Rescoms AceCryptor سپیم کی لہروں پر سوار ہے۔

پچھلے سال ESET نے شائع کیا a AceCryptor کے بارے میں بلاگ پوسٹ – 2016 سے کام کرنے والے سب سے زیادہ مقبول اور مروجہ کریپٹرس-ایس-اے-سروس (CaaS) میں سے ایک۔ H1 2023 کے لیے ہم نے شائع کیا ہماری ٹیلی میٹری کے اعدادوشمار، جس کے مطابق پچھلے ادوار کے رجحانات بغیر کسی تبدیلی کے جاری رہے۔

تاہم، H2 2023 میں ہم نے AceCryptor کے استعمال کے طریقے میں ایک اہم تبدیلی درج کی۔ نہ صرف ہم نے H2 2023 میں H1 2023 کے مقابلے میں دگنے سے زیادہ حملوں کو دیکھا اور بلاک کیا ہے، بلکہ ہم نے یہ بھی دیکھا ہے کہ Rescoms (Remcos کے نام سے بھی جانا جاتا ہے) نے AceCryptor کا استعمال شروع کیا، جو کہ پہلے ایسا نہیں تھا۔

AceCryptor سے بھرے Rescoms RAT نمونوں کی اکثریت یورپی ممالک بشمول پولینڈ، سلوواکیہ، بلغاریہ اور سربیا کو نشانہ بنانے والی متعدد اسپام مہموں میں ابتدائی سمجھوتہ کرنے والے ویکٹر کے طور پر استعمال کی گئی۔

اس بلاگ پوسٹ کے اہم نکات:

• AceCryptor نے H2 2023 میں دسیوں بہت معروف میلویئر خاندانوں کو پیکنگ کی خدمات فراہم کرنا جاری رکھا۔
• اگرچہ سیکورٹی پروڈکٹس سے اچھی طرح جانا جاتا ہے، AceCryptor کا پھیلاؤ کمی کے اشارے نہیں دکھا رہا ہے: اس کے برعکس، Rescoms مہموں کی وجہ سے حملوں کی تعداد میں نمایاں اضافہ ہوا ہے۔
• AceCryptor مخصوص ممالک اور اہداف (مثلاً، کسی خاص ملک میں کمپنیاں) کو نشانہ بنانے والے خطرے والے اداکاروں کے انتخاب کا ایک کریپٹر ہے۔
• H2 2023 میں، ESET نے یورپی ممالک، خاص طور پر پولینڈ، بلغاریہ، سپین اور سربیا میں متعدد AceCryptor+Rescoms مہمات کا پتہ لگایا۔
• ان مہمات کے پیچھے موجود دھمکی آمیز اداکار نے بعض صورتوں میں سمجھوتہ کرنے والے اکاؤنٹس کو اسپام ای میلز بھیجنے کے لیے استعمال کیا تاکہ انہیں زیادہ سے زیادہ قابل اعتبار بنایا جا سکے۔
• سپیم مہمات کا مقصد براؤزرز یا ای میل کلائنٹس میں محفوظ کردہ اسناد حاصل کرنا تھا، جو کامیاب سمجھوتہ کی صورت میں مزید حملوں کے امکانات کو کھول دے گا۔

H2 2023 میں AceCryptor

2023 کی پہلی ششماہی میں ESET نے تقریباً 13,000 صارفین کو AceCryptor سے بھرے میلویئر سے محفوظ کیا۔ سال کے دوسرے نصف میں، جنگل میں پھیلنے والے AceCryptor سے بھرے میلویئر میں بڑے پیمانے پر اضافہ ہوا، جس کے نتیجے میں ہماری شناخت تین گنا بڑھ گئی، جس کے نتیجے میں دنیا بھر میں 42,000 سے زیادہ محفوظ ESET صارفین ہیں۔ جیسا کہ شکل 1 میں دیکھا جا سکتا ہے، ہمیں میلویئر کے پھیلنے کی متعدد اچانک لہروں کا پتہ چلا۔ یہ اسپائکس ایک سے زیادہ اسپام مہمات دکھاتے ہیں جن کو یورپی ممالک میں نشانہ بنایا گیا ہے جہاں AceCryptor نے Rescoms RAT پیک کیا ہے (مزید بحث Rescoms مہمات سیکشن).

مزید برآں، جب ہم نمونوں کی خام تعداد کا موازنہ کرتے ہیں: 2023 کے پہلے نصف میں، ESET نے AceCryptor کے 23,000 سے زیادہ منفرد نقصان دہ نمونوں کا پتہ لگایا؛ 2023 کے دوسرے نصف میں، ہم نے 17,000 سے زیادہ منفرد نمونے "صرف" دیکھے اور ان کا پتہ لگایا۔ اگرچہ یہ غیر متوقع ہو سکتا ہے، اعداد و شمار کو قریب سے دیکھنے کے بعد ایک معقول وضاحت موجود ہے۔ Rescoms سپیم مہموں نے ایک ہی نقصان دہ فائل (ز) کو ای میل مہموں میں استعمال کیا جو صارفین کی ایک بڑی تعداد کو بھیجی گئیں، اس طرح میلویئر کا سامنا کرنے والے لوگوں کی تعداد میں اضافہ ہوا، لیکن پھر بھی مختلف فائلوں کی تعداد کو کم رکھا۔ پچھلے ادوار میں ایسا نہیں ہوا کیونکہ Rescoms تقریبا کبھی بھی AceCryptor کے ساتھ استعمال نہیں کیا گیا تھا۔ منفرد نمونوں کی تعداد میں کمی کی ایک اور وجہ یہ ہے کہ کچھ مشہور خاندانوں نے بظاہر AceCryptor کو اپنے جانے والے CaaS کے طور پر استعمال کرنا بند کر دیا (یا تقریباً روک دیا)۔ ایک مثال Danabot میلویئر ہے جس نے AceCryptor کا استعمال بند کر دیا ہے۔ نیز، نمایاں RedLine Stealer جس کے صارفین نے AceCryptor کو زیادہ سے زیادہ استعمال کرنا بند کر دیا، اس میلویئر پر مشتمل AceCryptor کے نمونوں میں 60% سے زیادہ کمی کی بنیاد پر۔

جیسا کہ شکل 2 میں دیکھا گیا ہے، AceCryptor ابھی بھی Rescoms کے علاوہ، بہت سے مختلف میلویئر فیملیز، جیسے SmokeLoader، STOP ransomware، اور Vidar stealer کے نمونے تقسیم کرتا ہے۔

2023 کی پہلی ششماہی میں، AceCryptor کے مالویئر سے سب سے زیادہ متاثر ہونے والے ممالک پیرو، میکسیکو، مصر اور ترکی تھے، جہاں پیرو، 4,700 پر، سب سے زیادہ حملے ہوئے۔ ریسکومز کی سپیم مہمات نے سال کے دوسرے نصف میں ان اعدادوشمار کو ڈرامائی طور پر تبدیل کر دیا۔ جیسا کہ شکل 3 میں دیکھا جا سکتا ہے، AceCryptor سے بھرے میلویئر نے زیادہ تر یورپی ممالک کو متاثر کیا۔ اب تک سب سے زیادہ متاثرہ ملک پولینڈ ہے، جہاں ESET نے 26,000 سے زیادہ حملوں کو روکا ہے۔ اس کے بعد یوکرین، اسپین اور سربیا کا نمبر آتا ہے۔ اور، یہ بات قابل ذکر ہے کہ ان ممالک میں سے ہر ایک میں ESET مصنوعات نے H1 2023 میں سب سے زیادہ متاثرہ ملک پیرو کے مقابلے زیادہ حملوں کو روکا۔

AceCryptor کے نمونے جن کا ہم نے H2 میں مشاہدہ کیا ہے ان میں اکثر دو میلویئر فیملیز ان کے پے لوڈ کے طور پر ہوتی ہیں: Rescoms اور SmokeLoader۔ یوکرین میں ایک بڑھتی ہوئی واردات سموک لوڈر کی وجہ سے ہوئی۔ یہ حقیقت پہلے بیان کی جا چکی ہے۔ یوکرین کے این ایس ڈی سی کے ذریعہ. دوسری طرف، پولینڈ، سلوواکیہ، بلغاریہ، اور سربیا میں بڑھتی ہوئی سرگرمی AceCryptor کی وجہ سے ہوئی تھی جس میں Rescoms کو حتمی پے لوڈ کے طور پر شامل کیا گیا تھا۔

Rescoms مہمات

2023 کی پہلی ششماہی میں، ہم نے اپنی ٹیلی میٹری میں Rescoms کے ساتھ AceCryptor کے نمونوں کے سو سے کم واقعات دیکھے۔ سال کے دوسرے نصف کے دوران، Rescoms 32,000 سے زیادہ ہٹس کے ساتھ، AceCryptor کی طرف سے پیک کردہ سب سے زیادہ مقبول میلویئر فیملی بن گئی۔ ان میں سے نصف سے زیادہ کوششیں پولینڈ میں ہوئیں، اس کے بعد سربیا، اسپین، بلغاریہ، اور سلوواکیہ (شکل 4)۔

پولینڈ میں مہمات

ESET ٹیلی میٹری کی بدولت ہم H2 2023 میں پولینڈ کو نشانہ بنانے والی آٹھ اہم سپیم مہمات کا مشاہدہ کرنے میں کامیاب رہے ہیں۔ جیسا کہ شکل 5 میں دیکھا جا سکتا ہے، ان میں سے زیادہ تر ستمبر میں ہوئیں، لیکن اگست اور دسمبر میں بھی مہمات تھیں۔

مجموعی طور پر، ESET نے اس مدت کے لیے پولینڈ میں ان حملوں میں سے 26,000 سے زیادہ رجسٹر کیے ہیں۔ تمام اسپام مہمات پولینڈ میں کاروباروں کو نشانہ بناتے ہیں اور تمام ای میلز میں متاثرہ کمپنیوں کے لیے B2B پیشکشوں کے بارے میں بہت ہی مماثل مضامین تھے۔ ممکنہ حد تک قابل اعتماد نظر آنے کے لیے، حملہ آوروں نے اسپام ای میلز میں درج ذیل چالوں کو شامل کیا:

• ای میل پتے وہ دوسری کمپنیوں کے نقلی ڈومینز سے سپیم ای میلز بھیج رہے تھے۔ حملہ آوروں نے ایک مختلف TLD استعمال کیا، کمپنی کے نام میں ایک حرف یا کثیر لفظی کمپنی کے نام کی صورت میں لفظ ترتیب کو تبدیل کیا (اس تکنیک کو ٹائپوسکوٹنگ کہا جاتا ہے)۔
• سب سے زیادہ قابل ذکر یہ ہے کہ متعدد مہمات شامل ہیں۔ کاروباری ای میل سمجھوتہ - حملہ آوروں نے اسپام ای میلز بھیجنے کے لیے کمپنی کے دیگر ملازمین کے پہلے سمجھوتہ کیے گئے ای میل اکاؤنٹس کا غلط استعمال کیا۔ اس طرح سے یہاں تک کہ اگر ممکنہ شکار نے معمول کے سرخ جھنڈوں کی تلاش کی، تو وہ وہاں نہیں تھے، اور ای میل اتنا ہی جائز نظر آتا تھا جتنا کہ ہوسکتا تھا۔

حملہ آوروں نے اپنی تحقیق کی اور ان ای میلز پر دستخط کرتے وقت پولینڈ کی موجودہ کمپنی کے نام اور یہاں تک کہ موجودہ ملازم/مالک کے نام اور رابطہ کی معلومات کا استعمال کیا۔ ایسا اس لیے کیا گیا تھا کہ اس صورت میں جہاں کوئی شکار بھیجنے والے کے نام کو گوگل کرنے کی کوشش کرتا ہے، تلاش کامیاب ہو جائے گی، جس کی وجہ سے وہ بدنیتی پر مبنی اٹیچمنٹ کھول سکتے ہیں۔

• سپیم ای میلز کا مواد کچھ معاملات میں آسان تھا لیکن بہت سے معاملات میں (جیسے شکل 6 میں مثال) کافی وسیع تھا۔ خاص طور پر ان مزید وسیع ورژنوں کو خطرناک سمجھا جانا چاہئے کیونکہ وہ عام متن کے معیاری نمونے سے ہٹ جاتے ہیں، جو اکثر گرامر کی غلطیوں سے چھلنی ہوتی ہے۔

تصویر 6 میں دکھایا گیا ای میل ایک پیغام پر مشتمل ہے جس کے بعد مبینہ ارسال کنندہ کے ذریعے کی گئی ذاتی معلومات کی کارروائی کے بارے میں معلومات اور "آپ کے ڈیٹا کے مواد تک رسائی اور درست کرنے، حذف کرنے، پروسیسنگ کی پابندیوں کو محدود کرنے، ڈیٹا کی منتقلی کا حق" اعتراض اٹھانے کا حق، اور نگران اتھارٹی کے پاس شکایت درج کرانے کا حق۔ خود پیغام کا ترجمہ اس طرح کیا جا سکتا ہے:

، بیٹا سر

میں [redacted] سے Sylwester [redacted] ہوں۔ آپ کی کمپنی کی سفارش ہمیں ایک کاروباری پارٹنر نے کی تھی۔ براہ کرم منسلک آرڈر کی فہرست کا حوالہ دیں۔ براہ کرم ہمیں ادائیگی کی شرائط کے بارے میں بھی مطلع کریں۔

ہم آپ کے جواب اور مزید بحث کے منتظر ہیں۔

-

ڈاؤن لوڈ، اتارنا مخلص،

تمام مہمات میں منسلکات کافی مماثل نظر آتے تھے (شکل 7)۔ ای میلز میں ایک منسلک آرکائیو یا ISO فائل ہوتی ہے جس کا نام آفر/انکوائری ہوتا ہے (یقیناً پولش میں)، کچھ معاملات میں آرڈر نمبر کے ساتھ بھی ہوتا ہے۔ اس فائل میں ایک AceCryptor ایگزیکیوٹیبل موجود تھا جس نے Rescoms کو پیک کیا اور لانچ کیا۔

میلویئر کے رویے کی بنیاد پر، ہم فرض کرتے ہیں کہ ان مہمات کا مقصد ای میل اور براؤزر کی اسناد حاصل کرنا تھا، اور اس طرح ہدف شدہ کمپنیوں تک ابتدائی رسائی حاصل کرنا تھا۔ اگرچہ یہ معلوم نہیں ہے کہ آیا یہ اسناد اس گروپ کے لیے اکٹھی کی گئی تھیں جس نے یہ حملے کیے تھے یا اگر وہ چوری شدہ اسناد بعد میں دیگر دھمکی آمیز اداکاروں کو فروخت کر دی جائیں گی، یہ یقینی ہے کہ کامیاب سمجھوتہ مزید حملوں کے امکانات کو کھولتا ہے، خاص طور پر، فی الحال مقبول، ransomware حملے.

یہ بتانا ضروری ہے کہ Rescoms RAT خریدا جا سکتا ہے۔ اس طرح بہت سے دھمکی آمیز اداکار اسے اپنی کارروائیوں میں استعمال کرتے ہیں۔ یہ مہمات نہ صرف ہدف کی مماثلت، اٹیچمنٹ کی ساخت، ای میل ٹیکسٹ، یا ممکنہ متاثرین کو دھوکہ دینے کے لیے استعمال ہونے والی چالوں اور تکنیکوں سے جڑی ہوئی ہیں، بلکہ کچھ کم واضح خصوصیات سے بھی۔ میلویئر میں ہی، ہم ایسے نمونے تلاش کرنے میں کامیاب ہو گئے تھے (مثلاً، Rescoms کے لیے لائسنس ID) جو ان مہمات کو آپس میں جوڑتے ہیں، جس سے یہ ظاہر ہوتا ہے کہ ان میں سے بہت سے حملے ایک دھمکی آمیز اداکار کے ذریعے کیے گئے تھے۔

سلوواکیہ، بلغاریہ اور سربیا میں مہمات

پولینڈ میں مہمات کے اسی عرصے کے دوران، ESET ٹیلی میٹری نے سلوواکیہ، بلغاریہ اور سربیا میں جاری مہمات کو بھی رجسٹر کیا۔ ان مہمات نے بنیادی طور پر مقامی کمپنیوں کو بھی نشانہ بنایا اور ہم خود میلویئر میں ایسے نمونے بھی تلاش کر سکتے ہیں جو ان مہمات کو اسی خطرے والے اداکار سے جوڑتے ہیں جس نے پولینڈ میں مہمات چلائی تھیں۔ صرف ایک اہم چیز جو تبدیل ہوئی وہ تھی، یقیناً، سپیم ای میلز میں استعمال ہونے والی زبان ان مخصوص ممالک کے لیے موزوں تھی۔

سپین میں مہمات

پہلے ذکر کردہ مہمات کے علاوہ، اسپین نے آخری پے لوڈ کے طور پر Rescoms کے ساتھ اسپام ای میلز میں اضافے کا بھی تجربہ کیا۔ اگرچہ ہم اس بات کی تصدیق کر سکتے ہیں کہ کم از کم ایک مہم اسی دھمکی دینے والے اداکار کی طرف سے چلائی گئی تھی جیسا کہ ان پچھلے معاملات میں، دوسری مہمات نے کچھ مختلف انداز اپنایا۔ مزید برآں، یہاں تک کہ جو نمونے پچھلے معاملات میں ایک جیسے تھے ان میں بھی فرق تھا اور، اس وجہ سے، ہم یہ نتیجہ اخذ نہیں کر سکتے کہ اسپین میں مہمات ایک ہی جگہ سے شروع ہوئیں۔

نتیجہ

2023 کی دوسری ششماہی کے دوران ہمیں AceCryptor کے استعمال میں تبدیلی کا پتہ چلا – ایک مشہور کریپٹٹر جسے متعدد دھمکی آمیز اداکاروں کے ذریعے بہت سے مالویئر خاندانوں کو پیک کرنے کے لیے استعمال کیا جاتا ہے۔ اگرچہ کچھ میلویئر فیملیز جیسے RedLine Stealer کا پھیلاؤ کم ہوا، دوسرے خطرے والے اداکاروں نے اسے استعمال کرنا شروع کر دیا یا اسے اپنی سرگرمیوں کے لیے اور بھی زیادہ استعمال کیا اور AceCryptor اب بھی مضبوط ہو رہا ہے۔ ان مہمات میں AceCryptor کا استعمال متعدد یورپی ممالک کو نشانہ بنانے اور معلومات نکالنے کے لیے کیا گیا یا متعدد کمپنیوں تک ابتدائی رسائی حاصل کریں۔ ان حملوں میں مالویئر کو سپیم ای میلز میں تقسیم کیا گیا تھا، جو کہ کچھ معاملات میں کافی قائل تھے۔ بعض اوقات اسپام کو جائز، لیکن غلط ای میل اکاؤنٹس سے بھی بھیجا جاتا تھا۔ چونکہ ایسی ای میلز سے اٹیچمنٹ کھولنے کے آپ یا آپ کی کمپنی کے لیے سنگین نتائج ہو سکتے ہیں، ہم آپ کو مشورہ دیتے ہیں کہ آپ جو کچھ کھول رہے ہیں اس کے بارے میں آگاہ رہیں اور مالویئر کا پتہ لگانے کے لیے قابل اعتماد اینڈ پوائنٹ سیکیورٹی سافٹ ویئر استعمال کریں۔

WeLiveSecurity پر شائع ہونے والی ہماری تحقیق کے بارے میں کسی بھی استفسار کے لیے، براہ کرم ہم سے رابطہ کریں۔ ਧਮਕੀینٹیل@eset.com.
ESET ریسرچ نجی APT انٹیلی جنس رپورٹس اور ڈیٹا فیڈز پیش کرتا ہے۔ اس سروس کے بارے میں کسی بھی استفسار کے لیے، ملاحظہ کریں۔ ای ایس ای ٹی تھریٹ انٹیلی جنس صفحہ.

آئی او سیز

انڈیکیٹرز آف کمپرومائز (IoCs) کی ایک جامع فہرست ہمارے میں مل سکتی ہے۔ GitHub ذخیرہ.

فائلوں

ان شاء 1	فائل کا نام	کھوج	Description
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	دسمبر 2023 کے دوران سربیا میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	ستمبر 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	ستمبر 2023 کے دوران پولینڈ اور بلغاریہ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	ستمبر 2023 کے دوران سربیا میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	ستمبر 2023 کے دوران بلغاریہ میں سپیم مہم سے بدنیتی پر مبنی منسلکہ۔
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	اگست 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	اگست 2023 کے دوران سربیا میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	اگست 2023 کے دوران بلغاریہ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	اگست 2023 کے دوران سلوواکیہ میں سپیم مہم سے بدنیتی پر مبنی منسلکہ۔
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	دسمبر 2023 کے دوران بلغاریہ میں سپیم مہم سے بدنیتی پر مبنی منسلکہ۔
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	ستمبر 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	ستمبر 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_andre.7z	Win32/Kryptik.HUOZ	ستمبر 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	ستمبر 2023 کے دوران سربیا میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	دسمبر 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	ستمبر 2023 کے دوران پولینڈ میں سپیم مہم سے بدنیتی پر مبنی اٹیچمنٹ۔
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	اسپین میں اگست 2023 کے دوران سپیم مہم سے بدنیتی پر مبنی منسلکہ۔

MITER ATT&CK تکنیک

یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 14 MITER ATT&CK فریم ورک کا۔

حربہ	ID	نام	Description
دوبارہ ملاقات	T1589.002	شکار کی شناخت کی معلومات جمع کریں: ای میل ایڈریس	ای میل پتے اور رابطے کی معلومات (یا تو عوامی طور پر دستیاب ذرائع سے خریدی گئی یا جمع کی گئی) کو متعدد ممالک میں کمپنیوں کو نشانہ بنانے کے لیے فشنگ مہموں میں استعمال کیا گیا۔
وسائل کی ترقی	T1586.002	سمجھوتہ اکاؤنٹس: ای میل اکاؤنٹس	سپام ای میل کی ساکھ بڑھانے کے لیے حملہ آوروں نے اسپام مہموں میں فشنگ ای میلز بھیجنے کے لیے سمجھوتہ شدہ ای میل اکاؤنٹس کا استعمال کیا۔
	T1588.001	صلاحیتیں حاصل کریں: میلویئر	حملہ آوروں نے فشنگ مہمات کے لیے AceCryptor اور Rescoms کو خریدا اور استعمال کیا۔
ابتدائی رسائی	T1566	فریب دہی	حملہ آوروں نے کمپیوٹر سے سمجھوتہ کرنے اور متعدد یورپی ممالک میں کمپنیوں سے معلومات چرانے کے لیے نقصان دہ اٹیچمنٹ کے ساتھ فشنگ پیغامات کا استعمال کیا۔
	T1566.001	فشنگ: سپیئر فشنگ اٹیچمنٹ	حملہ آوروں نے کمپیوٹر سے سمجھوتہ کرنے اور متعدد یورپی ممالک میں کمپنیوں سے معلومات چرانے کے لیے نیزہ بازی کے پیغامات کا استعمال کیا۔
پھانسی	T1204.002	صارف پر عملدرآمد: نقصان دہ فائل	حملہ آوروں نے AceCryptor کے ذریعے پیک کردہ میلویئر کے ساتھ نقصان دہ فائلوں کو کھولنے اور لانچ کرنے پر انحصار کیا۔
اسناد تک رسائی	T1555.003	پاس ورڈ اسٹورز سے اسناد: ویب براؤزرز سے اسناد	حملہ آوروں نے براؤزرز اور ای میل کلائنٹس سے اسناد کی معلومات چرانے کی کوشش کی۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/