پرو ہیکنگ گروپس ’اینڈرو مٹ‘ کے ذریعہ مالویئر کی نئی شکل کی طرف راغب کررہے ہیں ، معاشی انجینئرنگ کا استعمال کرتے ہوئے مالی معلومات اور بینکوں کو نشانہ بناتے ہیں

سائبرسیکیوریٹی مثال

فشنگ اور دیگر قسم کے میلویئر حملوں کو انجام دینے کے لئے جدید ترین تکنیک والا ہیکنگ پروفیشنل گروپ اس کی سمت میں ردوبدل کرتا دکھائی دیتا ہے۔ مقدار کے مقابلہ میں معیار کو ترجیح دینے کے واضح مقصد کے ساتھ ، ہیکرز کے بدنام زمانہ TA505 گروپ نے اینڈرو مٹ نامی بدنیتی کوڈ کی ایک نئی شکل کا استعمال کرتے ہوئے حوصلہ افزائی کیا ہے۔ دلچسپ بات یہ ہے ، ایسا لگتا ہے کہ یہ میلویئر اینڈومیڈا سے متاثر ہوا ہے۔ اصل میں ایک اور ہیکنگ گروپ کے ذریعہ ڈیزائن کیا گیا ، اینڈرومیڈا حال ہی میں 2017 کی طرح دنیا کے سب سے بڑے مالویئر بوٹنیٹس میں سے ایک تھا۔ اینڈرویما کوڈ پر مبنی بوٹنیٹس نے ونڈوز آپریٹنگ سسٹم چلانے والے متعدد مشتبہ اور کمزور پی سی پر کامیابی سے اپنی پے لوڈ کی فراہمی عمل میں لائی۔ ایسا لگتا ہے کہ اینڈرو میٹ بڑے پیمانے پر اسی اینڈرویما کوڈ پر مبنی ہے جس سے ہیکر گروپوں کے مابین ممکنہ تعاون کی نشاندہی ہوتی ہے۔

دنیا کا سب سے کامیاب سائبر کرائمینل گروپس میں سے ایک ، جو خود کو ٹی اے 505 کہتا ہے ، اس نے اپنی تدبیروں میں ردوبدل کیا ہے۔ مالی معلومات پر حملہ اور چوری کرنے کی تازہ ترین بدنیتی پر مبنی مہم کے ایک حصے کے طور پر ، یہ گروپ مالویئر کی ایک نئی شکل تقسیم کرنے میں مصروف ہے۔ محور کے ایک حصے کے طور پر ، لوگوں کی ایک بڑی تعداد کو نشانہ بنانے کے بجائے ، TA505 گروپ بینکوں اور دیگر مالی خدمات کے پیچھے جارہا ہے۔ اتفاقی طور پر ، نقطہ داخلہ یا ابتداء ایک ہی رہتی ہے ، لیکن مطلوبہ ہدف اور توجہ منظم مالیاتی شعبے پر مرکوز ہوتی ہے۔ اتفاق سے ، امریکہ ، متحدہ عرب امارات اور سنگاپور میں مالیاتی کمپنیوں کو مشورہ دیا جاتا ہے کہ وہ ہائی الرٹ رہیں اور کسی بھی مشکوک مواد کو تلاش کریں۔ حملے کے کچھ عام نکات سرکاری نظر آنے والی ای میلز کے باقی رہ گئے ہیں۔

ٹی اے 505 گروپ اینڈرو میڈا بیس کو اینڈرو میٹ تیار اور تعینات کرنے کیلئے استعمال کرتا ہے

ایسا لگتا ہے کہ بدنام زمانہ ٹی اے 505 گروپ نے پچھلے مہینے کے دوران اپنی شدت میں اضافہ کیا ہے اور اسی تیزی کے ساتھ جاری ہے۔ اب حملوں کی بے ترتیب لہروں کو تعینات کرنے کی کوشش نہیں کی جارہی ہے جو متاثرین کی مشینوں پر قابو پانے کی کوشش کرتے ہیں۔ دوسرے الفاظ میں ، بڑے پیمانے پر فشنگ ای میلز اب ترجیحی حربے نہیں ہیں۔ اس کے بجائے ، TA505 گروپ نے حملوں کی مقدار کو نمایاں طور پر کم کیا ہے اور واضح طور پر مزید ھدف بنائے گئے حملوں کا رخ کیا ہے۔

کی طرف سے اچھا لکھنا @ پروفپوائنٹ
TA505 کے ذریعہ دو الگ الگ مہموں پر تبادلہ خیال کرنے والے محققین جنہوں نے FlawAmmyy ڈاؤن لوڈ کرنے کیلئے AndroMut کا استعمال کیا۔ AndroMut C ++ میں لکھا گیا ہے اور ڈاؤن لوڈ کرنے والوں کی ایک قسم ہے۔

بلاگ: https://t.co/vIDcrhKQ3z

نمونے: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0

- InQuest (InQuest) 3 جولائی ، 2019

متعدد مشتبہ ای میلز اور الیکٹرانک مواصلات اور میڈیا کی دیگر اقسام کے تجزیہ کی بنیاد پر ، سائبر سیکیورٹی محققین پر پروف پوائنٹ اشارہ کیا ہے کہ ہیکرز کا گروپ بینکوں اور دیگر مالیاتی خدمات فراہم کرنے والے ملازمین کو نشانہ بناتا ہے۔ محققین نے نفیس میلویئر کی ایک نئی شکل کے استعمال کو بھی بے نقاب کیا ہے۔ محققین اس کو اینڈرو میٹ قرار دے رہے ہیں اور انھوں نے دریافت کیا ہے کہ میلویئر اینڈرومیڈا کے ساتھ کافی مماثلت رکھتا ہے۔ ہیکرز کے مکمل طور پر مختلف گروپ کے ذریعہ ڈیزائن اور تعینات ، اینڈرویمڈا دنیا میں سب سے زیادہ کامیابی سے پھانسی دینے والا ، خطرناک اور میلویئر بوٹنیٹس کا سب سے بڑا نیٹ ورک ہے۔ 2017 تک ، اینڈومیڈا مستحکم طور پر پھیل رہا تھا ، اور کامیابی سے ونڈوز آپریٹنگ سسٹم چلانے والے کمزور پی سی پر خود کو انسٹال کر رہا تھا۔

TA505 گروپ مالویئر اٹیک کو کس طرح انجام دے رہا ہے؟

TA505 گروپ کے دوسرے حملوں کی طرح ، نیا AndroMut میلویئر بھی جائز نظر آنے والے ای میلز کے ذریعے تقسیم کیا گیا ہے۔ فشنگ حملوں میں ایسے ای میلز شامل ہوتے ہیں جو انتہائی سرکاری اور مستند نظر آتے ہیں اور محسوس کرتے ہیں۔ اس طرح کی ای میلز عام طور پر انوائسز اور دیگر دستاویزات پر مشتمل ہونے کا دعوی کرتی ہیں جو بینکاری اور مالیات سے متعلق ہیں۔ فشنگ میں استعمال ہونے والے ای میلز اکثر محنت سے تیار کیے جاتے ہیں۔ اگرچہ متعدد ای میلز مقبول پی ڈی ایف دستاویز پر مشتمل ہیں ، لیکن TA505 گروپ کی فشینگ ای میلز ورڈ دستاویزات پر بھروسہ کرتی ہیں۔

https://twitter.com/rsz619mania/status/1146387091598667777

ایک بار غیرمتزلزل شکار نے لیسڈ ورڈ دستاویز کو کھول دیا تو ، گروپ حملہ جاری رکھنے کے لئے سوشل انجینئرنگ پر انحصار کرتا ہے۔ یہ پیچیدہ لگ سکتا ہے ، لیکن در حقیقت ، حملہ ورڈ دستاویز میں ’میکرو‘ کے بجائے قدیم طریقہ پر منحصر ہے۔ اہداف کو مطلع کیا جاتا ہے کہ معلومات ’محفوظ‘ ہے اور انہیں اس کے مندرجات کو دیکھنے کے لئے ترمیم کو اہل بنانا ہوگا۔ ایسا کرنے سے میکرو قابل ہوجاتا ہے اور اینڈرو میٹ کو مشین تک پہنچایا جاسکتا ہے۔ اس کے بعد یہ میلویئر FlawAmmyy کو بڑی احتیاط سے ڈاؤن لوڈ کرتا ہے۔ ایک بار جب دونوں انسٹال ہوجائیں تو ، متاثرہ افراد کی مشینیں پوری طرح سمجھوتہ کرلیتی ہیں۔

اینڈرو میٹ کیا ہے اور ملٹی اسٹیج میلویئر کس طرح کام کرتا ہے؟

TA505 فی الحال دو مرحلے کے حملے میں پہلے مرحلے کے طور پر AndroMut کا استعمال کررہا ہے۔ دوسرے لفظوں میں ، AndroMut متاثرہ افراد کے کمپیوٹرز پر کامیاب انفیکشن اور کنٹرول کا پہلا حصہ ہے۔ گھسنے میں کامیاب ہونے کے بعد ، AndroMut سمجھوتہ کرنے والی مشین پر ایک اور پے لوڈ کو احتیاط سے چھوڑنے کے لئے انفیکشن کا استعمال کرتا ہے۔ بدنیتی پر مبنی کوڈ کے دوسرے پے لوڈ کو فلاwedڈ امی کہتے ہیں۔ بنیادی طور پر ، FlawAmmyy ایک طاقتور اور موثر ریموٹ ایکسیس ٹروجن یا RAT ہے۔

جارحانہ دوسرے مرحلے کی RAT فلاwedو ایمی ایک متشدد میلویئر ہے جو متاثرین کے کمپیوٹرز تک ریموٹ رسائی کی منظوری دیتی ہے۔ حملہ آور دور دراز انتظامی مراعات حاصل کرسکتے ہیں۔ ایک بار اندر داخل ہونے کے بعد ، حملہ آوروں کو فائلوں ، اسناد اور زیادہ پر مکمل رسائی حاصل ہے۔

اتفاقی طور پر ، اعداد و شمار ، خود میں ، ہدف نہیں ہے۔ دوسرے لفظوں میں ، ڈیٹا چوری کرنا بنیادی ارادہ نہیں ہے۔ محور کے ایک حصے کے طور پر ، TA505 گروپ ان معلومات کے بعد ہے جو انہیں بینکوں اور دیگر مالیاتی اداروں کے داخلی نیٹ ورک تک رسائی فراہم کرتا ہے۔

TA505 نے AndroMut مالویئر لانچ کیا https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 3 جولائی ، 2019

ماہرین کا کہنا ہے کہ TA505 گروپ رقم کی پیروی کررہا ہے:

ہیکنگ گروپ کی سرگرمیوں کے بارے میں بات کرتے ہوئے ، کرس ڈاسن ، دھمکی آمیز انٹیلی جنس لیڈ پر پروف پوائنٹ انہوں نے کہا ، 'A505 کا ابتدائی طور پر RATs اور ڈاؤن لوڈ کرنے والوں کو پہلے سے کہیں زیادہ بینکاری ٹروجن اور رینسم ویئر کے ساتھ ملازمت کرنے والے RTs اور ڈاؤن لوڈرز کو تقسیم کرنے کا اقدام ان کی حکمت عملی میں بنیادی تبدیلی کی تجویز ہے۔ بنیادی طور پر یہ گروپ طویل مدتی منیٹائزیشن - مقدار سے زیادہ معیار کی صلاحیت کے ساتھ اعلی معیار کے انفیکشن کے بعد جارہا ہے۔

سائبر کرائمینین بنیادی طور پر اپنے حملوں کو بہتر بناتے ہیں ، اور بڑے پیمانے پر ای میل کی مہم چلانے اور متاثرین کی گرفت میں لانے کی امید کے بجائے اپنے اہداف کا انتخاب کررہے ہیں۔ وہ رقم کو چرانے کے ل the اعداد و شمار اور زیادہ اہم حساس معلومات کے بعد ہیں۔ تازہ ترین محور بنیادی طور پر صرف ہیکرز کی ایک مثال ہے جو بازار اور پیسے کی پیروی کرتے ہیں۔ ڈاؤسن نے مشاہدہ کیا ، لہذا حکمت عملی میں تبدیلی کو مستقل نہیں سمجھا جانا چاہئے ، 'جو کچھ واضح نہیں وہ اس شفٹ کا حتمی نتیجہ یا انجام ہے۔ A505 بہت زیادہ پیسوں کی پیروی کرتا ہے ، عالمی رجحانات کو اپناتے ہوئے اور زیادہ سے زیادہ منافع بخش جغرافیے اور پے لوڈ کو ڈھونڈتا ہے۔