VOID#GEIST ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਸੂਝਵਾਨ ਮਲਟੀ-ਸਟੇਜ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਏਨਕ੍ਰਿਪਟਡ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਬੈਚ ਸਕ੍ਰਿਪਟਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। VOID#GEIST ਵਜੋਂ ਪਛਾਣੀ ਗਈ ਇਹ ਮੁਹਿੰਮ, XWorm, AsyncRAT, ਅਤੇ Xeno RAT ਸਮੇਤ ਕਈ RAT ਪਰਿਵਾਰਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ।

ਹਮਲਾ ਚੇਨ ਇੱਕ ਅਸਪਸ਼ਟ ਬੈਚ ਸਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜੋ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਕਾਰਵਾਈਆਂ ਦੀ ਇੱਕ ਲੜੀ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ। ਇਹਨਾਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਇੱਕ ਵਾਧੂ ਬੈਚ ਸਕ੍ਰਿਪਟ ਲਾਂਚ ਕਰਨਾ, ਇੱਕ ਜਾਇਜ਼ ਏਮਬੈਡਡ ਪਾਈਥਨ ਰਨਟਾਈਮ ਵਾਤਾਵਰਣ ਨੂੰ ਸਟੇਜ ਕਰਨਾ, ਅਤੇ ਏਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਪੇਲੋਡਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਅਰਲੀ ਬਰਡ ਅਸਿੰਕ੍ਰੋਨਸ ਪ੍ਰੋਸੀਜਰ ਕਾਲ (APC) ਇੰਜੈਕਸ਼ਨ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿੰਡੋਜ਼ ਪ੍ਰਕਿਰਿਆ explorer.exe ਦੇ ਵੱਖਰੇ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਸਕ੍ਰਿਪਟ-ਸੰਚਾਲਿਤ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ: ਇੱਕ ਆਧੁਨਿਕ ਧਮਕੀ ਮਾਡਲ

ਆਧੁਨਿਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਲੋਕ ਰਵਾਇਤੀ ਸਟੈਂਡਅਲੋਨ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਮਾਲਵੇਅਰ ਨੂੰ ਛੱਡ ਕੇ ਲੇਅਰਡ, ਸਕ੍ਰਿਪਟ-ਅਧਾਰਿਤ ਡਿਲੀਵਰੀ ਫਰੇਮਵਰਕ ਦੇ ਹੱਕ ਵਿੱਚ ਵੱਧ ਰਹੇ ਹਨ ਜੋ ਜਾਇਜ਼ ਉਪਭੋਗਤਾ ਵਿਵਹਾਰ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਰਵਾਇਤੀ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (PE) ਬਾਈਨਰੀਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਬਜਾਏ, ਹਮਲਾਵਰ ਮਲਟੀ-ਕੰਪੋਨੈਂਟ ਪਾਈਪਲਾਈਨਾਂ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਦੇ ਹਨ ਜੋ ਕਈ ਜਾਇਜ਼ ਤਕਨਾਲੋਜੀਆਂ ਅਤੇ ਸਕ੍ਰਿਪਟਿੰਗ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਜੋੜਦੀਆਂ ਹਨ।

ਇਹਨਾਂ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਆਮ ਹਿੱਸਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਬੈਚ ਸਕ੍ਰਿਪਟਾਂ ਜੋ ਇਨਫੈਕਸ਼ਨ ਕ੍ਰਮ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।
• ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡਾਂ ਜੋ ਸਟੀਲਥੀ ਪੇਲੋਡ ਸਟੇਜਿੰਗ ਦੀ ਸਹੂਲਤ ਦਿੰਦੀਆਂ ਹਨ।
• ਏਮਬੈਡਡ ਜਾਇਜ਼ ਰਨਟਾਈਮ ਜੋ ਸਿਸਟਮਾਂ ਵਿੱਚ ਪੋਰਟੇਬਿਲਟੀ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ।
• ਸਥਿਰਤਾ ਅਤੇ ਨਿਯੰਤਰਣ ਬਣਾਈ ਰੱਖਣ ਲਈ ਕੱਚਾ ਸ਼ੈੱਲਕੋਡ ਸਿੱਧਾ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਇਹ ਫਾਈਲ ਰਹਿਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪਹੁੰਚ ਡਿਸਕ-ਅਧਾਰਿਤ ਖੋਜ ਦੇ ਮੌਕਿਆਂ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਉਂਦੀ ਹੈ। ਹਰੇਕ ਵਿਅਕਤੀਗਤ ਪੜਾਅ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਜਾਂਚੇ ਜਾਣ 'ਤੇ ਮੁਕਾਬਲਤਨ ਨੁਕਸਾਨਦੇਹ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ ਅਤੇ ਅਕਸਰ ਰੁਟੀਨ ਪ੍ਰਸ਼ਾਸਕੀ ਗਤੀਵਿਧੀ ਵਰਗਾ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨਾਂ ਨੂੰ ਤੁਰੰਤ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀਆਂ ਦਿੱਤੇ ਬਿਨਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਕੰਮ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਫਿਸ਼ਿੰਗ ਅਤੇ ਕਲਾਉਡਫਲੇਅਰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਰਾਹੀਂ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ

ਹਮਲੇ ਦਾ ਐਂਟਰੀ ਪੁਆਇੰਟ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤੀ ਗਈ ਇੱਕ ਖਤਰਨਾਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਸਕ੍ਰਿਪਟ ਨੂੰ TryCloudflare ਡੋਮੇਨ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਲਾਗੂ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਸਕ੍ਰਿਪਟ ਜਾਣਬੁੱਝ ਕੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਤੋਂ ਬਚਦੀ ਹੈ ਅਤੇ ਇਸ ਦੀ ਬਜਾਏ ਮੌਜੂਦਾ ਲੌਗ-ਇਨ ਕੀਤੇ ਉਪਭੋਗਤਾ ਦੀਆਂ ਅਨੁਮਤੀ ਸੀਮਾਵਾਂ ਦੇ ਅੰਦਰ ਸਖਤੀ ਨਾਲ ਕੰਮ ਕਰਦੀ ਹੈ।

ਇਹ ਰਣਨੀਤੀ ਮਾਲਵੇਅਰ ਨੂੰ ਨਿਯਮਤ ਉਪਭੋਗਤਾ-ਪੱਧਰ ਦੇ ਕਾਰਜਾਂ ਵਿੱਚ ਮਿਲਾਉਂਦੇ ਹੋਏ ਆਪਣੀ ਸ਼ੁਰੂਆਤੀ ਸਥਿਤੀ ਸਥਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਉੱਚੇ ਅਧਿਕਾਰਾਂ ਦੀ ਲੋੜ ਵਾਲੀਆਂ ਕਾਰਵਾਈਆਂ ਤੋਂ ਬਚ ਕੇ, ਹਮਲਾ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀਆਂ ਜਾਂ ਪ੍ਰਬੰਧਕੀ ਪ੍ਰੋਂਪਟਾਂ ਨੂੰ ਚਾਲੂ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ।

ਵਿਜ਼ੂਅਲ ਡਿਸਟ੍ਰੈਕਸ਼ਨ ਅਤੇ ਸਟੀਲਥ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤਕਨੀਕਾਂ

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਦਾ ਪਹਿਲਾ ਪੜਾਅ ਪੀੜਤ ਦਾ ਧਿਆਨ ਭਟਕਾਉਣ ਲਈ ਇੱਕ ਡੀਕੋਏ ਦਸਤਾਵੇਜ਼ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਗੂਗਲ ਕਰੋਮ ਨੂੰ ਪੀਡੀਐਫ ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕੀਤੇ ਗਏ ਵਿੱਤੀ ਦਸਤਾਵੇਜ਼ ਜਾਂ ਇਨਵੌਇਸ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਪੂਰੀ-ਸਕ੍ਰੀਨ ਮੋਡ ਵਿੱਚ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਦਸਤਾਵੇਜ਼ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ, ਤਾਂ ਪਿਛੋਕੜ ਵਿੱਚ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਜਾਰੀ ਰਹਿੰਦੀ ਹੈ।

ਇਸਦੇ ਨਾਲ ਹੀ, ਇੱਕ PowerShell ਕਮਾਂਡ ਨੂੰ ਲੁਕਵੇਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ ਅਸਲੀ ਬੈਚ ਸਕ੍ਰਿਪਟ ਨੂੰ ਦੁਬਾਰਾ ਲਾਂਚ ਕਰਨ ਲਈ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। -WindowStyle ਲੁਕਵੇਂ ਪੈਰਾਮੀਟਰ ਦੀ ਵਰਤੋਂ ਇੱਕ ਦਿਖਾਈ ਦੇਣ ਵਾਲੀ ਕੰਸੋਲ ਵਿੰਡੋ ਨੂੰ ਦਿਖਾਈ ਦੇਣ ਤੋਂ ਰੋਕਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਉਪਭੋਗਤਾ ਤੋਂ ਲੁਕੀ ਰਹੇ।

ਯੂਜ਼ਰ-ਪੱਧਰ ਦੇ ਸਟਾਰਟਅੱਪ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਰਾਹੀਂ ਦ੍ਰਿੜਤਾ

ਸਿਸਟਮ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ, ਮਾਲਵੇਅਰ ਵਿੰਡੋਜ਼ ਯੂਜ਼ਰ ਸਟਾਰਟਅੱਪ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਸਹਾਇਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਇਹ ਸਥਾਨ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਜਦੋਂ ਵੀ ਪੀੜਤ ਸਿਸਟਮ ਵਿੱਚ ਲੌਗਇਨ ਕਰਦਾ ਹੈ ਤਾਂ ਸਕ੍ਰਿਪਟ ਆਪਣੇ ਆਪ ਹੀ ਚਲੀ ਜਾਂਦੀ ਹੈ।

ਇਹ ਸਥਿਰਤਾ ਵਿਧੀ ਜਾਣਬੁੱਝ ਕੇ ਸੂਖਮ ਹੈ। ਸਿਸਟਮ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਨੂੰ ਸੋਧਣ, ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾਉਣ, ਜਾਂ ਸੇਵਾਵਾਂ ਸਥਾਪਤ ਕਰਨ ਵਰਗੀਆਂ ਹੋਰ ਦਖਲਅੰਦਾਜ਼ੀ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਬਜਾਏ, ਮਾਲਵੇਅਰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਮਿਆਰੀ ਉਪਭੋਗਤਾ-ਪੱਧਰ ਦੇ ਸ਼ੁਰੂਆਤੀ ਵਿਵਹਾਰ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਕਿਉਂਕਿ ਇਹ ਪਹੁੰਚ ਮੌਜੂਦਾ ਉਪਭੋਗਤਾ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਵਾਲੇ ਪ੍ਰੋਂਪਟਾਂ ਨੂੰ ਚਾਲੂ ਕਰਨ ਤੋਂ ਬਚਾਉਂਦਾ ਹੈ ਅਤੇ ਰਜਿਸਟਰੀ ਨਿਗਰਾਨੀ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ।

ਪੇਲੋਡ ਪ੍ਰਾਪਤੀ ਅਤੇ ਡੀਕ੍ਰਿਪਸ਼ਨ ਫਰੇਮਵਰਕ

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦੇ ਅਗਲੇ ਪੜਾਅ ਦੌਰਾਨ, ਮਾਲਵੇਅਰ ZIP ਆਰਕਾਈਵਜ਼ ਵਿੱਚ ਪੈਕ ਕੀਤੇ ਵਾਧੂ ਪੇਲੋਡ ਹਿੱਸਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ TryCloudflare ਡੋਮੇਨ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਆਰਕਾਈਵਜ਼ ਵਿੱਚ ਅੰਤਿਮ ਮਾਲਵੇਅਰ ਪੇਲੋਡਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਲੋੜੀਂਦੇ ਮੋਡੀਊਲ ਹੁੰਦੇ ਹਨ।

ਡਾਊਨਲੋਡ ਕੀਤੇ ਪੁਰਾਲੇਖ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਹੇਠ ਲਿਖੇ ਭਾਗ ਹੁੰਦੇ ਹਨ:

• runn.py – ਇੱਕ ਪਾਈਥਨ-ਅਧਾਰਿਤ ਲੋਡਰ ਜੋ ਏਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਮੋਡੀਊਲਾਂ ਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
• new.bin – XWorm ਨਾਲ ਸੰਬੰਧਿਤ ਇਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਪੇਲੋਡ
• xn.bin – Xeno RAT ਨਾਲ ਸੰਬੰਧਿਤ ਇਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਪੇਲੋਡ
• pul.bin – AsyncRAT ਨਾਲ ਸੰਬੰਧਿਤ ਇਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਪੇਲੋਡ
• a.json, n.json, ਅਤੇ p.json - ਪਾਈਥਨ ਲੋਡਰ ਦੁਆਰਾ ਰਨਟਾਈਮ ਦੌਰਾਨ ਸ਼ੈੱਲਕੋਡ ਪੇਲੋਡਾਂ ਨੂੰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਮੁੱਖ ਫਾਈਲਾਂ।

ਇਹ ਮਾਡਿਊਲਰ ਡਿਜ਼ਾਈਨ ਹਮਲਾਵਰਾਂ ਨੂੰ ਵੱਖ-ਵੱਖ ਪੇਲੋਡਾਂ ਨੂੰ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਸਟੇਜ ਕਰਨ ਅਤੇ ਲੋੜ ਪੈਣ 'ਤੇ ਹੀ ਉਹਨਾਂ ਨੂੰ ਸਰਗਰਮ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਪੋਰਟੇਬਿਲਟੀ ਅਤੇ ਸਟੀਲਥ ਲਈ ਏਮਬੈਡਡ ਪਾਈਥਨ ਰਨਟਾਈਮ

ਇੱਕ ਵਾਰ ਪੁਰਾਲੇਖ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ python.org ਤੋਂ ਸਿੱਧੇ ਪ੍ਰਾਪਤ ਕੀਤੇ ਇੱਕ ਜਾਇਜ਼ ਏਮਬੈਡਡ ਪਾਈਥਨ ਰਨਟਾਈਮ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਜਾਇਜ਼ ਦੁਭਾਸ਼ੀਏ ਨੂੰ ਏਮਬੈਡ ਕਰਨ ਨਾਲ ਕਿਸੇ ਵੀ ਪਾਈਥਨ ਇੰਸਟਾਲੇਸ਼ਨ 'ਤੇ ਨਿਰਭਰਤਾ ਖਤਮ ਹੋ ਜਾਂਦੀ ਹੈ ਜੋ ਪਹਿਲਾਂ ਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਮੌਜੂਦ ਹੋ ਸਕਦੀ ਹੈ।

ਹਮਲਾਵਰ ਦੇ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ, ਇਹ ਕਦਮ ਕਈ ਰਣਨੀਤਕ ਫਾਇਦੇ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਇੱਕ ਸਵੈ-ਨਿਰਭਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਾਤਾਵਰਣ ਬਣ ਜਾਂਦਾ ਹੈ ਜੋ ਬਾਹਰੀ ਨਿਰਭਰਤਾਵਾਂ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਪੇਲੋਡ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਇੰਜੈਕਟ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੁੰਦਾ ਹੈ। ਇਹ ਵੱਖ-ਵੱਖ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਪੋਰਟੇਬਿਲਟੀ ਵਿੱਚ ਸੁਧਾਰ ਕਰਦਾ ਹੈ, ਭਰੋਸੇਯੋਗਤਾ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ, ਅਤੇ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਹਿੱਸਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਾਰਜਸ਼ੀਲ ਚੋਰੀ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦਾ ਹੈ।

ਮਲਟੀਪਲ RAT ਪੇਲੋਡਾਂ ਦਾ ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ

ਫਿਰ ਏਮਬੈਡਡ ਪਾਈਥਨ ਰਨਟਾਈਮ ਦੀ ਵਰਤੋਂ runn.py ਲੋਡਰ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਲੋਡਰ XWorm ਨਾਲ ਜੁੜੇ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ Early Bird APC ਇੰਜੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ explorer.exe ਦੇ ਇੱਕ ਚੱਲ ਰਹੇ ਇੰਸਟੈਂਸ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।

Xeno RAT ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ, ਮਾਲਵੇਅਰ AppInstallerPythonRedirector.exe ਨਾਮਕ ਇੱਕ ਜਾਇਜ਼ ਮਾਈਕ੍ਰੋਸਾਫਟ ਬਾਈਨਰੀ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਪਾਈਥਨ ਨੂੰ ਇਨਵੋਕ ਕਰਨ ਅਤੇ ਲੋੜੀਂਦੇ ਹਿੱਸਿਆਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਉਸੇ ਇੰਜੈਕਸ਼ਨ ਤਕਨੀਕ ਨੂੰ ਬਾਅਦ ਵਿੱਚ AsyncRAT ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਦੁਬਾਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਸਾਰੇ ਪੇਲੋਡ ਡਿਸਕ 'ਤੇ ਰਵਾਇਤੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਛੱਡੇ ਬਿਨਾਂ ਮੈਮੋਰੀ ਵਿੱਚ ਪੂਰੀ ਤਰ੍ਹਾਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੀਕਨਿੰਗ ਅਤੇ ਮਾਡਿਊਲਰ ਆਰਕੀਟੈਕਚਰ

ਹਮਲੇ ਦੇ ਆਖਰੀ ਪੜਾਅ ਵਿੱਚ TryCloudflare 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਇੱਕ ਘੱਟੋ-ਘੱਟ HTTP ਬੀਕਨ ਭੇਜਣਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਬੀਕਨ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਸਿਸਟਮ ਸਫਲਤਾਪੂਰਵਕ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਹੋਰ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਹੈ।

ਹਾਲਾਂਕਿ ਮੁਹਿੰਮ ਦੇ ਖਾਸ ਟੀਚੇ ਅਣਜਾਣ ਹਨ, ਪਰ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਇੱਕ ਬਹੁਤ ਹੀ ਮਾਡਯੂਲਰ ਆਰਕੀਟੈਕਚਰ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੀ ਹੈ। ਇੱਕ ਵੱਡੇ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਬਜਾਏ, ਹਮਲਾਵਰ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚ ਹੌਲੀ-ਹੌਲੀ ਭਾਗਾਂ ਨੂੰ ਪੇਸ਼ ਕਰਦੇ ਹਨ। ਇਹ ਡਿਜ਼ਾਈਨ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਅਤੇ ਲਚਕਤਾ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਂਦਾ ਹੈ।

ਖੋਜ ਦੇ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ, ਮੁਹਿੰਮ ਦੌਰਾਨ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਵਹਾਰਕ ਸੂਚਕ ਉੱਭਰਦਾ ਹੈ: ਥੋੜ੍ਹੇ ਸਮੇਂ ਦੇ ਅੰਤਰਾਲਾਂ ਦੇ ਅੰਦਰ explorer.exe ਵਿੱਚ ਵਾਰ-ਵਾਰ ਪ੍ਰਕਿਰਿਆ ਟੀਕਾਕਰਨ। ਇਹ ਪੈਟਰਨ ਹਮਲੇ ਦੇ ਜੀਵਨ ਚੱਕਰ ਦੇ ਵੱਖ-ਵੱਖ ਪੜਾਵਾਂ ਵਿੱਚ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀ ਨੂੰ ਆਪਸ ਵਿੱਚ ਜੋੜਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵਾਲੇ ਬਚਾਅ ਪੱਖਾਂ ਲਈ ਇੱਕ ਮਜ਼ਬੂਤ ਸੰਕੇਤ ਵਜੋਂ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ।