टेस्लागन पिछले दरवाजे से साइबर हमलों की एक नई लहर को बढ़ावा देने के लिए तैयार है, प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

टेस्लागन पिछले दरवाजे से साइबर हमलों की एक नई लहर को जन्म देने के लिए तैयार है

टाइम स्टैम्प: 6 सितंबर, 2022 शाम 4:16 बजे

टेस्लागन नामक एक नए खोजे गए साइबर हमले पैनल की खोज की गई है, जिसका उपयोग एविल कॉर्प द्वारा सर्वहेल्पर बैकडोर अभियान चलाने के लिए किया गया था।

प्रोड्राफ्ट थ्रेट इंटेलिजेंस (पीटीआई) टीम के विश्लेषण से प्राप्त डेटा से पता चलता है कि एविल कॉर्प रैंसमवेयर गिरोह (उर्फ टीए505 या यूएनसी2165, आधा दर्जन अन्य रंगीन ट्रैकिंग नामों के साथ) ने बड़े पैमाने पर फ़िशिंग अभियान चलाने और अधिक के खिलाफ लक्षित अभियान चलाने के लिए टेस्लागन का उपयोग किया है। 8,000 से अधिक विभिन्न संगठन और व्यक्ति। अधिकांश लक्ष्य अमेरिका में रहे हैं, जहां 3,600 से अधिक पीड़ित मारे गए, इसके अलावा अंतरराष्ट्रीय स्तर पर वितरण फैला हुआ है।

सर्वहेल्पर बैकडोर मैलवेयर का निरंतर विस्तार हुआ है, एक लंबे समय से चलने वाला और लगातार अपडेट किया जाने वाला पैकेज जो कम से कम 2019 से सक्रिय है। एक के अनुसार, 2021 की दूसरी छमाही में इसने एक बार फिर से तेजी पकड़नी शुरू कर दी है। सिस्को टैलोस की रिपोर्ट, नकली इंस्टॉलर और रैकून और अमाडे जैसे संबंधित इंस्टॉलर मैलवेयर जैसे तंत्रों द्वारा प्रेरित। 

अभी हाल में ही, ट्रेलिक्स से खतरे की खुफिया जानकारी पिछले महीने रिपोर्ट आई थी कि सर्वहेल्पर बैकडोर को हाल ही में सिस्टम पर छिपे हुए क्रिप्टोमिनर्स को गिराते हुए पाया गया है।

पीटीआई की रिपोर्टमंगलवार को जारी किया गया, टेस्लागन के पीछे की तकनीकी विशिष्टताओं पर प्रकाश डालता है, और कुछ विवरण और सुझाव प्रदान करता है जो उद्यमों को आज प्रचलित कुछ बैकडोर साइबर हमले के रुझानों के लिए महत्वपूर्ण जवाबी उपायों के साथ आगे बढ़ने में मदद कर सकते हैं।

पिछले दरवाजे के हमले जो प्रमाणीकरण तंत्र को दरकिनार करते हैं और चुपचाप एंटरप्राइज़ सिस्टम पर दृढ़ता स्थापित करते हैं, साइबर सुरक्षा रक्षकों के लिए सबसे अधिक परेशान करने वाले हैं। ऐसा इसलिए है क्योंकि मानक सुरक्षा नियंत्रणों के साथ इन हमलों का पता लगाना या रोकना बेहद मुश्किल है। 

पिछले दरवाजे से हमलावर अपनी आक्रमण संपत्तियों में विविधता लाते हैं

पीटीआई के शोधकर्ताओं ने कहा कि उन्होंने अपनी जांच के दौरान विभिन्न पीड़ित प्रोफाइलों और अभियानों की एक विस्तृत श्रृंखला देखी, पिछले शोध का समर्थन करते हुए दिखाया कि सर्वहेल्पर हमले एक साथ विभिन्न अभियानों में पीड़ितों की तलाश कर रहे हैं। यह अवसरवादी हिट के लिए व्यापक जाल बिछाने का एक ट्रेडमार्क आक्रमण पैटर्न है।

रिपोर्ट में बताया गया है, "टेस्लागन कंट्रोल पैनल के एक उदाहरण में विभिन्न वितरण विधियों और हमले के डेटा का प्रतिनिधित्व करने वाले कई अभियान रिकॉर्ड शामिल हैं।" "मैलवेयर के नए संस्करण इन विभिन्न अभियानों को अभियान आईडी के रूप में एन्कोड करते हैं।"

लेकिन साइबर हमलावर सक्रिय रूप से पीड़ितों की प्रोफ़ाइल बनाएंगे

साथ ही, टेस्लागन में इस बात के बहुत सारे सबूत हैं कि हमलावर पीड़ितों की प्रोफाइलिंग कर रहे हैं, कुछ बिंदुओं पर प्रचुर नोट ले रहे हैं और लक्षित पिछले दरवाजे से हमले कर रहे हैं।

“पीटीआई टीम ने देखा कि टेस्लागन पैनल के मुख्य डैशबोर्ड में पीड़ित रिकॉर्ड से जुड़ी टिप्पणियाँ शामिल हैं। ये रिकॉर्ड पीड़ित डिवाइस डेटा जैसे सीपीयू, जीपीयू, रैम आकार और इंटरनेट कनेक्शन की गति दिखाते हैं, रिपोर्ट में कहा गया है, यह क्रिप्टोमाइनिंग अवसरों के लिए लक्ष्यीकरण को इंगित करता है। "दूसरी ओर, पीड़ित की टिप्पणियों के अनुसार, यह स्पष्ट है कि TA505 सक्रिय रूप से क्रिप्टो-वॉलेट और ई-कॉमर्स खातों सहित ऑनलाइन बैंकिंग या खुदरा उपयोगकर्ताओं की तलाश कर रहा है।"

रिपोर्ट में कहा गया है कि ज्यादातर पीड़ित वित्तीय क्षेत्र में काम करते प्रतीत होते हैं लेकिन यह लक्ष्य विशेष नहीं है।

पुनर्विक्रय पिछले दरवाजे से मुद्रीकरण का एक महत्वपूर्ण हिस्सा है

रिपोर्ट में कहा गया है कि जिस तरह से नियंत्रण कक्ष के उपयोगकर्ता विकल्प स्थापित किए गए हैं, उससे शोधकर्ताओं को समूह की "वर्कफ़्लो और वाणिज्यिक रणनीति" के बारे में बहुत सारी जानकारी मिलती है। उदाहरण के लिए, कुछ फ़िल्टरिंग विकल्पों को "बेचें" और "बेचें 2" लेबल किया गया था, इन समूहों के पीड़ितों के पास पैनल के माध्यम से दूरस्थ डेस्कटॉप प्रोटोकॉल (आरडीपी) अस्थायी रूप से अक्षम थे।

रिपोर्ट के अनुसार, "इसका मतलब शायद यह है कि TA505 उन विशेष पीड़ितों का शोषण करके तुरंत लाभ नहीं कमा सकता है।" "उन्हें जाने देने के बजाय, समूह ने उन पीड़ितों के आरडीपी कनेक्शन को अन्य साइबर अपराधियों को पुनर्विक्रय के लिए टैग कर दिया है।"

पीटीआई की रिपोर्ट में कहा गया है कि शोधकर्ताओं की टिप्पणियों के आधार पर, समूह की आंतरिक संरचना "आश्चर्यजनक रूप से अव्यवस्थित" थी, लेकिन इसके सदस्य अभी भी "अपने पीड़ितों की सावधानीपूर्वक निगरानी करते हैं और विशेष रूप से वित्त क्षेत्र में उच्च मूल्य वाले पीड़ितों के साथ उल्लेखनीय धैर्य प्रदर्शित कर सकते हैं।"

विश्लेषण में आगे कहा गया है कि समूह की ताकत इसकी चपलता है, जिससे गतिविधि की भविष्यवाणी करना और समय के साथ पता लगाना कठिन हो जाता है।

फिर भी, पिछले दरवाजे से हमला करने वाले परिपूर्ण नहीं हैं, और यह साइबर सुरक्षा पेशेवरों के लिए कुछ सुराग प्रदान कर सकता है जो उनके प्रयासों को विफल करना चाहते हैं।

हालाँकि, समूह कुछ स्पष्ट कमज़ोरियाँ प्रदर्शित करता है। जबकि TA505 पीड़ितों के उपकरणों पर महीनों तक छिपे हुए कनेक्शन बनाए रख सकता है, इसके सदस्य अक्सर असामान्य रूप से शोर करते हैं, ”रिपोर्ट में कहा गया है। “सर्वहेल्पर स्थापित करने के बाद, TA505 खतरा अभिनेता आरडीपी टनलिंग के माध्यम से पीड़ित डिवाइस से मैन्युअल रूप से कनेक्ट हो सकते हैं। इन सुरंगों का पता लगाने में सक्षम सुरक्षा प्रौद्योगिकियाँ TA505 के पिछले दरवाजे के हमलों को पकड़ने और कम करने के लिए महत्वपूर्ण साबित हो सकती हैं।

रूस से जुड़ा (और स्वीकृत) एविल कॉर्प पिछले पांच वर्षों में सबसे विपुल समूहों में से एक रहा है। के अनुसार अमेरिकी सरकारयह समूह वित्तीय ट्रोजन ड्रिडेक्स के पीछे ब्रेन ट्रस्ट है और इसका वेस्टेडलॉकर जैसे रैंसमवेयर वेरिएंट का उपयोग करने वाले अभियानों से जुड़ाव है। यह अपने शस्त्रागार के लिए हथियारों की एक श्रृंखला को भी तराशना जारी रखता है; पिछले हफ्ते ये बात सामने आई कि ये किससे जुड़ा है रास्पबेरी रॉबिन संक्रमण.

पीटीआई खतरे को ट्रैक करने के लिए TA505 का उपयोग करता है, और सर्वसम्मति ठोस है लेकिन यह सर्वविदित नहीं है कि TA505 और एविल कॉर्प एक ही समूह हैं। पिछले महीने की एक रिपोर्ट स्वास्थ्य क्षेत्र साइबर सुरक्षा समन्वय केंद्र (HC3) कहा कि यह "वर्तमान में उस निष्कर्ष का समर्थन नहीं करता है।"

समय टिकट:

से अधिक डार्क रीडिंग