एक बड़ी सॉफ्टवेयर डेवलपमेंट कंपनी जिसका सॉफ्टवेयर यूक्रेन में अलग-अलग राज्य संस्थाओं द्वारा उपयोग किया जाता है, मैलवेयर के “असामान्य” टुकड़े के प्राप्त होने पर था, नए शोध से पता चला है।
मैलवेयर, जिसे पहली बार 19 मई, 2022 की सुबह देखा गया था, खुले आपूर्ति पिछले दरवाजे का एक अनुकूलित संस्करण है जिसे अक्सर कहा जाता है गोमेट और समुदाय में लगातार प्रवेश बनाए रखने के लिए डिज़ाइन किया गया है।
सिस्को टैलोस ने कहा, “इस प्रविष्टि का कई तरीकों से लाभ उठाया जा सकता है, जिसमें गहरी प्रविष्टि या अतिरिक्त हमले शुरू करने के साथ-साथ सॉफ्टवेयर प्रोग्राम की श्रृंखला समझौता करने की क्षमता भी शामिल है।” कहा द हैकर इंफॉर्मेशन के साथ साझा की गई एक रिपोर्ट में।
हालांकि हमले को किसी एक अभिनेता या समूह से जोड़ने वाले कोई ठोस संकेतक नहीं हैं, साइबर सुरक्षा एजेंसी के मूल्यांकन कारक रूसी राष्ट्र-राज्य अभ्यास के लिए हैं।
वास्तविक दुनिया के हमलों में GoMet के उपयोग की सार्वजनिक रिपोर्टिंग ने अब तक केवल दो प्रलेखित मामलों का खुलासा किया है: एक 2020 में, के प्रकटीकरण के साथ मेल खाता है सीवीई-2020-5902F5 की BIG-IP नेटवर्किंग इकाइयों में एक महत्वपूर्ण दूरस्थ कोड निष्पादन दोष।
दूसरे अवसर में का लाभदायक शोषण हुआ सीवीई-2022-1040इस साल की शुरुआत में एक अनाम बेहतर स्थायी जोखिम (APT) समूह द्वारा सोफोस फ़ायरवॉल में एक दूरस्थ कोड निष्पादन भेद्यता।
आउटरीच के प्रमुख निक बियासिनी ने कहा, “हमने उन विपरीत संगठनों में गोमेट को तैनात नहीं देखा है, जिनके साथ हम काम कर रहे हैं और निगरानी कर रहे हैं, जिससे यह पता चलता है कि यह किसी तरह से केंद्रित है, लेकिन अतिरिक्त लक्ष्यों के लिए उपयोग में हो सकता है।” सिस्को टैलोस ने द हैकर इंफॉर्मेशन को सलाह दी।
“हमने अब तुलनात्मक रूप से कठोर ऐतिहासिक मूल्यांकन भी किया है और पारंपरिक रूप से GoMet का बहुत कम या कोई उपयोग नहीं देखते हैं जो आगे दर्शाता है कि इसका उपयोग बहुत ही केंद्रित तरीकों से किया जा रहा है।”
GoMet, क्योंकि शीर्षक का तात्पर्य है, गो में लिखा गया है और उन विकल्पों के साथ आता है जो हमलावर को रिकॉर्ड डेटा आयात और डाउनलोड करने, मनमाने निर्देशों पर काम करने और विभिन्न नेटवर्क और तकनीकों के माध्यम से प्रचार करने के लिए प्रारंभिक आधार का उपयोग करने के साथ-साथ समझौता किए गए सिस्टम को दूरस्थ रूप से कमांडर करने में सक्षम बनाता है। एक के रूप में क्या जाना जाता है डेज़ी श्रृंखला.
इम्प्लांट का एक अन्य उल्लेखनीय कार्य अनुसूचित नौकरियों का उपयोग करने की क्षमता है क्रॉन. जबकि प्रत्येक घंटे में क्रॉन जॉब्स को निष्पादित करने के लिए अद्वितीय कोड कॉन्फ़िगर किया गया है, हमले के भीतर उपयोग किए जाने वाले पिछले दरवाजे का संशोधित मॉडल हर दो सेकंड में चलाने के लिए बनाया गया है और पुष्टि करता है कि मैलवेयर कमांड-एंड-कंट्रोल सर्वर से संबंधित है या नहीं।
बियासिनी ने उल्लेख किया, “हाल ही में हम जो हमले देख रहे हैं, उनमें से अधिकांश तुरंत या क्रेडेंशियल अधिग्रहण के माध्यम से प्रवेश से जुड़े हैं।” “यह एक अन्य उदाहरण है जिसमें GoMet को पिछले दरवाजे के रूप में तैनात किया गया है।”
“जैसे ही प्रवेश स्थापित किया गया है, अतिरिक्त टोही और अतिरिक्त गहन संचालन का पालन किया जा सकता है। हम इस स्तर तक पहुंचने से पहले हमलों को मारने के लिए काम कर रहे हैं, इसलिए फॉलो-ऑन हमलों के प्रकारों की भविष्यवाणी करना कठिन है। ”
यह निष्कर्ष इसलिए आया है क्योंकि बुधवार को यूएस साइबर कमांड ने साझा की तुलना में विभिन्न प्रकार के मैलवेयर से संबंधित समझौता (IoCs) के लक्षण ग्रिमप्लांट, ग्राफस्टीलकोबाल्ट स्ट्राइक बीकन, और माइक्रोबैकडोर नवीनतम महीनों में यूक्रेनी नेटवर्क पर ध्यान केंद्रित करना।
साइबर सुरक्षा एजेंसी मैंडिएंट ने तब से जिम्मेदार ठहराया 2 जासूसी अभिनेताओं को फ़िशिंग हमले के रूप में ट्रैक किया गया यूएनसी1151 (उर्फ घोस्टराइटर) और UNC2589, जिनमें से बाद में “रूसी अधिकारियों की जिज्ञासा की सहायता में कार्य करने और यूक्रेन में गहन जासूसी का संचालन करने का संदेह है।”
गैर-वर्गीकृत जोखिम क्लस्टर UNC2589 को भी इसके पीछे माना जा सकता है व्हिस्परगेट (उर्फ PAYWIPE) जनवरी 2022 के मध्य में डेटा वाइपर हमले। Microsoft, जो शीर्षक के तहत एक ही समूह की निगरानी कर रहा है देव-0586ने इसे रूस के से संबद्ध होने का आकलन किया है जीआरयू सैन्य खुफिया.