ईएसईटी शोधकर्ताओं ने ऑयलरिग एपीटी समूह के दो अभियानों का विश्लेषण किया है: आउटर स्पेस (2021), और जूसी मिक्स (2022)। इन दोनों साइबर जासूसी अभियानों ने विशेष रूप से इजरायली संगठनों को लक्षित किया, जो मध्य पूर्व पर समूह के फोकस के अनुरूप है, और उसी प्लेबुक का उपयोग किया: ऑयलरिग ने पहले सी एंड सी सर्वर के रूप में उपयोग करने के लिए एक वैध वेबसाइट से समझौता किया और फिर सी # देने के लिए वीबीएस ड्रॉपर का उपयोग किया। /.NET अपने पीड़ितों के लिए पिछले दरवाजे से काम करता है, साथ ही विभिन्न प्रकार के समझौता-पश्चात उपकरणों को भी तैनात करता है, जिनका उपयोग ज्यादातर लक्ष्य प्रणालियों पर डेटा एक्सफिल्टरेशन के लिए किया जाता है।
अपने आउटर स्पेस अभियान में, ऑयलरिग ने एक सरल, पहले से अप्रलेखित C#/.NET बैकडोर का उपयोग किया, जिसे हमने सोलर नाम दिया, साथ ही एक नए डाउनलोडर, सैंपलचेक5000 (या SC5k) का उपयोग किया, जो C&C संचार के लिए माइक्रोसॉफ्ट ऑफिस एक्सचेंज वेब सर्विसेज एपीआई का उपयोग करता है। जूसी मिक्स अभियान के लिए, मैंगो बैकडोर बनाने के लिए खतरे वाले अभिनेताओं ने सोलर में सुधार किया, जिसमें अतिरिक्त क्षमताएं और अस्पष्टता के तरीके हैं। दुर्भावनापूर्ण टूलसेट का पता लगाने के अलावा, हमने छेड़छाड़ की गई वेबसाइटों के बारे में इज़राइली CERT को भी सूचित किया।
इस ब्लॉगपोस्ट के मुख्य बिंदु:
- ईएसईटी ने दो ऑयलरिग अभियान देखे जो 2021 (बाह्य अंतरिक्ष) और 2022 (जूसी मिक्स) में हुए।
- ऑपरेटरों ने विशेष रूप से इजरायली संगठनों को लक्षित किया और अपने सी एंड सी संचार में उपयोग के लिए वैध इजरायली वेबसाइटों से समझौता किया।
- उन्होंने प्रत्येक अभियान में एक नया, पहले से अप्रलेखित C#/.NET प्रथम-चरण बैकडोर का उपयोग किया: आउटर स्पेस में सोलर, फिर जूसी मिक्स में इसका उत्तराधिकारी मैंगो।
- दोनों बैकडोर वीबीएस ड्रॉपर द्वारा तैनात किए गए थे, संभवतः स्पीयरफ़िशिंग ईमेल के माध्यम से फैलाए गए थे।
- दोनों अभियानों में विभिन्न प्रकार के पोस्ट-समझौता उपकरण तैनात किए गए थे, विशेष रूप से SC5k डाउनलोडर जो C&C संचार के लिए माइक्रोसॉफ्ट ऑफिस एक्सचेंज वेब सर्विसेज एपीआई का उपयोग करता है, और विंडोज क्रेडेंशियल मैनेजर से ब्राउज़र डेटा और क्रेडेंशियल चुराने के लिए कई टूल।
ऑयलरिग, जिसे एपीटी34, लिसेयुम या सियामीसेकिटेन के नाम से भी जाना जाता है, एक साइबर जासूसी समूह है जो कम से कम 2014 से सक्रिय है और आमतौर पर माना जाता है ईरान में स्थित होना। समूह मध्य पूर्वी सरकारों और रसायन, ऊर्जा, वित्तीय और दूरसंचार सहित विभिन्न व्यावसायिक क्षेत्रों को लक्षित करता है। ऑयलरिग ने DNSpionage अभियान चलाया 2018 और 2019, जिसने लेबनान और संयुक्त अरब अमीरात में पीड़ितों को निशाना बनाया। 2019 और 2020 में, ऑयलरिग ने हमले जारी रखे हार्डपास अभियान, जिसने ऊर्जा और सरकारी क्षेत्रों में मध्य पूर्वी पीड़ितों को लक्षित करने के लिए लिंक्डइन का उपयोग किया। 2021 में, ऑयलरिग ने इसे अपडेट किया डैनबॉट पिछले दरवाजे और तैनात करना शुरू कर दिया शार्क, मिलान, और मार्लिन बैकडोर्स का उल्लेख किया गया है T3 2021 अंक ईएसईटी खतरा रिपोर्ट की।
इस ब्लॉगपोस्ट में, हम सोलर और मैंगो बैकडोर, मैंगो वितरित करने के लिए उपयोग किए जाने वाले वीबीएस ड्रॉपर और प्रत्येक अभियान में तैनात किए गए समझौता-पश्चात टूल का तकनीकी विश्लेषण प्रदान करते हैं।
आरोपण
प्रारंभिक लिंक जिसने हमें आउटर स्पेस अभियान को ऑयलरिग से जोड़ने की अनुमति दी, वह उसी कस्टम क्रोम डेटा डम्पर (एमकेजी नाम के तहत ईएसईटी शोधकर्ताओं द्वारा ट्रैक किया गया) का उपयोग है। समुद्र से बाहर अभियान. हमने देखा कि सोलर बैकडोर ने एमकेजी के उसी नमूने को दो अन्य वेरिएंट के साथ लक्ष्य के सिस्टम पर आउट टू सी में तैनात किया है।
टूल और लक्ष्यीकरण में ओवरलैप के अलावा, हमने सोलर बैकडोर और आउट टू सी में उपयोग किए जाने वाले बैकडोर के बीच कई समानताएं भी देखीं, जो ज्यादातर अपलोड और डाउनलोड से संबंधित हैं: सोलर और शार्क दोनों, एक अन्य ऑयलरिग बैकडोर, सरल अपलोड और डाउनलोड योजनाओं के साथ यूआरआई का उपयोग करते हैं सी एंड सी सर्वर के साथ संचार करने के लिए, डाउनलोड के लिए "डी" और अपलोड के लिए "यू" के साथ; इसके अतिरिक्त, डाउनलोडर SC5k अन्य ऑयलरिग बैकडोर, अर्थात् ALMA, शार्क, डैनबॉट और मिलान की तरह ही अपलोड और डाउनलोड उपनिर्देशिकाओं का उपयोग करता है। ये निष्कर्ष इस बात की और पुष्टि करते हैं कि आउटर स्पेस के पीछे का अपराधी वास्तव में ऑयलरिग है।
जहां तक जूसी मिक्स अभियान के ऑयलरिग से संबंधों की बात है, तो इजरायली संगठनों को निशाना बनाने के अलावा - जो इस जासूसी समूह के लिए विशिष्ट है - मैंगो, इस अभियान में इस्तेमाल किए गए पिछले दरवाजे और सोलर के बीच कोड समानताएं हैं। इसके अलावा, दोनों बैकडोर को एक ही स्ट्रिंग ऑबफस्केशन तकनीक के साथ वीबीएस ड्रॉपर द्वारा तैनात किया गया था। जूसी मिक्स में नियोजित समझौता-पश्चात उपकरणों का चयन भी पिछले ऑयलरिग अभियानों को प्रतिबिंबित करता है।
बाह्य अंतरिक्ष अभियान सिंहावलोकन
अपने फ़ंक्शन नामों और कार्यों में खगोल विज्ञान-आधारित नामकरण योजना के उपयोग के लिए नामित, आउटर स्पेस 2021 से एक ऑयलरिग अभियान है। इस अभियान में, समूह ने एक इजरायली मानव संसाधन साइट से समझौता किया और बाद में इसे अपने पहले के लिए C&C सर्वर के रूप में उपयोग किया। अप्रलेखित C#/.NET पिछला दरवाजा, सौर। सोलर एक साधारण बैकडोर है जिसमें डिस्क से पढ़ना और लिखना और जानकारी एकत्र करना जैसी बुनियादी कार्यक्षमता है।
सोलर के माध्यम से, समूह ने फिर एक नया डाउनलोडर SC5k तैनात किया, जो निष्पादन के लिए अतिरिक्त टूल डाउनलोड करने के लिए ऑफिस एक्सचेंज वेब सर्विसेज एपीआई का उपयोग करता है, जैसा कि दिखाया गया है REF _Ref142655526 घंटे आकृति 1
. पीड़ित के सिस्टम से ब्राउज़र डेटा को बाहर निकालने के लिए, ऑयलरिग ने एमकेजी नामक क्रोम-डेटा डम्पर का उपयोग किया।
जूसी मिक्स अभियान सिंहावलोकन
2022 में ऑयलरिग ने इजरायली संगठनों को लक्षित करते हुए एक और अभियान शुरू किया, इस बार एक अद्यतन टूलसेट के साथ। हमने नए ऑयलरिग बैकडोर के उपयोग के लिए अभियान को जूसी मिक्स नाम दिया, मैंगो (इसके आंतरिक असेंबली नाम और इसके फ़ाइल नाम के आधार पर, Mango.exe). इस अभियान में, धमकी देने वाले अभिनेताओं ने C&C संचार में उपयोग के लिए एक वैध इज़राइली जॉब पोर्टल वेबसाइट से समझौता किया। समूह के दुर्भावनापूर्ण उपकरण तब इज़राइल स्थित एक स्वास्थ्य सेवा संगठन के खिलाफ तैनात किए गए थे।
मैंगो फर्स्ट-स्टेज बैकडोर सोलर का उत्तराधिकारी है, जिसे C#/.NET में भी लिखा गया है, जिसमें उल्लेखनीय बदलाव हैं जिनमें एक्सफिल्ट्रेशन क्षमताएं, देशी एपीआई का उपयोग और अतिरिक्त डिटेक्शन इवेशन कोड शामिल हैं।
मैंगो के साथ, हमने क्रोम और एज ब्राउज़र से कुकीज़, ब्राउज़िंग इतिहास और क्रेडेंशियल्स चुराने के लिए उपयोग किए जाने वाले दो पहले से अप्रलेखित ब्राउज़र-डेटा डंपर्स और एक विंडोज क्रेडेंशियल मैनेजर चोरी करने वाले का भी पता लगाया, जिसका श्रेय हम ऑयलरिग को देते हैं। इन सभी उपकरणों का उपयोग मैंगो के समान लक्ष्य के साथ-साथ 2021 और 2022 के दौरान अन्य समझौता किए गए इजरायली संगठनों में किया गया था। REF _Ref125475515 घंटे आकृति 2
जूसी मिक्स अभियान में विभिन्न घटकों का उपयोग कैसे किया गया, इसका एक सिंहावलोकन दिखाता है।
तकनीकी विश्लेषण
इस अनुभाग में, हम सोलर और मैंगो बैकडोर और SC5k डाउनलोडर के साथ-साथ अन्य टूल का तकनीकी विश्लेषण प्रदान करते हैं जो इन अभियानों में लक्षित सिस्टम पर तैनात किए गए थे।
वीबीएस ड्रॉपर
लक्ष्य के सिस्टम पर पकड़ स्थापित करने के लिए, दोनों अभियानों में विज़ुअल बेसिक स्क्रिप्ट (वीबीएस) ड्रॉपर का उपयोग किया गया था, जो संभवतः स्पीयरफ़िशिंग ईमेल द्वारा फैलाया गया था। नीचे दिया गया हमारा विश्लेषण मैंगो (SHA-1) को गिराने के लिए उपयोग की जाने वाली VBS स्क्रिप्ट पर केंद्रित है: 3699B67BF4E381847BF98528F8CE2B966231F01A); ध्यान दें कि सोलर का ड्रॉपर बहुत समान है।
ड्रॉपर का उद्देश्य एम्बेडेड मैंगो बैकडोर वितरित करना, दृढ़ता के लिए एक कार्य शेड्यूल करना और सी एंड सी सर्वर के साथ समझौता पंजीकृत करना है। एम्बेडेड बैकडोर को बेस 64 सबस्ट्रिंग्स की एक श्रृंखला के रूप में संग्रहीत किया जाता है, जिन्हें संयोजित और बेस 64 डीकोड किया जाता है। के रूप में दिखाया गया REF _Ref125477632 घंटे आकृति 3
स्क्रिप्ट एक सरल स्ट्रिंग डीओबफस्केशन तकनीक का भी उपयोग करती है, जहां अंकगणितीय परिचालनों का उपयोग करके स्ट्रिंग्स को इकट्ठा किया जाता है और ईसा पूर्व समारोह.
इसके अलावा, मैंगो का वीबीएस ड्रॉपर दृढ़ता स्थापित करने और सी एंड सी सर्वर के साथ पंजीकरण करने के लिए एक अन्य प्रकार का स्ट्रिंग ऑबफस्केशन और कोड जोड़ता है। के रूप में दिखाया गया REF _Ref125479004 घंटे * मर्जफॉर्मेट आकृति 4
, कुछ स्ट्रिंग्स को स्पष्ट करने के लिए, स्क्रिप्ट सेट में किसी भी अक्षर को बदल देती है #*+-_)(}{@$%^& साथ में 0, फिर स्ट्रिंग को तीन-अंकीय संख्याओं में विभाजित करता है जिन्हें फिर ASCII वर्णों में परिवर्तित किया जाता है ईसा पूर्व
समारोह। उदाहरण के लिए, स्ट्रिंग 116110101109117+99111$68+77{79$68}46-50108109120115}77 में अनुवाद करता है Msxml2.DOMDocument.
एक बार जब पिछला दरवाजा सिस्टम में एम्बेड हो जाता है, तो ड्रॉपर एक निर्धारित कार्य बनाने के लिए आगे बढ़ता है जो हर 14 मिनट में मैंगो (या सोलर, दूसरे संस्करण में) को निष्पादित करता है। अंत में, स्क्रिप्ट अपने C&C सर्वर के साथ पिछले दरवाजे को पंजीकृत करने के लिए POST अनुरोध के माध्यम से समझौता किए गए कंप्यूटर का बेस 64-एन्कोडेड नाम भेजती है।
सौर पिछला दरवाजा
सोलर ऑयलरिग के बाह्य अंतरिक्ष अभियान में उपयोग किया जाने वाला पिछला दरवाजा है। बुनियादी कार्यात्मकताओं से युक्त, इस पिछले दरवाजे का उपयोग अन्य चीजों के अलावा, फ़ाइलों को डाउनलोड करने और निष्पादित करने और चरणबद्ध फ़ाइलों को स्वचालित रूप से निकालने के लिए किया जा सकता है।
हमने ऑयलरिग द्वारा उपयोग किए गए फ़ाइल नाम के आधार पर सोलर नाम चुना, सोलर.exe. यह एक उपयुक्त नाम है क्योंकि बैकडोर बाइनरी में उपयोग किए जाने वाले अपने फ़ंक्शन नामों और कार्यों के लिए एक खगोल विज्ञान नामकरण योजना का उपयोग करता है (पारा, शुक्र, मार्च, पृथ्वी, तथा जुपिटर).
सोलर नीचे दिखाए गए चरणों का पालन करके निष्पादन शुरू करता है REF _Ref98146919 घंटे * मर्जफॉर्मेट आकृति 5
.
पिछला दरवाज़ा दो कार्य बनाता है, पृथ्वी
और शुक्र, जो स्मृति में चलता है। दोनों कार्यों में से किसी के लिए कोई स्टॉप फ़ंक्शन नहीं है, इसलिए वे अनिश्चित काल तक चलेंगे। पृथ्वी
हर 30 सेकंड में चलने के लिए निर्धारित है और शुक्र
हर 40 सेकंड पर चलने के लिए सेट किया गया है।
पृथ्वी प्राथमिक कार्य है, जो सोलर के अधिकांश कार्यों के लिए जिम्मेदार है। यह फ़ंक्शन का उपयोग करके C&C सर्वर के साथ संचार करता है बुध से सूर्य तक, जो बुनियादी सिस्टम और मैलवेयर संस्करण की जानकारी C&C सर्वर को भेजता है और फिर सर्वर की प्रतिक्रिया को संभालता है। पृथ्वी निम्नलिखित जानकारी C&C सर्वर को भेजता है:
- डोर (@); संपूर्ण स्ट्रिंग एन्क्रिप्टेड है.
- डोर 1.0.0.0, एन्क्रिप्टेड (संभवतः एक संस्करण संख्या)।
- डोर 30000, एन्क्रिप्टेड (संभवतः का निर्धारित रनटाइम पृथ्वी
एन्क्रिप्शन और डिक्रिप्शन नामित कार्यों में कार्यान्वित किए जाते हैं बृहस्पति ई
और बृहस्पतिD, क्रमश। ये दोनों नाम का एक फंक्शन कॉल करते हैं ज्यूपिटरएक्स, जो एक XOR लूप लागू करता है जैसा कि दिखाया गया है REF _Ref98146962 घंटे आकृति 6
.
कुंजी एक हार्डकोडेड वैश्विक स्ट्रिंग वेरिएबल से ली गई है, 6sEj7*0B7#7, और एक नानशिया: इस मामले में, 2-24 वर्णों की एक यादृच्छिक हेक्स स्ट्रिंग। XOR एन्क्रिप्शन के बाद, मानक बेस 64 एन्कोडिंग लागू की जाती है।
एक इज़राइली मानव संसाधन कंपनी का वेब सर्वर, जिसे ऑयलरिग ने सोलर को तैनात करने से पहले किसी बिंदु पर समझौता किया था, सी एंड सी सर्वर के रूप में उपयोग किया गया था:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
यूआरआई में जोड़े जाने से पहले, एन्क्रिप्शन नॉन को एन्क्रिप्ट किया जाता है, और प्रारंभिक क्वेरी स्ट्रिंग का मान, rt, इस पर लगा है d यहाँ, संभवतः "डाउनलोड" के लिए।
का अंतिम चरण बुध से सूर्य तक
फ़ंक्शन C&C सर्वर से प्रतिक्रिया संसाधित करना है। यह प्रतिक्रिया के एक सबस्ट्रिंग को पुनः प्राप्त करके ऐसा करता है, जो पात्रों के बीच पाया जाता है QQ@ और @kk. यह प्रतिक्रिया तारांकन द्वारा अलग किए गए निर्देशों की एक श्रृंखला है (*) जिसे एक सरणी में संसाधित किया जाता है। पृथ्वी
फिर पिछले दरवाजे से कमांड निष्पादित करता है, जिसमें सर्वर से अतिरिक्त पेलोड डाउनलोड करना, पीड़ित के सिस्टम पर फ़ाइलों को सूचीबद्ध करना और विशिष्ट निष्पादन योग्य चलाना शामिल है।
फिर कमांड आउटपुट को फ़ंक्शन का उपयोग करके gzip संपीड़ित किया जाता है वरूण
और उसी एन्क्रिप्शन कुंजी और एक नए नॉन के साथ एन्क्रिप्ट किया गया। फिर परिणाम C&C सर्वर पर अपलोड किए जाते हैं, इस प्रकार:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
मशीन गाइड और नए नॉन को इसके साथ एन्क्रिप्ट किया गया है बृहस्पति ई
फ़ंक्शन, और यहां का मान rt इसके लिए सेट है u, संभवतः "अपलोड" के लिए।
शुक्र, अन्य निर्धारित कार्य, स्वचालित डेटा निष्कासन के लिए उपयोग किया जाता है। यह छोटा कार्य एक निर्देशिका (जिसे नाम भी दिया गया है) से फ़ाइलों की सामग्री की प्रतिलिपि बनाता है शुक्र) C&C सर्वर पर। इन फ़ाइलों को संभवतः किसी अन्य, अभी तक अज्ञात, ऑयलरिग टूल द्वारा यहां छोड़ा गया है। फ़ाइल अपलोड करने के बाद, कार्य उसे डिस्क से हटा देता है।
आम का पिछला दरवाज़ा
अपने जूसी मिक्स अभियान के लिए, ऑयलरिग ने सोलर बैकडोर से मैंगो पर स्विच किया। इसमें सौर और ओवरलैपिंग क्षमताओं के समान वर्कफ़्लो है, लेकिन फिर भी कई उल्लेखनीय परिवर्तन हैं:
- सी एंड सी संचार के लिए टीएलएस का उपयोग।
- फ़ाइलों और शेल कमांड को निष्पादित करने के लिए .NET API के बजाय मूल API का उपयोग।
- यद्यपि सक्रिय रूप से उपयोग नहीं किया गया था, पता लगाने से बचने वाला कोड पेश किया गया था।
- स्वचालित निष्कासन के लिए समर्थन (शुक्र
- लॉग मोड के लिए समर्थन हटा दिया गया है, और प्रतीक नामों को अस्पष्ट कर दिया गया है।
सोलर की खगोल विज्ञान-थीम वाली नामकरण योजना के विपरीत, मैंगो अपने प्रतीक नामों को अस्पष्ट करता है, जैसा कि इसमें देखा जा सकता है REF _Ref142592880 घंटे आकृति 7
.
प्रतीक नाम अस्पष्टता के अलावा, मैंगो स्ट्रिंग स्टैकिंग विधि का भी उपयोग करता है (जैसा कि दिखाया गया है REF _Ref142592892 घंटे आकृति 8
REF _Ref141802299 घंटे
) स्ट्रिंग्स को अस्पष्ट करने के लिए, जो सरल पहचान विधियों के उपयोग को जटिल बनाता है।
सोलर के समान, मैंगो बैकडोर एक इन-मेमोरी कार्य बनाकर शुरू होता है, जो हर 32 सेकंड में अनिश्चित काल तक चलने के लिए निर्धारित होता है। यह कार्य C&C सर्वर के साथ संचार करता है और सोलर के समान, बैकडोर कमांड निष्पादित करता है पृथ्वी
काम। जबकि सोलर भी बनाता है शुक्र, स्वचालित निष्कासन के लिए एक कार्य, इस कार्यक्षमता को मैंगो में एक नए बैकडोर कमांड द्वारा प्रतिस्थापित किया गया है।
मुख्य कार्य में, मैंगो सबसे पहले एक पीड़ित पहचानकर्ता उत्पन्न करता है, , C&C संचार में उपयोग किया जाएगा। आईडी की गणना एमडी5 हैश के रूप में की जाती है , हेक्साडेसिमल स्ट्रिंग के रूप में स्वरूपित।
बैकडोर कमांड का अनुरोध करने के लिए, मैंगो फिर स्ट्रिंग भेजता है डी@ @ | C&C सर्वर पर http://www.darush.co[.]il/ads.asp - एक वैध इज़राइली जॉब पोर्टल, संभवतः इस अभियान से पहले ऑयलरिग द्वारा समझौता किया गया था। हमने समझौते के बारे में इजरायली राष्ट्रीय सीईआरटी संगठन को सूचित किया।
अनुरोध निकाय का निर्माण इस प्रकार किया गया है:
- प्रसारित किया जाने वाला डेटा एन्क्रिप्शन कुंजी का उपयोग करके XOR एन्क्रिप्टेड है प्रश्न&4जी, फिर बेस64 एन्कोड किया गया।
- इस वर्णमाला से 3-14 वर्णों की एक छद्म आयामी स्ट्रिंग उत्पन्न होती है (जैसा कि यह कोड में दिखाई देता है): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- एन्क्रिप्टेड डेटा को उत्पन्न स्ट्रिंग के भीतर एक छद्म यादृच्छिक स्थिति में डाला जाता है, जो बीच में संलग्न होता है [@ और @] सीमांकक.
अपने सी एंड सी सर्वर के साथ संचार करने के लिए, मैंगो टीएलएस (ट्रांसपोर्ट लेयर सिक्योरिटी) प्रोटोकॉल का उपयोग करता है, जिसका उपयोग एन्क्रिप्शन की एक अतिरिक्त परत प्रदान करने के लिए किया जाता है।.
इसी प्रकार, C&C सर्वर से प्राप्त बैकडोर कमांड को XOR एन्क्रिप्टेड, बेस 64 एनकोडेड और फिर बीच में संलग्न किया जाता है [@ और @] HTTP प्रतिक्रिया निकाय के भीतर। आदेश स्वयं या तो है एनसीएनटी
(जिस स्थिति में कोई कार्रवाई नहीं की जाती है), या कई मापदंडों की एक श्रृंखला को सीमांकित किया गया है
@, जैसा कि में विस्तृत है REF _Ref125491491 घंटे तालिका 1
, जो मैंगो के पिछले दरवाजे के आदेशों को सूचीबद्ध करता है। ध्यान दें कि तालिका में सूचीबद्ध नहीं है, लेकिन C&C सर्वर की प्रतिक्रिया में उपयोग किया जाता है।
तालिका 1. मैंगो के पिछले दरवाजे के आदेशों की सूची
arg1 |
arg2 |
arg3 |
कार्रवाई की गई |
प्रतिलाभ की मात्रा |
|
1 या खाली स्ट्रिंग |
+सपा |
एन / ए |
मूल का उपयोग करके निर्दिष्ट फ़ाइल/शेल कमांड (वैकल्पिक तर्कों के साथ) निष्पादित करता है प्रक्रिया बनाइये एपीआई के माध्यम से आयात किया गया Dllआयात. यदि तर्क शामिल हैं [एस], द्वारा प्रतिस्थापित किया जाता है सी: WindowsSystem32. |
कमांड आउटपुट. |
|
+एन.यू |
एन / ए |
मैलवेयर संस्करण स्ट्रिंग और C&C URL लौटाता है। |
|; इस मामले में: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
एन / ए |
निर्दिष्ट निर्देशिका (या वर्तमान कार्यशील निर्देशिका) की सामग्री की गणना करता है। |
की निर्देशिका प्रत्येक उपनिर्देशिका के लिए:
प्रत्येक फ़ाइल के लिए: फ़ाइल निदेशक फ़ाइलें |
||
+डीएन |
एन / ए |
प्रारूपित नए HTTP POST अनुरोध के माध्यम से फ़ाइल सामग्री को C&C सर्वर पर अपलोड करता है: तुम@ @ | @ @2@. |
में से एक: · फ़ाइल[ ] सर्वर पर अपलोड किया गया है। · फ़ाइल प्राप्त नहीं हुई! · फ़ाइल पथ रिक्त! |
||
2 |
बेस64-एन्कोडेड डेटा |
फ़ाइल का नाम |
निर्दिष्ट डेटा को कार्यशील निर्देशिका में एक फ़ाइल में डंप करता है। |
पथ पर फ़ाइल डाउनलोड की गई[ ] |
प्रत्येक बैकडोर कमांड को एक नए थ्रेड में प्रबंधित किया जाता है, और उनके रिटर्न मान को बेस 64 एनकोड किया जाता है और अन्य मेटाडेटा के साथ जोड़ा जाता है। अंत में, उस स्ट्रिंग को ऊपर बताए अनुसार उसी प्रोटोकॉल और एन्क्रिप्शन विधि का उपयोग करके C&C सर्वर पर भेजा जाता है।
अप्रयुक्त पता लगाने से बचने की तकनीक
दिलचस्प बात यह है कि हमें एक अप्रयुक्त मिला पता लगाने से बचने की तकनीक आम के भीतर. C&C सर्वर से डाउनलोड की गई फ़ाइलों और कमांडों को निष्पादित करने के लिए जिम्मेदार फ़ंक्शन एक वैकल्पिक दूसरा पैरामीटर - एक प्रक्रिया आईडी लेता है। यदि सेट किया जाता है, तो मैंगो इसका उपयोग करता है अपडेटप्रोकथ्रेडएट्रिब्यूट
एपीआई सेट करने के लिए PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) मूल्य के लिए निर्दिष्ट प्रक्रिया के लिए विशेषता: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), के रूप में दिखाया गया REF _Ref125480118 घंटे आकृति 9
.
इस तकनीक का लक्ष्य इस प्रक्रिया में एंडपॉइंट सुरक्षा समाधानों को उनके उपयोगकर्ता-मोड कोड हुक को DLL के माध्यम से लोड करने से रोकना है। हालाँकि हमारे द्वारा विश्लेषण किए गए नमूने में पैरामीटर का उपयोग नहीं किया गया था, इसे भविष्य के संस्करणों में सक्रिय किया जा सकता है।
संस्करण 1.1.1
जूसी मिक्स अभियान से असंबंधित, जुलाई 2023 में हमें मैंगो बैकडोर (SHA-1) का एक नया संस्करण मिला: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), नाम के तहत कई उपयोगकर्ताओं द्वारा वायरसटोटल पर अपलोड किया गया मेनोराह.exe. इस नमूने में आंतरिक संस्करण 1.0.0 से 1.1.1 में बदल दिया गया था, लेकिन एकमात्र उल्लेखनीय परिवर्तन एक अलग सी एंड सी सर्वर का उपयोग है, http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
इस संस्करण के साथ, हमने एक Microsoft Word दस्तावेज़ (SHA-1:) भी खोजा 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) एक दुर्भावनापूर्ण मैक्रो के साथ जो पिछले दरवाजे को बंद कर देता है। REF _Ref143162004 घंटे आकृति 10
नकली चेतावनी संदेश दिखाता है, दस्तावेज़ के लिए मैक्रोज़ सक्षम करने के लिए उपयोगकर्ता को लुभाता है, और बाद में प्रदर्शित होने वाली नकली सामग्री, जबकि पृष्ठभूमि में दुर्भावनापूर्ण कोड चल रहा होता है।
चित्र 10. दुर्भावनापूर्ण मैक्रो वाला Microsoft Word दस्तावेज़ जो Mango v1.1.1 को हटा देता है
समझौता के बाद के उपकरण
इस अनुभाग में, हम ऑयलरिग के आउटर स्पेस और जूसी मिक्स अभियानों में उपयोग किए जाने वाले पोस्ट-समझौता टूल के चयन की समीक्षा करते हैं, जिसका उद्देश्य अतिरिक्त पेलोड को डाउनलोड करना और निष्पादित करना और समझौता किए गए सिस्टम से डेटा चुराना है।
सैंपलचेक5000 (एससी5के) डाउनलोडर
सैंपलचेक5000 (या एससी5के) एक डाउनलोडर है जिसका उपयोग अतिरिक्त ऑयलरिग टूल को डाउनलोड करने और निष्पादित करने के लिए किया जाता है, जो सी एंड सी संचार के लिए माइक्रोसॉफ्ट ऑफिस एक्सचेंज वेब सर्विसेज एपीआई का उपयोग करने के लिए उल्लेखनीय है: हमलावर इस ईमेल खाते में ड्राफ्ट संदेश बनाते हैं और वहां बैकडोर कमांड छिपाते हैं। इसके बाद, डाउनलोडर उसी खाते में लॉग इन करता है, और निष्पादित करने के लिए कमांड और पेलोड को पुनः प्राप्त करने के लिए ड्राफ्ट को पार्स करता है।
SC5k दूरस्थ एक्सचेंज सर्वर में लॉग इन करने के लिए पूर्वनिर्धारित मान - माइक्रोसॉफ्ट एक्सचेंज यूआरएल, ईमेल पता और पासवर्ड - का उपयोग करता है, लेकिन यह वर्तमान कार्यशील निर्देशिका में कॉन्फ़िगरेशन फ़ाइल का उपयोग करके इन मानों को ओवरराइड करने के विकल्प का भी समर्थन करता है। सेटिंग.कुंजी. हमने आउटर स्पेस अभियान में उपयोग किए गए टूल के ईमेल पते में से एक के आधार पर सैंपलचेक5000 नाम चुना।
एक बार जब SC5k रिमोट एक्सचेंज सर्वर में लॉग इन हो जाता है, तो यह सभी ईमेल को पुनः प्राप्त कर लेता है ड्राफ्ट
निर्देशिका, केवल अनुलग्नकों वाले ड्राफ्ट को ध्यान में रखते हुए, उन्हें नवीनतम के आधार पर क्रमबद्ध करती है। इसके बाद यह प्रत्येक ड्राफ्ट संदेश को एक अनुलग्नक के साथ दोहराता है, जिसमें शामिल JSON अनुलग्नकों की तलाश करता है "डेटा" शरीर में। यह कुंजी से मान निकालता है तिथि JSON फ़ाइल में, बेस64 मूल्य को डिकोड और डिक्रिप्ट करता है, और कॉल करता है cmd.exe परिणामी कमांड लाइन स्ट्रिंग को निष्पादित करने के लिए। SC5k फिर आउटपुट को सेव करता है cmd.exe
स्थानीय चर पर निष्पादन।
लूप में अगले चरण के रूप में, डाउनलोडर एक्सचेंज सर्वर पर एक नया ईमेल संदेश बनाकर और इसे ड्राफ्ट (नहीं भेज रहा) के रूप में सहेजकर ऑयलरिग ऑपरेटरों को परिणाम रिपोर्ट करता है, जैसा कि दिखाया गया है REF _Ref98147102
h * मर्जफॉर्मेट आकृति 11
. एक समान तकनीक का उपयोग स्थानीय स्टेजिंग फ़ोल्डर से फ़ाइलों को निकालने के लिए किया जाता है। लूप में अंतिम चरण के रूप में, SC5k डिस्क पर एन्क्रिप्टेड और संपीड़ित प्रारूप में कमांड आउटपुट को भी लॉग करता है।
ब्राउज़र-डेटा डंपर
ऑयलरिग ऑपरेटरों की यह विशेषता है कि वे समझौता के बाद की गतिविधियों में ब्राउज़र-डेटा डंपर्स का उपयोग करते हैं। हमने मैंगो बैकडोर के साथ-साथ जूसी मिक्स अभियान में तैनात समझौता-पश्चात टूल के बीच दो नए ब्राउज़र-डेटा चुराने वालों की खोज की। वे चुराए गए ब्राउज़र डेटा को इसमें डंप कर देते हैं % TEMP% नामित फ़ाइलों में निर्देशिका कपडेट
और अद्यतन
(इसलिए उनके लिए हमारे नाम: CDumper और EDumper)।
दोनों उपकरण C#/.NET ब्राउज़र-डेटा चुराने वाले हैं, जो क्रोम (CDumper) और Edge (EDumper) ब्राउज़र से कुकीज़, ब्राउज़िंग इतिहास और क्रेडेंशियल एकत्र करते हैं। हम अपना विश्लेषण सीडीम्पर पर केंद्रित करते हैं, क्योंकि कुछ स्थिरांक को छोड़कर, दोनों चोरी करने वाले व्यावहारिक रूप से समान हैं।
निष्पादित होने पर, CDumper Google Chrome इंस्टॉल किए गए उपयोगकर्ताओं की एक सूची बनाता है। निष्पादन पर, चोरी करने वाला क्रोम SQLite से जुड़ जाता है Cookies, इतिहास
और लॉग इन डेटा डेटाबेस के अंतर्गत %एप्लिकेशनडेटा%स्थानीयGoogleChromeउपयोगकर्ता डेटा, और SQL क्वेरीज़ का उपयोग करके विज़िट किए गए URL और सहेजे गए लॉगिन सहित ब्राउज़र डेटा एकत्र करता है।
फिर कुकी मानों को डिक्रिप्ट किया जाता है, और सभी एकत्रित जानकारी को नामित लॉग फ़ाइल में जोड़ा जाता है सी: उपयोगकर्ता AppDataLocalTempCupdate, स्पष्ट पाठ में। यह कार्यक्षमता नामित CDumper फ़ंक्शंस में लागू की गई है कुकीग्रैब
(देखें REF _Ref126168131 घंटे आकृति 12
), इतिहास पकड़ो, और पासवर्ड पकड़ो. ध्यान दें कि CDumper में कोई एक्सफ़िल्टरेशन तंत्र लागू नहीं है, लेकिन मैंगो पिछले दरवाजे के कमांड के माध्यम से चयनित फ़ाइलों को एक्सफ़िल्टर कर सकता है।
बाह्य अंतरिक्ष और पहले दोनों में समुद्र मे अभियान में, ऑयलरिग ने एमकेजी नामक सी/सी++ क्रोम डेटा डम्पर का उपयोग किया। CDumper और EDumper की तरह, MKG भी ब्राउज़र से उपयोगकर्ता नाम और पासवर्ड, ब्राउज़िंग इतिहास और कुकीज़ चुराने में सक्षम था। यह क्रोम डेटा डम्पर आम तौर पर निम्नलिखित फ़ाइल स्थानों में तैनात किया जाता है (पहला स्थान सबसे आम है):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
विंडोज़ क्रेडेंशियल मैनेजर चोरी करने वाला
ब्राउज़र-डेटा डंपिंग टूल के अलावा, ऑयलरिग ने जूसी मिक्स अभियान में विंडोज क्रेडेंशियल मैनेजर चोरी करने वाले का भी उपयोग किया। यह टूल विंडोज़ क्रेडेंशियल मैनेजर से क्रेडेंशियल चुराता है, और CDumper और EDumper के समान, उन्हें इसमें संग्रहीत करता है % TEMP% निर्देशिका - इस बार नाम वाली फ़ाइल में आईअपडेट
(इसलिए नाम आईडम्पर)। CDumper और EDumper के विपरीत, IDumper को PowerShell स्क्रिप्ट के रूप में कार्यान्वित किया जाता है।
ब्राउज़र डम्पर टूल की तरह, ऑयलरिग के लिए विंडोज क्रेडेंशियल मैनेजर से क्रेडेंशियल एकत्र करना असामान्य नहीं है। पहले, ऑयलरिग के ऑपरेटरों को VALUEVAULT का उपयोग करते हुए देखा गया था सार्वजनिक रूप से उपलब्ध, गो-संकलित क्रेडेंशियल-चोरी उपकरण (देखें 2019 हार्डपास अभियान और एक 2020 अभियान), उसी उद्देश्य के लिए।
निष्कर्ष
ऑयलरिग रिमोट सिस्टम पर कमांड निष्पादित करने के नए तरीके ढूंढते हुए पिछले दरवाजे जैसी क्षमताओं के साथ नए प्रत्यारोपण और नए प्रत्यारोपण बनाना जारी रखता है। समूह ने जूसी मिक्स अभियान के लिए मैंगो नामक एक नया बैकडोर बनाने के लिए आउटर स्पेस अभियान से अपने C#/.NET सोलर बैकडोर में सुधार किया। समूह कस्टम पोस्ट-समझौता टूल का एक सेट तैनात करता है जिसका उपयोग प्रमुख ब्राउज़रों और विंडोज क्रेडेंशियल मैनेजर से क्रेडेंशियल, कुकीज़ और ब्राउज़िंग इतिहास एकत्र करने के लिए किया जाता है। इन नवाचारों के बावजूद, ऑयलरिग उपयोगकर्ता डेटा प्राप्त करने के लिए स्थापित तरीकों पर भरोसा करना जारी रखता है।
WeLiveSecurity पर प्रकाशित हमारे शोध के बारे में किसी भी पूछताछ के लिए, कृपया हमसे यहां संपर्क करें धमकीइंटेल@eset.com.
ईएसईटी रिसर्च निजी एपीटी खुफिया रिपोर्ट और डेटा फीड प्रदान करता है। इस सेवा के बारे में किसी भी पूछताछ के लिए, पर जाएँ ईएसईटी थ्रेट इंटेलिजेंस इस पृष्ठ पर ज़ूम कई वीडियो ट्यूटोरियल और अन्य साहायक साधन प्रदान करता है।
आईओसी
फ़ाइलें
शा 1 |
फ़ाइल का नाम |
ईएसईटी पहचान नाम |
Description |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
वीबीए/ऑयलरिग.सी |
दुर्भावनापूर्ण मैक्रो ड्रॉपिंग मैंगो वाला दस्तावेज़। |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
वीबीएस/ट्रोजनड्रॉपर.एजेंट.पीसीसी |
वीबीएस ड्रॉपर. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
सोलर.exe |
एमएसआईएल/ऑयलरिग.ई |
सौर पिछला दरवाजा. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
एमएसआईएल/ऑयलरिग.ई |
मैंगो बैकडोर (v1.0.0)। |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
मेनोराह.exe |
एमएसआईएल/ऑयलरिग.ई |
मैंगो बैकडोर (v1.1.1)। |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
एमएसआईएल/पीएसडब्ल्यू.एजेंट.एसएक्सजे |
एज डेटा डम्पर. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
एमएसआईएल/पीएसडब्ल्यू.एजेंट.एसएक्सजे |
क्रोम डेटा डम्पर. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
पॉवरशेल/पीएसडब्ल्यू.एजेंट.एएच |
विंडोज़ क्रेडेंशियल मैनेजर डम्पर। |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
एमकेजी - क्रोम डेटा डम्पर। |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
एमकेजी - क्रोम डेटा डम्पर। |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
एमकेजी - क्रोम डेटा डम्पर। |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
एमएसआईएल/ऑयलरिग.ए |
SC5k डाउनलोडर (32-बिट संस्करण)। |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
एमएसआईएल/ऑयलरिग.डी |
SC5k डाउनलोडर (64-बिट संस्करण)। |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
नोड.exe |
एमएसआईएल/ऑयलरिग.डी |
SC5k डाउनलोडर (64-बिट संस्करण)। |
नेटवर्क
IP |
डोमेन |
होस्टिंग प्रदाता |
पहले देखा |
विवरण |
199.102.48 [।] 42 |
tecforsc-001-site1.gtempurl[.]com |
मार्क्विसनेट |
2022-07-29 |
एन / ए |
MITER ATT&CK तकनीक
यह तालिका का उपयोग करके बनाई गई थी 13 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे का।
युक्ति |
ID |
नाम |
Description |
संसाधन विकास |
समझौता अवसंरचना: सर्वर |
आउटर स्पेस और जूसी मिक्स दोनों अभियानों में, ऑयलरिग ने दुर्भावनापूर्ण टूल और सी एंड सी संचार के लिए वैध वेबसाइटों से समझौता किया है। |
|
क्षमता विकसित करें: मैलवेयर |
ऑयलरिग ने अपने संचालन में उपयोग के लिए कस्टम बैकडोर (सोलर और मैंगो), एक डाउनलोडर (एससी5के), और क्रेडेंशियल-थेफ्ट टूल का एक सेट विकसित किया है। |
||
चरण क्षमताएं: मैलवेयर अपलोड करें |
ऑयलरिग ने अपने सी एंड सी सर्वर पर दुर्भावनापूर्ण घटकों को अपलोड किया है, और इसमें प्रीस्टेज्ड फ़ाइलें और कमांड संग्रहीत किए हैं ड्राफ्ट SC365k को डाउनलोड करने और निष्पादित करने के लिए Office 5 खाते की ईमेल निर्देशिका। |
||
स्टेज की क्षमताएं: अपलोड टूल |
ऑयलरिग ने अपने सी एंड सी सर्वर पर दुर्भावनापूर्ण उपकरण अपलोड किए हैं, और इसमें पूर्व-मंचित फ़ाइलें संग्रहीत की हैं ड्राफ्ट SC365k को डाउनलोड करने और निष्पादित करने के लिए Office 5 खाते की ईमेल निर्देशिका। |
||
प्रारंभिक पहुंच |
फ़िशिंग: स्पीयरफ़िशिंग अटैचमेंट |
ऑयलरिग ने संभवतः अपने आउटर स्पेस और जूसी मिक्स अभियानों को वीबीएस ड्रॉपर संलग्न करके फ़िशिंग ईमेल के माध्यम से वितरित किया। |
|
निष्पादन |
अनुसूचित कार्य/नौकरी: अनुसूचित कार्य |
ऑयलरिग के आईडम्पर, ईडम्पर और सीडम्पर उपकरण नामित निर्धारित कार्यों का उपयोग करते हैं अर्थात, ईडी , और घन अन्य उपयोगकर्ताओं के संदर्भ में स्वयं को निष्पादित करने के लिए। सोलर और मैंगो अपने मुख्य कार्यों को पुनरावृत्तीय रूप से निष्पादित करने के लिए टाइमर पर C#/.NET कार्य का उपयोग करते हैं। |
|
कमांड और स्क्रिप्टिंग दुभाषिया: पावरशेल |
ऑयलरिग का आईडीम्पर टूल निष्पादन के लिए पावरशेल का उपयोग करता है। |
||
कमांड और स्क्रिप्टिंग दुभाषिया: विंडोज कमांड शेल |
ऑयलरिग का सोलर, SC5k, IDumper, EDumper, और CDumper का उपयोग cmd.exe सिस्टम पर कार्यों को निष्पादित करने के लिए. |
||
कमांड और स्क्रिप्टिंग दुभाषिया: विजुअल बेसिक |
ऑयलरिग अपने सोलर और मैंगो बैकडोर को वितरित करने और बनाए रखने के लिए एक दुर्भावनापूर्ण वीबीस्क्रिप्ट का उपयोग करता है। |
||
मूल निवासी एपीआई |
ऑयलरिग का मैंगो पिछले दरवाजे का उपयोग करता है प्रक्रिया बनाइये निष्पादन के लिए विंडोज़ एपीआई। |
||
हठ |
अनुसूचित कार्य/नौकरी: अनुसूचित कार्य |
ऑयलरिग का वीबीएस ड्रॉपर नामक कार्य को शेड्यूल करता है अनुस्मारककार्य मैंगो बैकडोर के लिए दृढ़ता स्थापित करना। |
|
रक्षा चोरी |
बहाना बनाना: वैध नाम या स्थान का मिलान करें |
ऑयलरिग अपने मैलवेयर के लिए वैध या हानिरहित फ़ाइल नामों का उपयोग करता है ताकि खुद को रक्षकों और सुरक्षा सॉफ़्टवेयर से छिपाया जा सके। |
|
अस्पष्ट फ़ाइलें या सूचना: सॉफ़्टवेयर पैकिंग |
ऑयलरिग का प्रयोग किया गया है सैपियन स्क्रिप्ट पैकेजर और स्मार्टअसेंबली ऑबफस्केटर इसके IDumper टूल को अस्पष्ट करने के लिए। |
||
अस्पष्ट फ़ाइलें या जानकारी: एंबेडेड पेलोड |
ऑयलरिग के वीबीएस ड्रॉपर में बेस 64 सबस्ट्रिंग की एक श्रृंखला के रूप में दुर्भावनापूर्ण पेलोड अंतर्निहित हैं। |
||
बहाना बनाना: बहाना कार्य या सेवा |
वैध दिखने के लिए, मैंगो का वीबीएस ड्रॉपर विवरण के साथ एक कार्य शेड्यूल करता है एक निश्चित समय पर नोटपैड प्रारंभ करें. |
||
संकेतक हटाना: स्पष्ट दृढ़ता |
ऑयलरिग के समझौता-पश्चात उपकरण एक निश्चित समय अवधि के बाद अपने निर्धारित कार्यों को हटा देते हैं। |
||
फाइलों या सूचनाओं को डिओबफसकेट/डीकोड करें |
ऑयलरिग अपने स्ट्रिंग्स और एम्बेडेड पेलोड की सुरक्षा के लिए कई अस्पष्टीकरण विधियों का उपयोग करता है। |
||
सबवर्ट ट्रस्ट नियंत्रण |
SC5k एक डाउनलोड साइट के रूप में Office 365 का उपयोग करता है, जो आम तौर पर एक विश्वसनीय तृतीय पक्ष है और अक्सर रक्षकों द्वारा इसे अनदेखा कर दिया जाता है। |
||
रक्षा को कमजोर करना |
ऑयलरिग के मैंगो बैकडोर में एंडपॉइंट सुरक्षा समाधानों को विशिष्ट प्रक्रियाओं में उनके उपयोगकर्ता-मोड कोड को लोड करने से रोकने की (अभी तक) अप्रयुक्त क्षमता है। |
||
क्रेडेंशियल एक्सेस |
पासवर्ड स्टोर से क्रेडेंशियल: वेब ब्राउज़र से क्रेडेंशियल |
ऑयलरिग के कस्टम टूल एमकेजी, सीडम्पर और ईडम्पर क्रोम और एज ब्राउज़र से क्रेडेंशियल, कुकीज़ और ब्राउज़िंग इतिहास प्राप्त कर सकते हैं। |
|
पासवर्ड स्टोर से क्रेडेंशियल: विंडोज क्रेडेंशियल मैनेजर |
ऑयलरिग का कस्टम क्रेडेंशियल डंपिंग टूल आईडीम्पर विंडोज क्रेडेंशियल मैनेजर से क्रेडेंशियल चुरा सकता है। |
||
खोज |
सिस्टम सूचना डिस्कवरी |
मैंगो को समझौता किया गया कंप्यूटर नाम प्राप्त होता है। |
|
फ़ाइल और निर्देशिका डिस्कवरी |
मैंगो के पास एक निर्दिष्ट निर्देशिका की सामग्री की गणना करने का आदेश है। |
||
सिस्टम ओनर/यूजर डिस्कवरी |
मैंगो को पीड़ित का उपयोगकर्ता नाम प्राप्त होता है। |
||
खाता खोज: स्थानीय खाता |
ऑयलरिग के EDumper, CDumper, और IDumper उपकरण समझौता किए गए होस्ट पर सभी उपयोगकर्ता खातों की गणना कर सकते हैं। |
||
ब्राउज़र सूचना खोज |
एमकेजी क्रोम इतिहास और बुकमार्क को हटा देता है। |
||
आदेश और नियंत्रण |
अनुप्रयोग परत प्रोटोकॉल: वेब प्रोटोकॉल |
मैंगो C&C संचार में HTTP का उपयोग करता है। |
|
प्रवेश उपकरण स्थानांतरण |
मैंगो में बाद के निष्पादन के लिए C&C सर्वर से अतिरिक्त फ़ाइलें डाउनलोड करने की क्षमता है। |
||
डेटा अस्पष्टता |
सोलर और SC5k आराम और पारगमन में डेटा को अस्पष्ट करने के लिए gzip संपीड़न के साथ एक सरल XOR-एन्क्रिप्शन विधि का उपयोग करते हैं। |
||
वेब सेवा: द्विदिश संचार |
SC5k फ़ाइलों को डाउनलोड करने और फ़ाइलों को अपलोड करने के लिए Office 365 का उपयोग करता है ड्राफ्ट एक वैध ईमेल खाते में निर्देशिका। |
||
डेटा एन्कोडिंग: मानक एन्कोडिंग |
सोलर, मैंगो और एमकेजी बेस64 डेटा को सी एंड सी सर्वर पर भेजने से पहले डीकोड करता है। |
||
एन्क्रिप्टेड चैनल: सममित क्रिप्टोग्राफी |
मैंगो कुंजी के साथ एक XOR सिफर का उपयोग करता है प्रश्न&4जी C&C संचार में डेटा एन्क्रिप्ट करने के लिए। |
||
एन्क्रिप्टेड चैनल: असममित क्रिप्टोग्राफी |
मैंगो सी एंड सी संचार के लिए टीएलएस का उपयोग करता है। |
||
exfiltration |
C2 चैनल पर एक्सफिल्ट्रेशन |
मैंगो, सोलर और SC5k एक्सफिल्ट्रेशन के लिए अपने C&C चैनलों का उपयोग करते हैं। |
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 1
- 10
- 11
- 12
- 13
- 14
- 15% तक
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- योग्य
- About
- ऊपर
- लेखा
- अकौन्टस(लेखा)
- कार्य
- सक्रिय
- सक्रिय रूप से
- गतिविधियों
- अभिनेताओं
- जोड़ा
- इसके अलावा
- अतिरिक्त
- इसके अतिरिक्त
- पता
- पतों
- जोड़ता है
- बाद
- बाद में
- के खिलाफ
- एजेंट
- उद्देश्य से
- सब
- की अनुमति दी
- अल्मा
- साथ में
- साथ - साथ
- वर्णमाला
- भी
- के बीच में
- an
- विश्लेषण
- विश्लेषण किया
- और
- अन्य
- कोई
- एपीआई
- एपीआई
- दिखाई देते हैं
- प्रकट होता है
- लागू
- APT
- अरब
- अरब अमीरात
- पुरालेख
- हैं
- तर्क
- ऐरे
- AS
- इकट्ठे
- विधानसभा
- खगोल
- At
- आक्रमण
- स्वचालित
- स्वतः
- पिछले दरवाजे
- पिछले दरवाजे
- पृष्ठभूमि
- आधारित
- बुनियादी
- BE
- किया गया
- से पहले
- शुरू किया
- पीछे
- जा रहा है
- नीचे
- के अतिरिक्त
- के बीच
- खंड
- परिवर्तन
- बुकमार्क
- के छात्रों
- ब्राउज़र
- ब्राउज़रों
- ब्राउजिंग
- बनाया गया
- व्यापार
- लेकिन
- by
- कॉल
- बुलाया
- कॉल
- अभियान
- अभियान
- कर सकते हैं
- क्षमताओं
- क्षमता
- किया
- मामला
- कुछ
- परिवर्तन
- बदल
- परिवर्तन
- चैनल
- चैनलों
- विशेषता
- अक्षर
- रासायनिक
- चुनाव
- चुना
- Chrome
- बीजलेख
- स्पष्ट
- कोड
- इकट्ठा
- एकत्रित
- COM
- संयुक्त
- सामान्य
- सामान्यतः
- संवाद
- संचार
- संचार
- कंपनी का है
- घटकों
- समझौता
- छेड़छाड़ की गई
- कंप्यूटर
- विन्यास
- पुष्टि
- जुडिये
- जोड़ता है
- संपर्क करें
- शामिल
- सामग्री
- प्रसंग
- निरंतर
- जारी
- परिवर्तित
- कुकीज़
- सका
- बनाना
- बनाता है
- बनाना
- निर्माण
- क्रेडेंशियल
- साख
- वर्तमान
- रिवाज
- तिथि
- डेटाबेस
- डिक्रिप्ट
- प्रतिरक्षक
- उद्धार
- तैनात
- तैनात
- तैनाती
- तैनात
- निकाली गई
- वर्णित
- विवरण
- के बावजूद
- विस्तृत
- पता चला
- खोज
- विकसित
- विभिन्न
- की खोज
- खोज
- दिखाया गया है
- वितरित
- विभाजित
- दस्तावेज़
- कर देता है
- डाउनलोड
- डाउनलोड
- मसौदा
- बूंद
- गिरा
- छोड़ने
- ड्रॉप
- फेंकना
- से प्रत्येक
- पूर्व
- पूर्व
- पूर्वी
- Edge
- भी
- ईमेल
- ईमेल
- एम्बेडेड
- अमीरात
- कार्यरत
- सक्षम
- एन्क्रिप्टेड
- एन्क्रिप्शन
- endpoint
- एंडपॉइंट सुरक्षा
- ऊर्जा
- मोहक
- जासूसी
- स्थापित करना
- स्थापित
- अपवंचन
- प्रत्येक
- उदाहरण
- एक्सचेंज
- अनन्य रूप से
- निष्पादित
- मार डाला
- निष्पादित करता है
- को क्रियान्वित
- निष्पादन
- एक्सफ़िलिएशन
- अर्क
- उल्लू बनाना
- पट्टिका
- फ़ाइलें
- अंत में
- वित्तीय
- खोज
- निष्कर्ष
- प्रथम
- फिटिंग
- प्रवाह
- फोकस
- केंद्रित
- निम्नलिखित
- इस प्रकार है
- के लिए
- प्रारूप
- पाया
- ढांचा
- से
- 2021 से
- समारोह
- कार्यक्षमताओं
- कार्यक्षमता
- कार्यों
- आगे
- भविष्य
- सभा
- आम तौर पर
- उत्पन्न
- उत्पन्न करता है
- वैश्विक
- लक्ष्य
- गूगल
- Google Chrome
- सरकार
- सरकारों
- समूह
- समूह की
- हैंडल
- हैश
- है
- स्वास्थ्य सेवा
- इसलिये
- यहाँ उत्पन्न करें
- HEX
- छिपाना
- इतिहास
- कांटों
- मेजबान
- कैसे
- एचटीएमएल
- http
- HTTPS
- मानव
- मानव संसाधन
- ID
- समान
- पहचानकर्ता
- if
- की छवि
- कार्यान्वित
- औजार
- उन्नत
- in
- शामिल
- सहित
- वास्तव में
- पता
- करें-
- इंफ्रास्ट्रक्चर
- प्रारंभिक
- कुछ नया
- नवाचारों
- पूछताछ
- installed
- बजाय
- निर्देश
- बुद्धि
- आंतरिक
- में
- शुरू की
- ईरान
- इजराइल
- IT
- आईटी इस
- खुद
- काम
- JSON
- जुलाई
- केवल
- रखना
- कुंजी
- जानने वाला
- पिछली बार
- शुभारंभ
- परत
- कम से कम
- लेबनान
- बाएं
- वैध
- पसंद
- संभावित
- लाइन
- LINK
- लिंक्डइन
- सूची
- सूचीबद्ध
- लिस्टिंग
- सूचियाँ
- लोड हो रहा है
- स्थानीय
- स्थान
- स्थानों
- लॉग इन
- लंबा
- देख
- मशीन
- मैक्रो
- मैक्रोज़
- मुख्य
- प्रमुख
- मैलवेयर
- प्रबंधक
- मार्लिन
- बहाना
- मैच
- MD5
- तंत्र
- याद
- उल्लेख किया
- message
- संदेश
- मेटाडाटा
- तरीका
- तरीकों
- माइक्रोसॉफ्ट
- मध्यम
- मध्य पूर्व
- मिलान
- मिलीसेकेंड
- मिनटों
- मिश्रण
- मोड
- और भी
- अधिकांश
- अधिकतर
- चाल
- विभिन्न
- नाम
- नामांकित
- यानी
- नामों
- नामकरण
- राष्ट्रीय
- देशी
- जाल
- फिर भी
- नया
- अगला
- NIST
- नहीं
- प्रसिद्ध
- विशेष रूप से
- संख्या
- संख्या
- प्राप्त
- प्राप्त
- हुआ
- of
- ऑफर
- Office
- अक्सर
- on
- ONE
- केवल
- संचालन
- ऑपरेटरों
- विकल्प
- or
- आदेश
- संगठन
- संगठनों
- अन्य
- हमारी
- आउट
- बाह्य अंतरिक्ष
- उत्पादन
- के ऊपर
- ओवरराइड
- सिंहावलोकन
- पृष्ठ
- प्राचल
- पैरामीटर
- पार्टी
- पासवर्ड
- पासवर्ड
- पथ
- पीडीएफ
- प्रदर्शन
- अवधि
- हठ
- फ़िशिंग
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- कृप्या अ
- बिन्दु
- अंक
- द्वार
- स्थिति
- संभवतः
- पद
- PowerShell का
- वास्तव में
- पूर्वज
- पिछला
- पहले से
- प्राथमिक
- निजी
- शायद
- प्रक्रिया
- प्रसंस्कृत
- प्रक्रियाओं
- एस्ट्रो मॉल
- रक्षा करना
- प्रोटोकॉल
- प्रदान करना
- प्रकाशित
- उद्देश्य
- प्रश्नों
- बिना सोचे समझे
- बल्कि
- पढ़ना
- प्राप्त
- हाल
- रजिस्टर
- सम्बंधित
- भरोसा करना
- दूरस्थ
- हटाने
- हटाया
- प्रतिस्थापित
- रिपोर्ट
- रिपोर्ट
- का अनुरोध
- अनुसंधान
- शोधकर्ताओं
- उपयुक्त संसाधन चुनें
- क्रमश
- प्रतिक्रिया
- जिम्मेदार
- बाकी
- जिसके परिणामस्वरूप
- परिणाम
- वापसी
- की समीक्षा
- रिग
- रन
- दौड़ना
- s
- वही
- सहेजें
- बचाया
- बचत
- देखा
- अनुसूची
- अनुसूचित
- योजना
- योजनाओं
- लिपि
- एसईए
- दूसरा
- सेकंड
- अनुभाग
- सेक्टर्स
- सुरक्षा
- देखना
- देखा
- चयनित
- चयन
- भेजना
- भेजता
- भेजा
- कई
- सेवा
- सर्वर
- सर्वर
- सेवा
- सेवाएँ
- सेट
- कई
- शार्क
- खोल
- दिखाया
- दिखाता है
- समान
- समानता
- सरल
- के बाद से
- साइट
- छोटा
- So
- सॉफ्टवेयर
- सौर
- समाधान ढूंढे
- कुछ
- अंतरिक्ष
- विशिष्ट
- विनिर्दिष्ट
- विस्तार
- स्टैकिंग
- ट्रेनिंग
- मचान
- मानक
- शुरू होता है
- चुरा
- कदम
- कदम
- चुराया
- रुकें
- संग्रहित
- भंडार
- तार
- आगामी
- इसके बाद
- ऐसा
- समर्थन करता है
- बंद कर
- प्रतीक
- प्रणाली
- सिस्टम
- तालिका
- लिया
- लेता है
- लक्ष्य
- लक्षित
- को लक्षित
- लक्ष्य
- कार्य
- कार्य
- तकनीकी
- तकनीकी विश्लेषण
- दूरसंचार
- से
- कि
- RSI
- लेकिन हाल ही
- उन
- अपने
- फिर
- वहाँ।
- इन
- वे
- चीज़ें
- तीसरा
- इसका
- धमकी
- खतरों के खिलाड़ी
- खतरे की रिपोर्ट
- भर
- इस प्रकार
- विफल
- संबंध
- पहर
- शीर्षक
- सेवा मेरे
- साधन
- उपकरण
- ऊपर का
- पारगमन
- परिवहन
- ट्रस्ट
- विश्वस्त
- दो
- टाइप
- ठेठ
- आम तौर पर
- असामान्य
- के अंतर्गत
- यूनाइटेड
- संयुक्त अरब
- संयुक्त अरब अमीरात
- भिन्न
- अप्रयुक्त
- अद्यतन
- अपलोड की गई
- अपलोड हो रहा है
- के ऊपर
- यूआरएल
- us
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग करता है
- का उपयोग
- v1
- मूल्य
- मान
- परिवर्तनशील
- विविधता
- विभिन्न
- संस्करण
- संस्करण जानकारी
- संस्करणों
- कार्यक्षेत्र
- बहुत
- के माध्यम से
- शिकार
- शिकार
- भेंट
- दौरा
- चेतावनी
- था
- तरीके
- we
- वेब
- वेब सर्वर
- वेब सेवाओं
- वेबसाइट
- वेबसाइटों
- कुंआ
- थे
- कौन कौन से
- जब
- पूरा का पूरा
- चौडाई
- मर्जी
- खिड़कियां
- साथ में
- अंदर
- शब्द
- वर्कफ़्लो
- काम कर रहे
- लिख रहे हैं
- लिखा हुआ
- हाँ
- अभी तक
- जेफिरनेट