APT अभिनेता डेथस्टॉकर जर्मनी और स्विटज़रलैंड में उपयोगकर्ताओं पर हमला करता है। अभिनेता का लक्ष्य: वित्तीय और कानूनी क्षेत्र की कंपनियां। नया बैकडोर "पॉवरपेपर" विभिन्न आक्षेप तकनीकों का उपयोग करता है।
माना जाता है कि एडवांस्ड परसिस्टेंट थ्रेट (APT) अभिनेता डेथस्टॉकर अब वित्तीय और कानूनी क्षेत्रों में कंपनियों से गोपनीय व्यावसायिक जानकारी चुराने के लिए हैकिंग-फॉर-हायर सेवाओं की पेशकश कर रहा है। Kaspersky के विशेषज्ञों ने अब अभिनेता की नई गतिविधि देखी है और एक नई मैलवेयर इम्प्लांटेशन और डिलीवरी रणनीति की खोज की है: PowerPepper बैकडोर वैध नियंत्रण सर्वर नाम प्रश्नों के पीछे संचार को छिपाने के लिए एक संचार चैनल के रूप में HTTPS पर DNS का उपयोग करता है। इसके अलावा, PowerPepper स्टेग्नोग्राफ़ी जैसी विभिन्न अस्पष्ट तकनीकों का उपयोग करता है।
विशेष रूप से एसएमई को लक्षित करना
डेथस्टॉकर एक बहुत ही असामान्य APT प्लेयर है। समूह, जो कम से कम 2012 से सक्रिय है, कानून फर्मों या वित्तीय क्षेत्र के प्रतिनिधियों जैसे छोटे और मध्यम आकार के व्यवसायों के खिलाफ जासूसी अभियान चलाता है। अन्य APT समूहों के विपरीत, डेथस्टॉकर राजनीतिक रूप से प्रेरित या लक्षित कंपनियों से वित्तीय लाभ प्राप्त करने के लिए प्रकट नहीं होता है। इसके बजाय, बैकर्स भाड़े के सैनिकों के रूप में कार्य करते हैं और शुल्क के लिए अपनी हैकिंग सेवाएं प्रदान करते हैं।
Kaspersky के शोधकर्ताओं ने अब समूह द्वारा पिछले दरवाजे PowerPepper का उपयोग करके एक नए दुर्भावनापूर्ण अभियान का पर्दाफाश किया है। अन्य डेथस्टॉकर मालवेयर की तरह, PowerPepper को आमतौर पर भाला फ़िशिंग ईमेल का उपयोग करके वितरित किया जाता है, जिसमें दुर्भावनापूर्ण फ़ाइलें ईमेल बॉडी के भीतर या दुर्भावनापूर्ण लिंक के भीतर वितरित की जाती हैं। ऐसा करने के लिए, समूह ने अपने पीड़ितों को हानिकारक दस्तावेजों को खोलने के लिए अंतर्राष्ट्रीय घटनाओं, CO2 उत्सर्जन पर नियमों या कोरोना महामारी का उपयोग किया है।
छलावरण के रूप में स्टेग्नोग्राफ़ी
मुख्य दुर्भावनापूर्ण पेलोड स्टेग्नोग्राफ़ी का उपयोग करके छुपाया गया है, जो वैध सामग्री के बीच हमलावरों को डेटा छिपाने की अनुमति देता है। PowerPepper के मामले में, दुर्भावनापूर्ण कोड फर्न या मिर्च की प्रतीत होने वाली सामान्य छवियों (नामकरण के लिए अंग्रेजी "काली मिर्च" देखें) में एम्बेड किया गया है और फिर लोडर स्क्रिप्ट द्वारा निकाला गया है। उसके बाद, PowerPepper ने डेथस्टॉकर अभिनेताओं से प्राप्त दूरस्थ शेल कमांड को निष्पादित करना शुरू कर दिया, जिसका उद्देश्य संवेदनशील व्यावसायिक जानकारी को चुराना है। मैलवेयर लक्ष्य प्रणाली पर किसी भी शेल कमांड को निष्पादित कर सकता है, जिसमें मानक डेटा टोही शामिल हैं, जैसे कंप्यूटर उपयोगकर्ता और फ़ाइल जानकारी एकत्र करना, नेटवर्क फ़ाइल शेयर ब्राउज़ करना और अतिरिक्त बायनेरिज़ डाउनलोड करना या दूरस्थ स्थानों पर सामग्री की प्रतिलिपि बनाना। HTTPS संचार पर DNS का उपयोग कर नियंत्रण सर्वर से आदेश पुनर्प्राप्त किए जाते हैं - वैध सर्वर नाम प्रश्नों के पीछे दुर्भावनापूर्ण संचार को छिपाने का एक प्रभावी तरीका।
Kaspersky.com की सिक्योरलिस्ट पर और पढ़ें
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी