रेम्कोसआरएटी रिमोट सर्विलांस और कंट्रोल टूल के साथ यूक्रेन में संगठनों को बार-बार निशाना बनाने के लिए जाना जाने वाला एक खतरा अभिनेता फिर से वापस आ गया है, इस बार एंडपॉइंट डिटेक्शन और रिस्पॉन्स सिस्टम को ट्रिगर किए बिना डेटा ट्रांसफर करने की एक नई रणनीति के साथ।
UNC-0050 के रूप में ट्रैक किया गया प्रतिद्वंद्वी, अपने नवीनतम अभियान में यूक्रेनी सरकारी संस्थाओं पर केंद्रित है। इसे देखने वाले अपटीक्स के शोधकर्ताओं ने कहा कि ये हमले राजनीति से प्रेरित हो सकते हैं, जिनका लक्ष्य यूक्रेनी सरकारी एजेंसियों से विशिष्ट खुफिया जानकारी इकट्ठा करना है। अपटीक्स के शोधकर्ता कार्तिककुमार कथिरेसन और शिल्पेश त्रिवेदी ने कहा, "हालांकि राज्य प्रायोजन की संभावना अटकलें बनी हुई है, समूह की गतिविधियां विशेष रूप से विंडोज सिस्टम पर निर्भर सरकारी क्षेत्रों के लिए एक निर्विवाद जोखिम पैदा करती हैं।" इस सप्ताह एक रिपोर्ट में लिखा.
रेम्कोसआरएटी खतरा
धमकी देने वाले कलाकार इस्तेमाल करते रहे हैं रेमकोसआरएटी - जिसने कम से कम 2016 से समझौता किए गए सिस्टम को नियंत्रित करने के लिए एक वैध दूरस्थ प्रशासन उपकरण के रूप में जीवन शुरू किया। अन्य बातों के अलावा, यह उपकरण हमलावरों को सिस्टम, उपयोगकर्ता और प्रोसेसर की जानकारी इकट्ठा करने और घुसपैठ करने की अनुमति देता है। यह उपमार्ग कई एंटीवायरस और एंडपॉइंट खतरे का पता लगाने वाले उपकरण और विभिन्न प्रकार के बैकडोर कमांड निष्पादित करते हैं। कई मामलों में धमकी देने वाले अभिनेताओं ने फ़िशिंग ईमेल में अनुलग्नकों में मैलवेयर वितरित किया है।
Uptycs अभी तक नवीनतम अभियान में प्रारंभिक आक्रमण वेक्टर को निर्धारित करने में सक्षम नहीं हुआ है, लेकिन कहा है कि यह जॉब-थीम वाले फ़िशिंग और स्पैम ईमेल की ओर झुक रहा है क्योंकि संभवतः यह मैलवेयर वितरण विधि है। सुरक्षा विक्रेता ने अपना आकलन उन ईमेलों पर आधारित किया जिनकी उसने समीक्षा की थी, जिनमें लक्षित यूक्रेनी सैन्य कर्मियों को इज़राइल के रक्षा बलों में परामर्शी भूमिकाओं की पेशकश करने का दावा किया गया था।
संक्रमण श्रृंखला स्वयं एक .lnk फ़ाइल से शुरू होती है जो समझौता किए गए सिस्टम के बारे में जानकारी एकत्र करती है और फिर विंडोज नेटिव बाइनरी का उपयोग करके एक हमलावर-नियंत्रित रिमोट सर्वर से 6.hta नाम का एक HTML ऐप पुनर्प्राप्त करती है, Uptycs ने कहा। पुनर्प्राप्त ऐप में एक पावरशेल स्क्रिप्ट शामिल है जो एक हमलावर-नियंत्रित डोमेन से दो अन्य पेलोड फ़ाइलों (word_update.exe और ofer.docx) को डाउनलोड करने के लिए कदम उठाती है और - अंततः - सिस्टम पर RemcosRAT स्थापित करने के लिए।
कुछ हद तक दुर्लभ युक्ति
UNC-0050 के नए अभियान को जो चीज़ अलग बनाती है, वह है थ्रेट एक्टर का उपयोग विंडोज़ इंटरप्रोसेस संचार समझौता किए गए सिस्टम पर डेटा स्थानांतरित करने के लिए अनाम पाइप नामक सुविधा। जैसा कि माइक्रोसॉफ्ट इसका वर्णन करता है, एक अनाम पाइप माता-पिता और बच्चे की प्रक्रिया के बीच डेटा स्थानांतरित करने के लिए एक-तरफ़ा संचार चैनल है। काथिरेसन और त्रिवेदी ने कहा कि UNC-0050 किसी भी EDR या एंटीवायरस अलर्ट को ट्रिगर किए बिना डेटा को गुप्त रूप से चैनल करने की सुविधा का लाभ उठा रहा है।
यूएनसी-0050 चुराए गए डेटा को बाहर निकालने के लिए पाइप का उपयोग करने वाला पहला खतरनाक अभिनेता नहीं है, लेकिन यह रणनीति अपेक्षाकृत दुर्लभ है, अपटीक्स शोधकर्ताओं ने नोट किया। "हालांकि यह पूरी तरह से नई नहीं है, यह तकनीक समूह की रणनीतियों के परिष्कार में एक महत्वपूर्ण छलांग लगाती है," उन्होंने कहा।
यह पहली बार नहीं है कि सुरक्षा शोधकर्ताओं ने UAC-0050 को यूक्रेन में लक्ष्यों को RemcosRAT वितरित करने का प्रयास करते हुए देखा है। पिछले साल कई मौकों पर, यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-यूए) ने देश में संगठनों को रिमोट एक्सेस ट्रोजन वितरित करने के लिए खतरे वाले अभिनेता द्वारा अभियानों की चेतावनी दी थी।
सबसे हालिया था एक 21 दिसंबर, 2023 को सलाह, एक बड़े पैमाने पर फ़िशिंग अभियान के बारे में जिसमें अनुलग्नक के साथ ईमेल शामिल थे, जो कि यूक्रेन के सबसे बड़े दूरसंचार प्रदाताओं में से एक, कीवस्टार से जुड़ा एक अनुबंध था। इससे पहले दिसंबर में CERT-UA ने एक और चेतावनी दी थी RemcosRAT बड़े पैमाने पर वितरण अभियान, इसमें यूक्रेन और पोलैंड में संगठनों और व्यक्तियों को लक्षित करने वाले "न्यायिक दावों" और "ऋण" के बारे में ईमेल शामिल है। ईमेल में एक संग्रह फ़ाइल या RAR फ़ाइल के रूप में एक अनुलग्नक शामिल था।
सीईआरटी-यूए ने पिछले साल तीन अन्य मौकों पर इसी तरह के अलर्ट जारी किए थे, नवंबर में एक बार अदालत के सम्मन-थीम वाले ईमेल प्रारंभिक डिलीवरी माध्यम के रूप में काम कर रहे थे; दूसरा, नवंबर में भी, कथित तौर पर यूक्रेन की सुरक्षा सेवा से ईमेल के साथ; और फरवरी 2023 में संलग्नक के साथ एक बड़े पैमाने पर ईमेल अभियान के बारे में पहला, जो कीव में एक जिला अदालत से जुड़ा हुआ प्रतीत होता है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- :हैस
- :है
- :नहीं
- 2016
- 2023
- 7
- a
- योग्य
- About
- पहुँच
- गतिविधियों
- अभिनेताओं
- प्रशासन
- लाभ
- फिर
- एजेंसियों
- चेतावनियाँ
- कथित तौर पर
- की अनुमति देता है
- भी
- हालांकि
- के बीच में
- an
- और
- गुमनाम
- अन्य
- एंटीवायरस
- कोई
- अनुप्रयोग
- छपी
- पुरालेख
- AS
- आकलन
- जुड़े
- At
- आक्रमण
- आक्रमण
- प्रयास करने से
- वापस
- पिछले दरवाजे
- आधारित
- BE
- किया गया
- जा रहा है
- के बीच
- लेकिन
- by
- बुलाया
- अभियान
- अभियान
- कर सकते हैं
- श्रृंखला
- चैनल
- बच्चा
- का दावा है
- एकत्रित
- संचार
- छेड़छाड़ की गई
- कंप्यूटर
- परामर्श
- निहित
- शामिल हैं
- अनुबंध
- नियंत्रण
- देश
- कोर्ट
- तिथि
- दिसम्बर
- दिसंबर
- रक्षा
- प्रसव
- वर्णन करता है
- खोज
- निर्धारित करना
- विभिन्न
- बांटो
- वितरित
- वितरण
- ज़िला
- जिला अदालत
- डोमेन
- डाउनलोड
- पूर्व
- ईमेल
- ईमेल
- आपात स्थिति
- endpoint
- पूरी तरह से
- संस्थाओं
- विशेष रूप से
- निष्पादित
- दूर
- Feature
- फरवरी
- पट्टिका
- फ़ाइलें
- प्रथम
- पहली बार
- ध्यान केंद्रित
- के लिए
- ताकतों
- प्रपत्र
- से
- इकट्ठा
- लक्ष्य
- सरकार
- सरकारी एजेंसियों
- सरकारी संस्थाएं
- समूह
- है
- एचटीएमएल
- HTTPS
- in
- व्यक्तियों
- करें-
- प्रारंभिक
- आरंभ
- स्थापित
- बुद्धि
- शामिल
- इजराइल
- जारी किए गए
- IT
- आईटी इस
- खुद
- जेपीजी
- अदालती
- केवल
- जानने वाला
- सबसे बड़ा
- पिछली बार
- पिछले साल
- ताज़ा
- छलांग
- कम से कम
- वैध
- जीवन
- संभावित
- बनाता है
- मैलवेयर
- बहुत
- सामूहिक
- मई..
- तरीका
- माइक्रोसॉफ्ट
- सैन्य
- अधिकांश
- प्रेरित
- विभिन्न
- नामांकित
- देशी
- नया
- विख्यात
- नवंबर
- अवसरों
- of
- प्रस्ताव
- on
- ONE
- or
- संगठनों
- अन्य
- कर्मियों को
- फ़िशिंग
- फ़िशिंग अभियान
- पाइप
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- पोलैंड
- राजनीतिक रूप से
- ढोंग
- संभावना
- PowerShell का
- प्रक्रिया
- प्रोसेसर
- प्रदाताओं
- दुर्लभ
- हाल
- अपेक्षाकृत
- बाकी है
- दूरस्थ
- सुदूर अभिगम
- बार बार
- रिपोर्ट
- शोधकर्ताओं
- प्रतिक्रिया
- समीक्षा
- जोखिम
- भूमिकाओं
- s
- कहा
- लिपि
- सेक्टर्स
- सुरक्षा
- सर्वर
- सेवा
- सेवारत
- महत्वपूर्ण
- समान
- के बाद से
- कुछ हद तक
- मिलावट
- स्पैम
- विशिष्ट
- काल्पनिक
- प्रायोजन
- शुरू
- राज्य
- कदम
- चुराया
- रणनीतियों
- निगरानी
- प्रणाली
- सिस्टम
- ले जा
- लक्षित
- को लक्षित
- लक्ष्य
- टीम
- तकनीक
- दूरसंचार
- कि
- RSI
- फिर
- वे
- चीज़ें
- इसका
- धमकी
- खतरों के खिलाड़ी
- तीन
- पहर
- सेवा मेरे
- साधन
- उपकरण
- की ओर
- स्थानांतरण
- स्थानांतरित कर रहा है
- ट्रिगर
- ट्रोजन
- दो
- यूक्रेन
- यूक्रेनी
- अंत में
- निर्विवाद
- उपयोग
- उपयोगकर्ता
- का उपयोग
- विविधता
- वाहन
- विक्रेता
- आगाह
- था
- कौन कौन से
- जब
- कौन
- खिड़कियां
- साथ में
- बिना
- वर्ष
- अभी तक
- जेफिरनेट