TeslaGun کے نام سے ایک نیا دریافت شدہ سائبر اٹیک پینل دریافت ہوا ہے، جسے Evil Corp نے ServHelper بیک ڈور مہمات چلانے کے لیے استعمال کیا ہے۔
Prodraft Threat Intelligence (PTI) ٹیم کے تجزیے سے حاصل کردہ ڈیٹا سے پتہ چلتا ہے کہ Evil Corp ransomware گینگ (عرف TA505 یا UNC2165، نصف درجن دیگر رنگین ٹریکنگ ناموں کے ساتھ) نے TeslaGun کو بڑے پیمانے پر فشنگ مہم چلانے کے لیے استعمال کیا ہے اور مزید لوگوں کے خلاف ٹارگٹ مہمات چلائی ہیں۔ 8,000 سے زیادہ مختلف تنظیمیں اور افراد۔ زیادہ تر اہداف امریکہ میں ہیں، جس میں متاثرین کی تعداد 3,600 سے زیادہ تھی، اس کے باہر بکھری ہوئی بین الاقوامی تقسیم کے ساتھ۔
ServHelper بیک ڈور میلویئر کی مسلسل توسیع ہوئی ہے، ایک طویل عرصے سے چلنے والا اور مسلسل اپ ڈیٹ کردہ پیکیج جو کہ کم از کم 2019 سے لات مار رہا ہے۔ اس نے 2021 کے دوسرے نصف حصے میں ایک بار پھر بھاپ اٹھانا شروع کر دیا، ایک کے مطابق سسکو Talos سے رپورٹ، جعلی انسٹالرز اور متعلقہ انسٹالر میلویئر جیسے میکانزم جیسے Raccoon اور Amadey سے حوصلہ افزائی کی گئی ہے۔
حال ہی میں، Trellix سے خطرے کی انٹیلی جنس پچھلے مہینے نے اطلاع دی کہ ServHelper بیک ڈور حال ہی میں سسٹمز پر چھپے ہوئے کرپٹو مائنرز کو گراتے ہوئے پایا گیا ہے۔
پی ٹی آئی کی رپورٹ, منگل کو جاری کیا گیا، TeslaGun کے پیچھے تکنیکی تفصیلات پر روشنی ڈالتا ہے، اور کچھ تفصیلات اور تجاویز پیش کرتا ہے جو انٹرپرائزز کو موجودہ بیک ڈور سائبر اٹیک کے موجودہ رجحانات میں اہم جوابی اقدامات کے ساتھ آگے بڑھنے میں مدد کر سکتے ہیں۔
بیک ڈور حملے جو تصدیق کے طریقہ کار کو روکتے ہیں اور خاموشی سے انٹرپرائز سسٹمز پر استقامت قائم کرتے ہیں سائبر سیکیورٹی کے محافظوں کے لیے سب سے زیادہ پریشان کن ہیں۔ اس کی وجہ یہ ہے کہ معیاری سیکیورٹی کنٹرولز کے ذریعے ان حملوں کا پتہ لگانا یا روکنا بدنام زمانہ مشکل ہے۔
بیک ڈور حملہ آور اپنے حملے کے اثاثوں کو متنوع بناتے ہیں۔
پی ٹی آئی کے محققین نے کہا کہ انہوں نے اپنی تحقیقات کے دوران متاثرین کے مختلف پروفائلز اور مہمات کی ایک وسیع رینج کا مشاہدہ کیا، پچھلی تحقیق کی حمایت کرتے ہوئے جس میں دکھایا گیا تھا کہ ServHelper کے حملے متاثرین کے لیے بیک وقت مختلف مہمات میں ٹرول کر رہے ہیں۔ یہ موقع پرست ہٹ کے لیے وسیع جال ڈالنے کا ایک ٹریڈ مارک اٹیک پیٹرن ہے۔
رپورٹ میں وضاحت کی گئی کہ "TeslaGun کنٹرول پینل کی ایک مثال میں متعدد مہم کے ریکارڈ شامل ہیں جو مختلف ترسیل کے طریقوں اور حملے کے ڈیٹا کی نمائندگی کرتے ہیں۔" "مالویئر کے نئے ورژن ان مختلف مہمات کو مہم کے IDs کے بطور انکوڈ کرتے ہیں۔"
لیکن سائبر حملہ کرنے والے فعال طور پر متاثرین کی پروفائلنگ کریں گے۔
ایک ہی وقت میں، TeslaGun میں بہت سارے شواہد موجود ہیں کہ حملہ آور متاثرین کی پروفائلنگ کر رہے ہیں، کچھ پوائنٹس پر کافی نوٹ لے رہے ہیں، اور ٹارگٹڈ بیک ڈور حملے کر رہے ہیں۔
"PTI ٹیم نے مشاہدہ کیا کہ TeslaGun پینل کے مین ڈیش بورڈ میں متاثرہ ریکارڈ سے منسلک تبصرے شامل ہیں۔ یہ ریکارڈ متاثرہ ڈیوائس کا ڈیٹا دکھاتے ہیں جیسے CPU، GPU، RAM کا سائز اور انٹرنیٹ کنکشن کی رفتار،" رپورٹ میں کہا گیا، اس کی وضاحت کرپٹو مائننگ کے مواقع کو نشانہ بنانے کی نشاندہی کرتی ہے۔ "دوسری طرف، متاثرین کے تبصروں کے مطابق، یہ واضح ہے کہ TA505 فعال طور پر آن لائن بینکنگ یا خوردہ صارفین کو تلاش کر رہا ہے، بشمول کرپٹو والٹس اور ای کامرس اکاؤنٹس۔"
رپورٹ میں کہا گیا ہے کہ زیادہ تر متاثرین مالیاتی شعبے میں کام کرتے نظر آتے ہیں لیکن یہ ہدف خاص نہیں ہے۔
باز فروخت بیک ڈور منیٹائزیشن کا ایک اہم حصہ ہے۔
رپورٹ میں کہا گیا کہ جس طرح سے کنٹرول پینل کے صارف کے اختیارات مرتب کیے گئے ہیں اس سے محققین کو گروپ کے "ورک فلو اور تجارتی حکمت عملی" کے بارے میں کافی معلومات ملتی ہیں۔ مثال کے طور پر، کچھ فلٹرنگ کے اختیارات پر "فروخت کریں" اور "بیچیں 2" کا لیبل لگایا گیا تھا اور ان گروپوں کے متاثرین کے ساتھ پینل کے ذریعے ریموٹ ڈیسک ٹاپ پروٹوکول (RDP) کو عارضی طور پر غیر فعال کر دیا گیا تھا۔
رپورٹ کے مطابق، "اس کا شاید یہ مطلب ہے کہ TA505 فوری طور پر ان مخصوص متاثرین کے استحصال سے منافع کما نہیں سکتا۔" "انہیں جانے دینے کے بجائے، گروپ نے ان متاثرہ افراد کے RDP کنکشنز کو دوسرے سائبر جرائم پیشہ افراد کو دوبارہ فروخت کرنے کے لیے ٹیگ کیا ہے۔"
پی ٹی آئی کی رپورٹ میں کہا گیا ہے کہ محققین کے مشاہدات کی بنیاد پر، گروپ کا اندرونی ڈھانچہ "حیرت انگیز طور پر غیر منظم" تھا لیکن یہ کہ اس کے اراکین اب بھی "اپنے متاثرین کی احتیاط سے نگرانی کرتے ہیں اور خاص طور پر فنانس سیکٹر میں اعلیٰ قدر کے متاثرین کے ساتھ غیر معمولی صبر کا مظاہرہ کر سکتے ہیں۔"
تجزیہ مزید نوٹ کرتا ہے کہ گروپ کی طاقت اس کی چستی ہے، جس کی وجہ سے سرگرمی کی پیش گوئی کرنا اور وقت کے ساتھ اس کا پتہ لگانا مشکل ہو جاتا ہے۔
اس کے باوجود، بیک ڈور حملہ آور کامل نہیں ہیں، اور یہ سائبرسیکیوریٹی کے پیشہ ور افراد کے لیے کچھ اشارے پیش کر سکتا ہے جو ان کی کوششوں کو ناکام بنانا چاہتے ہیں۔
"تاہم، گروپ کچھ بتانے والی کمزوریوں کی نمائش کرتا ہے۔ اگرچہ TA505 متاثرین کے آلات پر مہینوں تک پوشیدہ رابطے برقرار رکھ سکتا ہے، لیکن اس کے اراکین اکثر غیر معمولی طور پر شور کرتے ہیں،" رپورٹ میں کہا گیا۔ "ServHelper کو انسٹال کرنے کے بعد، TA505 دھمکی دینے والے اداکار RDP ٹنلنگ کے ذریعے متاثرہ آلات سے دستی طور پر جڑ سکتے ہیں۔ ان سرنگوں کا پتہ لگانے کے قابل حفاظتی ٹیکنالوجیز TA505 کے بیک ڈور حملوں کو پکڑنے اور ان کو کم کرنے کے لیے اہم ثابت ہو سکتی ہیں۔
روس سے منسلک (اور منظور شدہ) ایول کارپوریشن پچھلے پانچ سالوں میں سب سے زیادہ ترقی یافتہ گروپوں میں سے ایک رہا ہے۔ کے مطابق امریکی حکومت، گروپ مالیاتی ٹروجن ڈریڈیکس کے پیچھے دماغی اعتماد ہے اور WastedLocker جیسے ransomware کے مختلف قسموں کا استعمال کرنے والی مہموں کے ساتھ وابستگی رکھتا ہے۔ یہ اپنے ہتھیاروں کے لیے بھی ہتھیاروں کا بیڑا تیار کر رہا ہے۔ پچھلے ہفتے، یہ بات سامنے آئی کہ اس کا تعلق ہے۔ راسبیری رابن انفیکشن.
پی ٹی آئی خطرے کو ٹریک کرنے کے لیے TA505 استعمال کرتی ہے، اور اتفاق رائے ٹھوس ہے لیکن یہ عالمگیر نہیں کہ TA505 اور Evil Corp ایک ہی گروپ ہیں۔ کی طرف سے گزشتہ ماہ ایک رپورٹ ہیلتھ سیکٹر سائبرسیکیوریٹی کوآرڈینیشن سینٹر (HC3) کہا کہ یہ "فی الحال اس نتیجے کی حمایت نہیں کرتا ہے۔"
