بدنام زمانہ شیڈو پیڈ ریموٹ ایکسیس ٹروجن (RAT) کے ساتھ پہلے سے وابستہ ایک خطرہ گروپ کو ایشیا میں متعدد ہدف حکومت اور دفاعی تنظیموں سے تعلق رکھنے والے سسٹمز پر مالویئر لوڈ کرنے کے لیے مقبول سافٹ ویئر پیکجز کے پرانے اور پرانے ورژنز کا استعمال کرتے ہوئے دیکھا گیا ہے۔
جائز سافٹ ویئر کے پرانے ورژن استعمال کرنے کی وجہ یہ ہے کہ وہ حملہ آوروں کو ایک معروف طریقہ استعمال کرنے کی اجازت دیتے ہیں جسے ڈائنامک لنک لائبریری (DLL) سائڈ لوڈنگ کہا جاتا ہے تاکہ وہ اپنے نقصاندہ پے لوڈز کو ہدف کے نظام پر انجام دے سکیں۔ اسی پروڈکٹس کے زیادہ تر موجودہ ورژن حملے کے ویکٹر سے تحفظ فراہم کرتے ہیں، جس میں بنیادی طور پر مخالفین کو ایک نقصان دہ DLL فائل کو جائز کے طور پر چھپانے اور اسے ایک ڈائریکٹری میں ڈالنا شامل ہے جہاں ایپلیکیشن خود بخود فائل کو لوڈ اور چلاتی ہے۔
براڈ کام کے سافٹ ویئر کی سیمنٹیک تھریٹ ہنٹر ٹیم کے محققین نے مشاہدہ کیا۔ شیڈو پیڈ-سائبر جاسوسی مہم میں ہتھکنڈے کا استعمال کرتے ہوئے متعلقہ خطرہ گروپ۔ گروپ کے اہداف میں اب تک وزیر اعظم کا دفتر، مالیاتی شعبے سے منسلک سرکاری تنظیمیں، حکومت کی ملکیت والی دفاعی اور ایرو اسپیس فرمیں، اور سرکاری ٹیلی کام، آئی ٹی اور میڈیا کمپنیاں شامل ہیں۔ سیکورٹی وینڈر کے تجزیے سے پتہ چلتا ہے کہ مہم کم از کم 2021 کے اوائل سے جاری ہے، جس میں انٹیلی جنس بنیادی توجہ ہے۔
سائبر حملے کا ایک معروف حربہ، لیکن کامیاب
"کا استعمال DLL سائڈ لوڈنگ کی سہولت کے لیے جائز ایپلیکیشنز ایسا لگتا ہے کہ خطے میں جاسوسی کرنے والے اداکاروں کے درمیان بڑھتا ہوا رجحان ہے،" Symantec نے اس ہفتے ایک رپورٹ میں کہا۔ یہ ایک پرکشش حربہ ہے کیونکہ اینٹی میلویئر ٹولز اکثر نقصان دہ سرگرمی کی نشاندہی نہیں کرتے کیونکہ حملہ آور سائیڈ لوڈنگ کے لیے پرانی ایپلیکیشنز استعمال کرتے تھے۔
"درخواستوں کی عمر کو چھوڑ کر، دوسری مشترکات یہ ہے کہ وہ سبھی نسبتاً معروف نام تھے اور اس طرح وہ بے ضرر دکھائی دے سکتے ہیں۔" سیمنٹیک کی تھریٹ ہنٹر ٹیم کے ساتھ تھریٹ انٹیلیجنس تجزیہ کار ایلن نیویل کہتے ہیں۔
سیمنٹیک نے کہا کہ حقیقت یہ ہے کہ ایشیا میں موجودہ مہم کے پیچھے گروپ اچھی طرح سے سمجھے جانے کے باوجود یہ حربہ استعمال کر رہا ہے اس سے پتہ چلتا ہے کہ یہ تکنیک کچھ کامیابی حاصل کر رہی ہے۔
نیویل کا کہنا ہے کہ ان کی کمپنی نے حال ہی میں نہیں دیکھا ہے کہ دھمکی آمیز اداکار امریکہ یا کسی اور جگہ یہ حربہ استعمال کرتے ہیں۔ "یہ تکنیک زیادہ تر حملہ آور ایشیائی تنظیموں پر توجہ مرکوز کرتے ہوئے استعمال کرتے ہیں،" وہ مزید کہتے ہیں۔
نیویل کا کہنا ہے کہ تازہ ترین مہم میں زیادہ تر حملوں میں، دھمکی دینے والے اداکاروں نے PsExec ونڈوز یوٹیلیٹی کا استعمال کیا دور دراز کے نظام پر پروگراموں پر عمل درآمد سائڈ لوڈنگ کو انجام دینے اور میلویئر کو تعینات کرنے کے لیے۔ ہر معاملے میں، حملہ آور پہلے ہی ان سسٹمز سے سمجھوتہ کر چکے تھے جن پر اس نے پرانی، جائز ایپس انسٹال کی تھیں۔
"[پروگرامز] ہر کمپرومائزڈ کمپیوٹر پر انسٹال کیے گئے تھے جو حملہ آور میلویئر چلانا چاہتے تھے۔ کچھ معاملات میں، یہ ایک ہی شکار نیٹ ورک پر متعدد کمپیوٹرز ہو سکتے ہیں،" نیویل کہتے ہیں۔ انہوں نے مزید کہا کہ دوسری صورتوں میں، Symantec نے انہیں اپنے مالویئر کو لوڈ کرنے کے لیے ایک مشین پر متعدد جائز ایپلیکیشنز کی تعیناتی کا بھی مشاہدہ کیا۔
"انہوں نے بہت سارے سافٹ ویئر استعمال کیے، بشمول سیکیورٹی سافٹ ویئر، گرافکس سافٹ ویئر، اور ویب براؤزرز،" وہ نوٹ کرتے ہیں۔ کچھ معاملات میں، Symantec محققین نے حملہ آور کو حملہ کو فعال کرنے کے لیے لیگیسی Windows XP OS سے جائز سسٹم فائلوں کا استعمال کرتے ہوئے بھی دیکھا۔
لاگ ڈیٹر، نقصان دہ پے لوڈز کی حد
نقصان دہ پے لوڈز میں سے ایک ایک نیا معلومات چوری کرنے والا ہے جسے Logdatter ڈب کیا جاتا ہے، جو حملہ آوروں کو کی اسٹروک لاگ کرنے، اسکرین شاٹس لینے، ایس کیو ایل ڈیٹا بیس سے استفسار کرنے، صوابدیدی کوڈ لگانے اور فائلوں کو ڈاؤن لوڈ کرنے کی اجازت دیتا ہے۔ دیگر پے لوڈز جو دھمکی آمیز اداکار اپنی ایشیائی مہم میں استعمال کر رہا ہے ان میں پلگ ایکس پر مبنی ٹروجن، دو RATs جنہیں Trochilus اور Quasar کہا جاتا ہے، اور دوہری استعمال کے کئی جائز ٹولز شامل ہیں۔ ان میں متاثرین کے ماحول کو سکین کرنے کے لیے لاڈن، ایک دخول کی جانچ کا فریم ورک، FScan، اور NBTscan شامل ہیں۔
نیویل کا کہنا ہے کہ سیمنٹیک یقینی طور پر اس بات کا تعین کرنے سے قاصر ہے کہ کس طرح خطرے کے اداکاروں کو ہدف کے ماحول پر ابتدائی رسائی حاصل ہو سکتی ہے۔ لیکن بغیر پیچ والے سسٹمز کی فشنگ اور مواقع کو نشانہ بنانا ممکنہ طور پر ویکٹر ہیں۔
"متبادل طور پر، ایک سافٹ ویئر سپلائی چین اٹیک ان حملہ آوروں کے دائرہ کار سے باہر نہیں ہے کیونکہ شیڈو پیڈ تک رسائی والے اداکار ہیں سپلائی چین حملے شروع کرنے کے بارے میں جانا جاتا ہے۔ ماضی میں،" نیویل نے نوٹ کیا۔ ایک بار جب دھمکی دینے والے اداکاروں نے ماحول تک رسائی حاصل کر لی ہے، تو وہ دوسرے سسٹمز کو ہدف بنانے کے لیے تلاش کرنے کے لیے NBTScan، TCPing، FastReverseProxy، اور Fscan جیسے سکیننگ ٹولز کی ایک رینج کا استعمال کرتے ہیں۔
اس قسم کے حملوں کے خلاف دفاع کے لیے، تنظیموں کو ان کے نیٹ ورک پر کون سا سافٹ ویئر چل رہا ہے اس کی آڈٹ اور کنٹرول کرنے کے لیے میکانزم کو نافذ کرنے کی ضرورت ہے۔ انہیں صرف وائٹ لسٹ شدہ ایپلیکیشنز کو ماحول میں چلنے کی اجازت دینے کی پالیسی پر عمل درآمد کرنے پر بھی غور کرنا چاہیے اور عوام کو درپیش ایپلی کیشنز میں کمزوریوں کے پیچ کو ترجیح دینا چاہیے۔
نیویل نے مشورہ دیا، "ہم ایسی مشینوں کو صاف کرنے کے لیے فوری کارروائی کرنے کی بھی سفارش کریں گے جو سمجھوتہ کے کسی بھی اشارے کو ظاہر کرتی ہیں،"... بشمول سائیکلنگ کی اسناد اور مکمل تفتیش کرنے کے لیے آپ کی اپنی تنظیم کے اندرونی عمل کی پیروی کرنا۔"
