ब्लूवॉयंट के एक प्रभाग, थ्रेट फ्यूज़न सेंटर (टीएफसी) ने कानून फर्मों के नकली चालान के साथ "नॉरलीगल" फ़िशिंग अभियान का खुलासा किया है। हमलावर पीडीएफ दस्तावेजों, वननोट या एक्सेल फाइलों पर भरोसा करते हैं जो मैलवेयर से संक्रमित हैं।
हमलावर खुद को कानूनी फर्म बताते हैं और उस भरोसे का दुरुपयोग करते हैं जो उनके पीड़ित कानूनी सेवा प्रदाताओं पर रखते हैं। अभियान को "नॉरलीगल" कहा जाता है और माना जाता है कि हमले साइबर अपराध समूह नरवाल स्पाइडर (जिसे स्टॉर्म-0302, टीए544 के रूप में भी जाना जाता है) द्वारा आयोजित किया गया था।
हमलावर दुर्भावनापूर्ण पीडीएफ फाइलों को प्रतिष्ठित कानून फर्मों के प्रामाणिक दिखने वाले चालान के रूप में छिपाते हैं - विभिन्न उद्योगों में पीड़ितों को लुभाने के उद्देश्य से एक रणनीति। नॉरलीगल अभियान वैध दिखने वाले फ़ाइल नामों जैसे "इनवॉइस_[नंबर]_फ्रॉम_[लॉ फर्म का नाम].पीडीएफ" के साथ पीडीएफ फाइलें बनाकर और भेजकर वैधता का दिखावा करता है। यह रणनीति रोजमर्रा के व्यावसायिक जीवन में नियमित रूप से कानूनी दस्तावेज़ प्राप्त करने की प्राप्तकर्ताओं की अपेक्षा का लाभ उठाती है। इस दृष्टिकोण से यह संभावना बढ़ जाती है कि प्राप्तकर्ता मैलवेयर-संक्रमित फ़ाइलें खोलेंगे।
प्रयुक्त मैलवेयर का तकनीकी विवरण
नॉरलीगल अभियान के बुनियादी ढांचे में विकीलोडर से जुड़े डोमेन शामिल हैं और जिनकी अनुवर्ती गतिविधि इस मैलवेयर परिवार के साथ जुड़ाव का सुझाव देती है। विकीलोडर परिष्कृत अस्पष्टीकरण तकनीकों के लिए जाना जाता है, जैसे: बी. सैंडबॉक्स परिवेश को बायपास करने के लिए विशिष्ट स्ट्रिंग्स के लिए विकिपीडिया उत्तरों की जाँच करना। नरवाल स्पाइडर ने अतीत में विकीलोडर का उपयोग किया है, और इस अभियान में समूह की भागीदारी से पता चलता है कि अतिरिक्त विनाशकारी मैलवेयर पेलोड को लाइन में तैनात किया जा सकता है।
वायरस टोटल की रिपोर्ट से संकेत मिलता है कि आइस्डआईडी इस अभियान से जुड़ा एक संभावित पेलोड हो सकता है। इसके अतिरिक्त, इस अभियान का C2 बुनियादी ढांचा विशेष रूप से समझौता किए गए वर्डप्रेस साइटों पर निर्भर करता है - जो कि नरवाल स्पाइडर द्वारा उपयोग की जाने वाली एक प्रसिद्ध रणनीति है। जिन संगठनों पर हमला किया जा रहा है, उनके द्वारा प्रबंधित डेटा की संवेदनशील प्रकृति को देखते हुए, जिसमें बौद्धिक संपदा, कॉर्पोरेट रणनीतियाँ और व्यक्तिगत जानकारी शामिल है, एक सफल घुसपैठ में दांव विशेष रूप से ऊंचे होते हैं।
धमकी देने वाले अभिनेता अपनी पहुंच का विस्तार कर रहे हैं
अतीत में, नरवाल स्पाइडर के विकीलोडर अभियान मुख्य रूप से इतालवी संगठनों पर केंद्रित थे और माइक्रोसॉफ्ट एक्सेल, वननोट और पीडीएफ फाइलों सहित विभिन्न ईमेल अनुलग्नकों के माध्यम से मैलवेयर वितरित करते थे। हालाँकि, नौरलीगल अभियान इन भौगोलिक रूप से केंद्रित हमलों से हटकर है और इसके बजाय कानूनी बिलों से निपटने के लिए संभावित संगठनों की एक विस्तृत श्रृंखला को लक्षित करता है। रणनीति में यह बदलाव नरवाल स्पाइडर की अनुकूलनशीलता और विभिन्न कमजोरियों और सामाजिक इंजीनियरिंग रणनीति का फायदा उठाने के उसके प्रयासों पर प्रकाश डालता है।
ब्लूवॉयंट की 2023 आपूर्ति श्रृंखला रक्षा रिपोर्ट से पता चलता है कि दुनिया भर में आपूर्ति श्रृंखलाओं और विश्वसनीय साझेदार संबंधों पर हमले बढ़ रहे हैं। नरहवाल स्पाइडर जैसे ख़तरनाक अभिनेताओं की गतिविधियों का विस्तार इस प्रवृत्ति को और पुष्ट करता है।
अनुशंसित सुरक्षात्मक उपाय
वैध कानूनी फर्मों के चालान के रूप में मैलवेयर-संक्रमित पीडीएफ फाइलों का उपयोग इस अभियान के हिस्से के रूप में किए गए हमलों का एक प्रमुख संकेत है। सुरक्षा टीमों को पीडीएफ प्रारूप में असामान्य रूप से उच्च मात्रा में चालान के प्रति सतर्क रहना चाहिए, विशेष रूप से वे जो बाहरी स्रोतों से आते हैं और जिनका नाम "इनवॉइस_[नंबर]_फ्रॉम_[लॉ फर्म नेम].पीडीएफ" पैटर्न में रखा गया है। दुर्भावनापूर्ण सामग्री के लिए पीडीएफ अनुलग्नकों का विश्लेषण करने में सक्षम आधुनिक ईमेल सुरक्षा समाधानों का उपयोग करने से इन खतरों का पता लगाने और उन्हें नियंत्रित करने में मदद मिल सकती है।
आने वाले ईमेल की जाँच करने के अलावा, नेटवर्क कनेक्शन की निगरानी करना भी ऐसे हमलों की पहचान करने का एक महत्वपूर्ण तरीका है। अभियान C2 संचार के लिए समझौता की गई वर्डप्रेस वेबसाइटों पर निर्भर करता है, और असामान्य ट्रैफ़िक पैटर्न या वर्डप्रेस वेबसाइटों पर आने-जाने वाले ट्रैफ़िक में बढ़ोतरी संभावित संक्रमण का संकेत दे सकती है।
Bluevoyant.com पर और अधिक
ब्लूवॉयंट के बारे में
ब्लूवॉयंट आंतरिक और बाहरी साइबर रक्षा क्षमताओं को एक परिणाम-उन्मुख, क्लाउड-आधारित साइबर सुरक्षा समाधान में जोड़ता है जो लगातार नेटवर्क, एंडपॉइंट, हमले की सतहों और आपूर्ति श्रृंखलाओं के साथ-साथ खतरों के लिए स्पष्ट, गहरे और अंधेरे वेब की निगरानी करता है। व्यापक साइबर रक्षा उत्पाद और सेवाएँ संगठनों की सुरक्षा के लिए खतरों पर शीघ्रता से प्रकाश डालते हैं, उनकी जाँच करते हैं और उनका निवारण करते हैं।