लिनक्स शिफ्ट: चाइनीज एपीटी अलॉय टॉरस रिटूलिंग के साथ वापस आ गया है

लिनक्स शिफ्ट: चाइनीज एपीटी अलॉय टॉरस रिटूलिंग के साथ वापस आ गया है

समय टिकट: 26 अप्रैल, 2023 2:40 PM
लिनक्स शिफ्ट: चीनी एपीटी अलॉय टॉरस प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को रीटूलिंग के साथ वापस आ गया है। लंबवत खोज. ऐ.

एक संक्षिप्त अंतराल के बाद, अलॉय टॉरस एपीटी (उर्फ गैलियम या ऑपरेशन सॉफ्ट सेल) अपने पिंगपुल मैलवेयर के एक नए लिनक्स संस्करण के साथ दृश्य में वापस आ गया है।

मिश्र धातु वृषभ एक है चीनी राष्ट्र-राज्य-संबद्ध खतरा अभिनेता, कम से कम 2012 से लेकिन केवल 2019 से सुर्खियों में है। यह जासूसी पर केंद्रित है, और प्रमुख दूरसंचार प्रदाताओं को लक्षित करने के लिए जाना जाता है।

पिछले जून में एक ब्लॉग पोस्ट में, पालो ऑल्टो नेटवर्क्स' यूनिट 42 ने मूल पर विवरण प्रकाशित किया, पिंगपुल का विंडोज़ संस्करण। यह एक विज़ुअल C++-आधारित रिमोट एक्सेस ट्रोजन (RAT) था, जो इसके मालिक को कमांड चलाने और एक समझौता किए गए लक्ष्य कंप्यूटर पर रिवर्स शेल तक पहुंचने में सक्षम बनाता था।

अलॉय टॉरस को 2022 की दूसरी छमाही में झटका लगा, लेकिन अब यह पूर्ण रूप से वापस आ गया है. यूनिट 42 के प्रमुख शोधकर्ता पीट रेनल्स बताते हैं, "उन्होंने पिंगपुल के विंडोज संस्करण को जला दिया," और उन्होंने एक नई क्षमता विकसित की है जो एक अलग संस्करण में स्विच करने में कुछ हद तक विशेषज्ञता को प्रदर्शित करती है।

लिनक्स संस्करण काफी हद तक अपने विंडोज पूर्वज के साथ ओवरलैप होता है, जिससे हमलावरों को फ़ाइलों को सूचीबद्ध करने, पढ़ने, लिखने, कॉपी करने, नाम बदलने और हटाने के साथ-साथ कमांड चलाने की अनुमति मिलती है। दिलचस्प बात यह है कि पिंगपुल कुछ फ़ंक्शन, HTTP पैरामीटर और कमांड हैंडलर भी साझा करता है चाइना चॉपर वेब शेल में कुख्यात रूप से तैनात किया गया 2021 में माइक्रोसॉफ्ट एक्सचेंज सर्वर पर हमला.

मिश्र वृषभ का पतन

दुनिया भर के प्रमुख दूरसंचार प्रदाताओं के खिलाफ साहसिक जासूसी अभियान के साथ, अलॉय टॉरस 2018-2019 में सामने आया। जैसा साइबरइज़न ने समझाया जून 2019 में अपने तत्कालीन ब्रेकिंग ब्लॉग पोस्ट में, “धमकी देने वाला अभिनेता सक्रिय निर्देशिका में संग्रहीत सभी डेटा को चुराने का प्रयास कर रहा था, संगठन में प्रत्येक उपयोगकर्ता नाम और पासवर्ड के साथ-साथ अन्य व्यक्तिगत पहचान योग्य जानकारी, बिलिंग डेटा, कॉल विवरण रिकॉर्ड से समझौता कर रहा था।” , क्रेडेंशियल्स, ईमेल सर्वर, उपयोगकर्ताओं का जियोलोकेशन, और बहुत कुछ।

यहां तक ​​कि अन्य चीनी राज्य-स्तरीय एपीटी के साथ तुलना करने पर भी, यह "काफी परिपक्व और काफी गंभीर है," रेनल्स का आकलन है। “एटी एंड टी या वेरिज़ोन या डॉयचे टेलीकॉम में जाने, शांत रहने और राउटर कॉन्फ़िगरेशन को बदलने की क्षमता के लिए एक निश्चित डिग्री की विशेषज्ञता की आवश्यकता होती है। वह किसी भी तरह, आकार या रूप में आपकी जूनियर विश्वविद्यालय टीम नहीं है।"

लेकिन मिश्र धातु टॉरस अजेय नहीं था, जैसा कि शोधकर्ताओं ने हाल ही में खोजा है।

यूनिट 2021 ने अपने जून ब्लॉग पोस्ट में उल्लेख किया है कि समूह 2022 के अंत और 42 की शुरुआत में कई अभियानों में अपने पिंगपुल विंडोज आरएटी का उपयोग करके ऊंची उड़ान भर रहा था। इसने दूरसंचार के साथ-साथ अफगानिस्तान, ऑस्ट्रेलिया, बेल्जियम, कंबोडिया, मलेशिया, मोजाम्बिक, फिलीपींस, रूस और वियतनाम में स्थित सैन्य और सरकारी संगठनों को भी निशाना बनाया।

फिर, "जून में प्रकाशित होने के केवल तीन से पांच दिन बाद, हमने उन्हें रिपोर्ट में शामिल किए गए अपने सभी बुनियादी ढांचे को त्यागते हुए देखा," रेनल्स कहते हैं। "उन्होंने एक विशिष्ट सरकार और दक्षिण पूर्व एशिया को इंगित करने के लिए सब कुछ बदल दिया - ताकि सभी बीकनिंग प्रत्यारोपण और सभी पीड़ित दूसरे देश में पुनर्निर्देशित हो जाएं - और उन्होंने मूल रूप से इस सब पर अपना हाथ साफ कर लिया।"

मिश्र धातु वृषभ की वापसी

मिश्र धातु वृषभ पूरी तरह से गायब नहीं हुआ था, लेकिन यह निश्चित रूप से पीछे हट गया था। रेनल्स बताते हैं, ''वे ज़मीन से दूर रह रहे थे।'' "कुछ मुख्य अपस्ट्रीम बुनियादी ढांचे खुले और चालू रहे।"

यह जीत अल्पकालिक थी, जब दिसंबर में शोधकर्ताओं ने जीवन के नए लक्षण खोजे। और मार्च में, उन्होंने पुराने पिंगपुल मैलवेयर का एक लिनक्स नमूना लिया। रेनल्स का कहना है, "यह एक परिपक्व एपीटी की प्रतिक्रिया देने और बहुत तेज़ी से समायोजित करने की क्षमता को दर्शाता है।"

एपीटी इतनी आसानी से नए रूपों में वापस आ सकता है जो साइबर रक्षकों के लिए एक पहेली है। आज अलॉय टॉरस जैसे समूह से कोई कैसे बचाव कर सकता है, अगर वह कल नया मेकअप पहनकर वापस आ सकता है?

रेनल्स कहते हैं, "मुझे लगता है कि समझौता के विशिष्ट संकेतकों (आईओसी) पर नज़र रखने के दिन काफी हद तक हमारे पीछे हैं।" “अब यह तकनीकों और युक्तियों पर नज़र रखने और उस तरह की गतिविधि का पता लगाने के लिए व्यवहार विश्लेषण के बारे में है। यहीं पर हम समापन बिंदु को स्थानांतरित कर रहे हैं, यहीं पर हम नेटवर्क सुरक्षा को भी स्थानांतरित कर रहे हैं।"

उनका मानना ​​है कि नए पिंगपुल की खोज, परिष्कृत एपीटी को बेहतर बनाने के इस बेहतर तरीके का उदाहरण है। “लिनक्स संस्करण के साथ, हमने शुरू में इसे सौम्य के रूप में आज़माया होगा। और फिर हमने इसे देखा और कहा: 'अरे, एक मिनट रुको। इसमें किसी अन्य दुर्भावनापूर्ण चीज़ के समान ही गुण हैं। आइए एक इंसान के तौर पर इसे देखने का प्रयास करें।' इसलिए, उस क्षमता का होना आवश्यक है।”

समय टिकट:

से अधिक डार्क रीडिंग