پرو ہوسٹر > بلاگ > انتظامیہ > APT میلویئر پھیلانے کے لیے کورونا وائرس کا استعمال کرتا ہے۔

APT میلویئر پھیلانے کے لیے کورونا وائرس کا استعمال کرتا ہے۔

APT میلویئر پھیلانے کے لیے کورونا وائرس کا استعمال کرتا ہے۔

APT خطرات کا ایک گروپ حال ہی میں دریافت کیا گیا تھا کہ وہ اپنے مالویئر کو تقسیم کرنے کے لیے کورونا وائرس وبائی مرض کا استحصال کرنے کے لیے سپیئر فشنگ مہمات کا استعمال کر رہے ہیں۔

موجودہ CoVID-19 کورونا وائرس وبائی مرض کی وجہ سے دنیا اس وقت ایک غیر معمولی صورتحال کا سامنا کر رہی ہے۔ وائرس کے پھیلاؤ کو روکنے کی کوشش کے لیے دنیا بھر میں بڑی تعداد میں کمپنیوں نے ریموٹ (ریموٹ) کام کا ایک نیا موڈ شروع کیا ہے۔ اس نے حملے کی سطح کو نمایاں طور پر وسعت دی ہے، جو انفارمیشن سیکیورٹی کے حوالے سے کمپنیوں کے لیے ایک بڑا چیلنج ہے، کیونکہ انہیں اب سخت قوانین قائم کرنے اور کارروائی کرنے کی ضرورت ہے۔ اقدامات کی ایک بڑی تعداد انٹرپرائز اور اس کے آئی ٹی سسٹم کے آپریشن کے تسلسل کو یقینی بنانے کے لیے۔

تاہم، توسیع شدہ حملے کی سطح واحد سائبر خطرہ نہیں ہے جو پچھلے چند دنوں میں سامنے آیا ہے: بہت سے سائبر مجرم اس عالمی غیر یقینی صورتحال کا فائدہ اٹھاتے ہوئے فشنگ مہم چلانے، مالویئر تقسیم کرنے اور بہت سی کمپنیوں کی معلومات کی حفاظت کے لیے خطرہ ہیں۔

اے پی ٹی وبائی مرض کا استحصال کرتی ہے۔

پچھلے ہفتے کے آخر میں، شیطانی پانڈا نامی ایک ایڈوانسڈ پرسسٹنٹ تھریٹ (اے پی ٹی) گروپ کا پتہ چلا جو ان کے خلاف مہم چلا رہا تھا۔ نیزہ بازیاپنے مالویئر کو پھیلانے کے لیے کورونا وائرس وبائی مرض کا استعمال کر رہے ہیں۔ ای میل نے وصول کنندہ کو بتایا کہ اس میں کورونا وائرس کے بارے میں معلومات موجود ہیں، لیکن درحقیقت ای میل میں دو بدنیتی پر مبنی آر ٹی ایف (رچ ٹیکسٹ فارمیٹ) فائلیں تھیں۔ اگر متاثرہ نے ان فائلوں کو کھولا تو، ایک ریموٹ ایکسیس ٹروجن (RAT) شروع کیا گیا، جو دیگر چیزوں کے علاوہ، اسکرین شاٹس لینے، متاثرہ کے کمپیوٹر پر فائلوں اور ڈائریکٹریوں کی فہرستیں بنانے اور فائلوں کو ڈاؤن لوڈ کرنے کے قابل تھا۔

اس مہم نے اب تک منگولیا کے پبلک سیکٹر کو نشانہ بنایا ہے اور بعض مغربی ماہرین کے مطابق یہ دنیا بھر میں مختلف حکومتوں اور تنظیموں کے خلاف جاری چینی آپریشن میں تازہ ترین حملے کی نمائندگی کرتا ہے۔ اس بار مہم کی خاصیت یہ ہے کہ وہ کورونا وائرس کی نئی عالمی صورتحال کو اپنے ممکنہ متاثرین کو زیادہ فعال طور پر متاثر کرنے کے لیے استعمال کر رہی ہے۔

بظاہر یہ فشنگ ای میل منگولیا کی وزارت خارجہ کی طرف سے ہے اور اس میں وائرس سے متاثرہ افراد کی تعداد کے بارے میں معلومات رکھنے کا دعویٰ کیا گیا ہے۔ اس فائل کو ہتھیار بنانے کے لیے، حملہ آوروں نے RoyalRoad کا استعمال کیا، جو چینی دھمکیاں بنانے والوں میں ایک مقبول ٹول ہے جو انہیں ایمبیڈڈ اشیاء کے ساتھ اپنی مرضی کے مطابق دستاویزات بنانے کی اجازت دیتا ہے جو MS Word میں ضم شدہ Equation Editor میں موجود کمزوریوں کا فائدہ اٹھا کر پیچیدہ مساواتیں تخلیق کر سکتے ہیں۔

بقا کی تکنیک

ایک بار جب متاثرہ شخص نقصان دہ RTF فائلوں کو کھولتا ہے، Microsoft Word نقصان دہ فائل (intel.wll) کو ورڈ اسٹارٹ اپ فولڈر (%APPDATA%MicrosoftWordSTARTUP) میں لوڈ کرنے کے خطرے سے فائدہ اٹھاتا ہے۔ اس طریقے کو استعمال کرنے سے، نہ صرف خطرہ لچکدار ہو جاتا ہے، بلکہ یہ سینڈ باکس میں چلنے پر پورے انفیکشن چین کو پھٹنے سے بھی روکتا ہے، کیونکہ ورڈ کو مکمل طور پر میلویئر شروع کرنے کے لیے دوبارہ شروع کرنا ضروری ہے۔

intel.wll فائل پھر ایک DLL فائل لوڈ کرتی ہے جو میلویئر کو ڈاؤن لوڈ کرنے اور ہیکر کے کمانڈ اور کنٹرول سرور کے ساتھ بات چیت کرنے کے لیے استعمال ہوتی ہے۔ کمانڈ اینڈ کنٹرول سرور ہر روز سختی سے محدود مدت کے لیے کام کرتا ہے، جس سے انفیکشن چین کے انتہائی پیچیدہ حصوں کا تجزیہ کرنا اور ان تک رسائی مشکل ہو جاتی ہے۔

اس کے باوجود، محققین اس بات کا تعین کرنے میں کامیاب رہے کہ اس سلسلہ کے پہلے مرحلے میں، مناسب کمانڈ حاصل کرنے کے فوراً بعد، RAT کو لوڈ اور ڈکرپٹ کیا جاتا ہے، اور DLL لوڈ کیا جاتا ہے، جو میموری میں لوڈ ہوتا ہے۔ پلگ ان جیسا فن تعمیر بتاتا ہے کہ اس مہم میں نظر آنے والے پے لوڈ کے علاوہ دیگر ماڈیولز بھی ہیں۔

نئے اے پی ٹی سے تحفظ کے لیے اقدامات

یہ بدنیتی پر مبنی مہم اپنے متاثرین کے سسٹم میں دراندازی کرنے اور پھر ان کی معلومات کی حفاظت سے سمجھوتہ کرنے کے لیے متعدد حربے استعمال کرتی ہے۔ ایسی مہمات سے اپنے آپ کو بچانے کے لیے بہت سے اقدامات اٹھانا ضروری ہے۔

پہلا انتہائی اہم ہے: ملازمین کے لیے ای میلز وصول کرتے وقت توجہ اور محتاط رہنا ضروری ہے۔ ای میل حملہ کرنے والے اہم ویکٹرز میں سے ایک ہے، لیکن تقریباً کوئی بھی کمپنی ای میل کے بغیر نہیں کر سکتی۔ اگر آپ کو کسی نامعلوم ارسال کنندہ کی طرف سے کوئی ای میل موصول ہوتی ہے تو بہتر ہے کہ اسے نہ کھولیں، اور اگر آپ اسے کھولتے ہیں تو کسی بھی اٹیچمنٹ کو نہ کھولیں اور نہ ہی کسی لنک پر کلک کریں۔

اپنے متاثرین کی معلومات کی حفاظت سے سمجھوتہ کرنے کے لیے، یہ حملہ Word میں موجود کمزوری کا فائدہ اٹھاتا ہے۔ درحقیقت، بے ترتیب کمزوریاں اس کی وجہ ہیں۔ بہت سے سائبر حملوں کی کامیابیاور سیکورٹی کے دیگر مسائل کے ساتھ، وہ ڈیٹا کی بڑی خلاف ورزیوں کا باعث بن سکتے ہیں۔ یہی وجہ ہے کہ جلد از جلد خطرے کو بند کرنے کے لیے مناسب پیچ کا اطلاق کرنا بہت ضروری ہے۔

ان مسائل کو ختم کرنے کے لیے، خاص طور پر شناخت کے لیے بنائے گئے حل موجود ہیں، انتظام اور پیچ کی تنصیب. ماڈیول خود بخود کمپنی کے کمپیوٹرز کی حفاظت کو یقینی بنانے کے لیے ضروری پیچ تلاش کرتا ہے، انتہائی ضروری اپ ڈیٹس کو ترجیح دیتے ہوئے اور ان کی تنصیب کا شیڈول بناتا ہے۔ ان پیچ کے بارے میں معلومات جن کے لیے انسٹالیشن کی ضرورت ہوتی ہے ایڈمنسٹریٹر کو اطلاع دی جاتی ہے یہاں تک کہ جب استحصال اور میلویئر کا پتہ چل جائے۔

حل فوری طور پر مطلوبہ پیچ اور اپ ڈیٹس کی تنصیب کو متحرک کر سکتا ہے، یا ان کی تنصیب کو ویب پر مبنی سنٹرل مینجمنٹ کنسول سے شیڈول کیا جا سکتا ہے، اگر ضروری ہو تو بغیر پیچ والے کمپیوٹرز کو الگ کر دیں۔ اس طرح، منتظم کمپنی کو آسانی سے چلانے کے لیے پیچ اور اپ ڈیٹس کا انتظام کر سکتا ہے۔

بدقسمتی سے، سوال میں سائبر حملہ یقینی طور پر کاروبار کی معلومات کی حفاظت سے سمجھوتہ کرنے کے لیے موجودہ عالمی کورونا وائرس کی صورتحال سے فائدہ اٹھانے کے لیے آخری نہیں ہوگا۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں