North Korea से जुड़े खतरे वाले एक्टर्स अपने साइबर ऑपरेशन्स को डिसेंट्रलाइज्ड और बचाव करने वाले मैलवेयर टूल्स का उपयोग करके बढ़ा रहे हैं, जैसा कि Cisco Talos और Google Threat Intelligence Group की नई खोजों से पता चला है।
ये कैंपेन क्रिप्टोकरेन्सी चुराने, नेटवर्क में घुसपैठ करने और जटिल जॉब रिक्रूटमेंट स्कैम्स के माध्यम से पहचान से बचने का लक्ष्य रखते हैं।
बदलते Malware तकनीकें बढ़ती क्षमताओं को दर्शाती हैं
Cisco Talos के शोधकर्ताओं ने North Korean ग्रुप Famous Chollima द्वारा चलाए जा रहे एक चल रहे कैंपेन की पहचान की है। इस ग्रुप ने दो पूरक मैलवेयर स्ट्रेन्स, BeaverTail और OtterCookie का उपयोग किया है। ये प्रोग्राम, जो पारंपरिक रूप से क्रेडेंशियल चोरी और डेटा एक्सफिल्ट्रेशन के लिए उपयोग किए जाते थे, अब नई कार्यक्षमताओं और करीबी इंटरऑपरेशन को शामिल करने के लिए विकसित हो गए हैं।
हाल ही में Sri Lanka में एक संगठन से जुड़े एक घटना में, हमलावरों ने एक जॉब सीकर को तकनीकी मूल्यांकन के हिस्से के रूप में छुपे हुए कोड को इंस्टॉल करने के लिए लुभाया। भले ही संगठन खुद सीधे लक्ष्य नहीं था, Cisco Talos के विश्लेषकों ने OtterCookie से जुड़े एक कीलॉगिंग और स्क्रीनशॉटिंग मॉड्यूल का भी अवलोकन किया, जो नकली जॉब ऑफर्स में शामिल व्यक्तियों के लिए व्यापक जोखिम को उजागर करता है। इस मॉड्यूल ने गुप्त रूप से कीस्ट्रोक्स को रिकॉर्ड किया और डेस्कटॉप इमेज को कैप्चर किया, उन्हें स्वचालित रूप से एक रिमोट कमांड सर्वर पर ट्रांसफर किया।
यह अवलोकन North Korea से जुड़े खतरे वाले ग्रुप्स के निरंतर विकास और उनके सोशल इंजीनियरिंग तकनीकों पर ध्यान केंद्रित करने को उजागर करता है, जो अनजान लक्ष्यों को समझौता करने के लिए हैं।
Blockchain का उपयोग कमांड इन्फ्रास्ट्रक्चर के रूप में
Google की Threat Intelligence Group (GTIG) ने North Korea से जुड़े एक एक्टर, UNC5342 द्वारा एक ऑपरेशन की पहचान की। इस ग्रुप ने एक नया मैलवेयर EtherHiding का उपयोग किया। यह टूल पब्लिक ब्लॉकचेन पर मैलिशियस JavaScript पेलोड्स को छुपाता है, इसे एक डिसेंट्रलाइज्ड कमांड और कंट्रोल (C2) नेटवर्क में बदल देता है।
ब्लॉकचेन का उपयोग करके, हमलावर पारंपरिक सर्वरों के बिना मैलवेयर व्यवहार को दूरस्थ रूप से बदल सकते हैं। कानून प्रवर्तन के लिए इसे हटाना बहुत कठिन हो जाता है। इसके अलावा, GTIG ने रिपोर्ट किया कि UNC5342 ने EtherHiding को एक सोशल इंजीनियरिंग कैंपेन Contagious Interview में लागू किया, जिसे पहले Palo Alto Networks द्वारा पहचाना गया था, जो North Korea से जुड़े खतरे वाले एक्टर्स की दृढ़ता को दर्शाता है।
नौकरी खोजने वालों को निशाना बनाकर क्रिप्टोकरेन्सी और डेटा चोरी
Google के शोधकर्ताओं के अनुसार, ये साइबर ऑपरेशन्स आमतौर पर फर्जी जॉब पोस्टिंग्स के साथ शुरू होते हैं, जो क्रिप्टोकरेन्सी और साइबरसिक्योरिटी इंडस्ट्रीज के प्रोफेशनल्स को लक्षित करते हैं। पीड़ितों को नकली मूल्यांकनों में भाग लेने के लिए आमंत्रित किया जाता है, जिसके दौरान उन्हें मैलिशियस कोड के साथ एम्बेडेड फाइल्स डाउनलोड करने के लिए निर्देशित किया जाता है।
संक्रमण प्रक्रिया में अक्सर कई मैलवेयर परिवार शामिल होते हैं, जिनमें JadeSnow, BeaverTail, और InvisibleFerret शामिल हैं। ये सभी मिलकर हमलावरों को सिस्टम्स तक पहुंचने, क्रेडेंशियल्स चुराने और रैंसमवेयर को प्रभावी ढंग से तैनात करने की अनुमति देते हैं। अंतिम लक्ष्य जासूसी और वित्तीय चोरी से लेकर लॉन्ग-टर्म नेटवर्क घुसपैठ तक होते हैं।
Cisco और Google ने नॉर्थ कोरिया से जुड़े साइबर खतरों का पता लगाने और प्रतिक्रिया देने में संगठनों की मदद के लिए इंडिकेटर्स ऑफ कंप्रोमाइज (IOCs) प्रकाशित किए हैं। ये संसाधन दुर्भावनापूर्ण गतिविधियों की पहचान करने और संभावित उल्लंघनों को कम करने के लिए तकनीकी विवरण प्रदान करते हैं। शोधकर्ताओं ने चेतावनी दी है कि ब्लॉकचेन और मॉड्यूलर मैलवेयर का एकीकरण ग्लोबल साइबर सुरक्षा रक्षा प्रयासों को और जटिल बना सकता है।
