बिटडेफेंडर लैब्स ने एक जटिल औद्योगिक जासूसी हमले का पर्दाफाश किया और उसका विश्लेषण किया। अभियान का सबसे संभावित प्रवर्तक उन्नत लगातार खतरा (APT) समूह बैकडोर डिप्लोमेसी था, जिसका संबंध चीन से है।
पीड़ित वर्तमान में मध्य पूर्व में दूरसंचार उद्योग में पाए जाते हैं। साइबर अपराधियों की कार्रवाइयाँ अगस्त 2021 की शुरुआत में शुरू हुईं। अभियान को कई चरणों में डिज़ाइन किया गया था और पीड़ित प्रणाली तक प्रारंभिक पहुँच प्राप्त करने के लिए ईमेल अटैचमेंट में एक वेब शेल का उपयोग किया गया था। ईमेल के विषय और अनुलग्नक ने संकेत दिया कि एक एक्सचेंज सर्वर संक्रमण वेक्टर था।
अधिक नियंत्रण की तलाश में
🔎 औद्योगिक जासूसी अभियान में प्रयुक्त उपकरणों की समयरेखा (छवि: बिटडेफेंडर)।
जानकारी की तलाश में हमलावरों ने होस्टनाम.exe, systeminfo.exe, ipconfig.exe, netstat.exe, ping.exe और net.exe जैसे बिल्ट-इन यूटिलिटी टूल्स का इस्तेमाल किया। वे पीसी सिस्टम, डोमेन नियंत्रकों और कंप्यूटर और उपयोगकर्ताओं के कॉन्फ़िगरेशन के बारे में जानकारी की तलाश कर रहे थे, लेकिन डोमेन प्रशासकों या दूरस्थ डेस्कटॉप उपयोगकर्ताओं जैसे विशिष्ट समूहों के बारे में भी। Ldifde और csvde जैसे उपकरणों का उपयोग करते हुए, उन्होंने सक्रिय निर्देशिका से डेटा निर्यात किया। ओपन सोर्स स्कैनर और अन्य सार्वजनिक रूप से उपलब्ध सॉफ़्टवेयर जैसे निमस्कैन, सॉफ्टपरफेक्ट नेटवर्क स्कैनर v5.4.8 नेटवर्क सर्विस मैनेजमेंट टूल - v2.1.0.0 और नेटबायोस स्कैनर का भी उपयोग किया गया।
पंजीकरण कुंजियों और सेवाओं जैसे तंत्रों के साथ-साथ विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन (WMI) की सदस्यता के साथ, साइबर अपराधियों ने पीड़ित नेटवर्क में लगातार उपस्थिति प्राप्त की। साइबर रक्षा से खुद को छिपाने के लिए, हमले के अपराधियों ने विभिन्न लोडरों का इस्तेमाल किया, डिजिटल पहचान के मौजूदा विशेषाधिकारों को बढ़ाया, मैलवेयर स्कैन के लिए पथों को बाहर रखा और समय टिकटों में हेरफेर किया। मेटाडेटा सहित ईमेल की जासूसी करने के लिए पॉवरशेल कमांड और कीलॉगर्स का उपयोग किया गया था। आम तौर पर, हमलावर कई तरह के वैध या कस्टम टूल का इस्तेमाल करते थे।
व्यापक टूल बॉक्स
हैकर्स ने उपकरणों के एक पूरे शस्त्रागार का उपयोग किया जैसे कि IRAFAU पिछले दरवाजे - बाद में क्वारियन द्वारा प्रतिस्थापित - फ़ाइलों को डाउनलोड करने और अपलोड करने और हेरफेर करने के लिए - और रिमोट शेल। पिंकमैन एजेंट और बिटडेफ़ेंडर विशेषज्ञों द्वारा खोजा गया एक उपकरण और रक्षा को दुर्भावनापूर्ण उद्देश्यों का पता लगाने से रोकने के लिए "इंपर्सोनी-नकली-एटोर" करार दिया। DbgView और Putty जैसे वैध उपकरण भी दुर्भावनापूर्ण प्रक्रियाओं को छुपाते हैं। रिमोट एक्सेस, प्रॉक्सिंग और डेटा की टनलिंग के लिए अन्य उपकरण थे। एक समयरेखा दिखाती है कि कैसे हमलावरों ने एक के बाद एक अपने अभियान के लिए विभिन्न उपकरणों का उपयोग किया।
Bitdefender.com पर अधिक
बिटडेफेंडर के बारे में बिटडेफ़ेंडर साइबर सुरक्षा समाधान और एंटीवायरस सॉफ़्टवेयर में वैश्विक अग्रणी है, जो 500 से अधिक देशों में 150 मिलियन से अधिक सिस्टम की सुरक्षा करता है। 2001 में इसकी स्थापना के बाद से, कंपनी के नवाचारों ने नियमित रूप से निजी ग्राहकों और कंपनियों के लिए उपकरणों, नेटवर्क और क्लाउड सेवाओं के लिए उत्कृष्ट सुरक्षा उत्पाद और बुद्धिमान सुरक्षा प्रदान की है। पसंद के आपूर्तिकर्ता के रूप में, बिटडेफ़ेंडर तकनीक दुनिया के तैनात सुरक्षा समाधानों के 38 प्रतिशत में पाई जाती है और उद्योग के पेशेवरों, निर्माताओं और उपभोक्ताओं द्वारा समान रूप से विश्वसनीय और मान्यता प्राप्त है। www.bitdefender.de