طاقتور Chaos میلویئر ایک بار پھر تیار ہوا ہے، ایک نئے Go-based، multiplatform کے خطرے میں بدل گیا ہے جو اس کے سابقہ ransomware کے تکرار سے کوئی مماثلت نہیں رکھتا۔ اب یہ ڈسٹری بیوٹڈ ڈینیئل آف سروس (DDoS) حملے شروع کرنے اور کرپٹو مائننگ انجام دینے کے لیے معلوم سیکیورٹی کمزوریوں کو نشانہ بنا رہا ہے۔
بلیک لوٹس لیبز کے محققین، جو کہ Lumen ٹیکنالوجیز کی دھمکی آمیز انٹیلی جنس بازو ہے، نے حال ہی میں چینی زبان میں لکھے ہوئے Chaos کے ایک ورژن کا مشاہدہ کیا، جس میں چین پر مبنی انفراسٹرکچر کا فائدہ اٹھایا گیا، اور اسی نام کے ransomware-builder کی طرف سے دیکھی گئی آخری سرگرمی سے کہیں زیادہ مختلف رویے کی نمائش کی۔ وہ کہنے لگے ایک بلاگ پوسٹ میں 28 ستمبر کو شائع ہوا۔
درحقیقت، Chaos کی پہلے کی مختلف حالتوں اور 100 الگ الگ اور حالیہ Chaos کلسٹرز کے درمیان جو فرق محققین نے دیکھا وہ اس قدر مختلف ہیں کہ ان کا کہنا ہے کہ یہ بالکل نیا خطرہ ہے۔ درحقیقت، محققین کا خیال ہے کہ تازہ ترین قسم دراصل کا ارتقاء ہے۔ DDoS botnet Kaiji اور شاید "کیوس رینسم ویئر بلڈر سے الگ" جو پہلے جنگلی میں دیکھا گیا تھا، انہوں نے کہا۔
کائیجی، جو 2020 میں دریافت ہوا، نے اصل میں لینکس پر مبنی AMD اور i386 سرورز کو نئے بوٹس کو متاثر کرنے اور پھر DDoS حملے شروع کرنے کے لیے SSH بروٹ-فورسنگ کا فائدہ اٹھا کر نشانہ بنایا۔ محققین نے کہا کہ Chaos نے نئے فن تعمیرات کے لیے ماڈیولز کو شامل کرنے کے لیے کیجی کی اصل صلاحیتوں کو تیار کیا ہے - بشمول ونڈوز - اور ساتھ ہی CVE استحصال اور SSH کلیدی کٹائی کے ذریعے نئے پروپیگیشن ماڈیولز کو شامل کرنا، محققین نے کہا۔
حالیہ افراتفری کی سرگرمی
حالیہ سرگرمی میں، Chaos نے کامیابی کے ساتھ ایک GitLab سرور سے سمجھوتہ کیا اور DDoS حملوں کی ایک لہر دوڑائی جس میں گیمنگ، مالیاتی خدمات اور ٹیکنالوجی، اور میڈیا اور تفریحی صنعتوں کے ساتھ ساتھ DDoS-as-a-services اور ایک cryptocurrency exchange کو نشانہ بنایا گیا۔
محققین نے کہا کہ افراتفری اب نہ صرف انٹرپرائز اور بڑی تنظیموں کو نشانہ بنا رہی ہے بلکہ "ان آلات اور سسٹمز کو بھی نشانہ بنا رہی ہے جن کی انٹرپرائز سیکیورٹی ماڈل کے حصے کے طور پر معمول کے مطابق نگرانی نہیں کی جاتی ہے، جیسے SOHO روٹرز اور FreeBSD OS،" محققین نے کہا۔
محققین نے کہا کہ جب آخری بار افراتفری کو جنگلی میں دیکھا گیا تو یہ عام رینسم ویئر کے طور پر کام کر رہا تھا جو فائلوں کو خفیہ کرنے کے مقصد سے نیٹ ورکس میں داخل ہوا تھا، محققین نے کہا کہ تازہ ترین قسم کے پیچھے اداکاروں کے ذہن میں بہت مختلف مقاصد ہیں۔
اس کا کراس پلیٹ فارم اور ڈیوائس کی فعالیت کے ساتھ ساتھ تازہ ترین Chaos سرگرمی کے پیچھے نیٹ ورک کے بنیادی ڈھانچے کا اسٹیلتھ پروفائل ظاہر کرتا ہے کہ مہم کا مقصد ابتدائی رسائی، DDoS حملوں، اور کرپٹو مائننگ کا فائدہ اٹھانے کے لیے متاثرہ آلات کے نیٹ ورک کو تیار کرنا ہے۔ محققین کے مطابق.
کلیدی فرق، اور ایک مماثلت
جبکہ Chaos کے پچھلے نمونے .NET میں لکھے گئے تھے، تازہ ترین میلویئر Go میں لکھا گیا ہے، جو تیزی سے ایک بنتا جا رہا ہے۔ پسند کی زبان محققین نے کہا کہ کراس پلیٹ فارم کی لچک، اینٹی وائرس کا پتہ لگانے کی کم شرح، اور ریورس انجینئر کرنے میں دشواری کی وجہ سے خطرے والے اداکاروں کے لیے۔
اور درحقیقت، Chaos کا تازہ ترین ورژن بہت طاقتور ہونے کی ایک وجہ یہ ہے کہ یہ متعدد پلیٹ فارمز پر کام کرتا ہے، جس میں نہ صرف ونڈوز اور لینکس آپریٹنگ سسٹمز بلکہ ARM، Intel (i386)، MIPS اور PowerPC بھی شامل ہیں۔
یہ میلویئر کے پچھلے ورژنز سے بہت مختلف طریقے سے بھی پروپیگنڈہ کرتا ہے۔ محققین نے نوٹ کیا کہ اگرچہ محققین اس کے ابتدائی رسائی ویکٹر کا پتہ لگانے سے قاصر تھے، ایک بار جب یہ کسی نظام کو پکڑ لیتا ہے، تو تازہ ترین Chaos مختلف قسمیں معلوم کمزوریوں کا اس طرح استحصال کرتی ہیں جو تیزی سے محور کرنے کی صلاحیت کو ظاہر کرتی ہے۔
"ہم نے جن نمونوں کا تجزیہ کیا ان میں سے رپورٹ کی گئی تھی۔ Huawei کے لیے CVEs (CVE-2017-17215) اور زیکسل۔ (CVE-2022-30525) ذاتی فائر والز، جن میں سے دونوں نے غیر مستند ریموٹ کمانڈ لائن انجیکشن کی کمزوریوں کا فائدہ اٹھایا،" انہوں نے اپنی پوسٹ میں مشاہدہ کیا۔ "تاہم، اداکار کے لیے CVE فائل کو اپ ڈیٹ کرنا معمولی معلوم ہوتا ہے، اور ہم اندازہ لگاتے ہیں کہ یہ بہت زیادہ امکان ہے کہ اداکار دوسرے CVE کا فائدہ اٹھاتا ہے۔"
محققین کا کہنا ہے کہ جون 2021 میں پہلی بار منظر عام پر آنے کے بعد سے افراتفری واقعی متعدد اوتاروں سے گزری ہے اور یہ تازہ ترین ورژن اس کے آخری ہونے کا امکان نہیں ہے۔ اس کی پہلی تکرار، Chaos Builder 1.0-3.0، Ryuk ransomware کے .NET ورژن کے لیے بلڈر ہونے کا ارادہ رکھتی ہے، لیکن محققین نے جلد ہی دیکھا کہ یہ Ryuk سے بہت کم مماثلت رکھتا ہے اور حقیقت میں یہ ایک وائپر تھا۔
میلویئر کئی ورژنوں میں تیار ہوا یہاں تک کہ Chaos بلڈر کے ورژن 2021 تک جو XNUMX کے آخر میں جاری ہوا اور اسے اس وقت فروغ ملا جب Onyx نامی ایک خطرہ گروپ نے اپنا ransomware بنایا۔ یہ ورژن تیزی سے سب سے عام افراتفری کا ایڈیشن بن گیا جس کا براہ راست جنگل میں مشاہدہ کیا جاتا ہے، کچھ فائلوں کو خفیہ کرتا ہے لیکن اس کے راستے میں زیادہ تر فائلوں کو اوور رائٹ اور تباہ کر دیتا ہے۔
اس سال کے شروع میں مئی میں، افراتفری بلڈر انکرپشن کے لیے اپنی وائپر صلاحیتوں کی تجارت کی۔, دوبارہ برانڈڈ بائنری ڈب Yashma کے ساتھ سرفیسنگ جس میں مکمل طور پر تیار کردہ ransomware کی صلاحیتیں شامل ہیں۔
اگرچہ بلیک لوٹس لیبز کی طرف سے دیکھے جانے والے افراتفری کا حالیہ ارتقاء بہت مختلف ہے، لیکن اس میں اپنے پیشروؤں کے ساتھ ایک اہم مماثلت ہے - تیز رفتار ترقی جو جلد ہی کسی بھی وقت سست ہونے کا امکان نہیں ہے، محققین نے کہا۔
تازہ ترین Chaos ویریئنٹ کا ابتدائی سرٹیفکیٹ 16 اپریل کو تیار کیا گیا تھا۔ یہ اس کے بعد ہے جب محققین کا خیال ہے کہ خطرے کے اداکاروں نے جنگلی میں نیا ورژن شروع کیا۔
محققین کا کہنا ہے کہ اس کے بعد سے، Chaos کے خود دستخط شدہ سرٹیفکیٹس کی تعداد میں "نمایاں نمو" دکھائی دی ہے، جو مئی میں دوگنا ہو کر 39 ہو گئی اور پھر اگست کے مہینے میں 93 تک پہنچ گئی۔ انہوں نے کہا کہ 20 ستمبر تک، موجودہ مہینہ پہلے ہی 94 افراتفری سرٹیفکیٹس کی تیاری کے ساتھ پچھلے مہینے کے کل کو پیچھے چھوڑ چکا ہے۔
بورڈ بھر میں خطرے کو کم کرنا
چونکہ افراتفری اب سب سے چھوٹے گھریلو دفاتر سے لے کر بڑے کاروباری اداروں تک متاثرین پر حملہ کر رہی ہے، محققین نے ہر قسم کے ہدف کے لیے مخصوص سفارشات پیش کیں۔
نیٹ ورکس کا دفاع کرنے والوں کے لیے، انہوں نے مشورہ دیا کہ نیٹ ورک ایڈمنسٹریٹر نئی دریافت شدہ کمزوریوں کے لیے پیچ مینجمنٹ میں سرفہرست رہیں، کیونکہ یہ افراتفری پھیلانے کا ایک بنیادی طریقہ ہے۔
"اس رپورٹ میں بیان کردہ IoCs کو افراتفری کے انفیکشن کے ساتھ ساتھ کسی بھی مشکوک انفراسٹرکچر سے کنکشن کی نگرانی کے لیے استعمال کریں،" محققین نے سفارش کی۔
چھوٹے آفس اور ہوم آفس راؤٹرز والے صارفین کو روٹرز کو باقاعدگی سے ریبوٹ کرنے اور سیکیورٹی اپ ڈیٹس اور پیچ انسٹال کرنے کے ساتھ ساتھ میزبانوں پر مناسب طریقے سے تشکیل شدہ اور اپ ڈیٹ شدہ EDR سلوشنز کا فائدہ اٹھانے کے بہترین طریقوں پر عمل کرنا چاہیے۔ ان صارفین کو جہاں قابل اطلاق ہو وہاں وینڈرز کے اپ ڈیٹس کو لاگو کرکے باقاعدگی سے سافٹ ویئر کو پیچ کرنا چاہیے۔
دور دراز کارکن - ایک حملہ کی سطح جس میں وبائی مرض کے پچھلے دو سالوں میں نمایاں اضافہ ہوا ہے - بھی خطرے میں ہے، اور اسے پہلے سے طے شدہ پاس ورڈز کو تبدیل کرکے اور مشینوں پر ریموٹ روٹ تک رسائی کو غیر فعال کرکے اسے کم کرنا چاہئے جن کی ضرورت نہیں ہے، محققین نے سفارش کی۔ ایسے کارکنوں کو SSH کیز کو محفوظ طریقے سے اور صرف ان آلات پر ذخیرہ کرنا چاہیے جن کی ضرورت ہوتی ہے۔
تمام کاروباروں کے لیے، بلیک لوٹس لیبز جامع محفوظ رسائی سروس ایج (SASE) اور DDoS تخفیف تحفظات کے اطلاق پر غور کرنے کی سفارش کرتی ہے تاکہ ان کی مجموعی حفاظتی کرنسیوں کو تقویت ملے اور نیٹ ورک پر مبنی کمیونیکیشنز پر مضبوط شناخت کو ممکن بنایا جا سکے۔
