RansomHub साइबर खतरे के अभिनेताओं ने अपने रैंसमवेयर को तैनात करने का एक नया तरीका ढूंढ लिया है, और वे इसका उपयोग अमेरिकी सरकारी संस्थाओं को लक्षित करने के लिए कर रहे हैं।
ट्रेंड माइक्रो के अनुसार, विपुल रैंसमवेयर गैंग Socgholish का उपयोग कर रहा है, जो एक लंबे समय से मैलवेयर-ए-ए-सर्विस ऑपरेशन भी है, जिसे फेकअप के रूप में भी जाना जाता है, इसके हमलों को सुविधाजनक बनाने के लिए। Ransomhub 2024 की शुरुआत में उभरा और रैक हो गया 200 से अधिक पीड़ित उस समय से, हेल्थकेयर और रीट एड के खिलाफ उल्लेखनीय हमलों के लिए जिम्मेदारी का दावा करना।
में एक ब्लॉग भेजा शुक्रवार को, ट्रेंड माइक्रो शोधकर्ताओं ने रेखांकित किया कि कैसे सोशगोलिश फ्रेमवर्क एक मल्टीस्टेज अटैक चेन में रैंसमहब रैंसमवेयर प्रदान कर रहा है, जिसमें हजारों समझौता वेबसाइटों को शामिल किया गया है। शोधकर्ताओं ने लिखा, “2025 की शुरुआत के रूप में, संयुक्त राज्य अमेरिका में सोसाइटी डिटेक्शन सबसे अधिक रहे हैं, सबसे अधिक प्रभावित सरकारी संगठनों के साथ,” शोधकर्ताओं ने लिखा, बैंकिंग और परामर्श संगठनों को भी भारी लक्षित किया गया था।
2018 में पहली बार उभरने के बाद से, Socgholish का कॉलिंग कार्ड उपयोगकर्ताओं को दुर्भावनापूर्ण सामग्री डाउनलोड करने में ट्रिक करने के लिए नकली ब्राउज़र और सॉफ़्टवेयर अपडेट का उपयोग किया गया है। शोधकर्ताओं ने लिखा, “Socgholish को अपने अत्यधिक obfuscated javascript लोडर की विशेषता है, जो चोरी तकनीकों की एक श्रृंखला को नियोजित करती है जो इसे पारंपरिक हस्ताक्षर-आधारित पहचान विधियों को प्रभावी ढंग से बायपास करने में सक्षम करती है,” शोधकर्ताओं ने लिखा।
उपयोगकर्ताओं को संक्रमित करने के लिए, Socgholish ऑपरेटर वैध वेबसाइटों के एक नेटवर्क का उपयोग करते हैं जो पहले एक दुर्भावनापूर्ण स्क्रिप्ट के साथ समझौता किया गया है जो वेब ट्रैफ़िक को हाइजैक करता है। जब उपयोगकर्ता इन साइटों पर जाते हैं, तो Socgholish उन्हें पुनर्निर्देशित करता है कीटेरोएस्टोनिया में स्थित एक वाणिज्यिक यातायात वितरण प्रणाली (टीडीएस) जो लंबे समय से सोसाइटी और अन्य दुर्भावनापूर्ण गतिविधि के साथ जुड़ा हुआ है।
फ़ॉनी ब्राउज़र अपडेट
खतरे के अभिनेता “दुष्ट” केटरो इंस्टेंसेस का उपयोग करते हैं, जो कि उपयोगकर्ताओं को नकली ब्राउज़र अपडेट के लिए अनसुना करने वाले उपयोगकर्ताओं को भेजने के लिए और “सैंडबॉक्स और शोधकर्ताओं से अवांछित ट्रैफ़िक” को फ़िल्टर करने के लिए। एक बार जब उपयोगकर्ता नकली अपडेट पर क्लिक करते हैं, तो खतरे के अभिनेता obfuscated javascript लोडर स्थापित करते हैं और अतिरिक्त पेलोड को तैनात करना शुरू कर देते हैं।
Ransomhub हमलों में, Socgholish खतरे वाले अभिनेताओं ने पायथन-आधारित पिछले दरवाजे के घटकों को तैनात किया जो रैनसमेहब सहयोगियों को प्रारंभिक पहुंच प्रदान करते हैं। बैकडोर एक कमांड और कंट्रोल (C2) सर्वर के लिए एक हार्डकोडेड कनेक्शन स्थापित करता है जो खतरे अभिनेता पीड़ितों के नेटवर्क से संवेदनशील डेटा को एक्सफिल्ट्रेट करने के लिए उपयोग कर सकते हैं।
ट्रेंड माइक्रो शोधकर्ताओं ने कहा कि Socgholish C2 उद्देश्यों के लिए समझौता वेबसाइटों के नेटवर्क का उपयोग करता है और साथ ही “डोमेन शैडोइंग” नामक एक तकनीक का उपयोग करता है। एक बार जब खतरा अभिनेता एक वेबसाइट से समझौता करते हैं, तो वे दुर्भावनापूर्ण गतिविधि के लिए नए उपडोमेन स्थापित कर सकते हैं, जो सुरक्षा उत्पादों द्वारा अवरुद्ध नहीं किया जाएगा क्योंकि वे वैध वेबसाइटों से जुड़े हैं।
ट्रेंड माइक्रो के सीनियर थ्रेट शोधकर्ता स्टीफन हिल्ट ने साइबर सुरक्षा डाइव को बताया कि सोशगोलिश विशेष रूप से प्रभावी है क्योंकि ऑपरेटर नकली अपडेट के आसपास ट्रस्ट स्थापित करने के लिए समझौता की गई वेबसाइटों का उपयोग करते हैं। “वे नए डोमेन को कताई नहीं कर रहे हैं। “यदि आप एक ऐसी वेबसाइट को संभालने में सक्षम हैं, जो किसी के पास गया है और समीक्षा करता है और उसके साथ एक ज्ञात कंपनी है, तो यह बहुत सारे लोगों के लिए गार्ड को छोड़ देता है।”
हिल्ट ने यह भी कहा कि अभियान वर्डप्रेस साइटों पर केंद्रित है और वर्तमान में 2,500 समझौता किए गए डोमेन को एकत्र किया है। उन्होंने कहा, “यह एक बड़ा अभियान है जितना हमने पहले से देखा है,” उन्होंने कहा। “इसका पैमाना काफी बड़ा है।”
Ransomhub हमलों केवल खतरे नहीं हैं कि इस वर्ष Socgholish सुविधा है। पिछले महीने, प्रूफपॉइंट शोधकर्ता नए अभियानों पर प्रकाश डाला Windows, Android और MacOS सिस्टम्स के लिए Infostealer Malware को तैनात करना, जो किटरो के TDS के माध्यम से अपहरण किए गए ट्रैफ़िक को भी ले जाता है।
“सैंडबॉक्स और क्रॉलर चोरी के लिए एक वाणिज्यिक टीडीएस के उपयोग के साथ मिलकर समझौता वेबसाइटों की सरासर मात्रा, जो कि एंटी-सैंडबॉक्स रूटीन के उपयोग के साथ मिलकर सैंडबॉक्स जैसे कुछ स्वचालित डिटेक्शन समाधानों के लिए एक चुनौती पैदा कर सकती है, जो कि वातावरण में चलाने में सक्षम हो सकती है, जो अत्यधिक प्रभावशाली हमलों के लिए अग्रणी हो सकती है,” शोधकर्ताओं ने लिखा।
तत्काल साइबर खतरा
ट्रेंड माइक्रो जिसे सोसाइगोलिश संक्रमण “महत्वपूर्ण घटनाओं” कहा जाता है, जिसे सुरक्षा टीमों द्वारा तत्काल संबोधित किया जाना चाहिए। साइबर सुरक्षा कंपनी ने संगठनों से आग्रह किया कि वे विस्तारित पहचान और प्रतिक्रिया (XDR) समाधानों को तैनात करें और सोसाइटी गतिविधि को पहचानने और उन्हें हटाने के साथ -साथ पॉवरशेल जैसे वैध उपकरणों के निष्पादन को प्रतिबंधित करें।
अनुसंधान टीम ने वैध वेबसाइटों से समझौता करने के लिए बार-बार कमजोर सामग्री प्रबंधन प्रणालियों और सीएमएस प्लग-इन को लक्षित करने के लिए सोशगोलिश अभिनेताओं को चेतावनी दी। उदाहरण के लिए, पिछले सोशगोलिश अभियानों ने ट्रैफ़िक को हाइजैक करने और मैलवेयर देने के लिए वर्डप्रेस साइटों का उपयोग किया है।
संपादक का नोट: इस कहानी को ट्रेंड माइक्रो की टिप्पणियों के साथ अपडेट किया गया है।