मैलवेयर प्लगएक्स: यूएसबी उपकरणों के माध्यम से प्रचार

रैंसमवेयर हमले का विश्लेषण करते हुए, यूनिट 42 ने प्लगएक्स मैलवेयर पाया। यह वैरिएंट पहले सभी कनेक्टेड USB रिमूवेबल मीडिया डिवाइसेस की पहचान करता है, जैसे फ्लॉपी, थंब, या फ्लैश ड्राइव, और फिर सभी सम्मिलित मीडिया को संक्रमित करता है। यदि एक संक्रमित USB स्टिक कनेक्ट की जाती है, तो संक्रमण तुरंत सभी कनेक्टेड USB उपकरणों में फैल जाता है।

पालो अल्टो नेटवर्क्स यूनिट 42 ने हैकर समूह ब्लैक बस्ता द्वारा रैंसमवेयर हमले का जवाब देते हुए टीम द्वारा देखे गए उपकरणों की जांच जारी की। जांच के दौरान, Palo Alto Networks ने पीड़ितों की मशीनों पर रुचि के कई उपकरणों की पहचान की, जिनमें शामिल हैं: GootLoader मैलवेयर, Brute Ratel C4 रेड टीमिंग टूल, और एक पुराना PlugX मैलवेयर नमूना।

मैलवेयर सभी USB मीडिया को संक्रमित कर देता है

प्लगएक्स मालवेयर ने विशेष रूप से यूनिट 42 का ध्यान आकर्षित किया, क्योंकि यह वेरिएंट किसी भी कनेक्टेड यूएसबी रिमूवेबल मीडिया डिवाइस जैसे फ्लॉपी, थंब, या फ्लैश ड्राइव, साथ ही किसी भी अन्य सिस्टम को संक्रमित करता है जिससे यूएसबी डिवाइस बाद में कनेक्ट होता है।

यह प्लगएक्स मालवेयर हमलावरों की फाइलों को यूएसबी डिवाइस में एक नई तकनीक का इस्तेमाल कर छुपाता है, जो इस पोस्ट को लिखे जाने तक नवीनतम विंडोज ऑपरेटिंग सिस्टम (ओएस) पर भी काम करती है। इसका मतलब यह है कि दुर्भावनापूर्ण फ़ाइलों को केवल यूनिक्स-जैसे (* निक्स) ऑपरेटिंग सिस्टम पर या यूएसबी डिवाइस को फोरेंसिक टूल में माउंट करके देखा जा सकता है।

नया संस्करण संक्रमित कार्यालय फ़ाइलों को छुपाता है

इसके अलावा, यूनिट 42 ने वायरसटोटल में प्लगएक्स के समान संस्करण की खोज की, जिसमें सभी एडोब पीडीएफ और माइक्रोसॉफ्ट वर्ड दस्तावेजों को संक्रमित होस्ट से प्लगएक्स मालवेयर द्वारा बनाए गए यूएसबी डिवाइस के छिपे हुए फ़ोल्डर में कॉपी करने की अतिरिक्त क्षमता थी। इन नमूनों की खोज से पता चलता है कि, कम से कम कुछ तकनीकी रूप से जानकार हमलावरों के लिए, प्लगएक्स अभी भी विकसित हो रहा है - और यह एक सक्रिय खतरा बना हुआ है।

प्लगएक्स मैलवेयर लगभग एक दशक से अधिक समय से है और आमतौर पर अतीत में चीनी एपीटी समूहों से जुड़ा हुआ है। वर्षों से, हमलावरों के अन्य समूहों ने राष्ट्र-राज्यों से लेकर रैंसमवेयर अभिनेताओं तक इस मैलवेयर को अपनाया और तैनात किया है।

जांच के निष्कर्ष

• यह प्लगएक्स वैरिएंट वर्मेबल है और यूएसबी उपकरणों को इस तरह से संक्रमित करता है कि यह विंडोज फाइल सिस्टम से छिप जाता है। एक उपयोगकर्ता को पता नहीं चलेगा कि उनका यूएसबी डिवाइस संक्रमित है और इसका उपयोग नेटवर्क से डेटा निकालने के लिए किया जा सकता है।
• इस हमले में उपयोग किया गया प्लगएक्स मालवेयर वैरिएंट किसी भी कनेक्टेड यूएसबी रिमूवेबल मीडिया डिवाइस जैसे फ्लॉपी, थंब, या फ्लैश ड्राइव को संक्रमित करता है, साथ ही कोई भी अतिरिक्त सिस्टम जिससे यूएसबी डिवाइस बाद में जुड़ा होता है।
• यूनिट 42 ने VirusTotal में प्लगएक्स के समान संस्करण का पता लगाया जो USB उपकरणों को संक्रमित करता है और होस्ट से सभी Adobe PDF और Microsoft Word फ़ाइलों की प्रतिलिपि बनाता है। इन प्रतियों को मैलवेयर द्वारा बनाए गए USB डिवाइस पर एक छिपे हुए फ़ोल्डर में रखा जाता है।
• प्लगएक्स एक दूसरे चरण का इम्प्लांट है जिसका उपयोग न केवल कुछ चीनी मूल के समूहों द्वारा किया जाता है, बल्कि कई साइबर अपराधी समूहों द्वारा भी किया जाता है। यह लगभग एक दशक से अधिक समय से है और 2015 में अमेरिकी सरकार के कार्मिक प्रबंधन कार्यालय (ओपीएम) घुसपैठ सहित कुछ हाई-प्रोफाइल साइबर हमलों में देखा गया है।
• प्लगएक्स मालवेयर के इस संस्करण से संक्रमित कोई भी होस्ट संक्रमित करने के लिए लगातार नए रिमूवेबल यूएसबी ड्राइव की तलाश कर रहा है। यह प्लगएक्स मैलवेयर एक नई तकनीक का उपयोग करके एक यूएसबी डिवाइस में हमलावर फ़ाइलों को भी छुपाता है जो यह सुनिश्चित करता है कि दुर्भावनापूर्ण फ़ाइलों को केवल *nix ऑपरेटिंग सिस्टम पर या यूएसबी डिवाइस को फोरेंसिक टूल में माउंट करके ही देखा जा सकता है। पता लगाने से बचने की यह क्षमता प्लगएक्स मैलवेयर को आगे फैलने देती है और संभावित रूप से छिपे हुए नेटवर्क में घुस जाती है।
• इस मामले में इस्तेमाल किया गया Brute Ratel C4 वही बेजर पेलोड (इम्प्लांट) है जिसे पहले ट्रेंड माइक्रो द्वारा रिपोर्ट किया गया था, जो ब्लैक बस्ता रैनसमवेयर समूह को भी प्रभावित करता है।

PaloAltoNetworks.com पर अधिक

 

---

पालो अल्टो नेटवर्क के बारे में

पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।

---

 

विषय से संबंधित लेख