'अर्थ एस्ट्रीज़' के एपीटी हमलों ने सरकार, तकनीक को कस्टम मैलवेयर से प्रभावित किया

'अर्थ एस्ट्रीज़' के एपीटी हमलों ने सरकार, तकनीक को कस्टम मैलवेयर से प्रभावित किया

समय टिकट: अगस्त 30, 2023 5:09 अपराह्न
'अर्थ एस्ट्रीज़' के एपीटी हमलों ने कस्टम मैलवेयर प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के साथ सरकार, प्रौद्योगिकी को प्रभावित किया। लंबवत खोज. ऐ.

एक नया पहचाना गया ख़तरा अभिनेता चुपचाप दुनिया भर की सरकारों और प्रौद्योगिकी संगठनों से जानकारी चुरा रहा है।

चल रहा अभियान "अर्थ एस्ट्रीज़" के सौजन्य से आता है। के अनुसार, पहले से अज्ञात समूह कम से कम 2020 से अस्तित्व में है ट्रेंड माइक्रो की एक नई रिपोर्ट, और कुछ हद तक ओवरलैप होता है एक अन्य साइबर जासूसी संगठन, फेमसस्पैरो. हालाँकि लक्ष्य समान उद्योगों से आते हैं, वे अमेरिका से फिलीपींस, जर्मनी, ताइवान, मलेशिया और दक्षिण अफ्रीका तक दुनिया भर में फैले हुए हैं।

अर्थ एस्ट्रीज़ को अपने तीन कस्टम मैलवेयर - दो बैकडोर और एक इन्फोस्टीलर - में से किसी एक को कोबाल्ट स्ट्राइक जैसे अन्य टूल के साथ चलाने के लिए डीएलएल साइडलोडिंग का उपयोग करने का शौक है। ट्रेंड माइक्रो के शोधकर्ताओं ने लिखा, "अर्थ एस्ट्रीज़ के पीछे के खतरनाक कलाकार उच्च-स्तरीय संसाधनों के साथ काम कर रहे हैं और साइबर जासूसी और अवैध गतिविधियों में परिष्कृत कौशल और अनुभव के साथ काम कर रहे हैं।"

अर्थ एस्ट्रीज़ का टूलसेट

अर्थ एस्ट्रीज़ के पास तीन अद्वितीय मैलवेयर टूल हैं: ज़िंगडोर, ट्रिलक्लाइंट और हेमीगेट।

ज़िंगडोर एक HTTP बैकडोर है जिसे पहली बार जून 2022 में विकसित किया गया था, तब से इसे केवल सीमित उदाहरणों में ही तैनात किया गया है। यह गोलांग (गो) में लिखा है, इसे क्रॉस-प्लेटफ़ॉर्म क्षमताएं प्रदान करना, और UPX के साथ पैक किया गया। यह सिस्टम और विंडोज़ सेवाओं की जानकारी पुनः प्राप्त कर सकता है; फ़ाइलों की गणना करना, अपलोड करना या डाउनलोड करना; और होस्ट मशीन पर मनमाने आदेश चलाएँ।

ट्रिलक्लाइंट एक संयोजन इंस्टॉलर और इन्फोस्टीलर है, जिसे गो में भी लिखा गया है, और विंडोज कैबिनेट फ़ाइल (.cab) में पैक किया गया है। चोरी करने वाले को खोज से बचने के लक्ष्य के साथ, आदेश पर या यादृच्छिक अंतराल पर कार्य करने या सोने की अतिरिक्त क्षमता के साथ, ब्राउज़र क्रेडेंशियल एकत्र करने के लिए डिज़ाइन किया गया है। ज़िंगडोर के साथ, इसमें विश्लेषण टूल को स्टंप करने के लिए डिज़ाइन किया गया एक कस्टम ऑब्फ़स्केटर है।

समूह का सबसे बहुमुखी उपकरण बैकडोर हेमीगेट है। इस मल्टी-इंस्टेंस, ऑल-इन-वन मैलवेयर में कीलॉगिंग, स्क्रीनशॉट कैप्चर करना, कमांड चलाना और फाइलों, निर्देशिकाओं और प्रक्रियाओं की निगरानी, ​​​​जोड़ना, हटाना और संपादित करने की सुविधाएं शामिल हैं। 

अर्थ एस्ट्रीज़ के तरीके

अप्रैल में, शोधकर्ताओं ने अर्थ एस्ट्रीज़ को किसी संगठन के आंतरिक सर्वर को संक्रमित करने के लिए प्रशासनिक विशेषाधिकार वाले समझौता किए गए खातों का उपयोग करते हुए देखा; उन खातों से किस माध्यम से छेड़छाड़ की गई यह अज्ञात है। इसने सिस्टम में पैर जमाने के लिए कोबाल्ट स्ट्राइक लगाया, फिर पार्टी में अपना मैलवेयर लाने के लिए सर्वर मैसेज ब्लॉक (एसएमबी) और डब्लूएमआई कमांड लाइन का इस्तेमाल किया।

अपने तरीकों में, अर्थ एस्ट्रीज़ एक स्वच्छ, सुविचारित ऑपरेशन का आभास देता है।

उदाहरण के लिए, किसी होस्ट मशीन पर अपने मैलवेयर को निष्पादित करने के लिए, यह विश्वसनीय रूप से विकल्प चुनता है DLL साइडलोडिंग की पेचीदा विधि. और, शोधकर्ताओं ने समझाया, “खतरेबाज अभिनेताओं ने ऑपरेशन के प्रत्येक दौर को पूरा करने के बाद नियमित रूप से अपने मौजूदा पिछले दरवाजे को साफ किया और जब उन्होंने दूसरा दौर शुरू किया तो मैलवेयर के एक नए टुकड़े को फिर से तैनात किया। हमारा मानना ​​है कि वे जोखिम और पहचान के जोखिम को कम करने के लिए ऐसा करते हैं।''

डीएलएल साइडलोडिंग और समूह द्वारा उपयोग किया जाने वाला एक अन्य उपकरण - फास्टली सीडीएन - लोकप्रिय हैं APT41 उप समूह जैसे अर्थ लोंगज़ी. ट्रेंड माइक्रो को अर्थ एस्ट्रीज़ के बैकडोर लोडर और फेमसस्पैरो के बीच ओवरलैप भी मिला। फिर भी, अर्थ एस्ट्रीज़ की सटीक उत्पत्ति स्पष्ट नहीं है। इससे भी कोई मदद नहीं मिलती है, कि इसका C2 बुनियादी ढांचा पांच महाद्वीपों में फैला हुआ है, जो पृथ्वी के सभी गोलार्धों में फैला हुआ है: कनाडा से ऑस्ट्रेलिया, फिनलैंड से लाओस तक, अमेरिका और भारत में सबसे अधिक एकाग्रता के साथ।

शोधकर्ता जल्द ही समूह के बारे में और अधिक जान सकते हैं, क्योंकि दुनिया भर में सरकार और प्रौद्योगिकी संगठनों के खिलाफ इसका अभियान आज भी जारी है।

समय टिकट:

से अधिक डार्क रीडिंग