APT خطرن جو هڪ گروپ تازو دريافت ڪيو ويو اسپيئر فشنگ مهم استعمال ڪندي ڪورون وائرس جي وبائي مرض کي استحصال ڪرڻ لاءِ انهن جي مالويئر کي ورهائڻ لاءِ.
دنيا هن وقت موجوده Covid-19 ڪورونا وائرس جي وبائي مرض جي ڪري هڪ غير معمولي صورتحال جو تجربو ڪري رهي آهي. وائرس جي پکيڙ کي روڪڻ جي ڪوشش لاءِ سڄي دنيا ۾ وڏي تعداد ۾ ڪمپنين ريموٽ (ريموٽ) ڪم جو هڪ نئون موڊ شروع ڪيو آهي. هن حملي جي مٿاڇري کي خاص طور تي وڌايو آهي، جيڪو معلومات جي حفاظت جي لحاظ کان ڪمپنين لاء هڪ وڏو چئلينج آهي، ڇاڪاڻ ته انهن کي هاڻي سخت ضابطا قائم ڪرڻ ۽ عمل ڪرڻ جي ضرورت آهي. انٽرپرائز ۽ ان جي آئي ٽي سسٽم جي آپريشن جي تسلسل کي يقيني بڻائڻ لاءِ.
بهرحال، توسيع ٿيل حملي جو مٿاڇرو اهو واحد سائبر خطرو ناهي جيڪو گذريل ڪجهه ڏينهن ۾ سامهون آيو آهي: ڪيترائي سائبر ڏوهاري فعال طور تي هن عالمي غير يقيني صورتحال کي فشنگ مهم هلائڻ، مالويئر کي ورهائڻ ۽ ڪيترن ئي ڪمپنين جي معلومات جي حفاظت لاءِ خطرو پيدا ڪري رهيا آهن.
اي پي ٽي وبائي مرض جو استحصال ڪري ٿو
گذريل هفتي جي آخر ۾، هڪ ترقي يافته مسلسل خطرو (APT) گروپ جنهن کي وائيس پانڊا سڏيو ويندو هو دريافت ڪيو ويو هو خلاف مهم هلائي رهيو هو ، انهن جي مالويئر کي پکيڙڻ لاءِ ڪورونا وائرس جي وبائي مرض کي استعمال ڪندي. اي ميل وصول ڪندڙ کي ٻڌايو ته ان ۾ ڪورونوايرس بابت معلومات موجود آهي، پر حقيقت ۾ اي ميل ۾ ٻه خراب RTF (رچ ٽيڪسٽ فارميٽ) فائلون شامل آهن. جيڪڏهن مقتول انهن فائلن کي کوليو، هڪ ريموٽ رسائي ٽروجن (RAT) شروع ڪيو ويو، جيڪو ٻين شين جي وچ ۾، اسڪرين شاٽ وٺڻ، مقتول جي ڪمپيوٽر تي فائلن ۽ ڊائريڪٽرن جي لسٽ ٺاهڻ، ۽ فائلن کي ڊائون لوڊ ڪرڻ جي قابل هو.
مهم هن وقت تائين منگوليا جي سرڪاري شعبي کي نشانو بڻايو آهي، ۽ ڪجهه مغربي ماهرن جي مطابق، اها دنيا جي مختلف حڪومتن ۽ تنظيمن جي خلاف جاري چيني آپريشن ۾ تازي حملي جي نمائندگي ڪري ٿي. هن ڀيري، مهم جي خاصيت اها آهي ته اها نئين عالمي ڪورونوايرس جي صورتحال کي استعمال ڪري رهي آهي وڌيڪ فعال طور تي پنهنجي امڪاني متاثرين کي متاثر ڪرڻ لاء.
فشنگ اي ميل ظاهر ٿئي ٿي منگوليا جي پرڏيهي معاملن واري وزارت کان ۽ دعويٰ آهي ته وائرس سان متاثر ٿيل ماڻهن جي تعداد بابت معلومات تي مشتمل آهي. هن فائل کي هٿيار ڏيڻ لاءِ، حملي ڪندڙن RoyalRoad استعمال ڪيو، جيڪو چيني خطرو ٺاهيندڙن ۾ هڪ مشهور اوزار آهي جيڪو انهن کي ايمبيڊڊ شين سان ڪسٽم دستاويز ٺاهڻ جي اجازت ڏئي ٿو جيڪي پيچيده مساواتون ٺاهڻ لاءِ MS Word ۾ ضم ٿيل Equation Editor ۾ ڪمزورين جو استحصال ڪري سگهن ٿيون.
بقا جي ٽيڪنڪس
هڪ دفعو جڏهن مقتول خراب ڪندڙ RTF فائلن کي کوليندو آهي، Microsoft Word نقصانڪار فائل (intel.wll) کي ورڊ اسٽارٽ اپ فولڊر (%APPDATA%MicrosoftWordSTARTUP) ۾ لوڊ ڪرڻ جي ڪمزوري جو استحصال ڪري ٿو. هن طريقي کي استعمال ڪندي، نه رڳو خطرو لچڪدار بڻجي ويندو آهي، پر اهو پڻ روڪيندو آهي پوري انفيڪشن جي زنجير کي ڌماڪو ٿيڻ کان جڏهن سينڊ باڪس ۾ هلندي آهي، ڇاڪاڻ ته لفظ کي مڪمل طور تي مالويئر شروع ڪرڻ لاء ٻيهر شروع ڪيو وڃي.
intel.wll فائل وري هڪ DLL فائل لوڊ ڪري ٿي جيڪا مالويئر کي ڊائون لوڊ ڪرڻ ۽ هيڪر جي ڪمانڊ ۽ ڪنٽرول سرور سان رابطو ڪرڻ لاءِ استعمال ٿئي ٿي. ڪمانڊ ۽ ڪنٽرول سرور هر روز سختي سان محدود عرصي تائين هلندي آهي، ان کي انفڪشن چين جي تمام پيچيده حصن جو تجزيو ۽ رسائي ڪرڻ ڏکيو بڻائي ٿو.
ان جي باوجود، محقق اهو طئي ڪرڻ جي قابل هئا ته هن زنجير جي پهرين مرحلي ۾، مناسب حڪم حاصل ڪرڻ کان پوء فوري طور تي، RAT کي لوڊ ۽ ڊسڪ ڪيو ويندو آهي، ۽ ڊي ايل ايل لوڊ ڪيو ويندو آهي، جيڪو ميموري ۾ لوڊ ڪيو ويندو آهي. پلگ ان جهڙو فن تعمير ڏيکاري ٿو ته هن مهم ۾ ڏٺل پيل لوڊ کان علاوه ٻيا ماڊل به آهن.
نئين اي پي ٽي جي خلاف حفاظت لاء قدم
هي بدسلوڪي مهم ڪيترن ئي چالن کي استعمال ڪندي پنهنجي متاثرين جي سسٽم کي ڦهلائڻ ۽ پوء انهن جي معلومات جي حفاظت کي سمجهي ٿو. اهڙين مهمن کان پاڻ کي بچائڻ لاءِ ضروري آهي ته ڪيئي اپاءَ ورتا وڃن.
پهرين هڪ انتهائي اهم آهي: اهو ضروري آهي ته ملازمن کي ڌيان ۽ محتاط هجڻ گهرجي جڏهن اي ميلون وصول ڪن. اي ميل حملي جي مکيه ویکٹرز مان هڪ آهي، پر تقريبا ڪا به ڪمپني اي ميل کان سواء نٿو ڪري سگهي. جيڪڏهن توهان کي اڻڄاتل موڪليندڙ کان هڪ اي ميل ملي ٿي، اهو بهتر آهي ته ان کي نه کوليو، ۽ جيڪڏهن توهان ان کي کوليو، ته پوء ڪو به منسلڪ نه کوليو يا ڪنهن به لنڪ تي ڪلڪ ڪريو.
ان جي متاثرين جي معلومات جي حفاظت کي سمجھوتو ڪرڻ لاء، هي حملو Word ۾ هڪ ڪمزوري جو استحصال ڪري ٿو. حقيقت ۾، اڻڄاتل خطرات جو سبب آهن ، ۽ ٻين سيڪيورٽي مسئلن سان گڏ، اهي وڏي ڊيٽا جي خلاف ورزي جي ڪري سگهن ٿا. اهو ئي سبب آهي ته اهو ضروري آهي ته مناسب پيچ کي لاڳو ڪرڻ لاء جلدي ممڪن طور تي نقصان کي بند ڪرڻ لاء.
انهن مسئلن کي ختم ڪرڻ لاء، خاص طور تي سڃاڻپ لاء ٺهيل حل آهن، . ماڊل خودڪار طريقي سان پيچ جي ڳولا ڪري ٿو ڪمپني جي ڪمپيوٽرن جي سيڪيورٽي کي يقيني بڻائڻ لاء، تمام ضروري تازه ڪارين کي ترجيح ڏيڻ ۽ انهن جي انسٽاليشن کي شيڊول ڪرڻ. پيچ جي باري ۾ معلومات جيڪا تنصيب جي ضرورت هوندي آهي منتظم کي ٻڌايو ويندو آهي جيتوڻيڪ جڏهن استحصال ۽ مالويئر ڳوليا ويندا آهن.
حل فوري طور تي گهربل پيچس ۽ تازه ڪاري جي تنصيب کي ٽاري سگھي ٿو، يا انهن جي تنصيب کي ويب تي ٻڌل مرڪزي انتظام ڪنسول مان شيڊول ڪري سگهجي ٿو، جيڪڏهن ضروري هجي ته اڻڄاتل ڪمپيوٽرن کي الڳ ڪرڻ. اهو طريقو، منتظم کي منظم ڪري سگهي ٿو پيچ ۽ تازه ڪاريون ڪمپني کي آسانيء سان هلائڻ لاء.
بدقسمتي سان، سوال ۾ سائبر حملو يقيني طور تي آخري نه هوندو ته موجوده عالمي ڪورونوايرس صورتحال جو فائدو وٺڻ لاء ڪاروبار جي معلومات جي حفاظت کي سمجھو.
جو ذريعو: www.habr.com