RustyBuer Malware

सुरक्षा शोधकर्ताओं द्वारा खोजा गया, RustyBuer, Buer मैलवेयर लोडर का एक नया संस्करण है। मूल खतरा पहली बार 2019 में देखा गया था जब इसे भूमिगत हैकर मंचों पर खरीदने के लिए उपलब्ध कराया गया था। बुअर एक प्रारंभिक पेलोड के रूप में कार्य करता है जो लक्षित प्रणाली पर एक पैर जमाने की स्थापना करता है और अगले चरण के मैलवेयर खतरों के वितरण के साथ हमले को आगे बढ़ाने के लिए आगे बढ़ता है। नया संस्करण मुख्य विभेदक कारक के साथ समान कार्यक्षमता को बरकरार रखता है क्योंकि यह रस्ट प्रोग्रामिंग भाषा में लिखा गया है।

नई और कम स्थापित प्रोग्रामिंग भाषाओं का उपयोग करके मौजूदा मैलवेयर खतरों का मनोरंजन साइबर अपराधियों के बीच अपेक्षाकृत हालिया प्रवृत्ति है। ऐसा करने से वे हस्ताक्षर-आधारित एंटी-मैलवेयर सुरक्षा समाधानों से बच सकते हैं जो खतरों के मूल संस्करणों का आसानी से पता लगा सकते हैं। साथ ही, यह बिल्कुल नए मैलवेयर बनाने के विकल्प की तुलना में, खतरे से मुक्त होने में लगने वाले समय को काफी कम कर देता है।

रस्टीब्यूर की आक्रमण श्रृंखला

RustyBuer मैलवेयर से जुड़े हमलों की श्रृंखला में, धमकी देने वाले अभिनेताओं ने अंतरराष्ट्रीय लॉजिस्टिक्स कंपनी डीएचएल से आने का नाटक करते हुए लुभावने ईमेल प्रसारित किए। नकली मेलों में अधिक वैधता जोड़ने के लिए, हैकर्स ने कई साइबर सुरक्षा प्रदाताओं के लोगो को शामिल किया। नकली ईमेल का पाठ लक्षित पीड़ित को संलग्न फ़ाइल को खोलने का निर्देश देता है, आमतौर पर एक हथियारयुक्त वर्ड या एक्सेल दस्तावेज़। दूषित फ़ाइल में सिस्टम पर RustyBuer खतरे को वितरित करने वाला मैक्रो होता है। एंडपॉइंट सुरक्षा समाधानों से पता लगाने से बचने के लिए, मैक्रो एप्लिकेशन बायपास का लाभ उठाता है।

एक बार पीड़ित के डिवाइस के अंदर, RustyBuer वर्चुअलाइजेशन के संकेतों के लिए पर्यावरण की जाँच करता है। बाद में, यह यह निर्धारित करने के लिए एक भौगोलिक स्थान जांच करता है कि उपयोगकर्ता एक विशिष्ट सीआईएस (स्वतंत्र राज्यों के राष्ट्रमंडल) देशों से है या नहीं और यदि कोई मेल मिलता है, तो मैलवेयर इसके निष्पादन को समाप्त कर देता है। RustyBuer एक LNK फ़ाइल के माध्यम से एक दृढ़ता तंत्र भी स्थापित करता है जिसे हर सिस्टम बूट पर शुरू किया जाता है।

अगले चरण के पेलोड

रस्टीब्यूर को तैनात करने वाले हालिया हमले अभियानों के विश्लेषण से पता चला है कि खतरा ज्यादातर ब्यूर में पहले देखे गए व्यवहार के अनुरूप है - खतरे वाले अभिनेताओं ने कोबाल्ट स्ट्राइक बीकन को भंग सिस्टम पर गिरा दिया। कोबाल्ट स्ट्राइक एक वैध पैठ परीक्षण उपकरण है जिसका अक्सर खतरे वाले अभिनेताओं द्वारा शोषण किया जाता है जो इसे अपने धमकी भरे कार्यों में शामिल करते हैं।

हालांकि, कुछ उदाहरणों में, सिस्टम पर रस्टीब्यूर स्थापित होने के बाद, खतरे वाले अभिनेताओं ने अभिनेता को आगे नहीं बढ़ाया और दूसरे चरण के पेलोड का पता नहीं चला। शोधकर्ताओं का मानना है कि यह धमकी देने वाले अभिनेताओं का एक संकेत है जो अन्य साइबर अपराधी समूहों को सिस्टम में संक्रमण के बाद की पहुंच को बेचने के लिए एक एक्सेस-ए-ए-सर्विस योजना संचालित करने की कोशिश कर रहा है।

यह भी ध्यान दिया जाना चाहिए कि सीआईएस क्षेत्र से प्रतिबंधित देशों की सूची का अस्तित्व इंगित करता है कि रस्टीब्यूर के ऑपरेटरों का रूस से संबंध हो सकता है।