जटिल जावास्क्रिप्ट रिमोट एक्सेस ट्रोजन (RAT) के पीछे के परिष्कृत खतरा समूह, जिसे JSOutProx के नाम से जाना जाता है, ने मध्य पूर्व में संगठनों को लक्षित करने के लिए मैलवेयर का एक नया संस्करण जारी किया है।
कंपनी ने इस सप्ताह प्रकाशित एक रिपोर्ट में लिखा है कि साइबर सुरक्षा सेवा फर्म रिसिक्योरिटी ने वित्तीय ग्राहकों को लक्षित करने वाले JSOutProx मैलवेयर और किसी उद्यम को लक्षित करने पर नकली स्विफ्ट भुगतान अधिसूचना या निजी नागरिकों को लक्षित करने पर मनीग्राम टेम्पलेट देने से जुड़ी कई घटनाओं के तकनीकी विवरणों का विश्लेषण किया। धमकी समूह ने भारत और ताइवान में सरकारी संगठनों के साथ-साथ फिलीपींस, लाओस, सिंगापुर, मलेशिया, भारत और अब में वित्तीय संगठनों को निशाना बनाया है। सऊदी अरब.
रिसिक्योरिटी के सीईओ जीन यू का कहना है कि JSOutProx का नवीनतम संस्करण विकास के नजरिए से एक बहुत ही लचीला और सुव्यवस्थित कार्यक्रम है, जो हमलावरों को पीड़ित के विशिष्ट वातावरण के लिए कार्यक्षमता तैयार करने की अनुमति देता है।
"यह कई चरणों वाला एक मैलवेयर इम्प्लांट है, और इसमें कई प्लग-इन हैं," वे कहते हैं। "पीड़ित के वातावरण के आधार पर, यह सही तरीके से अंदर जाता है और फिर वास्तव में उनका खून बहता है या पर्यावरण को जहरीला बनाता है, यह इस बात पर निर्भर करता है कि कौन से प्लग-इन सक्षम हैं।"
ये हमले सोलर स्पाइडर नामक साइबर अपराधी समूह का नवीनतम अभियान है, जो JSOutProx मैलवेयर का उपयोग करने वाला एकमात्र समूह प्रतीत होता है। समूह के लक्ष्यों के आधार पर - विशेष रूप से भारत में संगठन, लेकिन एशिया-प्रशांत, अफ्रीका और में भी मध्य पूर्व क्षेत्र - यह संभवतः चीन से जुड़ा हुआ है, पुनर्सुरक्षा ने अपने विश्लेषण में कहा.
यू कहते हैं, "लक्ष्यों की प्रोफाइलिंग और बुनियादी ढांचे में हमें जो कुछ विवरण मिले हैं, उससे हमें संदेह है कि यह चीन से संबंधित है।"
"अत्यधिक अस्पष्ट... मॉड्यूलर प्लग-इन"
JSOutProx वित्तीय उद्योग में प्रसिद्ध है। उदाहरण के लिए, वीज़ा ने 2023 में हमले के उपकरण का उपयोग करके अभियानों का दस्तावेजीकरण किया, जिसमें एशिया-प्रशांत क्षेत्र के कई बैंकों पर इशारा किया गया था, कंपनी ने कहा इसकी द्विवार्षिक ख़तरा रिपोर्ट दिसंबर में प्रकाशित हुई.
रिमोट एक्सेस ट्रोजन (RAT) एक "अत्यधिक अस्पष्ट जावास्क्रिप्ट बैकडोर है, जिसमें मॉड्यूलर प्लगइन क्षमताएं हैं, यह शेल कमांड चला सकता है, फ़ाइलों को डाउनलोड, अपलोड और निष्पादित कर सकता है, फ़ाइल सिस्टम में हेरफेर कर सकता है, दृढ़ता स्थापित कर सकता है, स्क्रीनशॉट ले सकता है और कीबोर्ड और माउस में हेरफेर कर सकता है घटनाएँ, ”वीज़ा ने अपनी रिपोर्ट में कहा। “ये अनूठी विशेषताएं मैलवेयर को सुरक्षा प्रणालियों द्वारा पता लगाने से बचने और लक्षित वित्तीय संस्थानों से विभिन्न प्रकार की संवेदनशील भुगतान और वित्तीय जानकारी प्राप्त करने की अनुमति देती हैं।
JSOutProx आम तौर पर ज़िप संग्रह में वित्तीय दस्तावेज़ की पीडीएफ फ़ाइल के रूप में दिखाई देता है। लेकिन वास्तव में, यह जावास्क्रिप्ट है जो तब निष्पादित होती है जब कोई पीड़ित फ़ाइल खोलता है। हमले का पहला चरण सिस्टम पर जानकारी एकत्र करता है और डायनेमिक डीएनएस के माध्यम से कमांड-एंड-कंट्रोल सर्वर के साथ संचार करता है। हमले का दूसरा चरण आगे के हमलों को अंजाम देने के लिए कुछ 14 प्लग-इन में से किसी एक को डाउनलोड करता है, जिसमें आउटलुक और उपयोगकर्ता की संपर्क सूची तक पहुंच प्राप्त करना और सिस्टम पर प्रॉक्सी को सक्षम या अक्षम करना शामिल है।
RAT वैध दिखने के लिए GitHub - या हाल ही में, GitLab - से प्लगइन्स डाउनलोड करता है।
रिसिक्योरिटी ने अपने विश्लेषण में कहा, "JSOutProx के नए संस्करण की खोज, GitHub और GitLab जैसे प्लेटफार्मों के शोषण के साथ मिलकर, इन दुर्भावनापूर्ण अभिनेताओं के अथक प्रयासों और परिष्कृत स्थिरता पर जोर देती है।"
मध्य पूर्व वित्तीय से डेटा का मुद्रीकरण
वीज़ा की धमकी रिपोर्ट के अनुसार, एक बार जब सोलर स्पाइडर किसी उपयोगकर्ता से समझौता कर लेता है, तो हमलावर प्राथमिक खाता संख्या और उपयोगकर्ता क्रेडेंशियल्स जैसी जानकारी एकत्र करते हैं, और फिर पीड़ित के खिलाफ कई तरह की दुर्भावनापूर्ण कार्रवाइयां करते हैं।
वीज़ा रिपोर्ट में कहा गया है, "JSOutProx मैलवेयर दुनिया भर के वित्तीय संस्थानों और विशेष रूप से एपी क्षेत्र के वित्तीय संस्थानों के लिए एक गंभीर खतरा है क्योंकि उन संस्थाओं को इस मैलवेयर से अधिक बार लक्षित किया गया है।"
वीज़ा ने कहा, कंपनियों को मैलवेयर के खतरे को कम करने के लिए कर्मचारियों को अनचाहे, संदिग्ध पत्राचार से निपटने के बारे में शिक्षित करना चाहिए। इसके अलावा, मैलवेयर के किसी भी उदाहरण की जांच की जानी चाहिए और पुन: संक्रमण को रोकने के लिए उसका पूरी तरह से समाधान किया जाना चाहिए।
रिसिक्योरिटी के यू का कहना है कि बड़ी कंपनियों और सरकारी एजेंसियों पर समूह द्वारा हमला किए जाने की अधिक संभावना है क्योंकि सोलर स्पाइडर की नजर सबसे सफल कंपनियों पर है। हालांकि, अधिकांश भाग के लिए, कंपनियों को खतरे-विशिष्ट कदम उठाने की ज़रूरत नहीं है, बल्कि इसके बजाय गहन रक्षा रणनीतियों पर ध्यान केंद्रित करना है, वे कहते हैं।
यू कहते हैं, "उपयोगकर्ता को आसमान में चमकदार वस्तु को देखने पर ध्यान केंद्रित नहीं करना चाहिए, जैसे कि चीनी हमला कर रहे हैं, बल्कि उन्हें एक बेहतर नींव बनाने पर ध्यान केंद्रित करना चाहिए।" “अच्छी पैचिंग, नेटवर्क विभाजन और भेद्यता प्रबंधन होना। यदि आप ऐसा करते हैं, तो इसका आपके उपयोगकर्ताओं पर कोई प्रभाव नहीं पड़ेगा।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
