बिटडेफेंडर लैब्स के विशेषज्ञों ने एक नए मैलवेयर परिवार की खोज की है। डाउनएक्स नामक परिष्कृत और बहुत लक्षित हमला वर्तमान में मध्य एशिया में सरकारी एजेंसियों को लक्षित कर रहा है। इन क्षेत्रों में काम करने वाली कंपनियां भी शिकार बन सकती हैं।
हमलावरों का मुख्य लक्ष्य जासूसी और सूचनाओं की चोरी है। फ़ाइल रहित हमले का दुर्भावनापूर्ण कोड मुख्य रूप से केवल मुख्य मेमोरी में निष्पादित होता है और इसलिए इसका पता लगाना मुश्किल होता है। पायथन स्क्रिप्ट का विश्लेषण करके और कमांड-एंड-कंट्रोल (C2C) सर्वर के साथ संचार को रिवर्स इंजीनियरिंग करके, विशेषज्ञ मैलवेयर के चार मुख्य कार्यों की पहचान करने में सक्षम थे: यह हैकर्स को फ़ाइलों के लिए विशेष रूप से स्कैन करने, उन्हें एक्सफिल्टर करने, हटाने में सक्षम बनाता है। या प्रभावित सिस्टम की स्क्रीन सामग्री का स्क्रीनशॉट लें।
जासूसी: गोपनीय डेटा की तलाश में
अभियान के लेखक विशेष रूप से गोपनीय डेटा में रुचि रखते हैं, जैसे एक्सटेंशन .pgp (प्रिटी गुड प्राइवेसी) या .pem (प्राइवेसी एनहैंस्ड मेल)। हैकर वित्तीय डेटा भी खोजते हैं, जैसे कि QuickBooks लॉग फ़ाइलें (.tlg एक्सटेंशन)।
अभियान से जुड़े डोमेन और आईपी पते नए हैं। दुर्भावनापूर्ण कोड पहले से ज्ञात मैलवेयर से कोई समानता नहीं दिखाता है। बिटडेफेंडर लैब्स ने सबसे पहले नए मैलवेयर अभियान को देखा और इसे डाउनएक्स नाम दिया।
कंपनियों पर लक्षित हमले
हैकर्स विशेष रूप से चुनिंदा पीड़ितों को निशाना बनाते हैं। मूल हमला वेक्टर स्पष्ट नहीं है, लेकिन स्पीयर फ़िशिंग और सोशल इंजीनियरिंग शायद हर हमले की शुरुआत में हैं। पेलोड प्रदर्शित करने के लिए, साइबर अपराधी एक .docx फ़ाइल के साथ एक क्लासिक और सरल आइकन का उपयोग करते हैं जो एक निष्पादन योग्य फ़ाइल को दुर्भावनापूर्ण पेलोड के रूप में प्रदर्शित करता है। दूसरा पेलोड एक .hta फ़ाइल है (लेकिन इस फ़ाइल एक्सटेंशन के बिना) एम्बेडेड दुर्भावनापूर्ण VBScript कोड के साथ जो समझौता किए गए सिस्टम को C2C सर्वर से जोड़ता है। एक .hta (HTML एप्लिकेशन) फ़ाइल में VBScript, HTML, CSS या जावास्क्रिप्ट कोड होता है जो विंडोज ऑपरेटिंग सिस्टम वातावरण में एक स्टैंडअलोन एप्लिकेशन के रूप में चलता है। सर्वर और पीड़ित प्रणाली के बीच बाद का संचार, जिसका पता लगाना मुश्किल है, पायथन-आधारित बैकडोर help.py के माध्यम से चलता है।
रूसी पृष्ठभूमि? - स्टेट बैकग्राउंड!
उपयोग किए गए संकेतक और तकनीक अभिनेताओं की रूसी पृष्ठभूमि की ओर इशारा कर सकते हैं। हालांकि इस पर कोई निश्चित बयान नहीं दिया जा सकता है। किसी राजनयिक की दी गई पहचान के साथ उपयोग किए गए दस्तावेज़ का मेटाडेटा एक संकेत हो सकता है।
क्या आप के पास कुछ वक़्त है?
हमारे 2023 उपयोगकर्ता सर्वेक्षण के लिए कुछ मिनट निकालें और B2B-CYBER-SECURITY.de को बेहतर बनाने में मदद करें!आपको केवल 10 प्रश्नों का उत्तर देना है और आपके पास Kaspersky, ESET और Bitdefender से पुरस्कार जीतने का तत्काल अवसर है।
यहां आप सीधे सर्वे में जाते हैं
इसी तरह, मैलवेयर Microsoft 2016 के फटे संस्करण का उपयोग करता है, जो मुख्य रूप से रूसी-भाषी देशों ("SPecialisST RePack" या "रूसी RePack by SPecialiST") में वितरित किया जाता है। बैकडोर भी दो भाषाओं में लिखा गया है। यह अभ्यास रूस स्थित APT28 समूह और इसके Zebrocy पिछले दरवाजे से जाना जाता है। हालाँकि, ये संकेत पर्याप्त नहीं हैं। अत्यधिक लक्षित हमले की राज्य पृष्ठभूमि स्पष्ट है। वर्ड दस्तावेज़ का मेटाडेटा एक वास्तविक राजनयिक को अनुमानित प्रेषक के रूप में इंगित करता है।
Bitdefender.com पर अधिक
बिटडेफेंडर के बारे में बिटडेफ़ेंडर साइबर सुरक्षा समाधान और एंटीवायरस सॉफ़्टवेयर में वैश्विक अग्रणी है, जो 500 से अधिक देशों में 150 मिलियन से अधिक सिस्टम की सुरक्षा करता है। 2001 में इसकी स्थापना के बाद से, कंपनी के नवाचारों ने नियमित रूप से निजी ग्राहकों और कंपनियों के लिए उपकरणों, नेटवर्क और क्लाउड सेवाओं के लिए उत्कृष्ट सुरक्षा उत्पाद और बुद्धिमान सुरक्षा प्रदान की है। पसंद के आपूर्तिकर्ता के रूप में, बिटडेफ़ेंडर तकनीक दुनिया के तैनात सुरक्षा समाधानों के 38 प्रतिशत में पाई जाती है और उद्योग के पेशेवरों, निर्माताओं और उपभोक्ताओं द्वारा समान रूप से विश्वसनीय और मान्यता प्राप्त है। www.bitdefender.de