نئی RemcosRAT مہم میں نایاب ڈیٹا کی منتقلی کے حربے کا استعمال کرتے ہوئے دھمکی دینے والا گروپ

RemcosRAT ریموٹ سرویلنس اور کنٹرول ٹول کے ساتھ بار بار یوکرین میں تنظیموں کو نشانہ بنانے کے لیے جانا جاتا ایک دھمکی آمیز اداکار، اس بار اینڈ پوائنٹ کا پتہ لگانے اور رسپانس سسٹم کو ٹرگر کیے بغیر ڈیٹا کی منتقلی کے لیے ایک نئے حربے کے ساتھ، ایک بار پھر واپس آ گیا ہے۔

مخالف، جسے UNC-0050 کے نام سے ٹریک کیا جاتا ہے، اپنی تازہ ترین مہم میں یوکرین کے سرکاری اداروں پر مرکوز ہے۔ اپٹیکس کے محققین جنہوں نے اسے دیکھا، کہا کہ حملے سیاسی طور پر محرک ہوسکتے ہیں، جس کا مقصد یوکرین کی سرکاری ایجنسیوں سے مخصوص انٹیلی جنس جمع کرنا ہے۔ "جبکہ ریاستی کفالت کا امکان قیاس آرائی پر مبنی ہے، گروپ کی سرگرمیاں ایک ناقابل تردید خطرہ لاحق ہیں، خاص طور پر ونڈوز سسٹمز پر انحصار کرنے والے سرکاری شعبوں کے لیے،" اپٹیکس کے محققین کارتھک کمار کاتھیرسن اور شلپیش ترویدی اس ہفتے ایک رپورٹ میں لکھا.

RemcosRAT خطرہ

دھمکی آمیز اداکار استعمال کرتے رہے ہیں۔ RemcosRAT — جس نے زندگی کو ایک جائز ریموٹ ایڈمنسٹریشن ٹول کے طور پر شروع کیا — کم از کم 2016 سے سمجھوتہ کرنے والے سسٹمز کو کنٹرول کرنے کے لیے۔ دوسری چیزوں کے علاوہ، یہ ٹول حملہ آوروں کو سسٹم، صارف، اور پروسیسر کی معلومات کو اکٹھا کرنے اور نکالنے کی اجازت دیتا ہے۔ یہ ہو سکتا ہے بائی پاس بہت سے اینٹی وائرس اور اینڈپوائنٹ خطرے کا پتہ لگانے والے ٹولز اور بیک ڈور کمانڈز کی ایک قسم پر عمل درآمد کرتے ہیں۔ بہت سے واقعات میں دھمکی آمیز اداکاروں نے فشنگ ای میلز میں اٹیچمنٹ میں مالویئر تقسیم کیا ہے۔

اپٹیکس ابھی تک تازہ ترین مہم میں ابتدائی حملے کے ویکٹر کا تعین کرنے میں کامیاب نہیں ہوسکا ہے لیکن اس نے کہا کہ یہ جاب پر مبنی فشنگ اور اسپام ای میلز کی طرف جھکاؤ رکھتا ہے کیونکہ زیادہ تر ممکنہ طور پر میلویئر کی تقسیم کا طریقہ ہے۔ سیکیورٹی وینڈر نے اپنے جائزوں کی بنیاد ان ای میلز پر کی جس کا جائزہ لیا گیا جس میں نشانہ بنائے گئے یوکرین کے فوجی اہلکاروں کو اسرائیل کی دفاعی افواج میں مشاورتی کردار کی پیشکش کی گئی تھی۔

اپٹیکس نے کہا کہ انفیکشن کا سلسلہ بذات خود ایک .lnk فائل سے شروع ہوتا ہے جو کمپرومائزڈ سسٹم کے بارے میں معلومات اکٹھا کرتی ہے اور پھر حملہ آور کے زیر کنٹرول ریموٹ سرور سے 6.hta نامی ایک HTML ایپ کو ونڈوز کی مقامی بائنری کا استعمال کرتے ہوئے بازیافت کرتی ہے۔ بازیافت شدہ ایپ میں ایک PowerShell اسکرپٹ ہے جو حملہ آور کے زیر کنٹرول ڈومین سے دو دیگر پے لوڈ فائلوں (word_update.exe اور ofer.docx) کو ڈاؤن لوڈ کرنے کے اقدامات شروع کرتی ہے اور - بالآخر - سسٹم پر RemcosRAT کو انسٹال کرنے کے لیے۔

کسی حد تک نایاب حربہ

جو چیز UNC-0050 کی نئی مہم کو مختلف بناتی ہے وہ ہے دھمکی دینے والے اداکار کا a کا استعمال ونڈوز انٹر پروسیس مواصلات سمجھوتہ شدہ سسٹمز پر ڈیٹا کی منتقلی کے لیے گمنام پائپ کہلانے والی خصوصیت۔ جیسا کہ مائیکروسافٹ اس کی وضاحت کرتا ہے، ایک گمنام پائپ والدین اور بچے کے عمل کے درمیان ڈیٹا کی منتقلی کے لیے ایک طرفہ مواصلاتی چینل ہے۔ کتھیرسن اور ترویدی نے کہا کہ UNC-0050 کسی بھی EDR یا اینٹی وائرس الرٹس کو متحرک کیے بغیر ڈیٹا کو خفیہ طور پر چینل کرنے کے لیے خصوصیت کا فائدہ اٹھا رہا ہے۔

UNC-0050 پہلا خطرہ اداکار نہیں ہے جس نے چوری شدہ ڈیٹا کو نکالنے کے لیے پائپوں کا استعمال کیا، لیکن یہ حربہ نسبتاً نایاب ہے، Uptycs محققین نے نوٹ کیا۔ "اگرچہ مکمل طور پر نیا نہیں ہے، یہ تکنیک گروپ کی حکمت عملیوں کی نفاست میں ایک اہم چھلانگ کی نشاندہی کرتی ہے،" انہوں نے کہا۔

یہ پہلی بار ہے جب سیکورٹی محققین نے UAC-0050 کو یوکرین میں اہداف پر RemcosRAT تقسیم کرنے کی کوشش کرتے ہوئے دیکھا ہے۔ پچھلے سال متعدد مواقع پر، یوکرین کی کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT-UA) نے دھمکی آمیز اداکار کی جانب سے ملک میں تنظیموں کو ریموٹ ایکسیس ٹروجن تقسیم کرنے کی مہموں سے خبردار کیا۔

سب سے حالیہ ایک تھا 21 دسمبر 2023 کو ایڈوائزری, ایک بڑے پیمانے پر فشنگ مہم کے بارے میں جس میں ایک اٹیچمنٹ کے ساتھ ای میلز شامل ہیں جو کہ یوکرین کے سب سے بڑے ٹیلی کمیونیکیشن فراہم کنندگان میں سے ایک Kyivstar کے ساتھ ایک معاہدہ ہے۔ دسمبر کے شروع میں، CERT-UA نے ایک اور خبردار کیا تھا۔ RemcosRAT بڑے پیمانے پر تقسیم مہم، یہ ای میلز پر مشتمل ہے جس میں "عدالتی دعووں" اور "قرضوں" سے متعلق یوکرین اور پولینڈ میں تنظیموں اور افراد کو نشانہ بنایا گیا ہے۔ ای میلز میں آرکائیو فائل یا RAR فائل کی شکل میں ایک منسلکہ موجود تھا۔

CERT-UA نے پچھلے سال تین دیگر مواقع پر اسی طرح کے الرٹس جاری کیے تھے، ایک نومبر میں عدالتی پیشی پر مبنی ای میلز کے ساتھ جو ابتدائی ڈیلیوری گاڑی کے طور پر کام کر رہے تھے۔ ایک اور، نومبر میں بھی، مبینہ طور پر یوکرین کی سیکیورٹی سروس کی ای میلز کے ساتھ؛ اور پہلی فروری 2023 میں اٹیچمنٹ کے ساتھ ایک بڑے ای میل مہم کے بارے میں جو کیف کی ضلعی عدالت سے وابستہ دکھائی دیتی ہے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign