Voldemort ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੀਂ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ Google ਸ਼ੀਟਾਂ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਪਲੇਟਫਾਰਮ ਵਜੋਂ ਵਰਤਦਾ ਹੈ।
ਅਗਸਤ 2024 ਵਿੱਚ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜਿਆ ਗਿਆ, ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਯੂਰਪ, ਏਸ਼ੀਆ ਅਤੇ ਅਮਰੀਕਾ ਦੇ ਟੈਕਸ ਅਥਾਰਟੀਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਦੁਨੀਆ ਭਰ ਵਿੱਚ 70 ਤੋਂ ਵੱਧ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਹੈ। ਹਮਲਾਵਰ ਵੋਲਡੇਮੋਰਟ ਨਾਮਕ ਇੱਕ ਕਸਟਮ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜੋ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਵਾਧੂ ਮਾਲਵੇਅਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਨਿਯਤ ਖੇਤਰਾਂ ਵਿੱਚ ਬੀਮਾ, ਏਰੋਸਪੇਸ, ਆਵਾਜਾਈ, ਅਕਾਦਮਿਕ, ਵਿੱਤ, ਤਕਨਾਲੋਜੀ, ਉਦਯੋਗਿਕ, ਸਿਹਤ ਸੰਭਾਲ, ਆਟੋਮੋਟਿਵ, ਪਰਾਹੁਣਚਾਰੀ, ਊਰਜਾ, ਸਰਕਾਰ, ਮੀਡੀਆ, ਨਿਰਮਾਣ, ਦੂਰਸੰਚਾਰ ਅਤੇ ਸਮਾਜਿਕ ਲਾਭ ਸੰਸਥਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਹਾਲਾਂਕਿ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਨੂੰ ਕਿਸੇ ਖਾਸ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨਾਲ ਜੋੜਿਆ ਨਹੀਂ ਗਿਆ ਹੈ, ਪਰ ਅੰਦਾਜ਼ਾ ਲਗਾਇਆ ਗਿਆ ਹੈ ਕਿ ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ 20,000 ਈਮੇਲਾਂ ਭੇਜੀਆਂ ਗਈਆਂ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ ਵੈਕਟਰ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ
ਖੋਜੀਆਂ ਗਈਆਂ ਈਮੇਲਾਂ ਅਮਰੀਕਾ, ਯੂ.ਕੇ., ਫਰਾਂਸ, ਜਰਮਨੀ, ਇਟਲੀ, ਭਾਰਤ ਅਤੇ ਜਾਪਾਨ ਦੇ ਟੈਕਸ ਅਥਾਰਟੀਆਂ ਤੋਂ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਟੈਕਸ ਭਰਨ ਦੇ ਅੱਪਡੇਟ ਬਾਰੇ ਸੂਚਿਤ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ Google AMP ਕੈਸ਼ URL 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਪ੍ਰੇਰਦੀਆਂ ਹਨ ਜੋ ਉਹਨਾਂ ਨੂੰ ਕਿਸੇ ਵਿਚੋਲੇ ਵੱਲ ਭੇਜਦੀਆਂ ਹਨ। ਲੈਂਡਿੰਗ ਪੰਨਾ.
ਇਹ ਪੰਨਾ ਉਪਭੋਗਤਾ-ਏਜੰਟ ਸਤਰ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਉਪਭੋਗਤਾ ਦਾ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਵਿੰਡੋਜ਼ ਹੈ। ਜੇਕਰ ਅਜਿਹਾ ਹੈ, ਤਾਂ ਪੰਨਾ ਖੋਜ-ਐਮਐਸ: ਯੂਆਰਆਈ ਪ੍ਰੋਟੋਕੋਲ ਹੈਂਡਲਰ ਨੂੰ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਨੂੰ ਇੱਕ PDF ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਨ ਲਈ Adobe Acrobat Reader ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇਸਨੂੰ ਖੋਲ੍ਹਣ ਲਈ ਪੀੜਤ ਨੂੰ ਧੋਖਾ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ ਪੇਸ਼ ਕਰਦਾ ਹੈ।
ਜੇਕਰ LNK ਫਾਈਲ ਨੂੰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ PowerShell ਨੂੰ ਇੱਕ WebDAV ਸ਼ੇਅਰ (\library) ਤੋਂ Python.exe ਨੂੰ ਚਲਾਉਣ ਲਈ ਟਰਿੱਗਰ ਕਰਦਾ ਹੈ, ਇੱਕ ਆਰਗੂਮੈਂਟ ਦੇ ਰੂਪ ਵਿੱਚ ਉਸੇ ਸਰਵਰ 'ਤੇ ਇੱਕ ਹੋਰ ਸ਼ੇਅਰ (\resource) 'ਤੇ ਸਥਿਤ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ ਨੂੰ ਪਾਸ ਕਰਦਾ ਹੈ।
ਵੋਲਡੇਮੋਰਟ ਮਾਲਵੇਅਰ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਕਿਵੇਂ ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
ਇਹ ਵਿਧੀ ਪਾਇਥਨ ਨੂੰ ਸਕ੍ਰਿਪਟ ਨੂੰ ਕੰਪਿਊਟਰ 'ਤੇ ਕਿਸੇ ਵੀ ਫਾਈਲ ਨੂੰ ਸੇਵ ਕੀਤੇ ਬਿਨਾਂ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਨਿਰਭਰਤਾ ਨੂੰ ਸਿੱਧਾ WebDAV ਸ਼ੇਅਰ ਤੋਂ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ ਨੂੰ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਡੋਮੇਨ ਵਿੱਚ ਬੇਸ 64-ਏਨਕੋਡਡ ਸਤਰ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਇਹ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਡੀਕੋਏ PDF ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਅਤੇ OpenDrive ਤੋਂ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ZIP ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਜ਼ਿਪ ਆਰਕਾਈਵ ਵਿੱਚ ਦੋ ਫਾਈਲਾਂ ਹਨ: ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ, 'CiscoCollabHost.exe,' ਜੋ DLL ਸਾਈਡਲੋਡਿੰਗ ਲਈ ਕਮਜ਼ੋਰ ਹੈ, ਅਤੇ ਇੱਕ ਖਤਰਨਾਕ DLL ਫਾਈਲ, 'CiscoSparkLauncher.dll' (ਵੋਲਡੇਮੋਰਟ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਹੈ), ਜੋ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੁਆਰਾ ਸਾਈਡਲੋਡ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਵੋਲਡੇਮੋਰਟ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ
Voldemort C ਵਿੱਚ ਲਿਖਿਆ ਇੱਕ ਕਸਟਮ ਬੈਕਡੋਰ ਹੈ ਜੋ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡਾਂ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦੇ ਨਾਲ ਆਉਂਦਾ ਹੈ, C2 ਲਈ Google ਸ਼ੀਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਦੇ ਨਾਲ, ਡਾਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਓਪਰੇਟਰਾਂ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਗਤੀਵਿਧੀ ਨੂੰ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟਸ (ਏਪੀਟੀ) ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ ਪਰ ਈ-ਕ੍ਰਾਈਮ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਪ੍ਰਸਿੱਧ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਦੇ ਕਾਰਨ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਲੈ ਕੇ ਦੱਸਿਆ ਹੈ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਮਾਲਵੇਅਰ ਸਟੇਜਿੰਗ, ਖਾਸ ਤੌਰ 'ਤੇ WebDAV ਅਤੇ ਸਰਵਰ ਮੈਸੇਜ ਬਲਾਕ (SMB) ਲਈ ਬਾਹਰੀ ਫਾਈਲ-ਸ਼ੇਅਰਿੰਗ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਫਾਈਲ ਸਕੀਮਾ URIs ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਹ ਸਕੀਮਾ 'file://' ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੀ ਸਮੱਗਰੀ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਵਾਲੇ ਰਿਮੋਟ ਸਰਵਰ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਕੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਇਹ ਪਹੁੰਚ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਵਿੱਚ ਵਧਦੀ ਜਾ ਰਹੀ ਹੈ ਜੋ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ (IABs) ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ Latrodectus , DarkGate ਅਤੇ XWor m.
ਹਮਲਾਵਰ ਦਾ ਟੀਚਾ ਅਣਜਾਣ ਰਹਿੰਦਾ ਹੈ
ਹਾਨੀਕਾਰਕ ਮੁਹਿੰਮ ਨੂੰ ਅਸਾਧਾਰਨ ਮੰਨਿਆ ਗਿਆ ਹੈ, ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਆਪਣੇ ਫੋਕਸ ਨੂੰ ਇੱਕ ਚੁਣੇ ਹੋਏ ਸਮੂਹ ਨੂੰ ਘਟਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੋ ਸਕਦਾ ਹੈ। ਇਹ ਵੀ ਸੰਭਵ ਹੈ ਕਿ ਹਮਲਾਵਰ, ਜੋ ਕਿ ਤਕਨੀਕੀ ਮੁਹਾਰਤ ਦੇ ਵੱਖੋ-ਵੱਖਰੇ ਪੱਧਰਾਂ ਦੇ ਮਾਲਕ ਜਾਪਦੇ ਹਨ, ਕਈ ਸੰਸਥਾਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦਾ ਇਰਾਦਾ ਰੱਖਦੇ ਹਨ।
ਹਾਲਾਂਕਿ ਮੁਹਿੰਮ ਦੇ ਬਹੁਤ ਸਾਰੇ ਪਹਿਲੂ ਆਮ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਗਤੀਵਿਧੀਆਂ ਨਾਲ ਮਿਲਦੇ-ਜੁਲਦੇ ਹਨ, ਅਸੀਂ ਮੰਨਦੇ ਹਾਂ ਕਿ ਇਹ ਅਜੇ ਤੱਕ-ਅਣਜਾਣ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਜਾਸੂਸੀ ਯਤਨ ਹੈ। ਮੁਹਿੰਮ ਦੇ ਉੱਨਤ ਅਤੇ ਹੁਸ਼ਿਆਰ ਰਣਨੀਤੀਆਂ ਦਾ ਮਿਸ਼ਰਣ, ਕੁਝ ਬੁਨਿਆਦੀ ਤਕਨੀਕਾਂ ਦੇ ਨਾਲ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦੇ ਮੁਲਾਂਕਣ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਉੱਚ ਆਤਮ ਵਿਸ਼ਵਾਸ ਨਾਲ ਉਹਨਾਂ ਦੇ ਅੰਤਮ ਟੀਚਿਆਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦਾ ਹੈ।
