Voldemort मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले एउटा नयाँ मालवेयर अभियान पहिचान गरेका छन् जसले Google पानाहरूलाई कमाण्ड-एन्ड-कन्ट्रोल (C2) प्लेटफर्मको रूपमा प्रयोग गर्दछ।
अगस्ट २०२४ मा अन्वेषकहरूले पत्ता लगाएका, आक्रमण अभियानले युरोप, एसिया र अमेरिकाका कर अधिकारीहरूका रूपमा विश्वव्यापी ७० भन्दा बढी संस्थाहरूलाई लक्षित गरेको छ। आक्रमणकारीहरूले Voldemort भनिने अनुकूलन उपकरण प्रयोग गर्छन्, जानकारी सङ्कलन गर्न र थप मालवेयर प्रयोग गर्न डिजाइन गरिएको।
लक्षित क्षेत्रहरूमा बीमा, एयरोस्पेस, यातायात, शिक्षा, वित्त, प्रविधि, औद्योगिक, स्वास्थ्य सेवा, अटोमोटिभ, आतिथ्य, ऊर्जा, सरकार, मिडिया, उत्पादन, दूरसंचार र सामाजिक लाभ संस्थाहरू पर्छन्। यद्यपि साइबर जासूसी अभियानलाई कुनै विशेष खतरा अभिनेतासँग जोडिएको छैन, तर अनुमान गरिएको छ कि यी आक्रमणहरूमा 20,000 इमेलहरू पठाइएको छ।
सामग्रीको तालिका
प्रारम्भिक सम्झौता भेक्टर आक्रमणकारीहरू द्वारा शोषण
पत्ता लगाइएका इमेलहरू संयुक्त राज्य अमेरिका, बेलायत, फ्रान्स, जर्मनी, इटाली, भारत र जापानका कर अधिकारीहरूबाट आएको हो, जसले प्राप्तकर्ताहरूलाई तिनीहरूको कर फाइलहरूको अद्यावधिकहरू बारे जानकारी गराउँछ र उनीहरूलाई मध्यस्थकर्तामा निर्देशित गर्ने Google AMP क्यास URL मा क्लिक गर्न प्रेरित गर्छ। अवतरण पृष्ठ।
यो पृष्ठले प्रयोगकर्ताको अपरेटिङ सिस्टम विन्डोज हो कि भनेर निर्धारण गर्न प्रयोगकर्ता-एजेन्ट स्ट्रिङ जाँच गर्छ। यदि यो हो भने, पृष्ठले खोजी-एमएस: URI प्रोटोकल ह्यान्डलर प्रयोग गर्दछ Windows सर्टकट (LNK) फाइललाई PDF को रूपमा Adobe Acrobat Reader को प्रयोग गरेर यसलाई खोल्न पीडितलाई धोका दिने प्रयासमा प्रस्तुत गर्न।
यदि LNK फाइल निष्पादित हुन्छ भने, यसले PowerShell लाई WebDAV सेयर (\library) बाट Python.exe चलाउन ट्रिगर गर्छ, अर्गुमेन्टको रूपमा उही सर्भरमा अर्को सेयर (\resource) मा अवस्थित पाइथन स्क्रिप्ट पास गर्दै।
कसरी Voldemort मालवेयर सम्झौता प्रणालीहरूमा तैनात गरिएको छ
यस विधिले पाइथनलाई कम्प्युटरमा कुनै पनि फाइलहरू बचत नगरी स्क्रिप्ट कार्यान्वयन गर्न अनुमति दिन्छ, निर्भरताहरू WebDAV सेयरबाट सीधै लोड गरिँदैछ।
पाइथन स्क्रिप्ट प्रणाली जानकारी सङ्कलन गर्न र आक्रमणकर्ताहरू द्वारा नियन्त्रित डोमेनमा बेस64-इन्कोड गरिएको स्ट्रिङको रूपमा प्रसारण गर्न प्रोग्राम गरिएको छ। पछि, यसले प्रयोगकर्तालाई डिकोय PDF देखाउँछ र OpenDrive बाट पासवर्ड-सुरक्षित ZIP फाइल डाउनलोड गर्दछ।
ZIP अभिलेखमा दुई फाइलहरू छन्: एक वैध कार्यान्वयनयोग्य, 'CiscoCollabHost.exe,' जुन DLL साइडलोडिङको लागि कमजोर छ, र एउटा खराब DLL फाइल, 'CiscoSparkLauncher.dll' (Voldemort भनेर चिनिन्छ), जुन कार्यान्वयन योग्यद्वारा साइडलोड गरिएको छ।
Voldemort मालवेयर खतरा को क्षमताहरु
Voldemort C मा लेखिएको कस्टम ब्याकडोर हो जुन जानकारी सङ्कलन र अर्को चरणको पेलोडहरू लोड गर्ने क्षमताहरूसँग आउँछ, मालवेयरले C2 को लागि Google पानाहरू प्रयोग गर्ने, डाटा निष्कासन गर्ने र अपरेटरहरूबाट आदेशहरू कार्यान्वयन गर्ने।
अन्वेषकहरूले गतिविधिलाई एडभान्स्ड पर्सिस्टेन्ट थ्रेट्स (एपीटी) सँग पङ्क्तिबद्ध रूपमा वर्णन गरे तर ई-अपराध परिदृश्यमा लोकप्रिय प्रविधिहरूको प्रयोगका कारण साइबर अपराध लक्षणहरू बोकेका छन्।
मालवेयर स्टेजिङ, विशेष गरी WebDAV र सर्भर सन्देश ब्लक (SMB) को लागि बाह्य फाइल-साझेदारी स्रोतहरू पहुँच गर्न खतरा अभिनेताहरूले फाइल स्किमा URIs को दुरुपयोग गर्छन्। यो स्किमा 'फाइल://' प्रयोग गरेर र धम्कीपूर्ण सामग्री होस्ट गर्ने रिमोट सर्भरमा औंल्याएर गरिन्छ।
यो दृष्टिकोण प्रारम्भिक पहुँच ब्रोकरहरू (IABs) को रूपमा काम गर्ने मालवेयर परिवारहरूमा बढ्दो रूपमा प्रचलित छ, जस्तै Latrodectus , DarkGate र XWor m।
आक्रमणकारीको लक्ष्य अज्ञात रहन्छ
हानिकारक अभियानलाई असामान्य मानिएको छ, जसले सुझाव दिन्छ कि धम्की दिने व्यक्तिहरूले प्रारम्भिक रूपमा सम्भावित पीडितहरूको विस्तृत दायरालाई लक्षित समूहमा आफ्नो फोकसलाई सीमित गर्नु अघि लक्षित गरेको हुन सक्छ। यो पनि सम्भव छ कि विभिन्न स्तरको प्राविधिक विशेषज्ञता भएका आक्रमणकारीहरूले धेरै संस्थाहरूसँग सम्झौता गर्ने उद्देश्य राखेका थिए।
यद्यपि अभियानका धेरै पक्षहरू सामान्य साइबर आपराधिक गतिविधिहरूसँग मिल्दोजुल्दो छन्, हामी विश्वास गर्छौं कि यो सम्भवतः अज्ञात उद्देश्यहरू प्राप्त गर्ने उद्देश्यले गरिएको जासुसी प्रयास हो। अभियानको उन्नत र चतुर रणनीतिहरूको मिश्रण, केही आधारभूत प्रविधिहरूसँग मिलेर, खतरा अभिनेताको क्षमताहरूको मूल्याङ्कनलाई जटिल बनाउँछ र उच्च आत्मविश्वासका साथ तिनीहरूको अन्तिम लक्ष्यहरू निर्धारण गर्न चुनौतीपूर्ण बनाउँछ।
