जासूसी को लक्षित करने के लिए प्लगएक्स मैलवेयर का उपयोग कर चीनी एपीटी
चीन समर्थित कांस्य राष्ट्रपति उन्नत लगातार खतरे मस्टैंग पांडा (APT) समूह पीड़ितों को लुभाने और चीनी जासूसी के हितों के लक्ष्य के खिलाफ व्यापक अभियान चलाने के लिए आधिकारिक राजनयिक नोटिस के रूप में प्रच्छन्न दस्तावेजों का उपयोग कर रहा है।
जून और जुलाई में तैनात हमलों की एक श्रृंखला, सिक्योरवर्क्स काउंटर थ्रेट यूनिट (सीटीयू) द्वारा देखी गई, प्लगएक्स मैलवेयर यह यूरोप, मध्य पूर्व और दक्षिण अमेरिका के कई देशों में सरकारी अधिकारियों के कंप्यूटर सिस्टम को लक्षित करता है।
“इस अभियान की कई विशेषताएं संभावित चीनी सरकार के प्रायोजन का सुझाव देती हैं, जिसमें प्लगएक्स का उपयोग, फ़ाइल पथ और पहले से खतरे वाले समूहों द्वारा उपयोग की जाने वाली नामकरण योजनाएं, और निष्पादन योग्य फ़ाइल हेडर में शेलकोड की उपस्थिति शामिल है। चीनी हित के क्षेत्रों के अनुरूप एक राजनीतिक रूप से थीम वाला डिकॉय दस्तावेज़, “सीटीयू टीम ने कहा। उस लेखन में.
प्लगएक्स एक मॉड्यूलर मैलवेयर है जो आदेश और नियंत्रण यह विशेष रूप से खतरनाक है क्योंकि यह (C2) कार्यों के लिए एक सर्वर है और अतिरिक्त प्लगइन्स को डाउनलोड करने की अनुमति देता है ताकि केवल सूचना एकत्र करने से परे इसके कार्यों और क्षमताओं को बढ़ाया जा सके।
कांस्य राष्ट्रपति अभियान RAR संग्रह फ़ाइलों में एम्बेड किए गए लक्ष्यों तक पहुँच गया। डिफ़ॉल्ट सेटिंग्स सक्षम के साथ एक विंडोज़ सिस्टम पर इस संग्रह को खोलने से एक दस्तावेज़ के रूप में प्रच्छन्न एक विंडोज़ शॉर्टकट (एलएनके) फ़ाइल का पता चलता है।
इस शॉर्टकट के साथ एक छिपा हुआ फ़ोल्डर है जिसमें मैलवेयर है। यह फ़ोल्डर विशेष वर्णों के साथ नामित छिपे हुए फ़ोल्डरों की एक श्रृंखला में आठ स्तरों की गहराई में एम्बेडेड है। यह युक्ति ईमेल स्कैनिंग सुरक्षा को दरकिनार करने का प्रयास करने का एक तरीका हो सकता है जो सामग्री को स्कैन करते समय पूरे पथ को नहीं देख सकता है। दूसरी ओर, सिक्योरवर्क्स का सुझाव है कि वितरण पद्धति एक फ़िशिंग ईमेल है, और ऐसा करने का कोई अन्य वास्तविक लाभ नहीं है।
प्लगएक्स मैलवेयर को निष्पादित करने के लिए, उपयोगकर्ता को एलएनके फ़ाइल पर क्लिक करना होगा, जो अंततः प्लगएक्स पेलोड को लोड, डिक्रिप्ट और निष्पादित करती है। इस प्रक्रिया के दौरान एक नकली दस्तावेज़ (जिनके उदाहरण नीचे दिखाए गए हैं) को छोड़ दिया जाता है।
सीटीयू टीम ने कहा कि राजनीतिक रूप से थीम वाले दस्तावेजों से पता चलता है कि राष्ट्रपति कांस्य की गतिविधियां अब विभिन्न देशों के सरकारी अधिकारियों पर निर्देशित हैं, जिनकी चीन में रुचि है।
ऊपर के उदाहरण में, एक तुर्की अधिकारी को एक अधिसूचना के साथ लक्षित किया जाता है, संभवतः ब्रिटिश सरकार से, एक नए राजदूत की नियुक्ति के लिए (लेखन के समय डोमिनिक चिलकॉट अंकारा में मौजूदा ब्रिटिश राजदूत बने हुए हैं)। अन्य हाल के चीनी अभियानों की तरहतुर्की लक्ष्य संभावित रूप से चल रहे यूक्रेनी युद्ध में इसके रणनीतिक महत्व को दर्शाता है।
यूक्रेन कांस्य राष्ट्रपति के लिए एक प्रमुख फोकस है, जो 2022 में बहुत सक्रिय रहा है और चीन के युद्ध से संबंधित खुफिया-एकत्रीकरण कार्यक्रम की सहायता कर रहा है। मई, सिस्को तलोस द्वारा देखा गया। इसी तरह के अभियानों ने यूरोप और रूस में संगठनों को लक्षित किया, साथ ही संघर्ष पर यूरोपीय संघ की रिपोर्ट को छिपाने के लिए प्लगएक्स का उपयोग किया।
सिक्योरवर्क्स टीम ने कहा: “चीन के हित के भौगोलिक क्षेत्रों में संगठनों, विशेष रूप से सरकारी एजेंसियों से संबद्ध या कार्य करने वाले संगठनों को इस समूह की गतिविधियों की बारीकी से निगरानी करनी चाहिए।”
समझौते के संकेत सहित इस अभियान के बारे में तकनीकी जानकारी सिक्योरवर्क्स से उपलब्ध.
