विनडीलर मैलवेयर मैन-ऑन-द-साइड हमलों के माध्यम से फैलता है

28. जून 2022
| कोई टिप्पणी नहीं

शेयर पोस्ट

कास्परस्की के शोधकर्ताओं ने पता लगाया है कि चीनी भाषी एपीटी अभिनेता लुओयू मैन-ऑन-द-साइड हमलों [1] के माध्यम से विनडीलर मैलवेयर वितरित करता है। यह प्रसार तंत्र खतरे वाले अभिनेता को दुर्भावनापूर्ण पेलोड इंजेक्ट करने के लिए पारगमन में नेटवर्क ट्रैफ़िक को संशोधित करने की अनुमति देता है। इस तरह के हमले विशेष रूप से प्रभावी होते हैं क्योंकि उन्हें सफल संक्रमण के लिए लक्ष्य के साथ मानव या अन्य संपर्क की आवश्यकता नहीं होती है।

TeamT5 [2] के निष्कर्षों के बाद, Kaspersky के शोधकर्ताओं ने WinDealer मैलवेयर के प्रसार के लिए अभिनेताओं द्वारा उपयोग की जाने वाली एक नई विधि की खोज की। वे ट्रैफिक को पढ़ने और नए संदेश डालने के लिए एक मैन-ऑन-द-साइड हमले का उपयोग करते हैं। एक मैन-ऑन-द-साइड हमले की अवधारणा यह है कि जब हमलावर नेटवर्क पर एक विशिष्ट संसाधन के लिए अनुरोध देखता है (चाहे उनके ईवेसड्रॉपिंग कौशल या आईएसपी के नेटवर्क में अपनी रणनीतिक स्थिति के माध्यम से), तो वे जवाब देने का प्रयास करते हैं। वैध सर्वर से तेज। यदि यह स्थिति है, तो लक्षित कंप्यूटर नियमित डेटा के बजाय हमलावर द्वारा प्रदान की गई जानकारी का उपयोग करता है। यहां तक ​​कि अगर वे इनमें से अधिकांश "दौड़" हार जाते हैं, तो हमलावर हमेशा तब तक प्रयास करते रह सकते हैं जब तक कि वे डिवाइस को संक्रमित नहीं कर देते।

स्पाइवेयर बहुत सारी जानकारी एकत्र करता है

एक सफल हमले के बाद, स्पाइवेयर लक्ष्य डिवाइस पर उतरता है, जो विभिन्न प्रकार की जानकारी एकत्र कर सकता है। यह हमलावरों को डिवाइस पर संग्रहीत सभी फाइलों को देखने और डाउनलोड करने और सभी दस्तावेजों पर एक कीवर्ड खोज करने की अनुमति देता है। सामान्य तौर पर, लुओयू चीन में स्थित विदेशी राजनयिक संगठनों, शैक्षणिक संस्थानों और रक्षा, रसद और दूरसंचार कंपनियों को लक्षित करता है। अभिनेता विंडोज-आधारित मशीनों पर हमला करने के लिए विनडीलर का उपयोग करता है।

आमतौर पर, मैलवेयर में एक या अधिक हार्ड-कोडेड कमांड-एंड-कंट्रोल सर्वर होते हैं, जिनसे हमलावर सिस्टम को नियंत्रित करते हैं। इन सर्वरों के बारे में उपयुक्त जानकारी के साथ, इन सर्वरों के आईपी पतों को अवरुद्ध करना संभव है जो मैलवेयर के साथ इंटरैक्ट करता है, इस प्रकार खतरे को निष्क्रिय कर देता है। हालाँकि, WinDealer किस मशीन से संपर्क करना है, यह निर्धारित करने के लिए एक जटिल IP एड्रेस जनरेशन एल्गोरिथम पर निर्भर करता है।

विंडीलर संपर्क आईपी पते उत्पन्न करता है

इसमें 48.000 संभावित आईपी पते शामिल हैं, जिससे ऑपरेटर के लिए इसके एक छोटे से हिस्से को भी नियंत्रित करना लगभग असंभव हो जाता है। इस प्रतीत होने वाले असंभव नेटवर्क व्यवहार को समझाने का एकमात्र तरीका यह मान लेना है कि हमलावरों के पास इस आईपी रेंज में महत्वपूर्ण छिपकर बातें सुनने की क्षमता है और वे ऐसे नेटवर्क पैकेट भी पढ़ सकते हैं जो किसी गंतव्य तक नहीं पहुंचते हैं।

इस तरह का मानव-पर-साइड हमला विशेष रूप से विनाशकारी है क्योंकि इसमें सफल संक्रमण के परिणाम के लिए लक्ष्य के साथ किसी भी तरह की बातचीत की आवश्यकता नहीं होती है। इंटरनेट से एक सक्रिय कनेक्शन पर्याप्त है। इसके अलावा, उपयोगकर्ता किसी अन्य नेटवर्क पर डेटा ट्रैफ़िक को रूट करने के अलावा - सक्रिय रूप से कोई सुरक्षात्मक उपाय नहीं कर सकते हैं। हालांकि यह एक वीपीएन का उपयोग करना संभव होगा, यह कुछ देशों में उपयोग नहीं किया जा सकता है और आमतौर पर उपलब्ध नहीं है, खासकर चीनी नागरिकों के लिए।

जर्मनी भी प्रभावित हुआ

LuoYu पीड़ितों का विशाल बहुमत चीन में स्थित है, इसलिए Kaspersky विशेषज्ञों का मानना ​​है कि LuoYu APT मुख्य रूप से चीनी भाषी उपयोगकर्ताओं और चीन से संबंधित संगठनों को लक्षित करेगा। हालाँकि, उन्होंने जर्मनी, ऑस्ट्रिया, संयुक्त राज्य अमेरिका, चेक गणराज्य, रूस या भारत सहित अन्य देशों में भी हमले देखे हैं।

कास्परस्की की ग्लोबल रिसर्च एंड एनालिसिस टीम (जीआरएटी) के वरिष्ठ सुरक्षा शोधकर्ता सुगुरू इशिमारू ने कहा, "लुओयू एक अत्यधिक परिष्कृत खतरा अभिनेता है जो केवल सबसे उन्नत हमलावरों के लिए उपलब्ध तरीकों का उपयोग करता है।" "हम केवल अनुमान लगा सकते हैं कि वे इस तरह की क्षमताओं को कैसे विकसित करने में सक्षम थे। मैन-ऑन-द-साइड हमले बेहद प्रभावी होते हैं क्योंकि डिवाइस पर हमले की एकमात्र आवश्यकता यह है कि यह इंटरनेट से जुड़ा हो। यहां तक ​​कि अगर हमला पहली बार विफल हो जाता है, तो हमलावर सफल होने तक प्रक्रिया को लगातार दोहरा सकते हैं। यह साइबर अपराधियों को बेहद खतरनाक और सफल जासूसी हमलों को अंजाम देने की अनुमति देता है, जो आमतौर पर राजनयिकों, वैज्ञानिकों और अन्य प्रमुख क्षेत्रों के कर्मचारियों को निशाना बनाते हैं। भले ही हमला कैसे भी किया गया हो, खुद को बचाने का एकमात्र तरीका बहुत सतर्क रहना और मजबूत सुरक्षा प्रथाओं को अपनाना है। इसमें नियमित एंटीवायरस स्कैन, आउटबाउंड नेटवर्क ट्रैफ़िक विश्लेषण और विसंगतियों का पता लगाने के लिए व्यापक लॉगिंग शामिल हैं।

सुरक्षा के लिए कास्परस्की की सिफारिशें

  • मजबूत सुरक्षा प्रथाओं को नियोजित करना जिसमें विसंगतियों का पता लगाने के लिए नियमित एंटीवायरस स्कैन, आउटबाउंड नेटवर्क ट्रैफ़िक विश्लेषण और व्यापक अंतराल फ़ाइल संग्रह शामिल हैं।
  • सभी नेटवर्कों का साइबर सुरक्षा ऑडिट आयोजित करना और नेटवर्क परिधि पर या उसके भीतर खोजी गई किसी भी भेद्यता को दूर करना।
  • एंटी-एपीटी और ईडीआर समाधानों की स्थापना जो खतरे का पता लगाने, जांच करने और घटनाओं का समय पर उपचार करने में सक्षम बनाती हैं। एसओसी टीम के पास हमेशा नवीनतम खतरे के डेटा तक पहुंच होनी चाहिए और नियमित पेशेवर प्रशिक्षण प्राप्त करना चाहिए। यह सब Kaspersky Expert Security [3] के अंतर्गत संभव है।
  • व्यापक समापन बिंदु सुरक्षा के अलावा, समर्पित सेवाएं हमलों के खिलाफ और सुरक्षा प्रदान करती हैं। Kaspersky मैनेज्ड डिटेक्शन एंड रिस्पांस [4] हमलावरों को उनके लक्ष्य तक पहुंचने से पहले ही पहचान करने और समझौते को रोकने में मदद कर सकता है।
  • Kaspersky का थ्रेट इंटेलिजेंस रिसोर्स हब [5] उच्च स्तर की सुरक्षा सुनिश्चित करने के लिए वर्तमान साइबर हमलों और खतरों पर स्वतंत्र, लगातार अद्यतन और विश्व स्तर पर उपलब्ध जानकारी तक मुफ्त पहुंच प्रदान करता है।
[1] https://securelist.com/windealer-dealing-on-the-side/105946/
[2] https://teamt5.org
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://go.kaspersky.com/uchub

Kaspersky.com पर अधिक

 

Kaspersky के बारे में

Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी

 

विषय से संबंधित लेख

5जी वातावरण की सुरक्षा के साथ साइबर सुरक्षा मंच

साइबर सुरक्षा विशेषज्ञ ट्रेंड माइक्रो ने सुरक्षा सहित संगठनों की लगातार बढ़ती हमले की सतह की सुरक्षा के लिए अपने प्लेटफ़ॉर्म-आधारित दृष्टिकोण का खुलासा किया है ➡ और अधिक पढ़ें

डेटा हेरफेर, कम करके आंका गया खतरा

हर साल, 31 मार्च को विश्व बैकअप दिवस अद्यतन और आसानी से सुलभ बैकअप के महत्व की याद दिलाता है। ➡ और अधिक पढ़ें

सुरक्षा जोखिम के रूप में प्रिंटर

कॉर्पोरेट प्रिंटर बेड़े तेजी से एक अंध स्थान बनते जा रहे हैं और उनकी दक्षता और सुरक्षा के लिए भारी समस्याएं पैदा कर रहे हैं। ➡ और अधिक पढ़ें

एआई अधिनियम और डेटा सुरक्षा के लिए इसके परिणाम

एआई अधिनियम के साथ, एआई के लिए पहले कानून को मंजूरी दे दी गई है और एआई अनुप्रयोगों के निर्माताओं को छह महीने से लेकर छह महीने के बीच का समय दिया गया है ➡ और अधिक पढ़ें

विंडोज़ ऑपरेटिंग सिस्टम: लगभग दो मिलियन कंप्यूटर ख़तरे में

विंडोज 7 और 8 ऑपरेटिंग सिस्टम के लिए अब कोई अपडेट नहीं है। इसका मतलब है खुली सुरक्षा खामियाँ और इसलिए सार्थक और ➡ और अधिक पढ़ें

एंटरप्राइज़ स्टोरेज पर AI वास्तविक समय में रैंसमवेयर से लड़ता है

रैंसमवेयर से निपटने के लिए नेटएप कृत्रिम बुद्धिमत्ता (एआई) और मशीन लर्निंग (एमएल) को सीधे प्राथमिक भंडारण में एकीकृत करने वाले पहले लोगों में से एक है। ➡ और अधिक पढ़ें

जीरो ट्रस्ट डेटा सुरक्षा के लिए डीएसपीएम उत्पाद सुइट

डेटा सुरक्षा स्थिति प्रबंधन - संक्षेप में डीएसपीएम - कंपनियों के लिए भीड़ के खिलाफ साइबर लचीलापन सुनिश्चित करने के लिए महत्वपूर्ण है ➡ और अधिक पढ़ें

डेटा एन्क्रिप्शन: क्लाउड प्लेटफ़ॉर्म पर अधिक सुरक्षा

ऑनलाइन प्लेटफ़ॉर्म अक्सर साइबर हमलों का निशाना बनते हैं, जैसे हाल ही में ट्रेलो। 5 युक्तियाँ क्लाउड में अधिक प्रभावी डेटा एन्क्रिप्शन सुनिश्चित करती हैं ➡ और अधिक पढ़ें

Kaspersky, पीआर संदेश
, , , , , ,