चीन स्थित बिलबग एपीटी सर्टिफिकेट अथॉरिटी प्लेटोब्लॉकचेन डेटा इंटेलिजेंस में घुसपैठ करता है। लंबवत खोज. ऐ.

चीन स्थित बिलबग एपीटी सर्टिफिकेट अथॉरिटी में घुसपैठ करता है

समय टिकट: 16 नवंबर, 2022 6:00 बजे

बिलबग के रूप में जाना जाने वाला राज्य-प्रायोजित साइबरबैट समूह एक व्यापक जासूसी अभियान के हिस्से के रूप में एक डिजिटल प्रमाणपत्र प्राधिकरण (सीए) से समझौता करने में कामयाब रहा, जो मार्च तक फैला हुआ था - उन्नत लगातार खतरे (एपीटी) प्लेबुक में एक संबंधित विकास, शोधकर्ताओं ने चेतावनी दी।

डिजिटल प्रमाणपत्र वे फ़ाइलें हैं जिनका उपयोग सॉफ़्टवेयर को मान्य के रूप में हस्ताक्षर करने के लिए किया जाता है, और एन्क्रिप्टेड कनेक्शन को सक्षम करने के लिए डिवाइस या उपयोगकर्ता की पहचान को सत्यापित करता है। जैसे, एक CA समझौता चोरी-छिपे फॉलो-ऑन हमलों के एक समूह को जन्म दे सकता है।

"प्रमाणपत्र प्राधिकरण का लक्ष्य उल्लेखनीय है, जैसे कि हमलावर प्रमाणपत्रों तक पहुंचने के लिए इसे सफलतापूर्वक समझौता करने में सक्षम थे, वे संभावित रूप से वैध प्रमाण पत्र के साथ मैलवेयर पर हस्ताक्षर करने के लिए उनका उपयोग कर सकते थे, और पीड़ित मशीनों पर पता लगाने से बचने में मदद कर सकते थे," के अनुसार एक रिपोर्ट इस सप्ताह सिमेंटेक से। "यह HTTPS ट्रैफ़िक को बाधित करने के लिए संभावित रूप से समझौता किए गए प्रमाणपत्रों का भी उपयोग कर सकता है।"

"यह संभावित रूप से बहुत खतरनाक है," शोधकर्ताओं ने कहा।

साइबर-समझौतों का एक निरंतर प्रवाह

बिलबग (उर्फ लोटस ब्लॉसम या थ्रिप) चीन स्थित एक जासूसी समूह है जो मुख्य रूप से दक्षिण पूर्व एशिया में पीड़ितों को निशाना बनाता है। यह बड़े खेल शिकार के लिए जाना जाता है - यानी, सैन्य संगठनों, सरकारी संस्थाओं और संचार प्रदाताओं द्वारा रखे गए रहस्यों के बाद जाना। कभी-कभी यह एक व्यापक जाल डालता है, जो गहरे प्रेरणाओं पर इशारा करता है: एक अतीत के उदाहरण में, इसने उपग्रहों के आंदोलनों की निगरानी और नियंत्रण करने वाले कंप्यूटरों को संक्रमित करने के लिए एक एयरोस्पेस ऑपरेटर में घुसपैठ की।

नापाक गतिविधि के नवीनतम दौर में, APT ने अपने कस्टम मैलवेयर के साथ सरकारी नेटवर्क पर "बड़ी संख्या में मशीनों" को संक्रमित करते हुए, पूरे एशिया में सरकार और रक्षा एजेंसियों के एक देवता को मारा।

सिमेंटेक थ्रेट हंटर टीम के वरिष्ठ खुफिया विश्लेषक ब्रिगेड ओ गोर्मन कहते हैं, "यह अभियान कम से कम मार्च 2022 से सितंबर 2022 तक चल रहा था और यह संभव है कि यह गतिविधि जारी हो।" "बिलबग एक लंबे समय से स्थापित खतरा समूह है जिसने वर्षों से कई अभियान चलाए हैं। यह संभव है कि यह गतिविधि अतिरिक्त संगठनों या भौगोलिक क्षेत्रों तक विस्तारित हो सकती है, हालांकि सिमेंटेक के पास इसका कोई सबूत नहीं है।

साइबर हमलों के लिए एक परिचित दृष्टिकोण

उन लक्ष्यों के साथ-साथ CA पर भी, आरंभिक एक्सेस वेक्टर कमजोर, सार्वजनिक-सामना करने वाले अनुप्रयोगों का शोषण रहा है। कोड को निष्पादित करने की क्षमता प्राप्त करने के बाद, खतरे के अभिनेता नेटवर्क में गहराई तक जाने से पहले अपने ज्ञात, कस्टम हनोटोग या सेगेरुनेक्स बैकडोर को स्थापित करने के लिए आगे बढ़ते हैं।

बाद के किल-चेन चरणों के लिए, बिलबग हमलावर एकाधिक का उपयोग करते हैं जमीन से दूर रहने वाले बायनेरिज़ (LoLBins)Symantec की रिपोर्ट के अनुसार, AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail और WinRAR जैसे।

विभिन्न डोपेलगैंगर उपयोगों के लिए इन वैध उपकरणों का दुरुपयोग किया जा सकता है, जैसे किसी नेटवर्क को मैप करने के लिए सक्रिय निर्देशिका को क्वेरी करना, एक्सफिल्ट्रेशन के लिए जिप-आईएनजी फाइलें, एंडपॉइंट्स के बीच के रास्तों को उजागर करना, नेटबीआईओएस और पोर्ट्स को स्कैन करना और ब्राउज़र रूट सर्टिफिकेट स्थापित करना - अतिरिक्त मैलवेयर डाउनलोड करने का उल्लेख नहीं करना .

दोहरे उपयोग वाले उपकरणों के साथ संयुक्त कस्टम बैकडोर एक परिचित पदचिह्न है, जिसका उपयोग APT द्वारा अतीत में किया गया है। लेकिन सार्वजनिक जोखिम के बारे में चिंता की कमी है समूह के लिए पाठ्यक्रम के लिए बराबर.

गोर्मन कहते हैं, "यह उल्लेखनीय है कि बिलबग इस गतिविधि को इसके लिए जिम्मेदार ठहराए जाने की संभावना से अप्रभावित प्रतीत होता है, क्योंकि यह अतीत में समूह से जुड़े टूल का पुन: उपयोग कर रहा है।"

वह आगे कहती हैं, “समूह द्वारा जमीन से दूर रहने और दोहरे उपयोग वाले उपकरणों का भारी उपयोग भी उल्लेखनीय है, और संगठनों के लिए ऐसे सुरक्षा उत्पादों की आवश्यकता को रेखांकित करता है जो न केवल मैलवेयर का पता लगा सकते हैं, बल्कि यह भी पहचानें कि वैध उपकरण संभावित रूप से उपयोग किए जा रहे हैं या नहीं एक संदिग्ध या दुर्भावनापूर्ण तरीके से।

सिमेंटेक ने गतिविधि के बारे में सूचित करने के लिए अज्ञात सीए को सूचित किया है, लेकिन गोर्मन ने अपनी प्रतिक्रिया या सुधारात्मक प्रयासों के बारे में अधिक जानकारी देने से इनकार कर दिया।

जबकि अभी तक कोई संकेत नहीं है कि समूह वास्तविक डिजिटल प्रमाणपत्रों से समझौता करने में सक्षम था, शोधकर्ता सलाह देते हैं, "उद्यमों को पता होना चाहिए कि मैलवेयर को वैध प्रमाणपत्रों के साथ हस्ताक्षरित किया जा सकता है यदि खतरे वाले अभिनेता प्रमाणित अधिकारियों तक पहुंच प्राप्त करने में सक्षम हैं।"

सामान्य तौर पर, संगठनों को संभावित हमले श्रृंखला के प्रत्येक बिंदु पर जोखिम को कम करने के लिए कई पहचान, सुरक्षा और सख्त प्रौद्योगिकियों का उपयोग करके रक्षा-में-गहन रणनीति अपनानी चाहिए।

गोर्मन ने कहा, "सिमेंटेक प्रशासनिक खाता उपयोग के उचित ऑडिट और नियंत्रण को लागू करने की भी सलाह देगा।" “हम एडमिन टूल्स के लिए उपयोग की प्रोफाइल बनाने का भी सुझाव देंगे क्योंकि इनमें से कई टूल्स का उपयोग हमलावरों द्वारा नेटवर्क के माध्यम से बाद में पता न चलने के लिए किया जाता है। बोर्ड भर में, मल्टीफैक्टर ऑथेंटिकेशन (एमएफए) समझौता किए गए क्रेडेंशियल्स की उपयोगिता को सीमित करने में मदद कर सकता है।

समय टिकट:

से अधिक डार्क रीडिंग