ESET کے محققین نے OilRig APT گروپ کی دو مہمات کا تجزیہ کیا ہے: آؤٹر اسپیس (2021)، اور جوسی مکس (2022)۔ سائبر جاسوسی کی ان دونوں مہمات نے خاص طور پر اسرائیلی تنظیموں کو نشانہ بنایا، جو گروپ کی مشرق وسطیٰ پر توجہ کے مطابق ہے، اور اسی پلے بک کا استعمال کیا: OilRig نے پہلے C&C سرور کے طور پر استعمال کرنے کے لیے ایک جائز ویب سائٹ سے سمجھوتہ کیا اور پھر C# کی فراہمی کے لیے VBS ڈراپرز کا استعمال کیا۔ /.NET اپنے متاثرین کے لیے بیک ڈور، جبکہ متعدد پوسٹ کمپرومائز ٹولز کو بھی تعینات کرتا ہے جو زیادہ تر ٹارگٹ سسٹمز پر ڈیٹا کے اخراج کے لیے استعمال ہوتے ہیں۔
اپنی بیرونی خلائی مہم میں، OilRig نے ایک سادہ، پہلے غیر دستاویزی C#/.NET بیک ڈور کا استعمال کیا جس کا نام ہم نے سولر رکھا، اس کے ساتھ ایک نئے ڈاؤنلوڈر، SampleCheck5000 (یا SC5k)، جو C&C مواصلات کے لیے Microsoft Office Exchange Web Services API استعمال کرتا ہے۔ جوسی مکس مہم کے لیے، دھمکی دینے والے اداکاروں نے سولر پر مینگو بیک ڈور بنانے کے لیے بہتری لائی، جس میں اضافی صلاحیتیں اور مبہم طریقے ہیں۔ نقصان دہ ٹول سیٹ کا پتہ لگانے کے علاوہ، ہم نے سمجھوتہ شدہ ویب سائٹس کے بارے میں اسرائیلی CERT کو بھی مطلع کیا۔
اس بلاگ پوسٹ کے اہم نکات:
- ESET نے دو OilRig مہمات کا مشاہدہ کیا جو 2021 (Outer Space) اور 2022 (رسیلی مکس) میں ہوئیں۔
- آپریٹرز نے خصوصی طور پر اسرائیلی تنظیموں کو نشانہ بنایا اور اپنے C&C کمیونیکیشنز میں استعمال کے لیے جائز اسرائیلی ویب سائٹس سے سمجھوتہ کیا۔
- انہوں نے ہر مہم میں ایک نیا، پہلے غیر دستاویزی C#/.NET پہلے مرحلے کا بیک ڈور استعمال کیا: بیرونی خلا میں شمسی، پھر رسیلی مکس میں اس کا جانشین مینگو۔
- دونوں بیک ڈور VBS ڈراپرز کے ذریعے تعینات کیے گئے تھے، غالباً اسپیئر فشنگ ای میلز کے ذریعے پھیلے ہوئے تھے۔
- دونوں مہموں میں متعدد پوسٹ کمپرومائز ٹولز تعینات کیے گئے تھے، خاص طور پر SC5k ڈاؤنلوڈر جو Microsoft Office Exchange Web Services API کو C&C کمیونیکیشن کے لیے استعمال کرتا ہے، اور ونڈوز کریڈینشل مینیجر سے براؤزر ڈیٹا اور اسناد چرانے کے لیے کئی ٹولز۔
OilRig، جسے APT34، Lyceum، یا Siamesekitten بھی کہا جاتا ہے، ایک سائبر جاسوسی گروپ ہے جو کم از کم 2014 سے فعال ہے اور عام طور پر خیال کیا جاتا ہے ایران میں مقیم ہونا۔ یہ گروپ مشرق وسطیٰ کی حکومتوں اور کیمیکل، توانائی، مالیاتی اور ٹیلی کمیونیکیشن سمیت متعدد کاروباری عمودی علاقوں کو نشانہ بناتا ہے۔ OilRig نے DNSpionage مہم کو XNUMX میں چلایا 2018 اور 2019جس نے لبنان اور متحدہ عرب امارات میں متاثرین کو نشانہ بنایا۔ 2019 اور 2020 میں، آئل رگ نے اس کے ساتھ حملے جاری رکھے ہارڈ پاس مہم، جس نے LinkedIn کو توانائی اور سرکاری شعبوں میں مشرق وسطیٰ کے متاثرین کو نشانہ بنانے کے لیے استعمال کیا۔ 2021 میں، OilRig نے اسے اپ ڈیٹ کیا۔ ڈین بوٹ بیک ڈور اور تعیناتی شروع کر دی۔ شارک، میلان، اور مارلن کے پچھلے دروازے، میں ذکر کیا گیا ہے۔ T3 2021 شمارہ ESET دھمکی کی رپورٹ۔
اس بلاگ پوسٹ میں، ہم سولر اور مینگو کے پچھلے دروازوں کا تکنیکی تجزیہ فراہم کرتے ہیں، آم کو ڈیلیور کرنے کے لیے استعمال ہونے والے VBS ڈراپر کا، اور ہر مہم میں سمجھوتے کے بعد کے ٹولز کا استعمال کرتے ہیں۔
انتساب
ابتدائی لنک جس نے ہمیں آؤٹر اسپیس مہم کو OilRig سے جوڑنے کی اجازت دی وہی حسب ضرورت کروم ڈیٹا ڈمپر کا استعمال ہے (جس کا پتہ ESET محققین نے MKG کے نام سے کیا ہے) جیسا کہ آؤٹ ٹو سی مہم. ہم نے دیکھا کہ سولر بیک ڈور MKG کا بالکل وہی نمونہ لگاتا ہے جیسا کہ آؤٹ ٹو سی میں ہدف کے نظام پر، دو دیگر اقسام کے ساتھ۔
ٹولز اور ٹارگٹنگ میں اوورلیپ کے علاوہ، ہم نے آؤٹ ٹو سی میں استعمال ہونے والے سولر بیک ڈور اور بیک ڈور کے درمیان متعدد مماثلتیں بھی دیکھی ہیں، زیادہ تر اپ لوڈ اور ڈاؤن لوڈ سے متعلق ہیں: سولر اور شارک، ایک اور آئل آرگ بیک ڈور، سادہ اپ لوڈ اور ڈاؤن لوڈ اسکیموں کے ساتھ URIs کا استعمال کرتے ہیں۔ C&C سرور کے ساتھ بات چیت کرنے کے لیے، ڈاؤن لوڈ کے لیے "d" اور اپ لوڈ کے لیے "u" کے ساتھ؛ مزید برآں، ڈاؤنلوڈر SC5k دیگر OilRig پچھلے دروازوں کی طرح اپ لوڈز اور ڈاؤن لوڈز سب ڈائرکٹریاں استعمال کرتا ہے، یعنی ALMA، Shark، DanBot، اور Milan۔ یہ نتائج ایک مزید تصدیق کے طور پر کام کرتے ہیں کہ بیرونی خلا کے پیچھے مجرم واقعی OilRig ہے.
جہاں تک جوسی مکس مہم کے آئل رِگ کے ساتھ تعلقات کا تعلق ہے، اس کے علاوہ اسرائیلی تنظیموں کو نشانہ بنانا - جو اس جاسوسی گروپ کے لیے عام ہے - مینگو، اس مہم میں استعمال ہونے والے بیک ڈور اور سولر کے درمیان کوڈ مماثلتیں ہیں۔ مزید برآں، دونوں بیک ڈوروں کو وی بی ایس ڈراپرز نے ایک ہی سٹرنگ اوبسیکشن تکنیک کے ساتھ تعینات کیا تھا۔ جوسی مکس میں کام کے بعد سمجھوتہ کرنے والے ٹولز کا انتخاب بھی پچھلی آئل رگ مہمات کی عکاسی کرتا ہے۔
بیرونی خلائی مہم کا جائزہ
اس کے فنکشن کے ناموں اور کاموں میں فلکیات پر مبنی ناموں کی اسکیم کے استعمال کے لیے نام دیا گیا، آؤٹر اسپیس 2021 سے ایک آئل رگ مہم ہے۔ اس مہم میں، گروپ نے ایک اسرائیلی ہیومن ریسورس سائٹ سے سمجھوتہ کیا اور بعد میں اسے اپنے پہلے کے لیے C&C سرور کے طور پر استعمال کیا۔ غیر دستاویزی C#/.NET بیک ڈور، سولر۔ سولر ایک سادہ بیک ڈور ہے جس میں بنیادی فعالیت ہے جیسے ڈسک سے پڑھنا اور لکھنا، اور معلومات اکٹھا کرنا۔
سولر کے ذریعے، گروپ نے پھر ایک نیا ڈاؤنلوڈر SC5k تعینات کیا، جو آفس ایکسچینج ویب سروسز API کا استعمال کرتے ہوئے عمل درآمد کے لیے اضافی ٹولز ڈاؤن لوڈ کرتا ہے، جیسا کہ اس میں دکھایا گیا ہے۔ REF _Ref142655526 h اعداد و شمار 1
. متاثرہ کے سسٹم سے براؤزر کے ڈیٹا کو نکالنے کے لیے، OilRig نے MKG نامی کروم ڈیٹا ڈمپر استعمال کیا۔
رسیلی مکس مہم کا جائزہ
2022 میں OilRig نے ایک اور مہم کا آغاز کیا جس میں اسرائیلی تنظیموں کو نشانہ بنایا گیا، اس بار اپ ڈیٹ کردہ ٹول سیٹ کے ساتھ۔ ہم نے مہم کو رسیلی مکس کا نام ایک نئے آئل رگ بیک ڈور کے استعمال کے لیے رکھا ہے، مینگو (اس کے داخلی اسمبلی کے نام، اور اس کے فائل نام کی بنیاد پر، Mango.exe)۔ اس مہم میں، دھمکی آمیز اداکاروں نے C&C کمیونیکیشنز میں استعمال کے لیے ایک جائز اسرائیلی جاب پورٹل ویب سائٹ سے سمجھوتہ کیا۔ اس گروپ کے بدنیتی پر مبنی ٹولز کو صحت کی دیکھ بھال کرنے والی ایک تنظیم کے خلاف تعینات کیا گیا، جو اسرائیل میں بھی ہے۔
مینگو فرسٹ اسٹیج کا بیک ڈور سولر کا جانشین ہے، جسے C#/.NET میں بھی لکھا گیا ہے، قابل ذکر تبدیلیوں کے ساتھ جس میں exfiltration کی صلاحیتیں، مقامی APIs کا استعمال، اور ڈیٹیکشن ایویشن کوڈ شامل ہیں۔
مینگو کے ساتھ، ہم نے کروم اور ایج براؤزرز سے کوکیز، براؤزنگ ہسٹری، اور اسناد چوری کرنے کے لیے استعمال کیے جانے والے دو پہلے غیر دستاویزی براؤزر ڈیٹا ڈمپر کا بھی پتہ لگایا، اور ایک ونڈوز کریڈینشل مینیجر چوری کرنے والا، جن سب کو ہم OilRig سے منسوب کرتے ہیں۔ یہ تمام ٹولز مینگو جیسے ہی ہدف کے ساتھ ساتھ 2021 اور 2022 کے دوران دیگر سمجھوتہ کرنے والی اسرائیلی تنظیموں کے خلاف استعمال کیے گئے۔ REF _Ref125475515 h اعداد و شمار 2
جوسی مکس مہم میں مختلف اجزاء کو کس طرح استعمال کیا گیا اس کا ایک جائزہ دکھاتا ہے۔
تکنیکی تجزیہ
اس سیکشن میں، ہم سولر اور مینگو بیک ڈور اور SC5k ڈاؤنلوڈر کا تکنیکی تجزیہ فراہم کرتے ہیں، نیز دیگر ٹولز جو ان مہمات میں ٹارگٹڈ سسٹمز پر تعینات کیے گئے تھے۔
VBS ڈراپرز
ہدف کے نظام پر قدم جمانے کے لیے، دونوں مہمات میں Visual Basic Script (VBS) ڈراپرز کا استعمال کیا گیا، جو کہ ممکنہ طور پر نیزہ بازی کرنے والی ای میلز کے ذریعے پھیلے تھے۔ ذیل میں ہمارا تجزیہ وی بی ایس اسکرپٹ پر مرکوز ہے جو مینگو (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); نوٹ کریں کہ سولر کا ڈراپر بہت ملتا جلتا ہے۔
ڈراپر کا مقصد ایمبیڈڈ مینگو بیک ڈور ڈیلیور کرنا، مستقل مزاجی کے لیے کام کا شیڈول بنانا، اور C&C سرور کے ساتھ سمجھوتہ رجسٹر کرنا ہے۔ ایمبیڈڈ بیک ڈور کو بیس 64 سب اسٹرنگز کی ایک سیریز کے طور پر اسٹور کیا جاتا ہے، جو کہ مربوط اور بیس 64 کو ڈی کوڈ کیا جاتا ہے۔ جیسا کہ میں دکھایا گیا ہے۔ REF _Ref125477632 h اعداد و شمار 3
، اسکرپٹ ایک سادہ سٹرنگ ڈی اوبسیکیشن تکنیک کا بھی استعمال کرتی ہے، جہاں ریاضی کی کارروائیوں کا استعمال کرتے ہوئے تاروں کو جمع کیا جاتا ہے۔ سی آر ایل تقریب.
اس کے اوپری حصے میں، مینگو کا VBS ڈراپر استقامت قائم کرنے اور C&C سرور کے ساتھ رجسٹر کرنے کے لیے ایک اور قسم کی سٹرنگ اوبسیکشن اور کوڈ کا اضافہ کرتا ہے۔ جیسا کہ میں دکھایا گیا ہے۔ REF _Ref125479004 h * مرج فارمیٹ اعداد و شمار 4
، کچھ تاروں کو صاف کرنے کے لیے، اسکرپٹ سیٹ میں موجود کسی بھی حروف کی جگہ لے لیتا ہے۔ #*+-_)(}{@$%^& ساتھ 0، پھر اسٹرنگ کو تین ہندسوں کے نمبروں میں تقسیم کرتا ہے جو اس کے بعد استعمال کرتے ہوئے ASCII حروف میں تبدیل ہوجاتے ہیں۔ سی آر ایل
فنکشن مثال کے طور پر، تار 116110101109117+99111$68+77{79$68}46-50108109120115}77 میں ترجمہ Msxml2.DOMDocument.
ایک بار بیک ڈور سسٹم میں شامل ہو جانے کے بعد، ڈراپر ایک طے شدہ ٹاسک بنانے کے لیے آگے بڑھتا ہے جو ہر 14 منٹ میں مینگو (یا سولر، دوسرے ورژن میں) کو انجام دیتا ہے۔ آخر میں، اسکرپٹ اپنے C&C سرور کے ساتھ بیک ڈور رجسٹر کرنے کے لیے POST درخواست کے ذریعے کمپرومائزڈ کمپیوٹر کا ایک base64-انکوڈڈ نام بھیجتا ہے۔
سولر بیک ڈور
سولر آئل رگ کی بیرونی خلائی مہم میں استعمال ہونے والا بیک ڈور ہے۔ بنیادی خصوصیات کے حامل، اس بیک ڈور کا استعمال دیگر چیزوں کے علاوہ فائلوں کو ڈاؤن لوڈ کرنے اور اس پر عمل درآمد کرنے اور اسٹیجڈ فائلوں کو خود بخود نکالنے کے لیے استعمال کیا جا سکتا ہے۔
ہم نے آئل رگ کے استعمال کردہ فائل نام کی بنیاد پر سولر نام کا انتخاب کیا، Solar.exe. یہ ایک موزوں نام ہے کیونکہ بیک ڈور اپنے فنکشن کے ناموں اور بائنری میں استعمال ہونے والے کاموں کے لیے فلکیات کے نام کی اسکیم کا استعمال کرتا ہے (مرکری, زھرہ, مارچ, زمین، اور مشتری).
سولر میں دکھائے گئے اقدامات کو انجام دے کر عمل درآمد شروع ہوتا ہے۔ REF _Ref98146919 h * مرج فارمیٹ اعداد و شمار 5
.
پچھلے دروازے سے دو کام پیدا ہوتے ہیں، زمین
اور زھرہ، جو میموری میں چلتا ہے۔ دونوں میں سے کسی ایک کام کے لیے کوئی سٹاپ فنکشن نہیں ہے، اس لیے وہ غیر معینہ مدت تک چلیں گے۔ زمین
ہر 30 سیکنڈ میں چلنے کے لئے مقرر کیا گیا ہے اور زھرہ
ہر 40 سیکنڈ میں چلانے کے لیے مقرر کیا گیا ہے۔
زمین بنیادی کام ہے، جو شمسی توانائی کے زیادہ تر افعال کے لیے ذمہ دار ہے۔ یہ فنکشن کا استعمال کرتے ہوئے C&C سرور کے ساتھ بات چیت کرتا ہے۔ مرکری ٹو سن، جو بنیادی سسٹم اور میلویئر ورژن کی معلومات C&C سرور کو بھیجتا ہے اور پھر سرور کے جواب کو سنبھالتا ہے۔ زمین درج ذیل معلومات C&C سرور کو بھیجتا ہے:
- تار (@); پوری تار کو خفیہ کیا گیا ہے۔
- تار 1.0.0.0, خفیہ کردہ (ممکنہ طور پر ایک ورژن نمبر)۔
- تار 30000, انکرپٹڈ (ممکنہ طور پر کا شیڈول رن ٹائم زمین
انکرپشن اور ڈکرپشن نام کے فنکشنز میں لاگو ہوتے ہیں۔ مشتری ای
اور مشتری ڈیبالترتیب یہ دونوں ایک فنکشن کو کہتے ہیں۔ مشتری ایکس، جو ایک XOR لوپ کو لاگو کرتا ہے جیسا کہ دکھایا گیا ہے۔ REF _Ref98146962 h اعداد و شمار 6
.
کلید ایک ہارڈ کوڈ عالمی سٹرنگ متغیر سے اخذ کی گئی ہے، 6sEj7*0B7#7، اور ایک nuncio کے: اس صورت میں، 2-24 حروف کی ایک بے ترتیب ہیکس سٹرنگ۔ XOR خفیہ کاری کے بعد، معیاری base64 انکوڈنگ کا اطلاق ہوتا ہے۔
ایک اسرائیلی ہیومن ریسورس کمپنی کا ویب سرور، جس سے OilRig نے سولر کو تعینات کرنے سے پہلے کسی وقت سمجھوتہ کیا تھا، اسے C&C سرور کے طور پر استعمال کیا گیا تھا:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
URI میں شامل ہونے سے پہلے، انکرپشن نونس کو انکرپٹ کیا جاتا ہے، اور ابتدائی استفسار کے اسٹرنگ کی قدر، rt، مقرر کیا گیا ہے۔ d یہاں، ممکنہ طور پر "ڈاؤن لوڈ" کے لیے۔
کے آخری قدم مرکری ٹو سن
فنکشن C&C سرور سے جواب پر کارروائی کرنا ہے۔ یہ جواب کے ذیلی اسٹرنگ کو بازیافت کرکے ایسا کرتا ہے، جو حروف کے درمیان پایا جاتا ہے۔ QQ@ اور kk. یہ جواب ستاروں سے الگ کردہ ہدایات کی ایک تار ہے (*) جو ایک صف میں پروسیس ہوتا ہے۔ زمین
پھر بیک ڈور کمانڈز کو انجام دیتا ہے، جس میں سرور سے اضافی پے لوڈز ڈاؤن لوڈ کرنا، متاثرہ کے سسٹم پر فائلوں کی فہرست بنانا، اور مخصوص ایگزیکیوٹیبل چلانا شامل ہیں۔
کمانڈ آؤٹ پٹ کو پھر فنکشن کا استعمال کرتے ہوئے gzip کمپریس کیا جاتا ہے۔ نےپربیون
اور اسی انکرپشن کلید اور ایک نئی نونس کے ساتھ خفیہ کردہ۔ پھر نتائج C&C سرور پر اپ لوڈ ہوتے ہیں، اس طرح:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
مشین گائیڈ اور نئے نونس کے ساتھ خفیہ کردہ ہیں۔ مشتری ای
فنکشن، اور یہاں کی قدر rt کرنے کے لئے مقرر کیا گیا ہے u، ممکنہ طور پر "اپ لوڈ" کے لئے۔
زھرہ، دوسرا طے شدہ کام، خودکار ڈیٹا کے اخراج کے لیے استعمال ہوتا ہے۔ یہ چھوٹا سا کام ڈائریکٹری سے فائلوں کے مواد کو کاپی کرتا ہے (جس کا نام بھی ہے۔ زھرہ) C&C سرور پر۔ یہ فائلیں ممکنہ طور پر یہاں کسی دوسرے، جیسا کہ ابھی تک نامعلوم، OilRig ٹول کے ذریعے گرا دی گئی ہیں۔ فائل اپ لوڈ کرنے کے بعد، ٹاسک اسے ڈسک سے حذف کر دیتا ہے۔
مینگو بیک ڈور
اپنی رسیلی مکس مہم کے لیے، آئل ریگ نے سولر بیک ڈور سے مینگو میں تبدیل کیا۔ اس میں شمسی اور اوور لیپنگ صلاحیتوں سے ملتا جلتا ورک فلو ہے، لیکن اس کے باوجود کئی قابل ذکر تبدیلیاں ہیں:
- C&C مواصلات کے لیے TLS کا استعمال۔
- فائلوں اور شیل کمانڈز کو انجام دینے کے لیے .NET APIs کے بجائے مقامی APIs کا استعمال۔
- اگرچہ فعال طور پر استعمال نہیں کیا گیا ہے، پتہ لگانے کی چوری کوڈ متعارف کرایا گیا تھا.
- خودکار exfiltration کے لیے سپورٹ (زھرہ
- لاگ موڈ کے لیے سپورٹ کو ہٹا دیا گیا ہے، اور علامت کے ناموں کو مبہم کر دیا گیا ہے۔
شمسی کی فلکیات پر مبنی ناموں کی اسکیم کے برعکس، آم نے اپنے علامتی ناموں کو مبہم کردیا، جیسا کہ اس میں دیکھا جاسکتا ہے۔ REF _Ref142592880 h اعداد و شمار 7
.
علامت کے نام کی الجھن کے علاوہ، مینگو سٹرنگ اسٹیکنگ کا طریقہ بھی استعمال کرتا ہے (جیسا کہ میں دکھایا گیا ہے۔ REF _Ref142592892 h اعداد و شمار 8
REF _Ref141802299 h
) تاروں کو مبہم کرنا، جو پتہ لگانے کے سادہ طریقوں کے استعمال کو پیچیدہ بناتا ہے۔
سولر کی طرح، مینگو بیک ڈور ایک ان میموری ٹاسک بنا کر شروع ہوتا ہے، جو ہر 32 سیکنڈ میں غیر معینہ مدت تک چلنا ہے۔ یہ کام C&C سرور کے ساتھ بات چیت کرتا ہے اور سولر کی طرح بیک ڈور کمانڈز پر عمل درآمد کرتا ہے۔ زمین
کام جبکہ سولر بھی تخلیق کرتا ہے۔ زھرہخود کار طریقے سے اخراج کے لیے ایک کام، اس فعالیت کو مینگو میں ایک نئی بیک ڈور کمانڈ کے ذریعے تبدیل کر دیا گیا ہے۔
اہم کام میں، آم سب سے پہلے شکار کا شناخت کنندہ تیار کرتا ہے، C&C کمیونیکیشنز میں استعمال کیا جائے گا۔ ID کو MD5 ہیش کے بطور شمار کیا جاتا ہے۔ , ایک ہیکساڈیسیمل سٹرنگ کے طور پر فارمیٹ کیا گیا۔
بیک ڈور کمانڈ کی درخواست کرنے کے لیے، مینگو پھر تار بھیجتا ہے۔ d@ @ | C&C سرور پر http://www.darush.co[.]il/ads.asp – ایک جائز اسرائیلی جاب پورٹل، ممکنہ طور پر اس مہم سے پہلے OilRig نے سمجھوتہ کیا تھا۔ ہم نے سمجھوتے کے بارے میں اسرائیلی قومی CERT تنظیم کو مطلع کیا۔
درخواست کی باڈی اس طرح بنائی گئی ہے:
- جو ڈیٹا منتقل کیا جانا ہے وہ خفیہ کاری کلید کا استعمال کرتے ہوئے XOR کو خفیہ کیا گیا ہے۔ سوال اور 4 جی، پھر base64 کو انکوڈ کیا گیا۔
- اس حروف تہجی سے 3-14 حروف کی ایک سیوڈو رینڈم سٹرنگ تیار کی گئی ہے (جیسا کہ یہ کوڈ میں ظاہر ہوتا ہے): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- انکرپٹڈ ڈیٹا کو پیدا شدہ سٹرنگ کے اندر ایک سیوڈورنڈم پوزیشن میں داخل کیا جاتا ہے، درمیان میں بند [@ اور @] حد بندی کرنے والے
اپنے C&C سرور کے ساتھ بات چیت کرنے کے لیے، Mango TLS (ٹرانسپورٹ لیئر سیکیورٹی) پروٹوکول کا استعمال کرتا ہے، جو کہ خفیہ کاری کی ایک اضافی پرت فراہم کرنے کے لیے استعمال ہوتا ہے۔.
اسی طرح، C&C سرور سے موصول ہونے والی بیک ڈور کمانڈ XOR انکرپٹڈ، بیس 64 انکوڈ، اور پھر ان کے درمیان منسلک ہے۔ [@ اور @] HTTP رسپانس باڈی کے اندر۔ حکم خود یا تو ہے۔ این سی این ٹی
(جس صورت میں کوئی کارروائی نہیں کی جاتی ہے)، یا کئی پیرامیٹرز کی ایک تار جس کے ذریعے حد بندی کی گئی ہے۔
@جیسا کہ تفصیل میں ہے۔ REF _Ref125491491 h ٹیبل 1
، جو مینگو کے بیک ڈور کمانڈز کی فہرست دیتا ہے۔ یاد رکھیں کہ ٹیبل میں درج نہیں ہے، لیکن C&C سرور کے جواب میں استعمال ہوتا ہے۔
ٹیبل 1. آم کے بیک ڈور کمانڈز کی فہرست
arg1 |
arg2 |
arg3 |
کارروائی |
واپسی کی قیمت |
|
1 یا خالی تار |
+sp |
N / A |
مقامی کا استعمال کرتے ہوئے مخصوص فائل/شیل کمانڈ (اختیاری دلائل کے ساتھ) پر عمل درآمد کرتا ہے۔ CreateProcess API کے ذریعے درآمد کیا گیا۔ ڈی ایل امپورٹ. اگر دلائل موجود ہیں۔ [ے]، اس کی جگہ لے لی جاتی ہے۔ C: ونڈوز سیسٹم ایکس این ایم ایکس ایکس. |
کمانڈ آؤٹ پٹ۔ |
|
+nu |
N / A |
میلویئر ورژن سٹرنگ اور C&C URL لوٹاتا ہے۔ |
|; اس معاملے میں: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
مخصوص ڈائرکٹری (یا موجودہ ورکنگ ڈائرکٹری) کے مواد کو شمار کرتا ہے۔ |
کی ڈائرکٹری ہر ذیلی ڈائرکٹری کے لیے:
ہر فائل کے لیے: فائل ڈائریکٹرز فائلوں) |
||
+dn |
N / A |
فائل کا مواد C&C سرور پر ایک نئی HTTP POST درخواست فارمیٹ کے ذریعے اپ لوڈ کرتا ہے: u@ @ | @ @2@. |
اس میں سے ایک: · فائل[ ] سرور پر اپ لوڈ ہے۔ · فائل نہیں ملی! · فائل کا راستہ خالی! |
||
2 |
بیس 64 انکوڈ شدہ ڈیٹا |
فائل کا نام |
ورکنگ ڈائرکٹری میں مخصوص ڈیٹا کو فائل میں پھینک دیتا ہے۔ |
فائل کو راستے پر ڈاؤن لوڈ کیا گیا[ ] |
ہر بیک ڈور کمانڈ کو ایک نئے تھریڈ میں ہینڈل کیا جاتا ہے، اور ان کی واپسی کی قدریں پھر base64 انکوڈ اور دوسرے میٹا ڈیٹا کے ساتھ مل جاتی ہیں۔ آخر میں، اس سٹرنگ کو اسی پروٹوکول اور خفیہ کاری کا طریقہ استعمال کرتے ہوئے C&C سرور کو بھیجا جاتا ہے جیسا کہ اوپر بیان کیا گیا ہے۔
غیر استعمال شدہ پتہ لگانے کی چوری کی تکنیک
دلچسپ بات یہ ہے کہ ہمیں ایک غیر استعمال شدہ ملا چوری کا پتہ لگانے کی تکنیک آم کے اندر C&C سرور سے ڈاؤن لوڈ کی گئی فائلوں اور کمانڈز کو انجام دینے کے لیے ذمہ دار فنکشن ایک اختیاری دوسرا پیرامیٹر لیتا ہے - ایک پروسیس ID۔ اگر سیٹ ہو تو مینگو پھر استعمال کرتا ہے۔ UpdateProcThreadAttribute
API سیٹ کرنے کے لیے PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) قدر کے لیے مخصوص عمل کے لیے وصف: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000)، جیسا کہ میں دکھایا گیا ہے REF _Ref125480118 h اعداد و شمار 9
.
اس تکنیک کا مقصد اس عمل میں ڈی ایل ایل کے ذریعے اپنے صارف موڈ کوڈ ہکس کو لوڈ کرنے سے اینڈ پوائنٹ سیکیورٹی سلوشنز کو روکنا ہے۔ اگرچہ ہم نے جس نمونے کا تجزیہ کیا اس میں پیرامیٹر استعمال نہیں کیا گیا تھا، لیکن اسے مستقبل کے ورژن میں چالو کیا جا سکتا ہے۔
ورژن 1.1.1
جوسی مکس مہم سے غیر متعلق، جولائی 2023 میں ہمیں مینگو بیک ڈور کا ایک نیا ورژن ملا (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A) کے نام سے کئی صارفین کے ذریعے VirusTotal پر اپ لوڈ کیا گیا۔ Menorah.exe. اس نمونے کے اندرونی ورژن کو 1.0.0 سے 1.1.1 میں تبدیل کیا گیا تھا، لیکن واحد قابل ذکر تبدیلی ایک مختلف C&C سرور کا استعمال ہے، http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
اس ورژن کے ساتھ، ہم نے مائیکروسافٹ ورڈ دستاویز بھی دریافت کیا (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) بدنیتی پر مبنی میکرو کے ساتھ جو پچھلے دروازے کو گرا دیتا ہے۔ REF _Ref143162004 h اعداد و شمار 10
جعلی انتباہی پیغام دکھاتا ہے، صارف کو دستاویز کے لیے میکرو کو فعال کرنے کے لیے آمادہ کرتا ہے، اور بعد میں ظاہر ہونے والا ڈیکوی مواد، جب کہ بدنیتی پر مبنی کوڈ پس منظر میں چل رہا ہوتا ہے۔
شکل 10. مائیکروسافٹ ورڈ دستاویز ایک بدنیتی پر مبنی میکرو کے ساتھ جو مینگو v1.1.1 کو گرا دیتا ہے۔
سمجھوتہ کے بعد کے اوزار
اس سیکشن میں، ہم OilRig کی آؤٹر اسپیس اور جوسی مکس مہمات میں استعمال ہونے والے سمجھوتے کے بعد کے ٹولز کے انتخاب کا جائزہ لیتے ہیں، جس کا مقصد اضافی پے لوڈز کو ڈاؤن لوڈ کرنا اور اس پر عمل کرنا، اور سمجھوتہ کیے گئے سسٹمز سے ڈیٹا چوری کرنا ہے۔
SampleCheck5000 (SC5k) ڈاؤنلوڈر
SampleCheck5000 (یا SC5k) ایک ڈاؤنلوڈر ہے جو اضافی OilRig ٹولز کو ڈاؤن لوڈ اور ان پر عمل درآمد کرنے کے لیے استعمال کیا جاتا ہے، جو C&C کمیونیکیشن کے لیے Microsoft Office Exchange Web Services API استعمال کرنے کے لیے قابل ذکر ہے: حملہ آور اس ای میل اکاؤنٹ میں ڈرافٹ پیغامات بناتے ہیں اور بیک ڈور کمانڈز کو وہاں چھپاتے ہیں۔ اس کے بعد، ڈاؤنلوڈر اسی اکاؤنٹ میں لاگ ان ہوتا ہے، اور کمانڈز اور پے لوڈز کو دوبارہ حاصل کرنے کے لیے ڈرافٹ کو پارس کرتا ہے۔
SC5k ریموٹ ایکسچینج سرور میں لاگ ان کرنے کے لیے پہلے سے طے شدہ اقدار - Microsoft Exchange URL، ای میل ایڈریس، اور پاس ورڈ کا استعمال کرتا ہے، لیکن یہ موجودہ ورکنگ ڈائرکٹری میں کنفیگریشن فائل کا استعمال کرتے ہوئے ان اقدار کو اوور رائڈ کرنے کے آپشن کو بھی سپورٹ کرتا ہے۔ setting.key. ہم نے SampleCheck5000 نام کا انتخاب ان ای میل پتوں میں سے ایک کی بنیاد پر کیا تھا جسے ٹول نے بیرونی خلائی مہم میں استعمال کیا تھا۔
ایک بار جب SC5k ریموٹ ایکسچینج سرور میں لاگ ان ہوتا ہے، تو یہ تمام ای میلز کو بازیافت کرتا ہے۔ ڈرافٹس
ڈائریکٹری، ان کو حالیہ کے لحاظ سے ترتیب دیتی ہے، صرف ان مسودوں کو رکھتے ہوئے جن میں منسلکات ہوتے ہیں۔ اس کے بعد یہ اٹیچمنٹ کے ساتھ ہر ڈرافٹ میسج پر اعادہ کرتا ہے، جس میں JSON اٹیچمنٹ کی تلاش ہوتی ہے۔ "ڈیٹا" جسم میں یہ کلید سے قدر نکالتا ہے۔ اعداد و شمار JSON فائل میں، base64 قدر اور کالز کو ڈی کوڈ اور ڈیکرپٹ کرتا ہے۔ cmd.exe نتیجے میں کمانڈ لائن سٹرنگ کو چلانے کے لیے۔ SC5k پھر آؤٹ پٹ کو بچاتا ہے۔ cmd.exe
مقامی متغیر پر عمل درآمد۔
لوپ کے اگلے مرحلے کے طور پر، ڈاؤنلوڈر ایکسچینج سرور پر ایک نیا ای میل پیغام بنا کر اور اسے ڈرافٹ کے طور پر محفوظ کر کے OilRig آپریٹرز کو نتائج کی اطلاع دیتا ہے، جیسا کہ اس میں دکھایا گیا ہے۔ REF _Ref98147102
h * مرج فارمیٹ اعداد و شمار 11
. اسی طرح کی تکنیک مقامی سٹیجنگ فولڈر سے فائلوں کو نکالنے کے لیے استعمال کی جاتی ہے۔ لوپ کے آخری مرحلے کے طور پر، SC5k کمانڈ آؤٹ پٹ کو ڈسک پر ایک انکرپٹڈ اور کمپریسڈ فارمیٹ میں بھی لاگ کرتا ہے۔
براؤزر ڈیٹا ڈمپرز
OilRig آپریٹرز کی یہ خصوصیت ہے کہ وہ اپنی سمجھوتہ کے بعد کی سرگرمیوں میں براؤزر ڈیٹا ڈمپر استعمال کریں۔ ہم نے مینگو بیک ڈور کے ساتھ جوسی مکس مہم میں تعینات کیے گئے سمجھوتہ کے بعد کے ٹولز میں سے دو نئے براؤزر ڈیٹا چوری کرنے والے دریافت کیے ہیں۔ وہ چوری شدہ براؤزر ڈیٹا کو میں پھینک دیتے ہیں۔ ٪ ٹیمپ٪ نام کی فائلوں میں ڈائریکٹری کپ ڈیٹ
اور اپ ڈیٹ کریں۔
(لہذا ان کے لیے ہمارے نام: CDumper اور EDumper)۔
دونوں ٹولز C#/.NET براؤزر ڈیٹا چوری کرنے والے، کوکیز اکٹھا کرنے، براؤزنگ ہسٹری، اور کروم (CDumper) اور Edge (EDumper) براؤزرز سے اسناد ہیں۔ ہم اپنے تجزیے کو CDumper پر مرکوز کرتے ہیں، کیونکہ دونوں چوری کرنے والے عملی طور پر ایک جیسے ہوتے ہیں، کچھ مستقل کے لیے بچاتے ہیں۔
عمل درآمد ہونے پر، CDumper ان صارفین کی فہرست بناتا ہے جن کے ساتھ گوگل کروم انسٹال ہوتا ہے۔ عمل درآمد پر، چوری کرنے والا Chrome SQLite سے جڑ جاتا ہے۔ کوکیز, تاریخ
اور لاگ ان ڈیٹا کے تحت ڈیٹا بیس %APPDATA%LocalGoogleChromeUser ڈیٹا، اور SQL استفسارات کا استعمال کرتے ہوئے، ملاحظہ کردہ URLs اور محفوظ شدہ لاگ ان سمیت براؤزر کا ڈیٹا اکٹھا کرتا ہے۔
کوکی کی قدروں کو پھر ڈکرپٹ کیا جاتا ہے، اور تمام جمع کی گئی معلومات کو لاگ فائل میں شامل کیا جاتا ہے۔ C: صارفین AppDataLocalTempCupdate، واضح متن میں۔ یہ فعالیت CDumper فنکشنز میں لاگو ہوتی ہے جس کا نام ہے۔ کوکی گراب
(ملاحظہ کریں REF _Ref126168131 h اعداد و شمار 12
), ہسٹری گراب، اور پاس ورڈ گراب. نوٹ کریں کہ CDumper میں کوئی اخراج کا طریقہ کار نافذ نہیں ہے، لیکن Mango منتخب فائلوں کو بیک ڈور کمانڈ کے ذریعے نکال سکتا ہے۔
بیرونی خلا اور اس سے پہلے دونوں میں سمندر سے باہر مہم، OilRig نے MKG نامی C/C++ کروم ڈیٹا ڈمپر استعمال کیا۔ CDumper اور EDumper کی طرح، MKG بھی براؤزر سے صارف نام اور پاس ورڈ، براؤزنگ ہسٹری اور کوکیز چرانے کے قابل تھا۔ یہ کروم ڈیٹا ڈمپر عام طور پر درج ذیل فائل مقامات پر تعینات کیا جاتا ہے (پہلا مقام سب سے عام ہونے کے ساتھ):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
ونڈوز کریڈینشل مینیجر چوری کرنے والا
براؤزر ڈیٹا ڈمپنگ ٹولز کے علاوہ، آئل رگ نے جوسی مکس مہم میں ونڈوز کریڈینشل مینیجر اسٹیلر کا بھی استعمال کیا۔ یہ ٹول ونڈوز کریڈینشل مینیجر سے اسناد چراتا ہے، اور CDumper اور EDumper کی طرح، انہیں ٪ ٹیمپ٪ ڈائریکٹری - اس بار نام کی فائل میں آئی اپ ڈیٹ
(اس لیے نام IDumper)۔ CDumper اور EDumper کے برعکس، IDumper کو PowerShell اسکرپٹ کے طور پر لاگو کیا جاتا ہے۔
جیسا کہ براؤزر ڈمپر ٹولز کے ساتھ ہوتا ہے، OilRig کے لیے ونڈوز کریڈینشل مینیجر سے اسناد جمع کرنا کوئی معمولی بات نہیں ہے۔ پہلے، OilRig کے آپریٹرز کو VALUEVAULT، a کا استعمال کرتے ہوئے دیکھا گیا تھا۔ عام طور پر دستیاب, گو مرتب شدہ سندی چوری کا آلہ (دیکھیں۔ 2019 ہارڈ پاس مہم اور ایک 2020 مہم)، اسی مقصد کے لیے۔
نتیجہ
OilRig ریموٹ سسٹمز پر کمانڈز کو انجام دینے کے نئے طریقے تلاش کرتے ہوئے بیک ڈور جیسی صلاحیتوں کے ساتھ نئے امپلانٹس کی اختراعات اور تخلیق کرنا جاری رکھے ہوئے ہے۔ گروپ نے جوسی مکس مہم کے لیے مینگو کے نام سے ایک نیا بیک ڈور بنانے کے لیے آؤٹر اسپیس مہم سے اپنے C#/.NET سولر بیک ڈور کو بہتر کیا۔ یہ گروپ اپنی مرضی کے مطابق پوسٹ کمپرومائز ٹولز کا ایک سیٹ تعینات کرتا ہے جو بڑے براؤزرز اور ونڈوز کریڈینشل مینیجر سے اسناد، کوکیز اور براؤزنگ ہسٹری جمع کرنے کے لیے استعمال ہوتے ہیں۔ ان اختراعات کے باوجود، OilRig صارف کا ڈیٹا حاصل کرنے کے لیے قائم کردہ طریقوں پر بھی انحصار کرتا رہتا ہے۔
WeLiveSecurity پر شائع ہونے والی ہماری تحقیق کے بارے میں کسی بھی استفسار کے لیے، براہ کرم ہم سے رابطہ کریں۔ ਧਮਕੀینٹیل@eset.com.
ESET ریسرچ نجی APT انٹیلی جنس رپورٹس اور ڈیٹا فیڈز پیش کرتا ہے۔ اس سروس کے بارے میں کسی بھی استفسار کے لیے، ملاحظہ کریں۔ ای ایس ای ٹی تھریٹ انٹیلی جنس صفحہ.
آئی او سیز
فائلوں
ان شاء 1 |
فائل کا نام |
ESET پتہ لگانے کا نام |
Description |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
نقصان دہ میکرو ڈراپنگ مینگو کے ساتھ دستاویز۔ |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS ڈراپر۔ |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
سولر بیک ڈور۔ |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
مینگو بیک ڈور (v1.0.0)۔ |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
مینگو بیک ڈور (v1.1.1)۔ |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
ایج ڈیٹا ڈمپر۔ |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
کروم ڈیٹا ڈمپر۔ |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
ونڈوز کریڈینشل مینیجر ڈمپر۔ |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG - کروم ڈیٹا ڈمپر۔ |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG - کروم ڈیٹا ڈمپر۔ |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG - کروم ڈیٹا ڈمپر۔ |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k ڈاؤنلوڈر (32 بٹ ورژن)۔ |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k ڈاؤنلوڈر (64 بٹ ورژن)۔ |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
SC5k ڈاؤنلوڈر (64 بٹ ورژن)۔ |
نیٹ ورک
IP |
ڈومین |
ہوسٹنگ فراہم کنندہ |
پہلی بار دیکھا |
تفصیلات دیکھیں |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
مارکوئس نیٹ |
2022-07-29 |
N / A |
MITER ATT&CK تکنیک
یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 13 MITER ATT&CK فریم ورک کا۔
حربہ |
ID |
نام |
Description |
وسائل کی ترقی |
کمپرومائز انفراسٹرکچر: سرور |
آؤٹر اسپیس اور جوسی مکس دونوں مہمات میں، OilRig نے نقصان دہ ٹولز اور C&C کمیونیکیشنز کے لیے جائز ویب سائٹس سے سمجھوتہ کیا ہے۔ |
|
صلاحیتوں کو تیار کریں: میلویئر |
OilRig نے اپنے کاموں میں استعمال کے لیے حسب ضرورت بیک ڈور (سولر اور مینگو)، ایک ڈاؤنلوڈر (SC5k)، اور اسناد چوری کے آلات کا ایک سیٹ تیار کیا ہے۔ |
||
اسٹیج کی صلاحیتیں: مالویئر اپ لوڈ کریں۔ |
OilRig نے اپنے C&C سرورز پر بدنیتی پر مبنی اجزاء اپ لوڈ کیے ہیں، اور اس میں پیش کردہ فائلوں اور کمانڈز کو اسٹور کیا ہے۔ ڈرافٹس SC365k کے لیے آفس 5 اکاؤنٹ کی ای میل ڈائرکٹری ڈاؤن لوڈ اور عمل میں لانے کے لیے۔ |
||
اسٹیج کی صلاحیتیں: اپ لوڈ ٹول |
OilRig نے اپنے C&C سرورز پر بدنیتی پر مبنی ٹولز اپ لوڈ کیے ہیں، اور اس میں پیش کردہ فائلوں کو اسٹور کیا ہے۔ ڈرافٹس SC365k کے لیے آفس 5 اکاؤنٹ کی ای میل ڈائرکٹری ڈاؤن لوڈ اور عمل میں لانے کے لیے۔ |
||
ابتدائی رسائی |
فشنگ: سپیئر فشنگ اٹیچمنٹ |
OilRig نے غالباً اپنی بیرونی جگہ اور رسیلی مکس مہمات کو فشنگ ای میلز کے ذریعے اپنے VBS ڈراپرز کے ساتھ منسلک کیا۔ |
|
پھانسی |
شیڈول ٹاسک/نوکری: شیڈول ٹاسک |
OilRig کے IDumper، EDumper، اور CDumper ٹولز نام سے طے شدہ کاموں کا استعمال کرتے ہیں۔ یعنی, ایڈ ، اور cu دوسرے صارفین کے سیاق و سباق کے تحت خود کو انجام دینے کے لئے۔ سولر اور مینگو ٹائمر پر C#/.NET ٹاسک استعمال کرتے ہیں تاکہ اپنے اہم کاموں کو تکراری طور پر انجام دیں۔ |
|
کمانڈ اور اسکرپٹنگ ترجمان: پاور شیل |
OilRig کا IDumper ٹول عملدرآمد کے لیے PowerShell استعمال کرتا ہے۔ |
||
کمانڈ اور اسکرپٹنگ ترجمان: ونڈوز کمانڈ شیل |
OilRig's Solar، SC5k، IDumper، EDumper، اور CDumper کا استعمال cmd.exe سسٹم پر کاموں کو انجام دینے کے لیے۔ |
||
کمانڈ اور اسکرپٹنگ ترجمان: بصری بنیادی |
OilRig اپنے شمسی اور مینگو کے پچھلے دروازوں کو ڈیلیور کرنے اور اسے برقرار رکھنے کے لیے ایک بدنیتی پر مبنی VBScript استعمال کرتا ہے۔ |
||
آبائی API |
آئل رگ کا مینگو بیک ڈور استعمال کرتا ہے۔ CreateProcess عمل درآمد کے لیے ونڈوز API۔ |
||
مسلسل |
شیڈول ٹاسک/نوکری: شیڈول ٹاسک |
OilRig کا VBS ڈراپر نام کے کام کو شیڈول کرتا ہے۔ یاد دہانی کا کام مینگو بیک ڈور کے لیے استقامت قائم کرنے کے لیے۔ |
|
دفاعی چوری |
ماسکریڈنگ: جائز نام یا مقام سے ملائیں۔ |
OilRig اپنے مالویئر کے لیے جائز یا بے ضرر فائل نام استعمال کرتا ہے تاکہ اپنے آپ کو محافظوں اور سیکیورٹی سافٹ ویئر سے چھپائے۔ |
|
مبہم فائلیں یا معلومات: سافٹ ویئر پیکنگ |
OilRig استعمال کیا ہے SAPIEN اسکرپٹ پیکجر اور SmartAssembly obfuscator اس کے IDumper ٹول کو مبہم کرنے کے لیے۔ |
||
مبہم فائلیں یا معلومات: ایمبیڈڈ پے لوڈز |
OilRig کے VBS ڈراپرز میں بدنیتی پر مبنی پے لوڈز ہیں جو ان کے اندر بیس 64 سبسٹرنگز کی ایک سیریز کے طور پر سرایت کرتے ہیں۔ |
||
Masquerading: بہانا کام یا خدمت |
جائز ظاہر کرنے کے لیے، مینگو کا VBS ڈراپر تفصیل کے ساتھ ایک کام کا شیڈول بناتا ہے۔ ایک مخصوص وقت پر نوٹ پیڈ شروع کریں۔. |
||
اشارے کو ہٹانا: واضح استقامت |
OilRig کے پوسٹ کمپرومائز ٹولز ایک مخصوص مدت کے بعد اپنے طے شدہ کاموں کو حذف کر دیتے ہیں۔ |
||
فائلوں یا معلومات کو ڈیوبفسکیٹ/ڈی کوڈ کریں۔ |
OilRig اپنے تاروں اور ایمبیڈڈ پے لوڈز کی حفاظت کے لیے کئی مبہم طریقے استعمال کرتا ہے۔ |
||
ٹرسٹ کنٹرولز کو تبدیل کریں۔ |
SC5k Office 365 کا استعمال کرتا ہے، عام طور پر ایک قابل اعتماد تیسرا فریق اور اکثر محافظوں کی طرف سے نظر انداز کیا جاتا ہے، بطور ڈاؤن لوڈ سائٹ۔ |
||
کمزور دفاع |
آئل رِگ کے مینگو بیک ڈور میں (ابھی تک) غیر استعمال شدہ صلاحیت ہے کہ وہ اینڈ پوائنٹ سیکیورٹی سلوشنز کو اپنے صارف کے موڈ کوڈ کو مخصوص عمل میں لوڈ کرنے سے روک سکتا ہے۔ |
||
اسناد تک رسائی |
پاس ورڈ اسٹورز سے اسناد: ویب براؤزرز سے اسناد |
OilRig کے حسب ضرورت ٹولز MKG، CDumper، اور EDumper کروم اور ایج براؤزرز سے اسناد، کوکیز اور براؤزنگ ہسٹری حاصل کر سکتے ہیں۔ |
|
پاس ورڈ اسٹورز سے اسناد: ونڈوز کریڈینشل مینیجر |
OilRig کا کسٹم کریڈینشل ڈمپنگ ٹول IDumper ونڈوز کریڈینشل مینیجر سے اسناد چرا سکتا ہے۔ |
||
ڈسکوری |
سسٹم انفارمیشن ڈسکوری |
آم نے کمپوٹر کا کمپرومائزڈ نام حاصل کیا۔ |
|
فائل اور ڈائرکٹری کی دریافت |
مینگو کے پاس ایک مخصوص ڈائرکٹری کے مواد کو شمار کرنے کا حکم ہے۔ |
||
سسٹم کے مالک/صارف کی دریافت |
آم شکار کا صارف نام حاصل کرتا ہے۔ |
||
اکاؤنٹ کی دریافت: مقامی اکاؤنٹ |
OilRig کے EDumper، CDumper، اور IDumper ٹولز سمجھوتہ شدہ میزبان پر تمام صارف کھاتوں کی گنتی کر سکتے ہیں۔ |
||
براؤزر کی معلومات کی دریافت |
MKG کروم کی تاریخ اور بک مارکس کو پھینک دیتا ہے۔ |
||
کمانڈ اور کنٹرول |
ایپلیکیشن لیئر پروٹوکول: ویب پروٹوکول |
آم سی اینڈ سی مواصلات میں HTTP کا استعمال کرتا ہے۔ |
|
اندراج کے آلے کی منتقلی |
مینگو میں بعد میں عمل درآمد کے لیے C&C سرور سے اضافی فائلیں ڈاؤن لوڈ کرنے کی صلاحیت ہے۔ |
||
ڈیٹا کی الجھن |
شمسی اور SC5k آرام اور ٹرانزٹ میں ڈیٹا کو مبہم کرنے کے لیے gzip کمپریشن کے ساتھ XOR-انکرپشن کا ایک سادہ طریقہ استعمال کرتے ہیں۔ |
||
ویب سروس: دو طرفہ مواصلات |
SC5k آفس 365 سے فائلیں ڈاؤن لوڈ کرنے اور فائلوں کو اپ لوڈ کرنے کے لیے استعمال کرتا ہے۔ ڈرافٹس ایک جائز ای میل اکاؤنٹ میں ڈائریکٹری۔ |
||
ڈیٹا انکوڈنگ: معیاری انکوڈنگ |
سولر، مینگو، اور ایم کے جی بیس 64 ڈیٹا کو C&C سرور کو بھیجنے سے پہلے ڈی کوڈ کرتا ہے۔ |
||
خفیہ کردہ چینل: ہم آہنگ خفیہ نگاری |
مینگو کلید کے ساتھ ایک XOR سائفر استعمال کرتا ہے۔ سوال اور 4 جی C&C کمیونیکیشن میں ڈیٹا کو خفیہ کرنے کے لیے۔ |
||
خفیہ کردہ چینل: غیر متناسب خفیہ نگاری۔ |
آم C&C کمیونیکیشن کے لیے TLS کا استعمال کرتا ہے۔ |
||
جلاوطنی |
C2 چینل کے اوپر Exfiltration |
مینگو، سولر، اور SC5k اپنے C&C چینلز کو اخراج کے لیے استعمال کرتے ہیں۔ |
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- 15٪
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- قابلیت
- ہمارے بارے میں
- اوپر
- اکاؤنٹ
- اکاؤنٹس
- عمل
- فعال
- فعال طور پر
- سرگرمیوں
- اداکار
- شامل کیا
- اس کے علاوہ
- ایڈیشنل
- اس کے علاوہ
- پتہ
- پتے
- جوڑتا ہے
- کے بعد
- بعد
- کے خلاف
- ایجنٹ
- مقصد
- تمام
- کی اجازت
- خود
- ساتھ
- شانہ بشانہ
- الفابیٹ
- بھی
- کے درمیان
- an
- تجزیہ
- تجزیہ کیا
- اور
- ایک اور
- کوئی بھی
- اے پی آئی
- APIs
- ظاہر
- ظاہر ہوتا ہے
- اطلاقی
- اے پی ٹی
- عرب
- عرب امارات
- محفوظ شدہ دستاویزات
- کیا
- دلائل
- لڑی
- AS
- جمع
- اسمبلی
- ھگول سائنس
- At
- حملے
- آٹومیٹڈ
- خود کار طریقے سے
- پچھلے دروازے
- گھر کے دروازے
- پس منظر
- کی بنیاد پر
- بنیادی
- BE
- رہا
- اس سے پہلے
- شروع ہوا
- پیچھے
- کیا جا رہا ہے
- نیچے
- اس کے علاوہ
- کے درمیان
- بلاک
- جسم
- بک مارکس
- دونوں
- براؤزر
- براؤزر
- براؤزنگ
- تعمیر
- کاروبار
- لیکن
- by
- فون
- کہا جاتا ہے
- کالز
- مہم
- مہمات
- کر سکتے ہیں
- صلاحیتوں
- صلاحیت
- کیا ہوا
- کیس
- کچھ
- تبدیل
- تبدیل کر دیا گیا
- تبدیلیاں
- چینل
- چینل
- خصوصیت
- حروف
- کیمیائی
- انتخاب
- کا انتخاب کیا
- کروم
- سائپر
- واضح
- کوڈ
- جمع
- جمع
- COM
- مل کر
- کامن
- عام طور پر
- ابلاغ
- مواصلات
- کموینیکیشن
- کمپنی کی
- اجزاء
- سمجھوتہ
- سمجھوتہ کیا
- کمپیوٹر
- ترتیب
- تصدیق کے
- رابطہ قائم کریں
- جڑتا
- رابطہ کریں
- پر مشتمل ہے
- مواد
- سیاق و سباق
- جاری رہی
- جاری ہے
- تبدیل
- کوکیز
- سکتا ہے
- تخلیق
- پیدا
- تخلیق
- مخلوق
- کریڈینٹل
- اسناد
- موجودہ
- اپنی مرضی کے
- اعداد و شمار
- ڈیٹا بیس
- خرابی
- دفاع
- نجات
- تعیناتی
- تعینات
- تعینات
- تعینات کرتا ہے
- اخذ کردہ
- بیان کیا
- تفصیل
- کے باوجود
- تفصیلی
- پتہ چلا
- کھوج
- ترقی یافتہ
- مختلف
- دریافت
- دریافت
- ظاہر
- تقسیم کئے
- تقسیم ہوتا ہے
- دستاویز
- کرتا
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- ڈرافٹ
- چھوڑ
- گرا دیا
- چھوڑنا
- قطرے
- پھینک
- ہر ایک
- اس سے قبل
- وسطی
- مشرقی
- ایج
- یا تو
- ای میل
- ای میل
- ایمبیڈڈ
- امارات
- ملازم
- کو چالو کرنے کے
- خفیہ کردہ
- خفیہ کاری
- اختتام پوائنٹ
- اختتام پوائنٹ سیکورٹی
- توانائی
- دلکش
- جاسوسی
- قائم کرو
- قائم
- چوری
- ہر کوئی
- مثال کے طور پر
- ایکسچینج
- خاص طور سے
- عملدرآمد
- پھانسی
- پھانسی
- پھانسی
- پھانسی
- exfiltration
- نچوڑ۔
- جعلی
- فائل
- فائلوں
- آخر
- مالی
- تلاش
- نتائج
- پہلا
- فٹنگ
- بہاؤ
- توجہ مرکوز
- توجہ مرکوز
- کے بعد
- مندرجہ ذیل ہے
- کے لئے
- فارمیٹ
- ملا
- فریم ورک
- سے
- 2021 سے
- تقریب
- افعال
- فعالیت
- افعال
- مزید
- مستقبل
- جمع
- عام طور پر
- پیدا
- پیدا ہوتا ہے
- گلوبل
- مقصد
- گوگل
- گوگل کروم
- حکومت
- حکومتیں
- گروپ
- گروپ کا
- ہینڈل
- ہیش
- ہے
- صحت کی دیکھ بھال
- لہذا
- یہاں
- ہیکس
- ذاتی ترامیم چھپائیں
- تاریخ
- ہکس
- میزبان
- کس طرح
- HTML
- HTTP
- HTTPS
- انسانی
- انسانی وسائل
- ID
- ایک جیسے
- شناخت
- if
- تصویر
- عملدرآمد
- عمل
- بہتر
- in
- شامل
- سمیت
- یقینا
- معلومات
- معلومات
- انفراسٹرکچر
- ابتدائی
- اختراعات
- بدعت
- انکوائری
- نصب
- کے بجائے
- ہدایات
- انٹیلی جنس
- اندرونی
- میں
- متعارف
- ایران
- اسرائیل
- IT
- میں
- خود
- ایوب
- JSON
- جولائی
- صرف
- رکھتے ہوئے
- کلیدی
- جانا جاتا ہے
- آخری
- شروع
- پرت
- کم سے کم
- لبنان
- چھوڑ دیا
- جائز
- کی طرح
- امکان
- لائن
- LINK
- لنکڈ
- لسٹ
- فہرست
- لسٹنگ
- فہرستیں
- لوڈ کر رہا ہے
- مقامی
- محل وقوع
- مقامات
- لاگ ان کریں
- لانگ
- تلاش
- مشین
- میکرو
- میکرو
- مین
- اہم
- میلویئر
- مینیجر
- مارلن
- بہانا
- میچ
- MD5
- میکانزم
- یاد داشت
- ذکر کیا
- پیغام
- پیغامات
- میٹا ڈیٹا
- طریقہ
- طریقوں
- مائیکروسافٹ
- مشرق
- مشرق وسطی
- ملن
- ملیسیکنڈ
- منٹ
- اختلاط
- موڈ
- اس کے علاوہ
- سب سے زیادہ
- زیادہ تر
- چالیں
- ایک سے زیادہ
- نام
- نامزد
- یعنی
- نام
- نام
- قومی
- مقامی
- خالص
- پھر بھی
- نئی
- اگلے
- نیسٹ
- نہیں
- قابل ذکر
- خاص طور پر
- تعداد
- تعداد
- حاصل
- حاصل
- ہوا
- of
- تجویز
- دفتر
- اکثر
- on
- ایک
- صرف
- آپریشنز
- آپریٹرز
- اختیار
- or
- حکم
- تنظیم
- تنظیمیں
- دیگر
- ہمارے
- باہر
- بیرونی خلاء
- پیداوار
- پر
- منسوخی
- مجموعی جائزہ
- صفحہ
- پیرامیٹر
- پیرامیٹرز
- پارٹی
- پاس ورڈ
- پاس ورڈز
- راستہ
- کارکردگی کا مظاہرہ
- مدت
- مسلسل
- فشنگ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مہربانی کرکے
- پوائنٹ
- پوائنٹس
- پورٹل
- پوزیشن
- ممکنہ طور پر
- پوسٹ
- پاورشیل
- عملی طور پر
- پیشگی
- پچھلا
- پہلے
- پرائمری
- نجی
- شاید
- عمل
- عملدرآمد
- عمل
- مصنوعات
- حفاظت
- پروٹوکول
- فراہم
- شائع
- مقصد
- سوالات
- بے ترتیب
- بلکہ
- پڑھنا
- موصول
- حال ہی میں
- رجسٹر
- متعلقہ
- انحصار کرو
- ریموٹ
- ہٹانے
- ہٹا دیا گیا
- کی جگہ
- رپورٹ
- رپورٹیں
- درخواست
- تحقیق
- محققین
- وسائل
- بالترتیب
- جواب
- ذمہ دار
- باقی
- نتیجے
- نتائج کی نمائش
- واپسی
- کا جائزہ لینے کے
- امیر
- رن
- چل رہا ہے
- s
- اسی
- محفوظ کریں
- محفوظ
- بچت
- دیکھا
- شیڈول
- شیڈول کے مطابق
- سکیم
- منصوبوں
- اسکرپٹ
- سمندر
- دوسری
- سیکنڈ
- سیکشن
- سیکٹر
- سیکورٹی
- دیکھنا
- دیکھا
- منتخب
- انتخاب
- بھیجنا
- بھیجتا ہے
- بھیجا
- سیریز
- خدمت
- سرور
- سرورز
- سروس
- سروسز
- مقرر
- کئی
- شارک
- شیل
- دکھایا گیا
- شوز
- اسی طرح
- مماثلت
- سادہ
- بعد
- سائٹ
- چھوٹے
- So
- سافٹ ویئر کی
- شمسی
- حل
- کچھ
- خلا
- مخصوص
- مخصوص
- پھیلانے
- اسٹیکنگ
- اسٹیج
- کھینچنا
- معیار
- شروع ہوتا ہے
- چراغ
- مرحلہ
- مراحل
- چوری
- بند کرو
- ذخیرہ
- پردہ
- سلک
- بعد میں
- بعد میں
- اس طرح
- کی حمایت کرتا ہے
- سوئچڈ
- علامت
- کے نظام
- سسٹمز
- ٹیبل
- لیا
- لیتا ہے
- ہدف
- ھدف بنائے گئے
- ھدف بندی
- اہداف
- ٹاسک
- کاموں
- ٹیکنیکل
- تکنیکی تجزیہ
- ٹیلی کمیونیکیشن کی
- سے
- کہ
- ۔
- ان
- ان
- خود
- تو
- وہاں.
- یہ
- وہ
- چیزیں
- تھرڈ
- اس
- خطرہ
- دھمکی دینے والے اداکار
- دھمکی کی رپورٹ
- بھر میں
- اس طرح
- ناکام
- تعلقات
- وقت
- عنوان
- کرنے کے لئے
- کے آلے
- اوزار
- سب سے اوپر
- ٹرانزٹ
- نقل و حمل
- بھروسہ رکھو
- قابل اعتماد
- دو
- قسم
- ٹھیٹھ
- عام طور پر
- غیر معمولی
- کے تحت
- متحدہ
- متحدہ عرب
- متحدہ عرب امارات
- برعکس
- غیر استعمال شدہ
- اپ ڈیٹ
- اپ لوڈ کردہ
- اپ لوڈ کرنا
- صلی اللہ علیہ وسلم
- URL
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- v1
- قیمت
- اقدار
- متغیر
- مختلف اقسام کے
- مختلف
- ورژن
- ورژن کی معلومات
- ورژن
- عمودی
- بہت
- کی طرف سے
- وکٹم
- متاثرین
- دورہ
- کا دورہ کیا
- انتباہ
- تھا
- طریقوں
- we
- ویب
- ویب سرور
- ویب خدمات
- ویب سائٹ
- ویب سائٹ
- اچھا ہے
- تھے
- جس
- جبکہ
- پوری
- چوڑائی
- گے
- کھڑکیاں
- ساتھ
- کے اندر
- لفظ
- کام کا بہاؤ
- کام کر
- تحریری طور پر
- لکھا
- جی ہاں
- ابھی
- زیفیرنیٹ