Cyber News,

साइडकॉपी हैकर्स ने नए मैलवेयर के साथ भारत सरकार के अधिकारियों को निशाना बनाया

साइडकॉपी हैकर्स

 

 

 

 

 

 

 

 

चार नए कस्टम रिमोट एक्सेस ट्रोजन (आरएटी) के साथ पीड़ितों को संक्रमित करने के लिए एक व्यापक अभियान के हिस्से के रूप में एक साइबर-जासूसी समूह को भारत सरकार के कर्मियों को तेजी से लक्षित करते हुए देखा गया है, जो “उनके विकास कार्यों में वृद्धि” का संकेत देता है।

सिस्को टैलोस ने बुधवार को प्रकाशित एक रिपोर्ट में कहा कि साइडकॉपी के रूप में ट्रैक किए गए समूह के लिए जिम्मेदार, घुसपैठ विभिन्न प्रकार के मॉड्यूलर प्लगइन्स की तैनाती में समाप्त होती है, जिसमें फाइल एन्यूमरेटर से लेकर ब्राउज़र क्रेडेंशियल स्टीयरर्स और कीलॉगर्स (ज़ीटन और लावाओ) शामिल हैं।

“साइडकॉपी अभियानों में देखी गई लक्ष्यीकरण रणनीति और विषय ट्रांसपेरेंट ट्राइब एपीटी (उर्फ एपीटी 36) के लिए भारत को लक्षित करने के लिए उच्च स्तर की समानता का संकेत देते हैं,” शोधकर्ता अशीर मल्होत्रा ​​​​और जस्टिन थटिल कहा हुआ. “इनमें सेना और थिंक टैंक और हनीट्रैप-आधारित संक्रमणों से संबंधित परिचालन दस्तावेजों के रूप में प्रस्तुत करने वाले डिकॉय का उपयोग करना शामिल है।”

पहली बार सितंबर 2020 में भारतीय साइबर सुरक्षा फर्म क्विक हील द्वारा प्रलेखित, साइडकॉपी सिडविंदर एपीटी द्वारा मैलवेयर के अपने सेट को वितरित करने के लिए लागू संक्रमण श्रृंखलाओं की नकल करने का एक इतिहास है – एट्रिब्यूशन को गुमराह करने और पता लगाने से बचने के प्रयास में – लगातार पेलोड को पीछे हटाना जिसमें पीड़ित के डेटा और पर्यावरण की टोह लेने के बाद इसके हथियार में अतिरिक्त कारनामे शामिल हैं। .

 

 

 

 

 

 

 

माना जाता है कि विरोधी भी पाकिस्तानी मूल का है, जिसके संदिग्ध संबंध हैं पारदर्शी जनजाति (उर्फ माइथिक लेपर्ड) समूह, जिसे भारतीय सेना और सरकारी संस्थाओं को निशाना बनाकर किए गए कई हमलों से जोड़ा गया है। थ्रेट एक्टर द्वारा किए गए पिछले अभियानों में भारतीय रक्षा इकाइयों और सशस्त्र बलों के कर्मियों को बाहर करने के लिए सरकार और सैन्य-संबंधी लालच का उपयोग करना और फाइलों तक पहुंचने, क्लिपबोर्ड डेटा, प्रक्रियाओं को समाप्त करने और यहां तक ​​​​कि मनमाने आदेशों को निष्पादित करने में सक्षम मैलवेयर वितरित करना शामिल है।

साइडकॉपी हैकर्स

 

 

 

 

 

 

 

 

 

 

 

हमलों की नवीनतम लहर दुर्भावनापूर्ण एलएनके फाइलों और नकली दस्तावेजों सहित कई टीटीपी का लाभ उठाती है, जो कि सीटाराट, डीटाआरएटी, रिवर्सआरएटी, मार्गुलासआरएटी, एनजेआरएटी, अल्लाकोर, एक्शनआरएटी, लिलिथ और एपिसेंटर जैसे बीस्पोक और व्यावसायिक रूप से उपलब्ध कमोडिटी आरएटी का संयोजन प्रदान करती है। आरएटी। सैन्य विषयों के अलावा, साइडकॉपी को संभावित पीड़ितों को लक्षित करने के लिए भारत में थिंक टैंक से संबंधित प्रस्तावों और नौकरी के उद्घाटन के लिए कॉल करते हुए भी पाया गया है।

मल्होत्रा ​​और थटिल ने कहा, “नए आरएटी मैलवेयर का विकास इस बात का संकेत है कि हमलावरों का यह समूह 2019 से अपने मैलवेयर शस्त्रागार और संक्रमण के बाद के उपकरणों को तेजी से विकसित कर रहा है।” शोधकर्ताओं ने कहा कि सुधार समूह की रणनीति के परिष्कार में वृद्धि का प्रदर्शन करते हुए, हमले की श्रृंखला को संशोधित करने के प्रयास को प्रदर्शित करता है।

पूर्ण विकसित पिछले दरवाजे को तैनात करने के अलावा, साइडकॉपी को संक्रमित एंडपॉइंट पर विशिष्ट दुर्भावनापूर्ण कार्यों को करने के लिए प्लगइन्स का उपयोग करते हुए भी देखा गया है, जिनमें से प्रमुख एक गोलंग-आधारित मॉड्यूल है जिसे “नोडाची” कहा जाता है जिसे टोही करने और सरकार को लक्षित करने वाली फाइलों को चोरी करने के लिए डिज़ाइन किया गया है- अनिवार्य दो-कारक प्रमाणीकरण समाधान कहा जाता है कवच, जो ईमेल सेवाओं तक पहुँचने के लिए आवश्यक है।

ऐसा प्रतीत होता है कि लक्ष्य, जासूसी पर ध्यान केंद्रित करने के साथ भारत सरकार के कर्मचारियों से एक्सेस क्रेडेंशियल्स चोरी करना है, शोधकर्ताओं ने कहा, मारगुलासआरएटी के लिए खतरनाक अभिनेता विकसित ड्रॉपर को जोड़ना जो विंडोज़ पर कवच के लिए इंस्टॉलर के रूप में मुखौटा है।

मैलवेयर शोधकर्ता @0xrb, जो स्वतंत्र रूप से अभियान पर नज़र रख रहा है, द हैकर न्यूज़ तक पहुंचा, साइडकॉपी हमलावरों द्वारा कमांड-एंड-कंट्रोल सर्वर से जुड़ने के लिए उपयोग किए जाने वाले दो और आईपी के साथ – 103[.]255.7.33 और 115[.]१८६.१९०.१५५ – ये दोनों इस्लामाबाद शहर में स्थित हैं, जो खतरे वाले अभिनेता के पाकिस्तानी मूल को श्रेय देते हैं।

शोधकर्ताओं ने निष्कर्ष निकाला, “एक कस्टम आरएटी (सीटाआरएटी) देने के लिए साइडकॉपी द्वारा एक साधारण संक्रमण वेक्टर के रूप में शुरू किया गया, कई आरएटी वितरित करने वाली संक्रमण श्रृंखलाओं के कई रूपों में विकसित हुआ है।” “इन कई संक्रमण तकनीकों का उपयोग – एलएनके फाइलों से लेकर आरएआर एक्सई और एमएसआई-आधारित इंस्टॉलर को स्वयं निकालने के लिए – एक संकेत है कि अभिनेता आक्रामक रूप से अपने पीड़ितों को संक्रमित करने के लिए काम कर रहा है।”

अपडेट करें: द हैकर न्यूज के साथ साझा की गई एक स्वतंत्र रिपोर्ट में, साइबर सुरक्षा फर्म क्विक हील ने उल्लेख किया कि साइडकॉपी अभिनेता द्वारा किए गए डिजिटल निगरानी अभियान की दूसरी लहर ने भारत में स्थित दूरसंचार, बिजली और वित्त क्षेत्रों से महत्वपूर्ण सार्वजनिक क्षेत्र के उपक्रमों (पीएसयू) को लक्षित किया।

“सबूत […] अधिकांश सुरक्षा तंत्रों से बचने के लिए डिज़ाइन किए गए एक उच्च संगठित ऑपरेशन का सुझाव देता है,” शोधकर्ता कहा हुआ, दुर्भावनापूर्ण अभिनेताओं को जोड़ने से “हमला अभियान शुरू करने से पहले विस्तृत टोह लिया” और “पता लगाने को मुश्किल बनाने के लिए पिछले साल की तुलना में हमले के उपकरणों और विधियों को बढ़ाया है।”

0no comment

writer

The author didnt add any Information to his profile yet

Leave a Reply

%d bloggers like this: