उत्तर कोरियाई हैकर्स ने दक्षिण-पूर्व एशिया में गुप्त हमलों के लिए नए वेलशेल बैकडोर का इस्तेमाल किया
एक नए चौंकाने वाले खुलासे में, उत्तर कोरियाई साइबर जासूसी समूहों को दक्षिण-पूर्व एशिया में चुपके से साइबर हमले करने के लिए वीलशेल नामक एक नए बैकडोर मैलवेयर का उपयोग करते हुए देखा गया है। सुरक्षा विशेषज्ञों ने इस गतिविधि को APT37 से जोड़ा है, जो एक कुख्यात हैकिंग समूह है जो कई उपनामों जैसे कि इंकीस्क्विड, रीपर, रेडआईज़ और स्कारक्रूफ्ट के तहत काम करता है। उत्तर कोरिया के राज्य सुरक्षा मंत्रालय से जुड़े APT37 2012 से सक्रिय है और सरकारी और कॉर्पोरेट क्षेत्रों को लक्षित करने वाले अपने परिष्कृत साइबर अभियानों के लिए कुख्यात है।
विषयसूची
SHROUDED#SLEEP अभियान
सुरक्षा शोधकर्ताओं ने इस नवीनतम ऑपरेशन को SHROUDED#SLEEP नाम दिया है, जो इन साइबर अपराधियों द्वारा प्रदर्शित की गई चुपके और धैर्य के लिए एक उपयुक्त नाम है। माना जाता है कि यह समूह कंबोडिया और दक्षिण पूर्व एशिया के अन्य देशों पर विशेष ध्यान केंद्रित करके इस अभियान को अंजाम दे रहा है। रिमोट एक्सेस ट्रोजन (RAT) VeilShell का लाभ उठाकर, हमलावरों का लक्ष्य समझौता की गई मशीनों पर पूर्ण नियंत्रण प्राप्त करना है, जिसमें डेटा को बाहर निकालने, सिस्टम रजिस्ट्री में हेरफेर करने और गुप्त रूप से कार्यों को शेड्यूल करने की क्षमता है।
वेलशेल कैसे काम करता है?
इस हमले का एक सबसे महत्वपूर्ण पहलू यह है कि कैसे VeilShell अपने लक्ष्य सिस्टम में प्रवेश करता है। हालांकि यह अभी भी स्पष्ट नहीं है कि प्रारंभिक पेलोड कैसे वितरित किया जाता है, विशेषज्ञों को संदेह है कि समूह स्पीयर-फ़िशिंग ईमेल का उपयोग करता है - व्यक्तियों को दुर्भावनापूर्ण लिंक पर क्लिक करने या संक्रमित फ़ाइलों को डाउनलोड करने के लिए धोखा देने का एक अत्यधिक लक्षित तरीका। पहले चरण का पेलोड संभवतः एक ज़िप संग्रह के माध्यम से वितरित किया जाता है जिसमें एक विंडोज शॉर्टकट (LNK) फ़ाइल होती है।
एक बार जब अनजान उपयोगकर्ता LNK फ़ाइल लॉन्च करता है, तो यह क्रियाओं के एक क्रम को ट्रिगर करता है। एक PowerShell कोड - एक स्क्रिप्टिंग भाषा जो आमतौर पर विंडोज वातावरण में उपयोग की जाती है - पर्दे के पीछे चलती है, फ़ाइल के भीतर छिपे हुए अन्य घटकों को निकालती है। संदेह को बढ़ाने से बचने के लिए, हमला उपयोगकर्ता को एक निर्दोष दिखने वाले दस्तावेज़, जैसे कि Microsoft Excel या PDF फ़ाइल के साथ विचलित करता है, जबकि यह पृष्ठभूमि में अधिक खतरनाक मैलवेयर घटकों को स्थापित करता है।
असली खतरा DomainManager.dll से आता है, जो कि विंडोज स्टार्टअप फ़ोल्डर में रणनीतिक रूप से रखी गई एक दुर्भावनापूर्ण फ़ाइल है, जहाँ यह सिस्टम के रीबूट होने पर हर बार चलने से स्थिरता सुनिश्चित करती है। यह फ़ाइल रिमोट कमांड-एंड-कंट्रोल (C2) सर्वर से संचार करती है, जिससे हमलावरों को संक्रमित डिवाइस पर नियंत्रण मिल जाता है। वहाँ से, वे फ़ाइलों पर जासूसी कर सकते हैं, संवेदनशील डेटा अपलोड कर सकते हैं, अधिक दुर्भावनापूर्ण टूल डाउनलोड कर सकते हैं, और यहाँ तक कि अपने ट्रैक को छिपाने के लिए फ़ाइलों को हटा या उनका नाम बदल सकते हैं।
AppDomainManager इंजेक्शन: एक चालाक तकनीक
इस हमले को अन्य साइबर हमलों से अलग करने वाली बात यह है कि इसमें AppDomainManager इंजेक्शन नामक तकनीक का चतुराई से इस्तेमाल किया गया है। हालांकि यह जटिल लग सकता है, लेकिन यह विधि अनिवार्य रूप से हमलावरों को हर बार वैध प्रोग्राम लॉन्च होने पर दुर्भावनापूर्ण कोड चलाने की अनुमति देती है, बिना किसी अलार्म के। इस रणनीति को हाल ही में चीन से जुड़े एक अन्य हैकर समूह द्वारा अपनाया गया था, जो दर्शाता है कि यह तकनीक दुनिया भर के साइबर अपराधियों के बीच लोकप्रिय हो रही है।
लंबा खेल: APT37 कैसे पता लगाने से बचता है
इस अभियान के इतने लंबे समय तक पकड़े न जाने का एक कारण हमलावरों का धैर्य है। VeilShell को सफलतापूर्वक तैनात करने के बाद, वे इसे तुरंत सक्रिय नहीं करते हैं। इसके बजाय, मैलवेयर तब तक निष्क्रिय रहता है जब तक कि सिस्टम रीबूट न हो जाए। यह विलंबित सक्रियण, लंबे समय तक स्लीप टाइम (निष्पादन में रुकावट) के साथ मिलकर, पारंपरिक सुरक्षा उपकरणों द्वारा मैलवेयर का पता लगाना कठिन बना देता है। ये तकनीकें हैकर्स को लंबे समय तक पता लगाने से बचने में मदद करती हैं, जिससे उन्हें खुफिया जानकारी एकत्र करने और समझौता किए गए सिस्टम पर नियंत्रण बनाए रखने की अनुमति मिलती है।
निहितार्थ और भविष्य के खतरे
यह हालिया खोज उत्तर कोरिया की साइबर क्षमताओं पर बढ़ती चिंता को और बढ़ाती है। APT37, लाजरस और किमसुकी जैसे समूह जासूसी, वित्तीय लाभ और तोड़फोड़ के उद्देश्य से राज्य प्रायोजित साइबर हमलों से जुड़े हैं। वेलशेल जैसे परिष्कृत उपकरणों के बढ़ते उपयोग के साथ, ये समूह वैश्विक साइबर सुरक्षा परिदृश्य के लिए एक महत्वपूर्ण खतरा पैदा करते हैं।
विशेषज्ञों ने चेतावनी दी है कि यह अभियान दक्षिण-पूर्व एशिया से आगे भी आसानी से फैल सकता है, क्योंकि उत्तर कोरियाई हैकिंग समूहों का इतिहास अमेरिका और यूरोप सहित कई क्षेत्रों को निशाना बनाने का रहा है। वास्तव में, वीलशेल की खोज से कुछ ही दिन पहले, एंडारियल नामक एक अन्य उत्तर कोरियाई समूह ने वित्तीय रूप से प्रेरित अभियान में अमेरिकी संगठनों के खिलाफ हमले शुरू किए थे।
वेलशेल और इसी तरह के खतरों से सुरक्षा
संगठनों और व्यक्तियों के लिए, यह स्पीयर-फ़िशिंग प्रयासों के प्रति सतर्क रहने और यह सुनिश्चित करने के महत्व को उजागर करता है कि सभी सिस्टम नियमित रूप से नवीनतम सुरक्षा पैच के साथ अपडेट किए जाते हैं। ऐसे हमलों के जोखिम को कम करने के लिए यहां कुछ सुझाव दिए गए हैं:
- अप्रत्याशित ईमेल से सावधान रहें: यदि आपको कोई ऐसा ईमेल प्राप्त होता है जिसमें कोई फ़ाइल अटैचमेंट या लिंक है जिसकी आपको उम्मीद नहीं थी, तो उस पर क्लिक करने से पहले दो बार सोचें।
- सॉफ्टवेयर को अद्यतन रखें: ऑपरेटिंग सिस्टम और अनुप्रयोगों को नियमित रूप से पैच करने से सुरक्षा संबंधी खामियों को दूर करने में मदद मिल सकती है, जिसका फायदा हमलावर उठाते हैं।
निष्कर्ष में, VeilShell मैलवेयर और SHROUDED#SLEEP अभियान साइबर सुरक्षा की दुनिया में लगातार विकसित हो रहे खतरों की कड़ी याद दिलाते हैं। सतर्क रहकर और सक्रिय सुरक्षा उपाय करके, व्यक्ति और व्यवसाय इन खतरनाक अभिनेताओं से एक कदम आगे रह सकते हैं।