थ्रेट हंटर्स ने नवंबर 2021 के अंत में शुरू हुए एक नए अभियान के हिस्से के रूप में पैचवर्क नामक एक भारतीय मूल के हैकिंग समूह द्वारा अपनाई गई रणनीति, तकनीकों और प्रक्रियाओं पर प्रकाश डाला है, जिसमें आणविक चिकित्सा पर एक शोध फोकस वाले पाकिस्तानी सरकारी संस्थाओं और व्यक्तियों को लक्षित किया गया है। जैविक विज्ञान।

“विडंबना यह है कि हमने जो भी जानकारी इकट्ठी की, वह उस खतरे वाले अभिनेता की बदौलत संभव थी, जो खुद को खुद से संक्रमित कर रहे थे [remote access trojan], जिसके परिणामस्वरूप उनके अपने कंप्यूटर और वर्चुअल मशीन के कीस्ट्रोक्स और स्क्रीनशॉट कैप्चर किए गए,” मालवेयरबाइट्स थ्रेट इंटेलिजेंस टीम कहा शुक्रवार को प्रकाशित एक रिपोर्ट में।

जिन प्रमुख पीड़ितों की सफलतापूर्वक घुसपैठ की गई, उनमें पाकिस्तान का रक्षा मंत्रालय, इस्लामाबाद का राष्ट्रीय रक्षा विश्वविद्यालय, यूवीएएस लाहौर में जैव-विज्ञान संकाय, रासायनिक और जैविक विज्ञान के अंतर्राष्ट्रीय केंद्र (आईसीसीबीएस), एचईजे रसायन विज्ञान संस्थान और सलीम हबीब विश्वविद्यालय शामिल हैं। एसबीयू)।

स्वचालित GitHub बैकअप

माना जाता है कि 2015 से सक्रिय हैं, चिथड़े एपीटी ई आल्सो ट्रैक किए गए मॉनीकर्स ड्रॉपिंग एलीफेंट, चिनास्ट्रेट्स (कैस्पर्सकी), क्विल्टेड टाइगर (क्राउडस्ट्राइक), मॉनसून (फोर्सपॉइंट), जिंक इमर्सन, टीजी-4410 (सिक्योरवर्क्स), और एपीटी-सी-09 (क्यूहू 360) के तहत व्यापक साइबर सुरक्षा समुदाय द्वारा।

जासूसी समूह, जो मुख्य रूप से पाकिस्तान, चीन, अमेरिकी थिंक टैंक और भारतीय उपमहाद्वीप में स्थित अन्य ठिकानों पर हमला करने वाली राजनयिक और सरकारी एजेंसियों के लिए जाना जाता है, को इसका नाम इस तथ्य से मिलता है कि इसके मैलवेयर के लिए उपयोग किए जाने वाले अधिकांश कोड टूलिंग को वेब पर सार्वजनिक रूप से उपलब्ध विभिन्न स्रोतों से कॉपी और पेस्ट किया गया था।

“इस खतरे वाले अभिनेता द्वारा इस्तेमाल किया गया कोड विभिन्न ऑनलाइन मंचों से कॉपी-पेस्ट किया गया है, इस तरह से हमें एक पैचवर्क रजाई की याद दिलाता है,” अब-निष्क्रिय इज़राइली साइबर सुरक्षा स्टार्टअप साइमेट्रिया के शोधकर्ता विख्यात जुलाई 2016 में प्रकाशित अपने निष्कर्षों में।

इन वर्षों में, अभिनेता द्वारा मंचित क्रमिक गुप्त ऑपरेशनों ने छोड़ने और निष्पादित करने का प्रयास किया है क्वासरराट साथ ही नाम का एक इम्प्लांट बुरी खबर जो हमलावरों के लिए पिछले दरवाजे के रूप में कार्य करता है, उन्हें पीड़ित मशीन पर पूर्ण नियंत्रण प्रदान करता है। जनवरी 2021 में भी था खतरा समूह देखे गए माइक्रोसॉफ्ट ऑफिस में रिमोट कोड निष्पादन भेद्यता का शोषण करना (सीवीई-2017-0261) पीड़ित मशीनों पर पेलोड पहुंचाने के लिए।

डेटा उल्लंघनों को रोकें

नवीनतम अभियान इस मायने में अलग नहीं है कि विरोधी पाकिस्तानी अधिकारियों को प्रतिरूपित करने वाले आरटीएफ दस्तावेजों के साथ संभावित लक्ष्यों को लुभाता है जो अंततः बैडन्यूज़ ट्रोजन के एक नए संस्करण को रग्नेटेला नामक एक नए संस्करण को तैनात करने के लिए एक नाली के रूप में कार्य करता है – जिसका अर्थ इतालवी में “स्पाइडर वेब” है – ऑपरेटरों को निष्पादित करने में सक्षम बनाता है मनमानी कमांड, कीस्ट्रोक्स और स्क्रीनशॉट कैप्चर करना, फाइलों को सूचीबद्ध करना और अपलोड करना, और अतिरिक्त मैलवेयर डाउनलोड करना।

नए लालच, जो पाकिस्तान रक्षा अधिकारी आवास प्राधिकरण से होने का दावा करते हैं (डीएचए) कराची में, Microsoft समीकरण संपादक के लिए एक शोषण शामिल है जो पीड़ित के कंप्यूटर से समझौता करने और रग्नेटेला पेलोड को निष्पादित करने के लिए ट्रिगर किया गया है।

लेकिन ओपेक की विफलता के मामले में, खतरे वाले अभिनेता ने आरएटी के साथ अपनी खुद की विकास मशीन को भी संक्रमित कर दिया, क्योंकि मालवेयरबाइट्स दोहरी कीबोर्ड लेआउट (अंग्रेजी और भारतीय) के उपयोग सहित अपनी कई रणनीति को उजागर करने में सक्षम था। अपने आईपी पते को छुपाने के लिए वर्चुअल मशीन और वीपीएन जैसे वीपीएन सिक्योर और साइबरगॉस्ट को अपनाना।

“जबकि वे एक ही लालच और आरएटी का उपयोग करना जारी रखते हैं, समूह ने एक नए प्रकार के लक्ष्य में रुचि दिखाई है,” शोधकर्ताओं ने निष्कर्ष निकाला। “वास्तव में, यह पहली बार है जब हमने आणविक चिकित्सा और जैविक विज्ञान शोधकर्ताओं को लक्षित करने वाले पैचवर्क को देखा है।”

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here