डार्क वेब पर क्वांटम बिल्डर की पेशकश की जाती है और रिमोट एक्सेस ट्रोजन (RAT) एजेंट टेस्ला के विभिन्न वेरिएंट वितरित किए जाते हैं। कुल मिलाकर, मैलवेयर ट्रोजन. साइबर अपराधी भागीदारों के लिए एक सर्विस पैकेज भी है।
एजेंट टेस्ला, एक .NET-आधारित कीलॉगर और रिमोट एक्सेस ट्रोजन (RAT) 2014 से, वर्तमान में "क्वांटम बिल्डर" नामक डार्क वेब पर बेचे जाने वाले एक बिल्डर के माध्यम से वितरित किया जा रहा है। Zscaler ThreatlabZ टीम के सुरक्षा शोधकर्ताओं ने वर्तमान अभियान की जांच की और एक विकास की पहचान की। मालवेयर लेखक अब पेलोड को बढ़ाने के लिए एलएनके फाइलों (विंडोज शॉर्टकट्स) पर भरोसा करते हैं, जिसे बनाने के लिए क्वांटम बिल्डर (उर्फ "क्वांटम एलएनके बिल्डर") का उपयोग किया जाता है। RedLine स्टीलर, IcedID, GuLoader, RemcosRAT और AsyncRAT से जुड़े अभियानों में बिल्डर पहले ही साबित हो चुका है।
दुर्भावनापूर्ण विंडोज शॉर्टकट - एलएनके
वर्तमान अभियान में, खतरे के कर्ता क्वांटम बिल्डर का उपयोग दुर्भावनापूर्ण LNK, HTA, और PowerShell पेलोड उत्पन्न करने के लिए करते हैं, जिसे एजेंट टेस्ला फिर लक्षित मशीनों पर धकेलता है। बिल्डर-जनित पेलोड परिष्कृत तकनीकों का उपयोग करते हैं जैसे यूएसी बाईपास, माइक्रोसॉफ्ट कनेक्शन मैनेजर प्रोफाइल इंस्टालर (सीएमएसटीपी) बाइनरी का उपयोग करके प्रशासनिक विशेषाधिकारों के साथ अंतिम पेलोड चलाने और विंडोज डिफेंडर को बायपास करने के लिए। एक बहु-चरण संक्रमण श्रृंखला का उपयोग किया जाता है, जो विभिन्न आक्रमण वैक्टरों को LOLBins के साथ एकीकृत करता है। पता लगाने को बायपास करने के लिए, PowerShell स्क्रिप्ट मेमोरी में चलती हैं। इसके अलावा, पीड़ितों को विभिन्न भ्रामक युद्धाभ्यासों द्वारा संक्रमण से विचलित किया जाता है।
भाला फ़िशिंग ईमेल से प्रारंभ करें
संक्रमण की शृंखला GZIP संग्रह के रूप में LNK फ़ाइल वाले स्पीयर फ़िशिंग ईमेल से शुरू होती है। एलएनके फ़ाइल निष्पादित करने के बाद, एम्बेडेड पावरशेल कोड एमएसएचटीए को कॉल करता है, जो रिमोट सर्वर पर होस्ट की गई एचटीए फ़ाइल चलाता है। HTA फ़ाइल तब एक PowerShell लोडर स्क्रिप्ट को डिक्रिप्ट करती है, जो AES डिक्रिप्शन और GZIP डीकंप्रेसन करने के बाद किसी अन्य PowerShell स्क्रिप्ट को डिक्रिप्ट और लोड करती है। डिक्रिप्ट की गई PowerShell स्क्रिप्ट डाउनलोडर PS स्क्रिप्ट है, जो पहले रिमोट सर्वर से एजेंट टेस्ला बाइनरी को डाउनलोड करती है और फिर इसे CMSTP के साथ UAC बायपास करके प्रशासनिक विशेषाधिकारों के साथ चलाती है।
बिल्डर अंतिम पेलोड को चलाने के लिए डिकॉय, यूएसी प्रॉम्प्ट और इन-मेमोरी पॉवरशेल जैसी तकनीकों का भी उपयोग करता है। वे सभी लगातार अपडेट होते रहते हैं, इसलिए यह मैलवेयर डेवलपर्स का सर्विस पैक है।
साइबर अपराधी भागीदारों के लिए सेवा पैकेज
प्रासंगिक डार्क वेब साइबर क्राइम मार्केटप्लेस पर बेचे जाने वाले मैलवेयर "बिल्डर्स" जैसे सॉफ़्टवेयर का उपयोग करके खतरे के अभिनेता लगातार अपनी रणनीति विकसित कर रहे हैं। एजेंट टेस्ला अभियान इसी तरह की संरचित गतिविधियों की एक श्रृंखला में नवीनतम है, जो क्वांटम बिल्डर का उपयोग संगठन-विरोधी अभियानों में दुर्भावनापूर्ण पेलोड बनाने के लिए करता है। उपयोग की जाने वाली तकनीकों को मैलवेयर डेवलपर्स द्वारा नियमित रूप से अपडेट किया जाता है और नए सुरक्षा तंत्रों के अनुकूल बनाया जाता है।
Zscaler.com पर अधिक
ZScaler के बारे में Zscaler डिजिटल परिवर्तन को तेज करता है ताकि ग्राहक अधिक चुस्त, कुशल, लचीला और सुरक्षित बन सकें। Zscaler Zero Trust Exchange कहीं भी लोगों, उपकरणों और एप्लिकेशन को सुरक्षित रूप से कनेक्ट करके हजारों ग्राहकों को साइबर हमले और डेटा हानि से बचाता है। एसएसई-आधारित ज़ीरो ट्रस्ट एक्सचेंज दुनिया का सबसे बड़ा इनलाइन क्लाउड सुरक्षा मंच है, जो दुनिया भर के 150+ डेटा केंद्रों में वितरित किया जाता है।