ایک نامعلوم دھمکی آمیز اداکار نے 2023 کے آخر تک یوکرین میں حکومتی اداروں کو 2017 سے پرانے مائیکروسافٹ آفس ریموٹ کوڈ ایگزیکیوشن (RCE) کا استعمال کرتے ہوئے نشانہ بنایا (CVE-2017-8570) ابتدائی ویکٹر کے طور پر اور لالچ کے طور پر فوجی گاڑیاں۔
دھمکی آمیز اداکار نے محفوظ پیغام رسانی پلیٹ فارم سگنل پر ایک پیغام کے ذریعے منسلکہ کے طور پر بھیجی گئی نقصان دہ پاورپوائنٹ فائل (.PPSX) کا استعمال کرتے ہوئے حملہ شروع کیا۔ یہ فائل، جس نے ٹینکوں کے لیے مائن کلیئرنگ بلیڈز کے لیے امریکی فوج کے ایک پرانے ہدایت نامہ کے طور پر نقاب پوش کیا تھا، درحقیقت Cloudflare کے ذریعے محفوظ کردہ روسی ورچوئل پرائیویٹ سرور (VPS) فراہم کنندہ ڈومین پر میزبان ایک بیرونی اسکرپٹ سے دور دراز کا تعلق تھا۔
اسکرپٹ نے RCE کو حاصل کرنے کے لیے CVE-2017-8570 کا استحصال کیا، ایک کے مطابق گہری جبلت بلاگ پوسٹ اس ہفتے حملے پر، معلومات چوری کرنے کی کوشش میں۔
ایک مشکل سائبر اٹیک کے ہڈ کے نیچے
تکنیکی نفاست کے لحاظ سے، مبہم اسکرپٹ کو Cisco AnyConnect APN کنفیگریشن کے طور پر چھپا ہوا تھا اور ڈسک میں ایمبیڈڈ پے لوڈ کو مستقل مزاجی، ڈی کوڈنگ اور محفوظ کرنے کا ذمہ دار تھا، جو پتہ لگانے سے بچنے کے لیے کئی مراحل میں ہوا تھا۔
پے لوڈ میں "vpn.sessings" نامی ایک لوڈر/پیکر ڈائنامک لنک لائبریری (DLL) شامل ہے جو میموری میں کوبالٹ اسٹرائیک بیکن لوڈ کرتی ہے اور حملہ آور کے کمانڈ اینڈ کنٹرول (C2) سرور سے ہدایات کا انتظار کرتی ہے۔
ڈیپ انسٹنٹ میں تھریٹ لیب ٹیم کے لیڈر مارک ویٹزمین نے نوٹ کیا کہ دخول کی جانچ کا آلہ کوبالٹ اسٹرائیک ہے بہت عام طور پر دھمکی دینے والے اداکاروں میں استعمال ہوتا ہے۔، لیکن یہ خاص بیکن ایک حسب ضرورت لوڈر کا استعمال کرتا ہے جو تجزیہ کو سست کرنے والی متعدد تکنیکوں پر انحصار کرتا ہے۔
"یہ مسلسل اپ ڈیٹ کیا جاتا ہے تاکہ حملہ آوروں کو ابتدائی قدموں کے نشان کے سیٹ ہونے کے بعد بعد میں منتقل کرنے کا ایک آسان طریقہ فراہم کیا جا سکے،" وہ کہتے ہیں۔ "[اور] اسے متعدد اینٹی تجزیہ اور منفرد چوری کی تکنیکوں میں لاگو کیا گیا تھا۔"
ویٹزمین نے نوٹ کیا کہ 2022 میں، کوبالٹ اسٹرائیک میں RCE کی اجازت دینے والا ایک شدید CVE پایا گیا تھا - اور بہت سے محققین نے پیش گوئی کی تھی کہ خطرے والے اداکار اوپن سورس متبادل بنانے کے لیے ٹول کو تبدیل کر دیں گے۔
وہ کہتے ہیں، "زیر زمین ہیکنگ فورمز پر کئی کریک ورژنز مل سکتے ہیں۔
کوبالٹ اسٹرائیک کے موافقت پذیر ورژن کے علاوہ، وہ کہتے ہیں، مہم اس طوالت کے لیے بھی قابل ذکر ہے جس میں دھمکی دینے والے اداکار اپنی فائلوں اور سرگرمی کو ایک جائز، معمول کے OS اور عام ایپلی کیشنز کے آپریشنز کے طور پر چھپانے اور کنٹرول کو برقرار رکھنے کے لیے مسلسل کوشش کرتے ہیں۔ جب تک ممکن ہو متاثرہ مشینوں کا۔ اس مہم میں، وہ کہتے ہیں، حملہ آوروں نے یہ لے لیا۔ "زمین سے دور رہنے" کی حکمت عملی مزید.
انہوں نے تفصیلات بتائے بغیر وضاحت کرتے ہوئے کہا کہ "یہ حملے کی مہم کئی نقاب پوش تکنیکوں اور استقامت کا ایک زبردست طریقہ دکھاتی ہے جس کی ابھی تک دستاویز نہیں کی گئی ہے۔"
سائبر تھریٹ گروپ کے پاس نامعلوم میک اینڈ ماڈل ہے۔
یوکرین کو نشانہ بنایا گیا ہے۔ روس کے ساتھ اس کی جنگ کے دوران متعدد مواقع پر متعدد دھمکی آمیز اداکاروں کے ساتھ سینڈ ورم گروپ حملہ آور کے بنیادی سائبر اٹیک یونٹ کے طور پر کام کرنا۔
لیکن جنگ کے دوران زیادہ تر حملے کی مہموں کے برعکس، تھریٹ لیب ٹیم اس کوشش کو کسی بھی معلوم خطرے والے گروپ سے جوڑ نہیں سکی، جس سے یہ ظاہر ہو سکتا ہے کہ یہ کسی نئے گروپ کا کام ہے یا کسی معروف خطرے کے مکمل طور پر اپ گریڈ شدہ ٹول سیٹ کے نمائندے کا کام ہے۔ اداکار
Qualys Threat Research Unit میں سیکورٹی ریسرچ کے مینیجر، Mayuresh Dani، جغرافیائی طور پر مختلف ذرائع کے استعمال کی نشاندہی کرتے ہیں تاکہ خطرے کے اداکاروں کو انتساب کو دور کرنے میں مدد ملے جس سے سیکورٹی ٹیموں کے لیے جغرافیائی مقامات کی بنیاد پر ٹارگٹڈ تحفظ فراہم کرنا مشکل ہو جاتا ہے۔
"یہ نمونہ یوکرین سے اپ لوڈ کیا گیا تھا، دوسرے مرحلے کی میزبانی اور ایک روسی VPS فراہم کنندہ کے تحت رجسٹرڈ کیا گیا تھا، اور کوبالٹ بیکن [C2] وارسا، پولینڈ میں رجسٹر کیا گیا تھا،" وہ بتاتے ہیں۔
وہ کہتے ہیں کہ حملے کے سلسلے کے بارے میں جو چیز انہیں سب سے زیادہ دلچسپ لگی وہ یہ تھی کہ ابتدائی سمجھوتہ محفوظ سگنل ایپ کے ذریعے کیا گیا تھا۔
" سگنل میسنجر کا زیادہ تر استعمال سیکیورٹی پر مرکوز اہلکاروں نے کیا ہے۔ یا وہ لوگ جو خفیہ معلومات کے اشتراک میں ملوث ہیں، جیسے صحافی،" وہ نوٹ کرتا ہے۔
سیکورٹی بیداری، پیچ مینجمنٹ کے ساتھ سائبر آرمر کو بیف اپ کریں۔
ویٹزمین کا کہنا ہے کہ چونکہ زیادہ تر سائبر حملے ای میلز یا پیغامات کے ذریعے فشنگ یا لنک کو لالچ دینے کے ساتھ شروع ہوتے ہیں، اس لیے ملازمین کی وسیع تر سائبر آگاہی ایسے حملوں کی کوششوں کو کم کرنے میں اہم کردار ادا کرتی ہے۔
اور سیکورٹی ٹیموں کے لیے، "ہم نیٹ ورک میں فراہم کردہ IoCs کے لیے اسکین کرنے کی بھی تجویز کرتے ہیں، اور ساتھ ہی یہ یقینی بناتے ہیں کہ آفس کو تازہ ترین ورژن کے ساتھ پیچ کیا گیا ہے،" Vaitzman کہتے ہیں۔
کریٹیکل سٹارٹ میں سائبر تھریٹ ریسرچ کے سینئر مینیجر کالی گوینتھر کا کہنا ہے کہ دفاعی نقطہ نظر سے، پرانے کارناموں پر انحصار بھی مضبوط پیچ مینجمنٹ سسٹم کی اہمیت پر زور دیتا ہے۔
"اس کے علاوہ، حملے کی نفاست سے پتہ لگانے کے جدید میکانزم کی ضرورت پر زور دیا گیا ہے جو دستخط پر مبنی سائبر دفاعی نقطہ نظروہ کہتی ہیں، "تبدیل شدہ بدنیتی پر مبنی سافٹ ویئر کی شناخت کے لیے رویے اور بے ضابطگی کا پتہ لگانا۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/military-tank-manual-zero-day-ukraine-cyberattack
