कॉलिन थियरी
माइक्रोसॉफ्ट ने पिछले हफ्ते खुलासा किया कि रॉयल की एक नई लहर के पीछे DEV-0569 के रूप में पहचाना जाने वाला एक खतरा समूह था Ransomware और फ़िशिंग लिंक, वैध दिखने वाली वेबसाइटों और Google विज्ञापनों के माध्यम से तैनात किए गए अन्य मैलवेयर।
सुरक्षा समाधानों को नज़रअंदाज़ करना एक ऐसा पहलू है जहाँ ख़तरा पैदा करने वालों को कभी-कभी चुनौतियों का सामना करना पड़ता है। एक तरह से वे इन समाधानों को दरकिनार कर सकते हैं, उपयोगकर्ताओं को दुर्भावनापूर्ण लिंक पर क्लिक करके या हानिकारक सॉफ़्टवेयर डाउनलोड करके उन्हें धोखा देने के माध्यम से।
DEV-0569 इन दोनों तकनीकों का उपयोग उन उपयोगकर्ताओं के विरुद्ध करता है जिन्हें वे लक्षित करते हैं। खतरा समूह फ़िशिंग वेबसाइटें बनाता है, लक्षित संगठनों पर संपर्क फ़ॉर्म का उपयोग करता है, वैध दिखने वाली डाउनलोड साइटों पर इंस्टॉलरों को होस्ट करता है और Google विज्ञापनों को तैनात करता है।
"DEV-0569 गतिविधि हस्ताक्षरित बायनेरिज़ का उपयोग करती है और एन्क्रिप्टेड मैलवेयर पेलोड वितरित करती है," समझाया Microsoft ने पिछले सप्ताह अपने बयान में। समूह को रक्षा चोरी तकनीकों का भारी उपयोग करने के लिए भी जाना जाता है और हाल ही में अभियानों में एंटीवायरस समाधानों को अक्षम करने का प्रयास करने के लिए ओपन-सोर्स टूल Nsudo का उपयोग करना जारी रखा है।
तकनीकी दिग्गज ने कहा, "DEV-0569 विशेष रूप से मालवेयर, फिशिंग लिंक पर निर्भर करता है, जो मैलवेयर डाउनलोडर को सॉफ्टवेयर इंस्टॉलर या स्पैम ईमेल, फर्जी फोरम पेज और ब्लॉग टिप्पणियों में एम्बेडेड अपडेट के रूप में इंगित करता है।"
DEV-0569 के मुख्य लक्ष्यों में से एक सुरक्षित नेटवर्क के भीतर उपकरणों तक पहुंच प्राप्त करना है, जो उन्हें रॉयल रैंसमवेयर तैनात करने की अनुमति देगा। नतीजतन, समूह अन्य रैंसमवेयर ऑपरेटरों के लिए अन्य हैकर्स को अपनी पहुंच बेचकर एक एक्सेस ब्रोकर बन सकता है।
इसके अतिरिक्त, समूह अपनी पहुंच बढ़ाने और वैध इंटरनेट ट्रैफ़िक के साथ मिश्रण करने के लिए Google विज्ञापनों का उपयोग कर रहा है।
"Microsoft शोधकर्ताओं ने Google विज्ञापनों का लाभ उठाने वाले एक DEV-0569 मालवेयर अभियान की पहचान की, जो वैध ट्रैफ़िक वितरण प्रणाली (TDS) Keitaro की ओर इशारा करता है, जो विज्ञापन ट्रैफ़िक और उपयोगकर्ता- या डिवाइस-आधारित फ़िल्टरिंग पर नज़र रखने के माध्यम से विज्ञापन अभियानों को अनुकूलित करने की क्षमता प्रदान करता है," कंपनी ने कहा . "Microsoft ने देखा कि TDS उपयोगकर्ता को एक वैध डाउनलोड साइट पर, या कुछ शर्तों के तहत, दुर्भावनापूर्ण BATLOADER डाउनलोड साइट पर पुनर्निर्देशित करता है।"
यह रणनीति इस प्रकार खतरे के अभिनेताओं को विशिष्ट लक्ष्यों और आईपी को मैलवेयर भेजकर ज्ञात सुरक्षा सैंडबॉक्सिंग समाधानों की आईपी रेंज को बायपास करने की अनुमति देती है।
