ਜੰਗਲੀ ਦਬਾਅ APT

2019 ਵਿੱਚ ਵਾਪਸ, ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਉਦਯੋਗ-ਸਬੰਧਤ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵਿਕਸਤ ਟਰੋਜਨ ਧਮਕੀ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਵਾਲੀ ਇੱਕ ਧਮਕੀ ਭਰੀ ਮੁਹਿੰਮ ਖੇਤਰ ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਸਥਾਪਤ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੇ ਟੀਟੀਪੀਜ਼ (ਟੈਕਟਿਕਸ, ਤਕਨੀਕਾਂ, ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ) ਨਾਲ ਮੇਲ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹੀ। ਨਤੀਜੇ ਵਜੋਂ, ਇਹ ਇੱਕ ਨਵੇਂ ਸਥਾਪਿਤ ਏਟੀਪੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਸਮੂਹ ਨੂੰ ਅਹੁਦਾ ਵਾਈਲਡ ਪ੍ਰੈਸ਼ਰ ਦਿੱਤਾ ਗਿਆ ਸੀ।

ਇਸ ਸ਼ੁਰੂਆਤੀ ਕਾਰਵਾਈ ਤੋਂ, ਹੈਕਰਾਂ ਨੇ ਹਾਨੀਕਾਰਕ ਸਾਧਨਾਂ ਦੇ ਆਪਣੇ ਹਥਿਆਰਾਂ ਨੂੰ ਵਧਾਉਣ ਅਤੇ ਬਿਹਤਰ ਬਣਾਉਣ ਲਈ ਕਾਫ਼ੀ ਮਿਹਨਤ ਕੀਤੀ ਹੈ। ਦਰਅਸਲ, ਵਾਈਲਡਪ੍ਰੈਸ਼ਰ ਦੇ ਸੰਕੇਤਾਂ ਵਾਲੀ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਹੁਣ ਕਈ ਪਹਿਲਾਂ ਕਦੇ ਨਾ ਵੇਖੇ ਗਏ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰ ਰਹੀ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਮੈਕੋਸ ਸਿਸਟਮ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਪੀੜਤ ਇਕ ਵਾਰ ਫਿਰ ਮੱਧ ਪੂਰਬ ਤੋਂ ਹਨ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਤੇਲ ਅਤੇ ਗੈਸ ਸੈਕਟਰ ਨਾਲ ਸਬੰਧਤ ਹੋਣ ਦਾ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਗਿਆ ਹੈ।

ਵਾਈਲਡਪ੍ਰੈਸ਼ਰ ਨੇ ਇਸਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਵੀ ਵਿਭਿੰਨਤਾ ਕੀਤੀ ਹੈ. 2019 ਓਪਰੇਸ਼ਨ ਵਿੱਚ VPS (ਵਰਚੁਅਲ ਪ੍ਰਾਈਵੇਟ ਸਰਵਰ) ਸ਼ਾਮਲ ਹਨ ਜਦੋਂ ਕਿ ਮੌਜੂਦਾ ਮੁਹਿੰਮ ਵਿੱਚ ਕਈ ਜਾਇਜ਼ ਵਰਡਪਰੈਸ ਸਾਈਟਾਂ ਵੀ ਸ਼ਾਮਲ ਹਨ ਜਿਨ੍ਹਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ। ਉਹਨਾਂ ਵਿੱਚ 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www ਹਨ। glisru[.]eu,' ਅਤੇ 'hxxp://www.mozh[.]org.'

Milum ਟਰੋਜਨ

ਮੂਲ ਟਰੋਜਨ ਧਮਕੀ ਨੂੰ ਵਾਈਲਡਪ੍ਰੈਸ਼ਰ ਦੁਆਰਾ ਛੱਡ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਇਹ C++ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਇਸਦੇ ਸੰਰਚਨਾ ਡੇਟਾ ਲਈ JSON ਫਾਰਮੈਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹੀ ਫਾਰਮੈਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਵਿੱਚ ਵੀ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਮਿਲਮ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਇੱਕੋ ਇੱਕ ਐਨਕ੍ਰਿਪਸ਼ਨ RC4 ਹੈ ਪਰ ਧਮਕੀ ਹਰੇਕ ਪੀੜਤ ਲਈ ਇੱਕ ਵੱਖਰੀ 64-ਬਾਈਟ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਸਮਝੌਤਾ ਕੀਤੀ ਡਿਵਾਈਸ 'ਤੇ, ਟਰੋਜਨ ਇੱਕ ਅਦਿੱਖ ਟੂਲਬਾਰ ਵਿੰਡੋ ਦਾ ਰੂਪ ਲੈਂਦੀ ਹੈ। ਇਸ ਦੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, ਸਰਵਰ 'ਤੇ ਡੇਟਾ ਅਪਲੋਡ ਕਰਨਾ, ਫਾਈਲ ਅਤੇ ਸਿਸਟਮ ਵੇਰਵੇ ਪ੍ਰਾਪਤ ਕਰਨਾ, ਇੱਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਤਿਆਰ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ ਸ਼ਾਮਲ ਹੈ ਜੋ ਸਿਸਟਮ ਤੋਂ ਮਿਲਮ ਨੂੰ ਹਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਾਲ ਹੀ ਹੈਕਰਾਂ ਦੁਆਰਾ ਇੱਕ ਨਵਾਂ ਸੰਸਕਰਣ ਜਾਰੀ ਹੋਣ 'ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਅਪਡੇਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।

ਗਾਰਡ ਟਰੋਜਨ

ਇਹ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ ਪਾਈਥਨ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਵਿੰਡੋਜ਼ ਅਤੇ ਮੈਕੋਸ ਸਿਸਟਮ ਦੋਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦਾ ਹੈ। ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ ਇਸਨੂੰ ਬਣਾਉਣ ਵੇਲੇ, ਵਾਈਲਡਪ੍ਰੈਸ਼ਰ ਹੈਕਰ ਬਹੁਤ ਜ਼ਿਆਦਾ ਪ੍ਰੇਰਿਤ ਸਨ ਅਤੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਤੀਜੀ-ਧਿਰ ਕੋਡ 'ਤੇ ਭਰੋਸਾ ਕਰਦੇ ਸਨ। ਕੁੱਲ ਮਿਲਾ ਕੇ ਖ਼ਤਰਾ ਦੂਜੇ ਵਾਈਲਡਪ੍ਰੈਸ਼ਰ ਟੂਲਸ ਨਾਲ ਬਹੁਤ ਸਾਰੀਆਂ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦਾ ਹੈ, ਖ਼ਾਸਕਰ ਜਦੋਂ ਇਹ ਕੋਡਿੰਗ ਸ਼ੈਲੀ, ਇਸਦੇ ਡਿਜ਼ਾਈਨ, ਅਤੇ C2 ਸੰਚਾਰ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ। Infosec ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਗਾਰਡ ਟਰੋਜਨ ਅਜੇ ਵੀ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਹੈ।

ਖਾਸ ਤੌਰ 'ਤੇ ਮੈਕੋਸ ਡਿਵਾਈਸਾਂ 'ਤੇ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤੇ ਗਏ ਪਹਿਲੇ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨਾ ਹੈ ਕਿ ਕੀ ਟਰੋਜਨ ਦੀ ਇੱਕ ਹੋਰ ਉਦਾਹਰਣ ਪਹਿਲਾਂ ਤੋਂ ਚੱਲ ਨਹੀਂ ਰਹੀ ਹੈ। ਦ੍ਰਿੜਤਾ ਦੀ ਵਿਧੀ ਵੀ ਸਮਝਣਯੋਗ ਤੌਰ 'ਤੇ ਵੱਖਰੀ ਹੈ। ਵਿੰਡੋਜ਼ ਡਿਵਾਈਸਾਂ 'ਤੇ, ਟਰੋਜਨ ਇੱਕ RunOnce ਰਜਿਸਟਰੀ ਕੁੰਜੀ ਸਾਫਟਵੇਅਰ\Microsoft\Windows\CurrentVersion\RunOnce\gd_system ਬਣਾਉਂਦਾ ਹੈ। ਮੈਕੋਸ ਸਿਸਟਮਾਂ ਲਈ, ਹਾਲਾਂਕਿ, ਗਾਰਡ ਇੱਕ XML ਦਸਤਾਵੇਜ਼ ਨੂੰ ਡੀਕੋਡ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ ਇੱਕ ਪਲਿਸਟ ਫਾਈਲ ਬਣਾਉਂਦਾ ਹੈ। ਫਿਰ ਮਾਲਵੇਅਰ ਆਪਣੇ ਆਪ ਚਲਾਉਣ ਲਈ $HOME/Library/LaunchAgents/com.apple.pyapple.plist 'ਤੇ ਉਸ ਫਾਈਲ ਦੀ ਸਮੱਗਰੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਧਮਕੀ OS 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਸਿਸਟਮ ਬਾਰੇ ਵੇਰਵੇ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵੱਖਰੇ ਤਰੀਕੇ ਵੀ ਵਰਤਦੀ ਹੈ। ਜਿਵੇਂ ਕਿ ਇਸ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਲਈ, ਗਾਰਡ ਨੂੰ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮ ਲਈ ਵਾਧੂ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ, C2 ਸਰਵਰ 'ਤੇ ਦਿਲਚਸਪੀ ਦੀਆਂ ਫਾਈਲਾਂ ਅਪਲੋਡ ਕਰਨ, ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਨਵਾਂ ਸੰਸਕਰਣ ਲਿਆਉਣ, ਜਾਂ ਸਿਸਟਮ ਤੋਂ ਇਸਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਹਟਾਉਣ ਲਈ ਇੱਕ ਸਫਾਈ ਰੁਟੀਨ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤੇ ਜਾ ਸਕਦੇ ਹਨ।

Tandis ਟਰੋਜਨ

ਟੈਂਡਿਸ ਇੱਕ ਸਵੈ-ਡਿਕ੍ਰਿਪਟ ਕਰਨ ਵਾਲੀ VBScript ਧਮਕੀ ਹੈ। ਗਾਰਡ ਟਰੋਜਨ ਦੇ ਮੁਕਾਬਲੇ, ਟੈਂਡਿਸ ਸਿਰਫ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਡਬਲਯੂਕਿਊਐਲ ਸਵਾਲਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਨਹੀਂ ਤਾਂ, ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਗਾਰਡ ਅਤੇ ਹੋਰ ਵਾਈਲਡਪ੍ਰੈਸ਼ਰ ਖਤਰਿਆਂ ਦੇ ਨਾਲ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਇਕਸਾਰ ਹੈ। ਇਹ ਸਿਸਟਮ ਰਜਿਸਟਰੀਆਂ ਰਾਹੀਂ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਚੋਰੀ-ਛਿਪੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਸਿਸਟਮ ਵਿੱਚ ਵਾਧੂ ਪੇਲੋਡ ਛੱਡਣ, ਆਪਣੇ ਆਪ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਲਈ ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਅੱਪਲੋਡ ਕਰਨ, ਇੱਕ ਸਫਾਈ ਰੁਟੀਨ ਚਲਾਉਣ, ਅਤੇ ਹੋਸਟ ਨੂੰ ਫਿੰਗਰਪ੍ਰਿੰਟ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਵਧੇਰੇ ਖਾਸ ਤੌਰ 'ਤੇ, ਟੈਂਡਿਸ ਡਿਫੈਂਡਰ ਦੇ ਅਪਵਾਦ ਦੇ ਨਾਲ ਸਾਰੇ ਸਥਾਪਿਤ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਦੀ ਭਾਲ ਕਰਦਾ ਹੈ.

ਖਤਰਨਾਕ C++ ਪਲੱਗਇਨ

C++ ਵਿੱਚ ਲਿਖੇ ਕਈ ਸਰਲ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਮੋਡੀਊਲ ਵੀ ਖੋਜੇ ਗਏ ਹਨ। ਉਹਨਾਂ ਵਿੱਚ ਇੱਕ ਆਰਕੈਸਟਰੇਟਰ ਅਤੇ ਖਾਸ ਕੰਮ ਕਰਨ ਵਾਲੇ ਕਈ ਪਲੱਗਇਨ ਹੁੰਦੇ ਹਨ। ਮੁੱਖ ਮੋਡੀਊਲ (ਆਰਕੈਸਟਰੇਟਰ) ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ 'thumbnail.dat' ਨਾਮ ਦੀ ਇੱਕ ਸੰਰਚਨਾ ਫਾਈਲ ਉਲੰਘਣਾ ਕੀਤੀ ਗਈ ਡਿਵਾਈਸ 'ਤੇ ਮੌਜੂਦ ਹੈ। ਵਿੰਡੋਜ਼ OS ਦੇ ਸੰਸਕਰਣ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਇਸ ਫਾਈਲ ਦਾ ਸਹੀ ਸਥਾਨ ਬਦਲਦਾ ਹੈ। ਆਰਕੈਸਟਰੇਟਰ ਹਰ ਦੋ ਮਿੰਟਾਂ ਵਿੱਚ ਚੱਲਦਾ ਹੈ ਅਤੇ ਇੱਕ ਖਾਸ ਪਲੱਗਇਨ ਨੂੰ ਚਲਾਉਣ ਲਈ ਲੋੜੀਂਦੀ ਜਾਣਕਾਰੀ ਲਈ ਸੰਰਚਨਾ ਫਾਈਲ ਨੂੰ ਸਕੈਨ ਕਰਦਾ ਹੈ।

ਖਰਾਬ ਪਲੱਗਇਨ DLLs ਦਾ ਰੂਪ ਲੈਂਦੇ ਹਨ। ਖੋਜੇ ਗਏ ਪਲੱਗਇਨਾਂ ਵਿੱਚੋਂ ਇੱਕ WQL ਸਵਾਲਾਂ ਰਾਹੀਂ ਸਿਸਟਮ ਬਾਰੇ ਬਹੁਤ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਵਿੱਚ OS ਸੰਸਕਰਣ, ਸਥਾਪਿਤ OS ਹੌਟਫਿਕਸ, BIOS ਅਤੇ HDD ਨਿਰਮਾਤਾ, ਸਾਰੇ ਸਥਾਪਿਤ ਅਤੇ ਵਰਤਮਾਨ ਵਿੱਚ ਚੱਲ ਰਹੇ ਸੌਫਟਵੇਅਰ ਉਤਪਾਦ, ਸੁਰੱਖਿਆ ਉਤਪਾਦ, ਉਪਭੋਗਤਾ ਖਾਤੇ, ਨੈਟਵਰਕ ਅਡਾਪਟਰ ਸੈਟਿੰਗਾਂ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਸ਼ਾਮਲ ਹਨ। ਦੋ ਵਾਧੂ ਪਲੱਗਇਨਾਂ ਨੂੰ ਕੀਲੌਗਿੰਗ ਰੁਟੀਨ ਸਥਾਪਤ ਕਰਨ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। ਪਹਿਲਾ ਇੱਕ WH_KEYBOARD_LL ਹੁੱਕ ਸੈੱਟ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ ਕੀਸਟ੍ਰੋਕ ਦੇ ਨਾਲ-ਨਾਲ ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਅਤੇ ਵਿੰਡੋਜ਼ ਟਾਈਟਲ ਨੂੰ ਰੋਕ ਸਕਦਾ ਹੈ। ਦੂਸਰਾ ਪਲੱਗਇਨ ਇੱਕ WH_MOUSE_LL ਹੁੱਕ ਸੈਟ ਕਰਕੇ ਟਾਈਮਰ ਅਤੇ ਮਾਊਸ ਇਵੈਂਟਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਸਿਸਟਮ ਦੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।