MgBot ਬੈਕਡੋਰ

ਇੱਕ ਸੂਝਵਾਨ, ਚੀਨ-ਅਲਾਈਨਡ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (APT) ਓਪਰੇਸ਼ਨ ਨੂੰ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲ ਰਹੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਕਾਰਨ ਮੰਨਿਆ ਗਿਆ ਹੈ ਜਿਸਨੇ MgBot ਬੈਕਡੋਰ ਨੂੰ ਪਹੁੰਚਾਉਣ ਲਈ ਡੋਮੇਨ ਨੇਮ ਸਿਸਟਮ (DNS) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ। ਇਹ ਮੁਹਿੰਮ ਤੁਰਕੀ, ਚੀਨ ਅਤੇ ਭਾਰਤ ਵਿੱਚ ਧਿਆਨ ਨਾਲ ਚੁਣੇ ਗਏ ਪੀੜਤਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸੀ, ਅਤੇ ਨਵੰਬਰ 2022 ਤੋਂ ਨਵੰਬਰ 2024 ਤੱਕ ਸਰਗਰਮ ਰਹੀ।

ਕਾਰਵਾਈ ਦੇ ਪਿੱਛੇ ਵਿਰੋਧੀ

ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਜਿਸਨੂੰ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਈਵੇਸਿਵ ਪਾਂਡਾ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ ਕਾਂਸੀ ਹਾਈਲੈਂਡ, ਡੈਗਰਫਲਾਈ ਅਤੇ ਸਟੋਰਮਬੈਂਬੂ ਦੇ ਨਾਵਾਂ ਹੇਠ ਵੀ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਸਮੂਹ ਦਾ ਮੁਲਾਂਕਣ ਘੱਟੋ-ਘੱਟ 2012 ਤੋਂ ਕਾਰਜਸ਼ੀਲ ਮੰਨਿਆ ਗਿਆ ਹੈ ਅਤੇ ਇਹ ਵਿਆਪਕ, ਮੌਕਾਪ੍ਰਸਤ ਹਮਲਿਆਂ ਦੀ ਬਜਾਏ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾਬੱਧ ਘੁਸਪੈਠ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਮੁੱਖ ਰਣਨੀਤੀ ਦੇ ਤੌਰ 'ਤੇ ਵਿਚਕਾਰਲਾ ਵਿਰੋਧੀ

ਇਸ ਮੁਹਿੰਮ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਵਿਰੋਧੀ-ਇਨ-ਦ-ਮਿਡਲ (AitM) ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ DNS ਜਵਾਬਾਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਤਾਂ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਚੁੱਪਚਾਪ ਉਨ੍ਹਾਂ ਦੇ ਨਿਯੰਤਰਣ ਅਧੀਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਭੇਜਿਆ ਜਾ ਸਕੇ। ਮਾਲਵੇਅਰ ਲੋਡਰਾਂ ਨੂੰ ਸਹੀ ਫਾਈਲ ਸਥਾਨਾਂ 'ਤੇ ਰੱਖਿਆ ਗਿਆ ਸੀ, ਜਦੋਂ ਕਿ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਹਿੱਸੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਸਨ ਅਤੇ ਸਿਰਫ਼ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਜੁੜੇ ਖਾਸ DNS ਸਵਾਲਾਂ ਦੇ ਜਵਾਬ ਵਿੱਚ ਹੀ ਡਿਲੀਵਰ ਕੀਤੇ ਗਏ ਸਨ।

DNS ਜ਼ਹਿਰੀਲੇਪਣ ਦੀ ਦੁਰਵਰਤੋਂ ਦਾ ਇੱਕ ਪੈਟਰਨ

ਇਹ ਮੁਹਿੰਮ ਕੋਈ ਇਕੱਲਾ ਮਾਮਲਾ ਨਹੀਂ ਹੈ। ਈਵੇਸੀਵ ਪਾਂਡਾ ਨੇ ਵਾਰ-ਵਾਰ DNS ਜ਼ਹਿਰ ਦੇਣ ਵਿੱਚ ਮੁਹਾਰਤ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ। ਪਹਿਲਾਂ ਦੀ ਖੋਜ ਨੇ ਅਪ੍ਰੈਲ 2023 ਵਿੱਚ ਵੀ ਇਸੇ ਤਰ੍ਹਾਂ ਦੀਆਂ ਚਾਲਾਂ ਨੂੰ ਉਜਾਗਰ ਕੀਤਾ ਸੀ, ਜਦੋਂ ਸਮੂਹ ਨੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਮੇਨਲੈਂਡ ਚੀਨ ਵਿੱਚ ਇੱਕ ਅੰਤਰਰਾਸ਼ਟਰੀ NGO ਦੇ ਵਿਰੁੱਧ ਭਰੋਸੇਯੋਗ ਸੌਫਟਵੇਅਰ, ਜਿਵੇਂ ਕਿ Tencent QQ, ਦੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤਾ ਜਾਂ AitM ਹਮਲੇ ਦਾ ਲਾਭ ਉਠਾਇਆ ਸੀ।

ਅਗਸਤ 2024 ਵਿੱਚ, ਹੋਰ ਰਿਪੋਰਟਿੰਗ ਤੋਂ ਪਤਾ ਲੱਗਾ ਕਿ ਸਮੂਹ ਨੇ ਇੱਕ ਬੇਨਾਮ ਇੰਟਰਨੈਟ ਸੇਵਾ ਪ੍ਰਦਾਤਾ (ISP) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਸੀ, ਜਿਸ ਵਿੱਚ ਚੁਣੇ ਹੋਏ ਟੀਚਿਆਂ ਨੂੰ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਅਪਡੇਟਾਂ ਵੰਡਣ ਲਈ ਜ਼ਹਿਰੀਲੇ DNS ਜਵਾਬਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਗਈ ਸੀ।

ਚੀਨ-ਅਲਾਈਨਡ ਏਆਈਟੀਐਮ ਅਦਾਕਾਰਾਂ ਦਾ ਇੱਕ ਵਿਸ਼ਾਲ ਈਕੋਸਿਸਟਮ

ਈਵੇਸੀਵ ਪਾਂਡਾ ਚੀਨ-ਅਨੁਕੂਲ ਧਮਕੀ ਸਮੂਹਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਦ੍ਰਿਸ਼ ਦਾ ਹਿੱਸਾ ਹੈ ਜੋ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਅਤੇ ਗਤੀ ਲਈ AitM-ਅਧਾਰਤ ਜ਼ਹਿਰ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਸਮਾਨ ਪਹੁੰਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਘੱਟੋ-ਘੱਟ ਦਸ ਸਰਗਰਮ ਸਮੂਹਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹੋਏ ਕਿ DNS ਹੇਰਾਫੇਰੀ ਇਸ ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ ਇੱਕ ਪਸੰਦੀਦਾ ਤਕਨੀਕ ਬਣ ਗਈ ਹੈ।

ਹਥਿਆਰਬੰਦ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਲਾਲਚ ਵਜੋਂ

ਦਸਤਾਵੇਜ਼ੀ ਘੁਸਪੈਠਾਂ ਵਿੱਚ, ਪੀੜਤਾਂ ਨੂੰ ਜਾਅਲੀ ਅੱਪਡੇਟਾਂ ਨਾਲ ਭਰਮਾਇਆ ਗਿਆ ਸੀ ਜੋ ਜਾਇਜ਼ ਤੀਜੀ-ਧਿਰ ਸਾਫਟਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦੇ ਸਨ। ਇੱਕ ਪ੍ਰਮੁੱਖ ਨੇ ਚੀਨੀ ਤਕਨਾਲੋਜੀ ਕੰਪਨੀ ਸੋਹੂ ਤੋਂ ਇੱਕ ਵੀਡੀਓ ਸਟ੍ਰੀਮਿੰਗ ਐਪਲੀਕੇਸ਼ਨ, ਸੋਹੂਵੀਏ ਲਈ ਅੱਪਡੇਟਾਂ ਦੀ ਨਕਲ ਕੀਤੀ। ਇਹ ਅੱਪਡੇਟ ਜਾਇਜ਼ ਡੋਮੇਨ p2p.hd.sohu.com[.]cn ਤੋਂ ਉਤਪੰਨ ਹੋਇਆ ਜਾਪਦਾ ਸੀ, ਜੋ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ DNS ਜ਼ਹਿਰ ਦੀ ਵਰਤੋਂ ਟ੍ਰੈਫਿਕ ਨੂੰ ਇੱਕ ਖਤਰਨਾਕ ਸਰਵਰ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ ਜਦੋਂ ਕਿ ਐਪਲੀਕੇਸ਼ਨ appdata\roaming\shapp\7.0.18.0\package ਦੇ ਅਧੀਨ ਆਪਣੀ ਸਟੈਂਡਰਡ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਬਾਈਨਰੀ ਅੱਪਡੇਟ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਹੀ ਸੀ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ Baidu ਦੇ iQIYI ਵੀਡੀਓ, IObit ਸਮਾਰਟ ਡੀਫ੍ਰੈਗ, ਅਤੇ Tencent QQ ਲਈ ਨਕਲੀ ਅਪਡੇਟਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਸਮਾਨਾਂਤਰ ਮੁਹਿੰਮਾਂ ਨੂੰ ਵੀ ਦੇਖਿਆ।

ਭਰੋਸੇਯੋਗ ਡੋਮੇਨਾਂ ਰਾਹੀਂ ਮਲਟੀ-ਸਟੇਜ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਨਕਲੀ ਅੱਪਡੇਟ ਦੇ ਸਫਲਤਾਪੂਰਵਕ ਲਾਗੂ ਹੋਣ ਨਾਲ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਲੋਡਰ ਦੀ ਤੈਨਾਤੀ ਹੋਈ ਜਿਸਨੇ ਸ਼ੈੱਲਕੋਡ ਲਾਂਚ ਕੀਤਾ। ਇਸ ਸ਼ੈੱਲਕੋਡ ਨੇ ਇੱਕ PNG ਚਿੱਤਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਦੂਜੇ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕੀਤਾ, ਦੁਬਾਰਾ DNS ਜ਼ਹਿਰ ਰਾਹੀਂ, ਇਸ ਵਾਰ ਜਾਇਜ਼ ਡੋਮੇਨ dictionary.com ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ।

ਹਮਲਾਵਰਾਂ ਨੇ DNS ਰੈਜ਼ੋਲਿਊਸ਼ਨ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਤਾਂ ਜੋ dictionary.com ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ IP ਪਤਿਆਂ 'ਤੇ ਹੱਲ ਹੋ ਜਾਵੇ, ਜੋ ਕਿ ਪੀੜਤ ਦੇ ਭੂਗੋਲਿਕ ਸਥਾਨ ਅਤੇ ISP ਦੁਆਰਾ ਚੋਣਵੇਂ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਸ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤੀ ਗਈ HTTP ਬੇਨਤੀ ਵਿੱਚ ਪੀੜਤ ਦਾ Windows ਸੰਸਕਰਣ ਸ਼ਾਮਲ ਸੀ, ਜੋ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਖਾਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਬਿਲਡਾਂ ਲਈ ਫਾਲੋ-ਆਨ ਕਾਰਵਾਈਆਂ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਸੀ। ਇਹ ਚੋਣਵਾਂ ਨਿਸ਼ਾਨਾ ਸਮੂਹ ਦੇ ਵਾਟਰਿੰਗ ਹੋਲ ਹਮਲਿਆਂ ਦੀ ਪਹਿਲਾਂ ਦੀ ਵਰਤੋਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ MACMA ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ macOS ਮਾਲਵੇਅਰ ਦੀ ਵੰਡ ਸ਼ਾਮਲ ਹੈ।

DNS ਜ਼ਹਿਰ ਕਿਵੇਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ

ਹਾਲਾਂਕਿ DNS ਜਵਾਬਾਂ ਨੂੰ ਜ਼ਹਿਰ ਦੇਣ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਸਹੀ ਤਰੀਕਾ ਅਜੇ ਵੀ ਅਪ੍ਰਮਾਣਿਤ ਹੈ, ਜਾਂਚਕਰਤਾਵਾਂ ਨੂੰ ਦੋ ਮੁੱਖ ਸੰਭਾਵਨਾਵਾਂ ਦਾ ਸ਼ੱਕ ਹੈ:

• ਪੀੜਤ ISPs ਦਾ ਚੋਣਵਾਂ ਸਮਝੌਤਾ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ DNS ਟ੍ਰੈਫਿਕ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਕਿਨਾਰੇ ਵਾਲੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਨੈੱਟਵਰਕ ਇਮਪਲਾਂਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ।
• ਸਥਾਨਕ ਤੌਰ 'ਤੇ DNS ਜਵਾਬਾਂ ਨੂੰ ਬਦਲਣ ਲਈ ਪੀੜਤ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਰਾਊਟਰਾਂ ਜਾਂ ਫਾਇਰਵਾਲਾਂ ਦਾ ਸਿੱਧਾ ਸਮਝੌਤਾ।

ਸੂਝਵਾਨ ਲੋਡਰ ਚੇਨ ਅਤੇ ਕਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ

ਦੂਜੇ-ਪੜਾਅ ਦੀ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਪ੍ਰਕਿਰਿਆ ਜਾਣਬੁੱਝ ਕੇ ਗੁੰਝਲਦਾਰ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਸ਼ੈੱਲਕੋਡ ਇੱਕ ਪੀੜਤ-ਵਿਸ਼ੇਸ਼ ਪੇਲੋਡ ਨੂੰ ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ, ਇੱਕ ਅਜਿਹਾ ਤਰੀਕਾ ਜੋ ਹਰੇਕ ਟੀਚੇ ਲਈ ਇੱਕ ਵਿਲੱਖਣ ਏਨਕ੍ਰਿਪਟਡ ਫਾਈਲ ਤਿਆਰ ਕਰਕੇ ਖੋਜ ਨੂੰ ਘਟਾਉਣ ਲਈ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਸੈਕੰਡਰੀ ਲੋਡਰ, ਜੋ libpython2.4.dll ਦੇ ਭੇਸ ਵਿੱਚ ਹੈ, ਇੱਕ ਨਾਮ ਬਦਲੇ ਹੋਏ, ਪੁਰਾਣੇ python.exe ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਚਲਾਉਣ ਤੋਂ ਬਾਅਦ, ਇਹ C:\ProgramData\Microsoft\eHome\perf.dat ਤੋਂ ਪੜ੍ਹ ਕੇ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਡਿਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। ਇਸ ਫਾਈਲ ਵਿੱਚ ਮਾਲਵੇਅਰ ਹੈ ਜੋ ਪਹਿਲਾਂ XOR-ਇਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਸੀ, ਫਿਰ ਡੀਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਤੇ ਅੰਤ ਵਿੱਚ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਡੇਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ API (DPAPI) ਅਤੇ RC5 ਐਲਗੋਰਿਦਮ ਦੇ ਇੱਕ ਕਸਟਮ ਹਾਈਬ੍ਰਿਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੁਬਾਰਾ ਇਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਡਿਜ਼ਾਈਨ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਪੇਲੋਡ ਨੂੰ ਸਿਰਫ਼ ਅਸਲੀ ਪੀੜਤ ਸਿਸਟਮ 'ਤੇ ਹੀ ਡੀਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਜੋ ਕਿ ਰੁਕਾਵਟ ਅਤੇ ਔਫਲਾਈਨ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।

ਐਮਜੀਬੋਟ: ਇੱਕ ਗੁਪਤ ਅਤੇ ਸਮਰੱਥ ਇਮਪਲਾਂਟ

ਡੀਕ੍ਰਿਪਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਪੇਲੋਡ ਨੂੰ ਇੱਕ ਜਾਇਜ਼ svchost.exe ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਆਪਣੇ ਆਪ ਨੂੰ MgBot ਬੈਕਡੋਰ ਦੇ ਇੱਕ ਰੂਪ ਵਜੋਂ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ। ਇਹ ਮਾਡਿਊਲਰ ਇਮਪਲਾਂਟ ਜਾਸੂਸੀ ਫੰਕਸ਼ਨਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਫਾਈਲਾਂ ਦਾ ਸੰਗ੍ਰਹਿ ਅਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ
• ਕੀਸਟ੍ਰੋਕ ਲੌਗਿੰਗ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਹਾਰਵੈਸਟਿੰਗ
• ਆਡੀਓ ਰਿਕਾਰਡਿੰਗ
• ਬ੍ਰਾਊਜ਼ਰ-ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਚੋਰੀ

ਇਹ ਸਮਰੱਥਾਵਾਂ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਲਈ, ਗੁਪਤ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਇੱਕ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਅਤੇ ਨਿਰੰਤਰ ਖ਼ਤਰਾ

ਇਹ ਮੁਹਿੰਮ ਈਵੇਸੀਵ ਪਾਂਡਾ ਦੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਅਤੇ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। DNS ਜ਼ਹਿਰ, ਭਰੋਸੇਯੋਗ-ਬ੍ਰਾਂਡ ਨਕਲ, ਬਹੁ-ਪੱਧਰੀ ਲੋਡਰ, ਅਤੇ ਸਿਸਟਮ-ਬਾਊਂਡ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਜੋੜ ਕੇ, ਸਮੂਹ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ ਤੱਕ ਨਿਰੰਤਰ ਪਹੁੰਚ ਨੂੰ ਕਾਇਮ ਰੱਖਦੇ ਹੋਏ ਬਚਾਅ ਪੱਖ ਤੋਂ ਬਚਣ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਯੋਗਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ ਸੰਵੇਦਨਸ਼ੀਲ ਵਾਤਾਵਰਣ ਵਿੱਚ ਮਜ਼ਬੂਤ DNS ਸੁਰੱਖਿਆ, ਸਪਲਾਈ ਚੇਨ ਪ੍ਰਮਾਣਿਕਤਾ, ਅਤੇ ਅੱਪਡੇਟ ਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।