SNOW మాల్వేర్

ఇంతకుముందు నమోదుకాని UNC6692గా ట్రాక్ చేయబడిన ఒక ముప్పుల సమూహాన్ని గుర్తించారు. ఇది మైక్రోసాఫ్ట్ టీమ్స్ ద్వారా అధునాతన సోషల్ ఇంజనీరింగ్ పద్ధతులను ఉపయోగించి, SNOW మాల్వేర్ అని పిలువబడే ఒక కస్టమ్ మాల్వేర్ ఫ్రేమ్‌వర్క్‌ను మోహరిస్తోంది. దాడి చేసేవారు నిరంతరం ఐటీ హెల్ప్ డెస్క్ సిబ్బందిగా నటిస్తూ, బయటి ఖాతాల నుండి వచ్చే చాట్ ఆహ్వానాలను అంగీకరించేలా బాధితులను ఒప్పిస్తున్నారు.

సమన్వయంతో కూడిన ఈమెయిల్ బాంబింగ్ ప్రచారం ద్వారా ఈ మోసం మరింత బలపడుతుంది. దీనిలో బాధితులలో ఆత్రుత మరియు గందరగోళాన్ని సృష్టించడానికి, వారికి స్పామ్ సందేశాలను విపరీతంగా పంపిస్తారు. ఆ తర్వాత కొద్దిసేపటికే, దాడి చేసే వ్యక్తి టీమ్స్ ద్వారా సంప్రదించి, ఐటీ సపోర్ట్‌గా నటిస్తూ, కల్పిత సమస్యను పరిష్కరించడానికి సహాయం అందిస్తానని చెబుతాడు. ఈ రెండు అంచెల మోసపూరిత వ్యూహం, వినియోగదారులు లొంగిపోయే అవకాశాన్ని గణనీయంగా పెంచుతుంది.

వారసత్వ వ్యూహాలు, ఆధునిక ప్రభావం

ఈ కార్యాచరణ విధానం, చారిత్రాత్మకంగా బ్లాక్ బాస్టా అనుబంధ సంస్థలతో ముడిపడి ఉన్న పద్ధతులను పోలి ఉంది. ఆ బృందం రాన్సమ్‌వేర్ కార్యకలాపాలను నిలిపివేసినప్పటికీ, దాని పద్ధతులు కొనసాగుతూ ప్రభావవంతంగా ఉన్నాయి. ఈ విధానం ప్రధానంగా కార్యనిర్వాహకులను, ఉన్నతాధికారులను లక్ష్యంగా చేసుకుంటుందని, తద్వారా వారికి ప్రాథమిక నెట్‌వర్క్ యాక్సెస్ లభించి, అది డేటా లీకేజీ, లాటరల్ మూవ్‌మెంట్, రాన్సమ్‌వేర్ విస్తరణ, మరియు దోపిడీకి దారితీయవచ్చని భద్రతా పరిశోధకులు ధృవీకరించారు. గమనించిన కేసులలో, దాడి చేసేవారు ప్రారంభించిన చాట్‌లు ఒకదాని తర్వాత ఒకటి కొన్ని సెకన్ల వ్యవధిలోనే జరిగాయి, ఇది ఆటోమేషన్ మరియు సమన్వయాన్ని స్పష్టం చేస్తుంది.

మోసపూరిత ప్రవేశ స్థానం: నకిలీ పరిష్కారం

క్విక్ అసిస్ట్ లేదా సుప్రీమో రిమోట్ డెస్క్‌టాప్ వంటి రిమోట్ మేనేజ్‌మెంట్ సాధనాలపై మాత్రమే ఆధారపడే సాంప్రదాయ దాడుల వలె కాకుండా, ఈ ప్రచారం ఒక సవరించిన ఇన్ఫెక్షన్ గొలుసును పరిచయం చేస్తుంది. 'మెయిల్‌బాక్స్ రిపేర్ అండ్ సింక్ యుటిలిటీ v2.1.5'గా ప్రదర్శించబడే, టీమ్స్ ద్వారా షేర్ చేయబడిన ఫిషింగ్ లింక్‌పై క్లిక్ చేసేలా బాధితులను నిర్దేశిస్తారు.

ఈ లింక్, దాడి చేసేవారి నియంత్రణలో ఉన్న క్లౌడ్ స్టోరేజ్ సర్వీస్‌లో హోస్ట్ చేయబడిన ఒక హానికరమైన ఆటోహాట్‌కీ స్క్రిప్ట్ డౌన్‌లోడ్‌ను ప్రేరేపిస్తుంది. ఒక గేట్‌కీపర్ యంత్రాంగం, పేలోడ్ ఉద్దేశించిన లక్ష్యాలకు మాత్రమే చేరేలా నిర్ధారిస్తుంది, తద్వారా స్వయంచాలక భద్రతా విశ్లేషణను తప్పించుకోవడానికి సహాయపడుతుంది. అదనంగా, ఈ స్క్రిప్ట్ బ్రౌజర్ వినియోగాన్ని ధృవీకరించి, నిరంతర హెచ్చరికల ద్వారా మైక్రోసాఫ్ట్ ఎడ్జ్ వాడకాన్ని తప్పనిసరి చేస్తుంది, తద్వారా తర్వాతి హానికరమైన భాగాలతో అనుకూలతను నిర్ధారిస్తుంది.

స్నోబెల్ట్: నిశ్శబ్ద బ్రౌజర్ బ్యాక్‌డోర్

ప్రారంభ స్క్రిప్ట్, హానికరమైన క్రోమియం-ఆధారిత బ్రౌజర్ ఎక్స్‌టెన్షన్ అయిన SNOWBELTను అమలు చేయడానికి ముందు నిఘా నిర్వహిస్తుంది. నిర్దిష్ట కమాండ్-లైన్ పారామీటర్లను ఉపయోగించి హెడ్‌లెస్ ఎడ్జ్ ప్రాసెస్ ద్వారా ఇన్‌స్టాల్ చేయబడిన SNOWBELT, ఒక రహస్య బ్యాక్‌డోర్‌గా పనిచేస్తుంది. ఇది SNOWGLAZE, SNOWBASIN, మరిన్ని AutoHotkey స్క్రిప్ట్‌లు మరియు పోర్టబుల్ పైథాన్ ఎన్విరాన్‌మెంట్‌ను కలిగి ఉన్న కంప్రెస్డ్ ఆర్కైవ్‌తో సహా అదనపు పేలోడ్‌ల డౌన్‌లోడ్‌ను సులభతరం చేస్తుంది.

అదే సమయంలో, ఫిషింగ్ ఇంటర్‌ఫేస్ 'హెల్త్ చెక్' ఫీచర్‌తో కూడిన 'కాన్ఫిగరేషన్ మేనేజ్‌మెంట్ ప్యానెల్'ను ప్రదర్శిస్తుంది. ఈ ఇంటర్‌ఫేస్ ప్రామాణీకరణ నెపంతో వినియోగదారులను మెయిల్‌బాక్స్ ఆధారాలను నమోదు చేయమని అడుగుతుంది, కానీ దానికి బదులుగా సున్నితమైన డేటాను సంగ్రహించి, దాడి చేసేవారి నియంత్రణలో ఉన్న మౌలిక సదుపాయాలకు తరలిస్తుంది.

మాడ్యులర్ మాల్వేర్ ఎకోసిస్టమ్: SNOW ఫ్రేమ్‌వర్క్ విశ్లేషణ

SNOW మాల్వేర్ సూట్ అనేది నిలకడ, నియంత్రణ మరియు రహస్యత కోసం రూపొందించబడిన ఒక సమన్వయ, మాడ్యులర్ పర్యావరణ వ్యవస్థగా పనిచేస్తుంది:

• SNOWBELT అనేది జావాస్క్రిప్ట్ ఆధారిత కమాండ్ రిలేగా పనిచేస్తుంది, ఇది దాడి చేసేవారి నుండి సూచనలను స్వీకరించి, వాటిని అమలు కోసం ముందుకు పంపుతుంది.
• SNOWGLAZE అనేది పైథాన్ ఆధారిత టన్నెలింగ్ యుటిలిటీగా పనిచేస్తుంది, ఇది హ్యాక్ చేయబడిన నెట్‌వర్క్‌కు మరియు దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ సర్వర్‌కు మధ్య సురక్షితమైన వెబ్‌సాకెట్ కనెక్షన్‌ను ఏర్పాటు చేస్తుంది.
• స్నోబేసిన్ ఒక నిరంతర బ్యాక్‌డోర్‌గా పనిచేస్తుంది, ఇది రిమోట్ కమాండ్ ఎగ్జిక్యూషన్, ఫైల్ బదిలీలు, స్క్రీన్‌షాట్ క్యాప్చర్ మరియు స్వీయ-తొలగింపును సాధ్యం చేస్తుంది, అదే సమయంలో బహుళ పోర్ట్‌లలో స్థానిక HTTP సర్వర్‌గా కూడా పనిచేస్తుంది.

దోపిడీ అనంతరం: నియంత్రణను విస్తరించడం మరియు డేటాను సంగ్రహించడం

ప్రారంభంలో చొరబాటు జరిగిన తర్వాత, ముప్పు కలిగించే వ్యక్తి ప్రాప్యతను మరింత పెంచుకోవడానికి మరియు విలువైన సమాచారాన్ని రాబట్టడానికి వరుస చర్యలను చేపడతాడు:

కీలకమైన పోర్ట్‌లను స్కాన్ చేయడం ద్వారా నెట్‌వర్క్ నిఘా నిర్వహించబడుతుంది, ఆ తర్వాత అడ్మినిస్ట్రేటివ్ టూల్స్ మరియు రాజీపడిన సిస్టమ్‌ల ద్వారా టన్నెల్ చేయబడిన రిమోట్ డెస్క్‌టాప్ సెషన్‌లను ఉపయోగించి లాటరల్ మూవ్‌మెంట్ జరుగుతుంది.

సున్నితమైన ప్రాసెస్ మెమరీని సంగ్రహించడం ద్వారా అధికారాల పెంపును సాధిస్తారు, ఇది ఆధారాల సేకరణను మరియు ఉన్నత-స్థాయి సిస్టమ్‌లకు అనధికారిక ప్రాప్యతను సాధ్యం చేస్తుంది.

డొమైన్ కంట్రోలర్‌లను దెబ్బతీయడానికి పాస్-ది-హాష్ వంటి అధునాతన పద్ధతులను ఉపయోగిస్తారు, ఆ తర్వాత డైరెక్టరీ డేటాబేస్‌లతో సహా సున్నితమైన డేటాను సేకరించడానికి ఫోరెన్సిక్ సాధనాలను వినియోగిస్తారు, ఆపై ఫైల్ బదిలీ యుటిలిటీలను ఉపయోగించి వాటిని బయటకు తరలిస్తారు.

క్లౌడ్ కామోఫ్లేజ్: హానికరమైన ట్రాఫిక్‌ను చట్టబద్ధమైన సేవలతో కలపడం

ఈ క్యాంపెయిన్ యొక్క ముఖ్య లక్షణం, విశ్వసనీయమైన క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను వ్యూహాత్మకంగా దుర్వినియోగం చేయడం. హానికరమైన పేలోడ్‌లు, డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు కమాండ్-అండ్-కంట్రోల్ కమ్యూనికేషన్‌లు అన్నీ చట్టబద్ధమైన క్లౌడ్ ప్లాట్‌ఫారమ్‌ల ద్వారానే పంపబడతాయి. ఈ విధానం, ముప్పు కలిగించే కార్యకలాపాలు సాధారణ ఎంటర్‌ప్రైజ్ ట్రాఫిక్‌తో సజావుగా కలిసిపోవడానికి వీలు కల్పిస్తుంది, తద్వారా రెప్యుటేషన్ లేదా అనోమలీ డిటెక్షన్ ఆధారిత సాంప్రదాయ సెక్యూరిటీ ఫిల్టర్‌లను సమర్థవంతంగా దాటవేస్తుంది.

పరిణామం చెందుతున్న ముప్పుల స్వరూపం: విశ్వాసమే ప్రధాన లక్ష్యం

UNC6692 ప్రచారం సైబర్‌దాడి వ్యూహాలలో ఒక ముఖ్యమైన పరిణామాన్ని స్పష్టం చేస్తుంది, ఇది సోషల్ ఇంజనీరింగ్, విశ్వసనీయమైన ఎంటర్‌ప్రైజ్ సాధనాలు మరియు మాడ్యులర్ మాల్‌వేర్‌లను మిళితం చేస్తుంది. విస్తృతంగా ఉపయోగించే ప్లాట్‌ఫారమ్‌లు మరియు సేవలపై వినియోగదారుల నమ్మకాన్ని ఉపయోగించుకోవడం ద్వారా, దాడి చేసేవారు పట్టుబడకుండా చూసుకుంటూనే విజయ రేట్లను పెంచుకుంటారు. వినూత్న డెలివరీ విధానాలతో పాటు పాత వ్యూహాలు కొనసాగడం ఒక కీలక వాస్తవాన్ని నొక్కి చెబుతుంది: ప్రభావవంతమైన దాడి వ్యూహాలను మొదట ఉపయోగించినవారు కనుమరుగైన చాలా కాలం తర్వాత కూడా అవి కొనసాగగలవు.