂ, ਪੀੜਤਾਂ ਨੂੰ ਦੂਜੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਡੋਮੇਨ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਇੱਕ ਜਾਇਜ਼ ਦਸਤਾਵੇਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨੂੰ ਹੋਸਟ ਕਰਦਾ ਹੈ।
ਪੇਲੋਡ ਡਿਲੀਵਰੀ ਅਤੇ ਨਿਰੰਤਰਤਾ: ਇੰਜੀਨੀਅਰਿੰਗ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ
ਇੱਕ ਵਾਰ ਡਾਊਨਲੋਡ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਵਿੰਡੋਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਤੌਰ 'ਤੇ ਪੈਕ ਕੀਤਾ ਗਿਆ ਪੇਲੋਡ, ਸਿੰਪਲਹੈਲਪ ਆਰਐਮਐਮ ਟੂਲ ਦੀ ਸਥਾਪਨਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਖਤਰਨਾਕ ਫਾਈਲ ਨੂੰ ਸਟੇਜ ਕਰਨ ਲਈ ਹੋਸਟਿੰਗ ਸਰਵਰ 'ਤੇ ਇੱਕ ਸੀਪੈਨਲ ਖਾਤੇ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ।
ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਕਈ ਵਿਧੀਆਂ ਰਾਹੀਂ ਦ੍ਰਿੜਤਾ ਅਤੇ ਲਚਕੀਲਾਪਣ ਸਥਾਪਤ ਕਰਦਾ ਹੈ:
- ਸੇਫ ਮੋਡ ਸਥਿਰਤਾ ਸਮਰੱਥਾਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਵਿੰਡੋਜ਼ ਸੇਵਾ ਦੇ ਤੌਰ 'ਤੇ ਸਥਾਪਨਾ
- ਇੱਕ ਸਵੈ-ਇਲਾਜ ਕਰਨ ਵਾਲੇ ਵਾਚਡੌਗ ਦੀ ਤੈਨਾਤੀ ਜੋ ਬੰਦ ਹੋਣ 'ਤੇ ਸੇਵਾ ਨੂੰ ਆਪਣੇ ਆਪ ਮੁੜ ਚਾਲੂ ਕਰ ਦਿੰਦੀ ਹੈ।
- ਹਰ 67 ਸਕਿੰਟਾਂ ਵਿੱਚ root\SecurityCenter2 WMI ਨੇਮਸਪੇਸ ਰਾਹੀਂ ਸਥਾਪਤ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਦੀ ਨਿਯਮਤ ਗਣਨਾ।
- 23-ਸਕਿੰਟ ਦੇ ਅੰਤਰਾਲਾਂ 'ਤੇ ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ।
ਇਹ ਤਕਨੀਕਾਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀਆਂ ਹਨ ਕਿ ਖਤਰਨਾਕ ਮੌਜੂਦਗੀ ਸਰਗਰਮ, ਅਨੁਕੂਲ ਅਤੇ ਮਿਟਾਉਣਾ ਮੁਸ਼ਕਲ ਰਹੇ।
ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧਾ ਅਤੇ ਪੂਰਾ-ਸਿਸਟਮ ਨਿਯੰਤਰਣ
ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਉੱਤੇ ਪੂਰਾ ਇੰਟਰਐਕਟਿਵ ਕੰਟਰੋਲ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ, ਸਿੰਪਲਹੈਲਪ ਕਲਾਇੰਟ ਐਡਜਸਟਟੋਕਨਪ੍ਰਾਈਵਿਲੇਜ ਰਾਹੀਂ SeDebugPrivilege ਪ੍ਰਾਪਤ ਕਰਕੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਾਫਟਵੇਅਰ ਦੇ ਇੱਕ ਜਾਇਜ਼ ਹਿੱਸੇ, 'elev_win.exe', ਨੂੰ ਸਿਸਟਮ-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਇਹ ਉੱਚਾ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪੱਧਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇਹ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ:
- ਸਕ੍ਰੀਨ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ ਅਤੇ ਕੈਪਚਰ ਕਰੋ
- ਰੀਅਲ ਟਾਈਮ ਵਿੱਚ ਕੀਸਟ੍ਰੋਕ ਲਗਾਓ
- ਉਪਭੋਗਤਾ ਦੇ ਸੰਦਰਭ ਦੇ ਅੰਦਰ ਸੰਵੇਦਨਸ਼ੀਲ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰੋ
ਅਜਿਹੀਆਂ ਯੋਗਤਾਵਾਂ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਚਾਲੂ ਕੀਤੇ ਬਿਨਾਂ ਪੀੜਤ ਦੇ ਵਾਤਾਵਰਣ 'ਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਪੂਰਾ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।
ਰਿਡੰਡੈਂਟ ਐਕਸੈਸ ਰਣਨੀਤੀ: ਇੱਕ ਫਾਲਬੈਕ ਚੈਨਲ ਦੇ ਰੂਪ ਵਿੱਚ ਸਕ੍ਰੀਨਕਨੈਕਟ
ਪ੍ਰਾਇਮਰੀ ਐਕਸੈਸ ਚੈਨਲ ਦੀ ਸਥਾਪਨਾ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਕਨੈਕਟਵਾਈਜ਼ ਸਕ੍ਰੀਨਕਨੈਕਟ ਨੂੰ ਸੈਕੰਡਰੀ ਰਿਮੋਟ ਐਕਸੈਸ ਵਿਧੀ ਵਜੋਂ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਇਹ ਸ਼ੁਰੂਆਤੀ ਸਿੰਪਲਹੈਲਪ ਕਨੈਕਸ਼ਨ ਦੀ ਪਛਾਣ ਅਤੇ ਬਲੌਕ ਹੋਣ 'ਤੇ ਵੀ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਕਈ ਜਾਇਜ਼ ਔਜ਼ਾਰਾਂ ਦੀ ਵਰਤੋਂ ਟਿਕਾਊਤਾ ਅਤੇ ਚੋਰੀ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਇੱਕ ਪਰਤ ਵਾਲੀ ਪਹੁੰਚ ਰਣਨੀਤੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਜੋ ਖੋਜ ਅਤੇ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਦੇ ਯਤਨਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੀ ਹੈ।
ਸੰਚਾਲਨ ਪ੍ਰਭਾਵ: ਰਾਡਾਰ ਦੇ ਹੇਠਾਂ ਚੁੱਪ ਕੰਟਰੋਲ
ਤੈਨਾਤ ਸਿੰਪਲਹੈਲਪ ਵਰਜ਼ਨ (5.0.1) ਰਿਮੋਟ ਐਡਮਿਨਿਸਟ੍ਰੇਸ਼ਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਇੱਕ ਮਜ਼ਬੂਤ ਸੈੱਟ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਵਾਤਾਵਰਣ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਸੁਤੰਤਰ ਅਤੇ ਸਮਝਦਾਰੀ ਨਾਲ ਕੰਮ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੰਗਠਨ ਚੱਲ ਰਹੇ ਸ਼ੋਸ਼ਣ ਦੇ ਸੰਪਰਕ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ, ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਆਪਣੀ ਮਰਜ਼ੀ ਨਾਲ ਸਿਸਟਮ ਵਿੱਚ ਦੁਬਾਰਾ ਦਾਖਲ ਹੋ ਸਕਦੇ ਹਨ।
ਵਾਤਾਵਰਣ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਇੱਕ ਨਿਯੰਤਰਿਤ ਸੰਪਤੀ ਬਣ ਜਾਂਦਾ ਹੈ, ਜਿੱਥੇ ਵਿਰੋਧੀ ਚੁੱਪਚਾਪ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰ ਸਕਦੇ ਹਨ, ਫਾਈਲਾਂ ਨੂੰ ਦੋਵਾਂ ਦਿਸ਼ਾਵਾਂ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਪਾਸੇ ਵੱਲ ਜਾ ਸਕਦੇ ਹਨ। ਕਿਉਂਕਿ ਸਾਰੀ ਗਤੀਵਿਧੀ ਇੱਕ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਯੂਕੇ ਵਿਕਰੇਤਾ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਗਏ ਜਾਇਜ਼ ਤੌਰ 'ਤੇ ਦਸਤਖਤ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਤੋਂ ਉਤਪੰਨ ਹੁੰਦੀ ਜਾਪਦੀ ਹੈ, ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ ਅਤੇ ਦਸਤਖਤ-ਅਧਾਰਤ ਬਚਾਅ ਅਕਸਰ ਘੁਸਪੈਠ ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੇ ਹਨ।
ਸਿੱਟਾ: ਆਧੁਨਿਕ ਘੁਸਪੈਠਾਂ ਲਈ ਇੱਕ ਬਲੂਪ੍ਰਿੰਟ
VENOMOUS#HELPER ਖਤਰਨਾਕ ਉਦੇਸ਼ਾਂ ਲਈ ਜਾਇਜ਼ ਪ੍ਰਸ਼ਾਸਕੀ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ। ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ, ਭਰੋਸੇਯੋਗ ਸੌਫਟਵੇਅਰ ਦੁਰਵਰਤੋਂ, ਅਤੇ ਬੇਲੋੜੀ ਪਹੁੰਚ ਵਿਧੀਆਂ ਨੂੰ ਜੋੜ ਕੇ, ਮੁਹਿੰਮ ਦ੍ਰਿੜਤਾ, ਚੋਰੀ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਵਿਵਹਾਰਕ ਨਿਗਰਾਨੀ, ਜ਼ੀਰੋ-ਟਰੱਸਟ ਸਿਧਾਂਤਾਂ, ਅਤੇ ਜਾਇਜ਼ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਦੀ ਵਧੀ ਹੋਈ ਜਾਂਚ ਦੀ ਤੁਰੰਤ ਲੋੜ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
