साइबर अपराधी नासा की कुछ चौंकाने वाली नई छवियों का फायदा उठा रहे हैं। जेम्स वेब स्पेस टेलीस्कोप क्लाउड सिक्योरिटी एनालिटिक्स स्पेशलिस्ट्स की थ्रेट रिसर्च टीम द्वारा साझा की गई जानकारी के अनुसार, लक्ष्य को अंधाधुंध तरीके से मैलवेयर वितरित करता है सेक्रोनिक्स.
एक नई रिपोर्ट में, Securonix के विश्लेषकों D Iuzvyk, T Peck, और O Kolesnikov ने कहा कि उन्हें लगातार गोलंग-आधारित अभियान का एक अनूठा नमूना मिला है जिसे वे Go#Webfuscator के रूप में ट्रैक करते हैं।
जैसा कि पहले कंप्यूटर वीकली द्वारा जांचा गया था, गोलंग या गो-आधारित मैलवेयर साइबर अपराधियों के बीच तेजी से लोकप्रिय हो रहे हैं। विशेष रूप से चूंकि सी ++ और सी # की तुलना में बायनेरिज़ का विश्लेषण और रिवर्स इंजीनियर करना कठिन होता है, और क्रॉस-प्लेटफ़ॉर्म समर्थन के मामले में भाषा अधिक लचीली होती है।इसका मतलब है कि आप एक साथ अधिक सिस्टम को लक्षित कर सकते हैं उलझने की जरूरत नहींउन्नत पर्सिस्टेंट थ्रेट (APT) समूह जैसे मस्तंग पांडा इन्हीं कारणों से मैं इसका प्रशंसक हूं।
Go#Webfuscator ही है फिशिंग ईमेल इसमें एक माइक्रोसॉफ्ट ऑफिस अटैचमेंट होता है जो इसके मेटाडेटा में छिपा होता है और इसमें बाहरी संदर्भ होते हैं जो पीड़ित को अनुमति देते हैं मैक्रोज़ सक्षम करने के लिए क्षमा करें.
Visual Basic कोड को अस्पष्ट करने के बाद, Securonix टीम ने पाया कि यह एक .jpg छवि फ़ाइल डाउनलोड करने के लिए एक कमांड चलाती है, certutil.exe इसे बाइनरी में डीकोड करने और इसे चलाने के लिए कमांड लाइन प्रोग्राम का उपयोग करें।
प्रश्न में .jpg अब प्रसिद्ध है वेब का पहला गहरा क्षेत्र जेम्स वेब स्पेस टेलीस्कोप द्वारा ली गई यह छवि, SMACS 0723 आकाशगंगा क्लस्टर को बहुत विस्तार से दिखाती है, जिसमें इन्फ्रारेड स्पेक्ट्रम में देखी गई कुछ धुंधली और सबसे दूर की वस्तुएं शामिल हैं।
हालांकि, इस मामले में, इसमें दुर्भावनापूर्ण बेस 64 कोड शामिल था जो इसमें निहित प्रमाण पत्र के रूप में था, और सिक्यूरोनिक्स द्वारा इसके प्रकटीकरण के समय एंटीवायरस सॉफ़्टवेयर द्वारा ज्ञात नहीं था। एक बार डिक्रिप्ट हो जाने के बाद, इसे एक निर्मित विंडोज निष्पादन योग्य गोलांग बाइनरी, मैलवेयर में ही संग्रहीत किया जाता है।
Go#Webfuscator एक रिमोट एक्सेस ट्रोजन (RAT) है जो कमांड और कंट्रोल (C2) इन्फ्रास्ट्रक्चर पर वापस कॉल करता है और पीड़ित के सिस्टम को नियंत्रित करने या संवेदनशील डेटा को बाहर निकालने के लिए एक एन्क्रिप्टेड चैनल स्थापित करता है। एक्सफिल्ट्रेशन के लिए सेकेंडरी पेलोड डिलीवर करता है। इसमें पासवर्ड, खाता विवरण और वित्तीय जानकारी होती है जो पीड़ितों को धोखाधड़ी और पहचान की चोरी के प्रति संवेदनशील बनाती है।
“कुल मिलाकर, टीटीपी [tactics, techniques and procedures] पूरे हमले की श्रृंखला में Go#Webfuscator का उपयोग करके देखे गए परिणाम बहुत दिलचस्प हैं। वैध छवियों का उपयोग करके प्रमाण के साथ गोलंग बायनेरिज़ बनाना हमारे अनुभव या विशिष्ट अनुभव में बहुत आम नहीं है, और कुछ ऐसा है जिसे हम बारीकी से ट्रैक करते हैं, “टीम ने एक प्रकटीकरण में कहा। मैं लिख रहा हूं।
“उपभोक्ताओं को स्पैम के बारे में पता होना चाहिए जो जेम्स वेब स्पेस टेलीस्कॉप को अपने विषय के रूप में उपयोग करता है। .jpg छवियों वाले माइक्रोसॉफ्ट ऑफिस अटैचमेंट स्वचालित रूप से दुर्भावनापूर्ण पेलोड वितरित करने के लिए उपयोग किए जाते हैं। इसलिए, इससे बचा जाना चाहिए।”
रे वॉल्श, गोपनीयता
“यह स्पष्ट है कि बाइनरी के मूल लेखक ने पेलोड को तुच्छ काउंटर-फोरेंसिक और ईडीआर शमन दोनों के साथ डिजाइन किया था। [endpoint detection and response] मेरे मन में एक पता लगाने का तरीका है। “
डिजिटल गोपनीयता विशेषज्ञ रे वॉल्श ने कहा: समर्थक गोपनीयताकहा:
“उपभोक्ताओं को याद दिलाया जाता है कि इस प्रकार का हमला कार्यालय द्वारा मैक्रोज़ को स्वचालित रूप से चलाने के लिए सेट किए जाने पर निर्भर करता है। हम आपको सूचित करने के लिए आपकी सेटिंग्स को बदलने की सलाह देते हैं, जो मैलवेयर को स्वयं-इंस्टॉल होने से रोकने में मदद कर सकता है।”
सुरक्षा पेशेवरों के लिए समझौता संकेतक (आईओसी), मैटर एटीटी एंड सीके तकनीक, यारा नियम, और बहुत कुछ सहित अभियान विवरण Securonix . से उपलब्ध है.
