👦🏼 🌩️ 🤴🏻 नए साल की बधाई और COVID-19: हैकर्स समाचार का उपयोग कैसे करते हैं 🚣🏿 🚸 👩🏼‍🚀

साइबर क्रिमिनल अक्सर दुर्भावनापूर्ण फ़ाइलें भेजने के लिए नवीनतम समाचार और घटनाओं का उपयोग करते हैं। कोरोनोवायरस महामारी के संबंध में, गेमरडॉन, सोंगएक्सवाई, टीए 428, लाजर, कोनी, विन्ती सहित कई एपीटी समूहों ने अपने अभियानों में इस विषय का उपयोग करना शुरू किया। इस तरह की गतिविधि का एक ताजा उदाहरण दक्षिण कोरियाई समूह हिगाइसा के हमले हैं।

पीटी एक्सपर्ट सिक्योरिटी सेंटर के विशेषज्ञों ने हिगाइसा द्वारा बनाई गई दुर्भावनापूर्ण फाइलों का पता लगाया और उनका विश्लेषण किया ।

उदाहरण 1: नकली WHO की रिपोर्ट

मार्च के प्रारंभ में कोरोनोवायरस के प्रसार का पहला विश्व स्वास्थ्य संगठन (WHO) का नोटिफिकेशन सामने आया था। कुछ दिनों के भीतर, हिगिसा प्रतिभागियों ने एक दुर्भावनापूर्ण फ़ाइल के साथ पत्र भेजने शुरू कर दिए। छिपाने के लिए, पीडीएफ प्रारूप में एक वैध डब्ल्यूएचओ रिपोर्ट फ़ाइल का उपयोग किया गया था।

संक्रमण 20200308-sitrep-48-covid-19.pdf.lnk फ़ाइल के साथ शुरू हुआ:

LNK फ़ाइल की सामग्री

पीडीएफ दस्तावेज़ के आइकन के साथ फ़ाइल एक .lnk शॉर्टकट है। जब आप खोलने का प्रयास करते हैं, तो cmd.exe / c कमांड को निम्नलिखित कमांड लाइन के साथ निष्पादित किया जाता है:

रनिंग findstr.exe LNK फ़ाइल के अंत में Base64 लोड को पुनः प्राप्त करता है, जिसे बाद में CertUtil.exe (msioa.exe) का उपयोग करके डिकोड किया जाता है। डिकोडिंग परिणाम एक CAB संग्रह है जो समान% tmp% फ़ोल्डर में अनपैक किया गया है और इसमें कई फाइलें हैं, जिसमें मैलवेयर इंस्टॉलेशन स्क्रिप्ट, मूल WHO रिपोर्ट फ़ाइल (एक डिकॉय के रूप में), और इंस्टॉलर पेलोड शामिल है।

उदाहरण 2: नए साल की बधाई

दूसरा विश्लेषण किया गया नमूना नए साल की बधाई के साथ एक आरटीएफ फ़ाइल है:

एक बधाई पाठ के साथ एक

दस्तावेज़ Microsoft रॉयल एडिटर संपादक CVV-2018-07988 क्षमता का शोषण करने वाले लोकप्रिय रॉयल रोड आरटीएफ (या 8.t) बिल्डर का उपयोग करके बनाया गया था। यह बिल्डर सार्वजनिक रूप से उपलब्ध नहीं है, लेकिन इसे चीनी APT समूहों के बीच व्यापक रूप से वितरित किया जाता है , जिनमें TA428, Goblin Panda, IceFog, SongXY शामिल हैं । 8.t नाम इस तथ्य के कारण है कि ऑपरेशन के दौरान एक दुर्भावनापूर्ण दस्तावेज़ अस्थायी फ़ोल्डर में 8.t नामक एक फ़ाइल बनाता है जिसमें एन्क्रिप्टेड पेलोड होता है।

भेद्यता का शोषण करने के परिणामस्वरूप, फ़ाइल% APPDATA% \ microsoft \ word \ स्टार्टअप \ Intel.wll बनाया गया है। यह एक DLL ड्रॉपर है जिसे अगली बार Microsoft Word शुरू करने पर लोड किया जाएगा। इसके पेलोड में दो फ़ाइलें हैं:% ALLUSERSPROFILE% \ TotalSecurity \ 360ShellPro.exe और% ALLUSERSPROFILE% \ TotalSecurity \ utils \ FileSmasher.exe। फ़ाइलें xor 0x1A का उपयोग कर एन्क्रिप्ट की जाती हैं।

ड्रॉपर इंटेल का मुख्य कार्य। सभी (टुकड़ा)

अगला, सिस्टम में एक निर्धारण है।

यह फाइल ऑथरशिप हिगासा की एकमात्र समान वस्तु नहीं है। तो, Tencent विश्लेषकों दर्ज किए गए थेइसी अवधि के दौरान Happy-new-year-2020 -scr और 2020-New-Year-Wishes-For-You.scr नामों के साथ दुर्भावनापूर्ण निष्पादन योग्य फ़ाइलों का वितरण। इस मामले में, स्रोत फाइलें निष्पादन योग्य होती हैं, और चारा ग्रीटिंग जेपीजी कार्ड के रूप में मौजूद होता है, जिसे डिफ़ॉल्ट दर्शक में अनपैक और खोला जाता है:

इन खतरों की संरचना, CVE-2018-0798 के शोषण को घटाती है, यह RTF दस्तावेज़ के लगभग समान है। SCR फ़ाइलें ड्रॉपर हैं, पेलोड को Xor 0x1A का उपयोग करके डिक्रिप्ट किया गया है और% ALLUSERSPROFILE% में सबफ़ोल्डर में अनपैक किया गया है।

निष्कर्ष

पॉजिटिव टेक्नॉलॉजी के विश्लेषकों के एक अध्ययन से हिगिसा मालवेयर के विकास का पता चला। इसी समय, उपयोग किए जाने वाले उपकरण (ड्रॉपर, लोडर) की संरचना काफी हद तक अपरिवर्तित रहती है। पहचान को जटिल करने के लिए, हमलावर अलग-अलग विवरणों को बदलते हैं, जैसे कि नियंत्रण सर्वर का URL, RC4 कुंजी के पैरामीटर, साइडवेडिंग के लिए उपयोग की जाने वाली वैध फाइलें और HTTP इंटरैक्शन के लिए लाइब्रेरी।

पूरी रिपोर्ट यहां उपलब्ध है ।

नए साल की बधाई और COVID-19: हैकर्स समाचार का उपयोग कैसे करते हैं

उदाहरण 1: नकली WHO की रिपोर्ट

उदाहरण 2: नए साल की बधाई

निष्कर्ष

More articles: