RemcosRAT ریموٹ سرویلنس اور کنٹرول ٹول کے ساتھ بار بار یوکرین میں تنظیموں کو نشانہ بنانے کے لیے جانا جاتا ایک دھمکی آمیز اداکار، اس بار اینڈ پوائنٹ کا پتہ لگانے اور رسپانس سسٹم کو ٹرگر کیے بغیر ڈیٹا کی منتقلی کے لیے ایک نئے حربے کے ساتھ، ایک بار پھر واپس آ گیا ہے۔
مخالف، جسے UNC-0050 کے نام سے ٹریک کیا جاتا ہے، اپنی تازہ ترین مہم میں یوکرین کے سرکاری اداروں پر مرکوز ہے۔ اپٹیکس کے محققین جنہوں نے اسے دیکھا، کہا کہ حملے سیاسی طور پر محرک ہوسکتے ہیں، جس کا مقصد یوکرین کی سرکاری ایجنسیوں سے مخصوص انٹیلی جنس جمع کرنا ہے۔ "جبکہ ریاستی کفالت کا امکان قیاس آرائی پر مبنی ہے، گروپ کی سرگرمیاں ایک ناقابل تردید خطرہ لاحق ہیں، خاص طور پر ونڈوز سسٹمز پر انحصار کرنے والے سرکاری شعبوں کے لیے،" اپٹیکس کے محققین کارتھک کمار کاتھیرسن اور شلپیش ترویدی اس ہفتے ایک رپورٹ میں لکھا.
RemcosRAT خطرہ
دھمکی آمیز اداکار استعمال کرتے رہے ہیں۔ RemcosRAT — جس نے زندگی کو ایک جائز ریموٹ ایڈمنسٹریشن ٹول کے طور پر شروع کیا — کم از کم 2016 سے سمجھوتہ کرنے والے سسٹمز کو کنٹرول کرنے کے لیے۔ دوسری چیزوں کے علاوہ، یہ ٹول حملہ آوروں کو سسٹم، صارف، اور پروسیسر کی معلومات کو اکٹھا کرنے اور نکالنے کی اجازت دیتا ہے۔ یہ ہو سکتا ہے بائی پاس بہت سے اینٹی وائرس اور اینڈپوائنٹ خطرے کا پتہ لگانے والے ٹولز اور بیک ڈور کمانڈز کی ایک قسم پر عمل درآمد کرتے ہیں۔ بہت سے واقعات میں دھمکی آمیز اداکاروں نے فشنگ ای میلز میں اٹیچمنٹ میں مالویئر تقسیم کیا ہے۔
اپٹیکس ابھی تک تازہ ترین مہم میں ابتدائی حملے کے ویکٹر کا تعین کرنے میں کامیاب نہیں ہوسکا ہے لیکن اس نے کہا کہ یہ جاب پر مبنی فشنگ اور اسپام ای میلز کی طرف جھکاؤ رکھتا ہے کیونکہ زیادہ تر ممکنہ طور پر میلویئر کی تقسیم کا طریقہ ہے۔ سیکیورٹی وینڈر نے اپنے جائزوں کی بنیاد ان ای میلز پر کی جس کا جائزہ لیا گیا جس میں نشانہ بنائے گئے یوکرین کے فوجی اہلکاروں کو اسرائیل کی دفاعی افواج میں مشاورتی کردار کی پیشکش کی گئی تھی۔
اپٹیکس نے کہا کہ انفیکشن کا سلسلہ بذات خود ایک .lnk فائل سے شروع ہوتا ہے جو کمپرومائزڈ سسٹم کے بارے میں معلومات اکٹھا کرتی ہے اور پھر حملہ آور کے زیر کنٹرول ریموٹ سرور سے 6.hta نامی ایک HTML ایپ کو ونڈوز کی مقامی بائنری کا استعمال کرتے ہوئے بازیافت کرتی ہے۔ بازیافت شدہ ایپ میں ایک PowerShell اسکرپٹ ہے جو حملہ آور کے زیر کنٹرول ڈومین سے دو دیگر پے لوڈ فائلوں (word_update.exe اور ofer.docx) کو ڈاؤن لوڈ کرنے کے اقدامات شروع کرتی ہے اور - بالآخر - سسٹم پر RemcosRAT کو انسٹال کرنے کے لیے۔
کسی حد تک نایاب حربہ
جو چیز UNC-0050 کی نئی مہم کو مختلف بناتی ہے وہ ہے دھمکی دینے والے اداکار کا a کا استعمال ونڈوز انٹر پروسیس مواصلات سمجھوتہ شدہ سسٹمز پر ڈیٹا کی منتقلی کے لیے گمنام پائپ کہلانے والی خصوصیت۔ جیسا کہ مائیکروسافٹ اس کی وضاحت کرتا ہے، ایک گمنام پائپ والدین اور بچے کے عمل کے درمیان ڈیٹا کی منتقلی کے لیے ایک طرفہ مواصلاتی چینل ہے۔ کتھیرسن اور ترویدی نے کہا کہ UNC-0050 کسی بھی EDR یا اینٹی وائرس الرٹس کو متحرک کیے بغیر ڈیٹا کو خفیہ طور پر چینل کرنے کے لیے خصوصیت کا فائدہ اٹھا رہا ہے۔
UNC-0050 پہلا خطرہ اداکار نہیں ہے جس نے چوری شدہ ڈیٹا کو نکالنے کے لیے پائپوں کا استعمال کیا، لیکن یہ حربہ نسبتاً نایاب ہے، Uptycs محققین نے نوٹ کیا۔ "اگرچہ مکمل طور پر نیا نہیں ہے، یہ تکنیک گروپ کی حکمت عملیوں کی نفاست میں ایک اہم چھلانگ کی نشاندہی کرتی ہے،" انہوں نے کہا۔
یہ پہلی بار ہے جب سیکورٹی محققین نے UAC-0050 کو یوکرین میں اہداف پر RemcosRAT تقسیم کرنے کی کوشش کرتے ہوئے دیکھا ہے۔ پچھلے سال متعدد مواقع پر، یوکرین کی کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT-UA) نے دھمکی آمیز اداکار کی جانب سے ملک میں تنظیموں کو ریموٹ ایکسیس ٹروجن تقسیم کرنے کی مہموں سے خبردار کیا۔
سب سے حالیہ ایک تھا 21 دسمبر 2023 کو ایڈوائزری, ایک بڑے پیمانے پر فشنگ مہم کے بارے میں جس میں ایک اٹیچمنٹ کے ساتھ ای میلز شامل ہیں جو کہ یوکرین کے سب سے بڑے ٹیلی کمیونیکیشن فراہم کنندگان میں سے ایک Kyivstar کے ساتھ ایک معاہدہ ہے۔ دسمبر کے شروع میں، CERT-UA نے ایک اور خبردار کیا تھا۔ RemcosRAT بڑے پیمانے پر تقسیم مہم، یہ ای میلز پر مشتمل ہے جس میں "عدالتی دعووں" اور "قرضوں" سے متعلق یوکرین اور پولینڈ میں تنظیموں اور افراد کو نشانہ بنایا گیا ہے۔ ای میلز میں آرکائیو فائل یا RAR فائل کی شکل میں ایک منسلکہ موجود تھا۔
CERT-UA نے پچھلے سال تین دیگر مواقع پر اسی طرح کے الرٹس جاری کیے تھے، ایک نومبر میں عدالتی پیشی پر مبنی ای میلز کے ساتھ جو ابتدائی ڈیلیوری گاڑی کے طور پر کام کر رہے تھے۔ ایک اور، نومبر میں بھی، مبینہ طور پر یوکرین کی سیکیورٹی سروس کی ای میلز کے ساتھ؛ اور پہلی فروری 2023 میں اٹیچمنٹ کے ساتھ ایک بڑے ای میل مہم کے بارے میں جو کیف کی ضلعی عدالت سے وابستہ دکھائی دیتی ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign
- : ہے
- : ہے
- : نہیں
- 2016
- 2023
- 7
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- سرگرمیوں
- اداکار
- انتظامیہ
- فائدہ
- پھر
- ایجنسیوں
- تنبیہات سب
- مبینہ طور پر
- کی اجازت دیتا ہے
- بھی
- اگرچہ
- کے درمیان
- an
- اور
- گمنام
- ایک اور
- ینٹیوائرس
- کوئی بھی
- اپلی کیشن
- شائع ہوا
- محفوظ شدہ دستاویزات
- AS
- جائزوں
- منسلک
- At
- حملہ
- حملے
- کوشش کرنا
- واپس
- پچھلے دروازے
- کی بنیاد پر
- BE
- رہا
- کیا جا رہا ہے
- کے درمیان
- لیکن
- by
- کہا جاتا ہے
- مہم
- مہمات
- کر سکتے ہیں
- چین
- چینل
- بچے
- دعوے
- جمع
- کموینیکیشن
- سمجھوتہ کیا
- کمپیوٹر
- مشاورت
- پر مشتمل ہے
- پر مشتمل ہے
- کنٹریکٹ
- کنٹرول
- ملک
- کورٹ
- اعداد و شمار
- دسمبر
- دسمبر
- دفاع
- ترسیل
- بیان کرتا ہے
- کھوج
- اس بات کا تعین
- مختلف
- تقسیم کرو
- تقسیم کئے
- تقسیم
- ضلع
- ضلعی عدالت
- ڈومین
- ڈاؤن لوڈ، اتارنا
- اس سے قبل
- ای میل
- ای میل
- ایمرجنسی
- اختتام پوائنٹ
- مکمل
- اداروں
- خاص طور پر
- عملدرآمد
- دور
- نمایاں کریں
- فروری
- فائل
- فائلوں
- پہلا
- پہلی بار
- توجہ مرکوز
- کے لئے
- افواج
- فارم
- سے
- جمع
- مقصد
- حکومت
- سرکاری ایجنسیوں
- سرکاری ادارے
- گروپ
- ہے
- HTML
- HTTPS
- in
- افراد
- معلومات
- ابتدائی
- شروع کرتا ہے
- انسٹال
- انٹیلی جنس
- شامل
- اسرائیل
- جاری
- IT
- میں
- خود
- فوٹو
- عدالتی
- صرف
- جانا جاتا ہے
- سب سے بڑا
- آخری
- آخری سال
- تازہ ترین
- لیپ
- کم سے کم
- جائز
- زندگی
- امکان
- بناتا ہے
- میلویئر
- بہت سے
- ماس
- مئی..
- طریقہ
- مائیکروسافٹ
- فوجی
- سب سے زیادہ
- حوصلہ افزائی
- ایک سے زیادہ
- نامزد
- مقامی
- نئی
- کا کہنا
- نومبر
- مواقع
- of
- پیش کرتے ہیں
- on
- ایک
- or
- تنظیمیں
- دیگر
- کارمک
- فشنگ
- فشنگ مہم
- پائپ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پولینڈ
- سیاسی طور پر
- کرنسی
- امکان
- پاورشیل
- عمل
- پروسیسر
- فراہم کرنے والے
- Rare
- حال ہی میں
- نسبتا
- باقی
- ریموٹ
- دور دراز تک رسائی
- بار بار
- رپورٹ
- محققین
- جواب
- -جائزہ لیا
- رسک
- کردار
- s
- کہا
- اسکرپٹ
- سیکٹر
- سیکورٹی
- سرور
- سروس
- خدمت
- اہم
- اسی طرح
- بعد
- کچھ بھی نہیں
- نفسیات
- سپیم سے
- مخصوص
- نمائش
- اسپانسر شپ
- شروع
- حالت
- مراحل
- چوری
- حکمت عملیوں
- نگرانی
- کے نظام
- سسٹمز
- لینے
- ھدف بنائے گئے
- ھدف بندی
- اہداف
- ٹیم
- تکنیک
- ٹیلی کمیونیکیشن کی
- کہ
- ۔
- تو
- وہ
- چیزیں
- اس
- خطرہ
- دھمکی دینے والے اداکار
- تین
- وقت
- کرنے کے لئے
- کے آلے
- اوزار
- کی طرف
- منتقل
- منتقلی
- ٹرگر
- ٹروجن
- دو
- یوکرائن
- یوکرینیائی
- آخر میں
- ناقابل یقین
- استعمال کی شرائط
- رکن کا
- کا استعمال کرتے ہوئے
- مختلف اقسام کے
- گاڑی
- وینڈر
- نے خبردار کیا
- تھا
- جس
- جبکہ
- ڈبلیو
- کھڑکیاں
- ساتھ
- بغیر
- سال
- ابھی
- زیفیرنیٹ