ایک بدنیتی پر مبنی ای میل مہم امریکہ میں قائم تنظیموں میں مائیکروسافٹ آفس کے سیکڑوں صارفین کو ہدف بنا رہی ہے۔ ریموٹ ایکسیس ٹروجن (RAT) جو جزوی طور پر جائز سافٹ ویئر کے طور پر دکھا کر پتہ لگانے سے بچ جاتا ہے۔
پرسیپشن پوائنٹ کے محققین کے ذریعہ "فینٹم بلو" کے نام سے ایک مہم میں، حملہ آور ای میل پیغامات میں اکاؤنٹنگ سروس کی نقالی کرتے ہیں جو لوگوں کو مائیکروسافٹ آفس ورڈ فائل ڈاؤن لوڈ کرنے کی دعوت دیتے ہیں، مبینہ طور پر ان کی "ماہانہ تنخواہ کی رپورٹ" دیکھنے کے لیے۔ اہداف کو پاس ورڈ سے محفوظ "رپورٹ" فائل تک رسائی کے لیے تفصیلی ہدایات موصول ہوتی ہیں، جو بالآخر بدنام زمانہ کو فراہم کرتی ہے۔ نیٹ سپورٹ RAT, مالویئر جائز سے کاتا ہے نیٹ سپورٹ مینیجر، ایک قانونی طور پر مفید دور دراز تکنیکی معاونت کا آلہ۔ دھمکی دینے والے اداکاروں نے پہلے RAT کو فوٹ پرنٹ سسٹمز پر رینسم ویئر فراہم کرنے سے پہلے استعمال کیا ہے۔
پرسیپشن پوائنٹ ویب سیکورٹی ماہر ایریل ڈیوڈ پور نازل کیا اس ہفتے شائع ہونے والی ایک بلاگ پوسٹ میں۔
ایک بار شکار کے اختتامی نقطہ پر انسٹال ہونے کے بعد، نیٹ سپورٹ رویے کی نگرانی کر سکتا ہے، کی اسٹروک کیپچر کر سکتا ہے، فائلوں کو منتقل کر سکتا ہے، سسٹم کے وسائل پر قبضہ کر سکتا ہے، اور نیٹ ورک کے اندر موجود دیگر آلات پر منتقل کر سکتا ہے، "یہ سب ایک سومی ریموٹ سپورٹ سافٹ ویئر کی آڑ میں،" انہوں نے لکھا۔
NetSupport RAT کا Evasive OLE ڈیلیوری کا طریقہ
مہم آبجیکٹ لنکنگ اور ایمبیڈنگ (OLE) ٹیمپلیٹس کی ہیرا پھیری کے ذریعے NetSupport RAT کے لیے ایک نئے ڈیلیوری طریقہ کی نمائندگی کرتی ہے۔ ڈیوڈ پور نے لکھا کہ یہ ایک "تخصصی طریقہ کار" ہے جو مائیکروسافٹ آفس کے دستاویزی ٹیمپلیٹس کا استعمال کرتا ہے تاکہ پتہ لگانے سے بچتے ہوئے نقصان دہ کوڈ پر عمل درآمد کیا جا سکے۔
اگر کوئی صارف مہم کے پیغامات کے ساتھ منسلک the.docx فائل کو ڈاؤن لوڈ کرتا ہے اور اس تک رسائی کے لیے اس کے ساتھ پاس ورڈ استعمال کرتا ہے، تو دستاویز کا مواد مزید اہداف کو ہدایت دیتا ہے کہ وہ "ایبل ایڈیٹنگ" پر کلک کریں اور پھر دستاویز میں ایمبیڈ کردہ پرنٹر کی تصویر پر کلک کریں۔ ان کا "تنخواہ گراف" دیکھنے کے لیے۔
پرنٹر امیج دراصل ایک OLE پیکیج ہے، مائیکروسافٹ ونڈوز میں ایک جائز خصوصیت جو دستاویزات اور دیگر اشیاء کو سرایت کرنے اور لنک کرنے کی اجازت دیتی ہے۔ ڈیوڈ پور نے لکھا، "اس کا جائز استعمال صارفین کو مختلف پروگراموں کے عناصر کے ساتھ کمپاؤنڈ دستاویزات بنانے کے قابل بناتا ہے۔
OLE ٹیمپلیٹ ہیرا پھیری کے ذریعے، دھمکی دینے والے عناصر دستاویز کے باہر پے لوڈ کو چھپا کر پتہ لگائے بغیر بدنیتی پر مبنی کوڈ پر عمل درآمد کرنے کے لیے دستاویز کے سانچوں کا استحصال کرتے ہیں۔ پرسیپٹیو پوائنٹ کے مطابق، مہم پہلی بار ہے کہ نیٹ سپورٹ RAT کی ترسیل کے لیے ای میل میں اس عمل کو استعمال کیا گیا۔
ڈیوڈ پور نے وضاحت کی کہ "یہ جدید تکنیک نقصان دہ پے لوڈ کو دستاویز کے باہر چھپا کر روایتی سیکیورٹی سسٹمز کو نظرانداز کرتی ہے، صرف صارف کی بات چیت پر عمل درآمد کرتی ہے۔"
درحقیقت، OLE ٹیمپلیٹ اور ٹیمپلیٹ انجیکشن (CWE T1221) کے ذریعے NetSupport RAT فراہم کرنے کے لیے انکرپٹڈ .doc فائلوں کا استعمال کرتے ہوئے، PhantomBlu مہم روایتی حربوں، تکنیکوں، اور طریقہ کار (TTPs) سے ہٹ جاتی ہے جو عام طور پر NetSupport کے ساتھ منسلک ہوتے ہیں۔ RAT کی تعیناتیاں.
ڈیوڈ پور نے لکھا، "تاریخی طور پر، اس طرح کی مہمات نے براہ راست قابل عمل فائلوں اور آسان فشنگ تکنیکوں پر انحصار کیا ہے۔" OLE طریقہ مہم کی اختراع کو ظاہر کرتا ہے کہ "سوشل انجینئرنگ کے ساتھ چوری کے جدید ترین حربوں" کو ملایا جائے۔
قانونی حیثیت کے پیچھے چھپنا
مہم کی اپنی تحقیقات میں، پرسیپشن پوائنٹ کے محققین نے ڈیلیوری کے طریقہ کار کو مرحلہ وار الگ کیا، اور دریافت کیا کہ RAT کی طرح، پے لوڈ قانونی حیثیت کے پیچھے چھپ جاتا ہے۔ ریڈار کے نیچے پرواز کرنے کی کوشش میں۔
خاص طور پر، پرسیپٹیو پوائنٹ نے فشنگ ای میلز کی واپسی کے راستے اور میسج آئی ڈی کا تجزیہ کیا، حملہ آوروں کے استعمال کا مشاہدہ کیا۔ارسال کریںیا بریوو سروس۔ Brevo ایک جائز ای میل ڈیلیوری پلیٹ فارم ہے جو مارکیٹنگ مہمات کے لیے خدمات پیش کرتا ہے۔
ڈیوڈ پور نے لکھا، "یہ انتخاب حملہ آوروں کی اپنے بدنیتی پر مبنی ارادوں کو چھپانے کے لیے معروف خدمات سے فائدہ اٹھانے کی ترجیح کو واضح کرتا ہے۔"
سمجھوتہ سے گریز
چونکہ PhantomBlu میلویئر ڈیلیور کرنے کے لیے ای میل کو اپنے طریقہ کار کے طور پر استعمال کرتا ہے، اس لیے سمجھوتہ سے بچنے کے لیے معمول کی تکنیکیں — جیسے کہ ہدایات اور ملازمین کی تربیت ممکنہ طور پر بدنیتی پر مبنی ای میلز کو تلاش کرنے اور ان کی اطلاع دینے کے طریقہ کے بارے میں — درخواست دیں۔
ماہرین کا کہنا ہے کہ عام اصول کے طور پر، لوگوں کو کبھی بھی ای میل اٹیچمنٹ پر کلک نہیں کرنا چاہیے جب تک کہ وہ کسی قابل بھروسہ ذریعہ یا کسی ایسے شخص سے نہ آئے جس سے صارفین باقاعدگی سے میل کھاتے ہوں۔ مزید برآں، کارپوریٹ صارفین کو خاص طور پر IT منتظمین کو مشکوک پیغامات کی اطلاع دینی چاہیے، کیونکہ وہ کسی بدنیتی پر مبنی مہم کی نشاندہی کر سکتے ہیں۔
PhantomBlu کی شناخت میں منتظمین کی مزید مدد کرنے کے لیے، Perceptive Point میں TTPs کی ایک جامع فہرست، سمجھوتے کے اشارے (IOCs)، URLs اور میزبان نام، اور بلاگ پوسٹ میں مہم سے وابستہ IP پتے شامل ہیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- : ہے
- $UP
- 7
- a
- ہمارے بارے میں
- تک رسائی حاصل
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹنگ
- اداکار
- اصل میں
- پتے
- انتظامیہ
- منتظمین
- اعلی درجے کی
- تمام
- کی اجازت دیتا ہے
- an
- تجزیہ کیا
- اور
- کا اطلاق کریں
- AS
- مدد
- منسلک
- At
- حملے
- سے اجتناب
- گریز
- پچھلے دروازے
- اس سے پہلے
- رویے
- پیچھے
- مرکب
- بلاگ
- by
- مہم
- مہمات
- کر سکتے ہیں
- قبضہ
- انتخاب
- کلک کریں
- کوڈ
- کس طرح
- عام طور پر
- کمپاؤنڈ
- وسیع
- سمجھوتہ
- مواد
- کنٹرول
- روایتی
- کارپوریٹ
- تخلیق
- سائبر
- سائبر اٹیکس
- اعداد و شمار
- نجات
- ترسیل
- فراہم کرتا ہے
- ترسیل
- ثبوت
- تفصیلی
- کھوج
- کے الات
- مختلف
- براہ راست
- دریافت
- دستاویز
- دستاویزات
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- ڈوب
- کوشش
- عناصر
- ای میل
- ای میل
- ایمبیڈڈ
- سرایت کرنا
- کو چالو کرنے کے
- کے قابل بناتا ہے
- خفیہ کردہ
- اختتام پوائنٹ
- انجنیئر
- انجنیئرنگ
- خاص طور پر
- چوری
- عملدرآمد
- پھانسی
- ماہر
- ماہرین
- وضاحت کی
- دھماکہ
- استحصال
- نمایاں کریں
- فائل
- فائلوں
- پہلا
- پہلی بار
- فوٹ پرنٹ
- کے لئے
- سے
- مزید
- جنرل
- گراف
- راستہ
- ہے
- he
- چھپا
- تاریخی
- کس طرح
- کیسے
- HTTPS
- سینکڑوں
- ID
- کی نشاندہی
- تصویر
- انفرادی
- in
- شامل
- اشارہ کرتے ہیں
- انڈیکیٹر
- جدت طرازی
- نصب
- ہدایات
- ارادے
- بات چیت
- میں
- تحقیقات
- مدعو
- IP
- آئی پی پتے
- IT
- میں
- خود
- فوٹو
- مشروعیت
- جائز
- لیورنگنگ
- کی طرح
- منسلک
- لسٹ
- بدقسمتی سے
- میلویئر
- ہیرا پھیری
- مارکیٹنگ
- ماسک
- مئی..
- پیغام
- پیغامات
- طریقہ
- مائیکروسافٹ
- مائیکروسافٹ ونڈوز
- کی نگرانی
- ماہانہ
- زیادہ
- اس کے علاوہ
- منتقل
- نیٹ ورک
- کبھی نہیں
- بدنام
- ناول
- باریک
- اعتراض
- اشیاء
- of
- بند
- تجویز
- دفتر
- on
- صرف
- or
- حکم
- تنظیمیں
- دیگر
- باہر
- پر
- پیکج
- پاس ورڈ
- راستہ
- لوگ
- خیال
- فشنگ
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پوسٹ
- ممکنہ طور پر
- پہلے
- طریقہ کار
- عمل
- پروگرام
- شائع
- ریڈار
- ransomware کے
- چوہا
- وصول
- باقاعدگی سے
- ریموٹ
- رپورٹ
- کی نمائندگی کرتا ہے
- قابل بھروسہ
- محققین
- وسائل
- واپسی
- حکمرانی
- s
- تنخواہ
- کا کہنا ہے کہ
- سیکورٹی
- سروس
- سروسز
- ہونا چاہئے
- ظاہر
- نشانیاں
- سادہ
- سماجی
- معاشرتی انجینرنگ
- سافٹ ویئر کی
- کسی
- بہتر
- ماخذ
- کمرشل
- کاتنا۔
- چپکے سے
- مرحلہ
- اس طرح
- حمایت
- نگرانی
- مشکوک
- کے نظام
- سسٹمز
- حکمت عملی
- لے لو
- ھدف بندی
- اہداف
- ٹیکنیکل
- تکنیک
- تکنیک
- سانچے
- سانچے
- کہ
- ۔
- چوری
- ان
- ان
- تو
- وہ
- اس
- اس ہفتے
- خطرہ
- دھمکی دینے والے اداکار
- وقت
- کرنے کے لئے
- کے آلے
- روایتی
- منتقل
- تبادلوں
- ٹروجن
- قابل اعتماد
- آخر میں
- کے تحت
- اندراج
- جب تک کہ
- صلی اللہ علیہ وسلم
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- مفید
- رکن کا
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- ہمیشہ کی طرح
- کی طرف سے
- وکٹم
- لنک
- تھا
- ویب
- ویب سیکیورٹی
- ہفتے
- جس
- جبکہ
- کھڑکیاں
- ساتھ
- کے اندر
- بغیر
- لفظ
- لکھا ہے
- زیفیرنیٹ