पहले कुख्यात शैडोपैड रिमोट एक्सेस ट्रोजन (आरएटी) से जुड़े एक खतरे समूह को एशिया में कई लक्षित सरकार और रक्षा संगठनों से संबंधित सिस्टम पर मैलवेयर लोड करने के लिए लोकप्रिय सॉफ्टवेयर पैकेजों के पुराने और पुराने संस्करणों का उपयोग करते हुए देखा गया है।
वैध सॉफ़्टवेयर के पुराने संस्करणों का उपयोग करने का कारण यह है कि वे हमलावरों को एक लक्ष्य प्रणाली पर अपने दुर्भावनापूर्ण पेलोड को निष्पादित करने के लिए डायनेमिक लिंक लाइब्रेरी (DLL) साइडलोडिंग नामक एक प्रसिद्ध विधि का उपयोग करने की अनुमति देते हैं। समान उत्पादों के अधिकांश वर्तमान संस्करण अटैक वेक्टर से रक्षा करते हैं, जिसमें मूल रूप से एक दुर्भावनापूर्ण DLL फ़ाइल को वैध के रूप में छिपाने वाले विरोधी शामिल होते हैं और इसे एक निर्देशिका में डालते हैं जहां एप्लिकेशन स्वचालित रूप से फ़ाइल को लोड और चलाएगा।
ब्रॉडकॉम के सॉफ्टवेयर के सिमेंटेक थ्रेट हंटर टीम के शोधकर्ताओं ने देखा कि शैडोपैडसाइबर-जासूसी अभियान में रणनीति का उपयोग करते हुए संबंधित धमकी समूह। समूह के लक्ष्यों में अब तक एक प्रधान मंत्री कार्यालय, वित्त क्षेत्र से जुड़े सरकारी संगठन, सरकारी स्वामित्व वाली रक्षा और एयरोस्पेस फर्म, और राज्य के स्वामित्व वाली दूरसंचार, आईटी और मीडिया कंपनियां शामिल हैं। सुरक्षा विक्रेता के विश्लेषण से पता चला है कि अभियान कम से कम 2021 की शुरुआत से चल रहा है, जिसमें खुफिया प्राथमिक फोकस है।
एक प्रसिद्ध साइबर हमले की रणनीति, लेकिन सफल
"का उपयोग डीएलएल साइडलोडिंग की सुविधा के लिए वैध अनुप्रयोग सिमेंटेक ने इस सप्ताह एक रिपोर्ट में कहा, "क्षेत्र में सक्रिय जासूसी अभिनेताओं के बीच बढ़ती प्रवृत्ति प्रतीत होती है।" यह एक आकर्षक रणनीति है क्योंकि एंटी-मैलवेयर टूल अक्सर दुर्भावनापूर्ण गतिविधि का पता नहीं लगाते हैं क्योंकि हमलावर साइड लोडिंग के लिए पुराने एप्लिकेशन का उपयोग करते हैं।
"आवेदन की उम्र के अलावा, दूसरी समानता यह है कि वे सभी अपेक्षाकृत प्रसिद्ध नाम थे और इस प्रकार सहज दिखाई दे सकते हैं।" एलन नेविल कहते हैं, सिमेंटेक की थ्रेट हंटर टीम के साथ ख़तरा ख़ुफ़िया विश्लेषक।
सिमेंटेक ने कहा कि तथ्य यह है कि एशिया में मौजूदा अभियान के पीछे समूह रणनीति का उपयोग कर रहा है, इसके बावजूद यह अच्छी तरह से समझा जाता है कि तकनीक कुछ सफलता प्रदान कर रही है।
नेविल का कहना है कि उनकी कंपनी ने हाल ही में यह नहीं देखा है कि अभिनेता अमेरिका या अन्य जगहों पर रणनीति का इस्तेमाल करते हैं। "तकनीक का इस्तेमाल ज्यादातर एशियाई संगठनों पर ध्यान केंद्रित करने वाले हमलावरों द्वारा किया जाता है," वे कहते हैं।
नेविल का कहना है कि नवीनतम अभियान में अधिकांश हमलों में, धमकी देने वाले अभिनेताओं ने के लिए वैध PsExec विंडोज उपयोगिता का उपयोग किया रिमोट सिस्टम पर प्रोग्राम निष्पादित करना साइडलोडिंग करने और मैलवेयर परिनियोजित करने के लिए। प्रत्येक मामले में, हमलावरों ने पहले ही उन सिस्टमों से समझौता कर लिया था जिन पर उसने पुराने, वैध ऐप्स इंस्टॉल किए थे।
"[कार्यक्रम] प्रत्येक समझौता किए गए कंप्यूटर पर स्थापित किए गए थे, जिस पर हमलावर मैलवेयर चलाना चाहते थे। कुछ मामलों में, यह एक ही शिकार नेटवर्क पर कई कंप्यूटर हो सकते हैं," नेविल कहते हैं। अन्य उदाहरणों में, सिमेंटेक ने उन्हें अपने मैलवेयर लोड करने के लिए एक ही मशीन पर कई वैध एप्लिकेशन को तैनात करते हुए भी देखा, उन्होंने आगे कहा।
उन्होंने कहा, "उन्होंने सुरक्षा सॉफ्टवेयर, ग्राफिक्स सॉफ्टवेयर और वेब ब्राउज़र सहित कई तरह के सॉफ्टवेयर का इस्तेमाल किया।" कुछ मामलों में, सिमेंटेक शोधकर्ताओं ने आक्रमण को सक्षम करने के लिए पुराने Windows XP OS से वैध सिस्टम फ़ाइलों का उपयोग करते हुए हमलावर को भी देखा।
लॉगडैटर, दुर्भावनापूर्ण पेलोड की रेंज
दुर्भावनापूर्ण पेलोड में से एक नई सूचना चोरी करने वाला है जिसे लॉगडैटर कहा जाता है, जो हमलावरों को कीस्ट्रोक्स लॉग करने, स्क्रीनशॉट लेने, SQL डेटाबेस को क्वेरी करने, मनमाने कोड को इंजेक्ट करने और अन्य चीजों के साथ फाइल डाउनलोड करने की अनुमति देता है। अन्य पेलोड जो खतरे वाले अभिनेता अपने एशियाई अभियान में उपयोग कर रहे हैं, उनमें प्लगएक्स-आधारित ट्रोजन, ट्रोचिलस और क्वासर नामक दो आरएटी और कई वैध दोहरे उपयोग वाले उपकरण शामिल हैं। इनमें पीड़ित वातावरण को स्कैन करने के लिए लैडॉन, एक पैठ परीक्षण ढांचा, FScan, और NBTscan शामिल हैं।
नेविल का कहना है कि सिमेंटेक निश्चित रूप से यह निर्धारित करने में असमर्थ रहा है कि कैसे खतरे वाले अभिनेता लक्षित वातावरण पर प्रारंभिक पहुंच प्राप्त कर सकते हैं। लेकिन फ़िशिंग और बिना पैच वाले सिस्टम का अवसर लक्ष्यीकरण संभावित वाहक हैं।
"वैकल्पिक रूप से, एक सॉफ्टवेयर आपूर्ति श्रृंखला हमला इन हमलावरों के प्रेषण के बाहर नहीं है क्योंकि शैडोपैड तक पहुंच वाले अभिनेता हैं आपूर्ति श्रृंखला हमले शुरू करने के लिए जाना जाता है अतीत में, "नेविल ने नोट किया। एक बार जब खतरे वाले अभिनेताओं ने एक पर्यावरण तक पहुंच प्राप्त कर ली है, तो उन्होंने अन्य प्रणालियों को लक्षित करने के लिए NBTScan, TCPing, FastReverseProxy, और Fscan जैसे कई स्कैनिंग टूल का उपयोग करने का प्रयास किया है।
इस प्रकार के हमलों से बचाव के लिए, संगठनों को अपने नेटवर्क पर चल रहे सॉफ़्टवेयर के ऑडिट और नियंत्रित करने के लिए तंत्र को लागू करने की आवश्यकता है। उन्हें केवल श्वेतसूची वाले अनुप्रयोगों को पर्यावरण में चलाने की अनुमति देने और सार्वजनिक-सामना करने वाले अनुप्रयोगों में कमजोरियों के पैचिंग को प्राथमिकता देने की नीति को लागू करने पर भी विचार करना चाहिए।
"हम उन मशीनों को साफ करने के लिए तत्काल कार्रवाई करने की भी सिफारिश करेंगे जो समझौता के किसी भी संकेतक को प्रदर्शित करती हैं," नेविल सलाह देते हैं, "... साइकिल चलाने की साख सहित और पूरी तरह से जांच करने के लिए अपने स्वयं के संगठन की आंतरिक प्रक्रिया का पालन करना।"
