spot_img

لازارس ہیکر گروپ نے ڈیتھ نوٹ مہم میں حکمت عملی، اوزار اور اہداف تیار کیے

 

Lazarus گروپ کے نام سے جانا جاتا شمالی کوریا کا خطرہ اداکار ڈیتھ نوٹ نامی ایک طویل عرصے سے جاری مہم کے ایک حصے کے طور پر اپنی توجہ کو تبدیل کرتے ہوئے اور تیزی سے اپنے اوزار اور حکمت عملی کو تیار کرتے ہوئے دیکھا گیا ہے۔

اگرچہ قومی ریاست کا مخالف کرپٹو کرنسی سیکٹر کو مستقل طور پر الگ کرنے کے لیے جانا جاتا ہے، حالیہ حملوں نے مشرقی یورپ اور دنیا کے دیگر حصوں میں آٹوموٹو، تعلیمی اور دفاعی شعبوں کو بھی نشانہ بنایا ہے، جس میں ایک “اہم” محور کے طور پر سمجھا جاتا ہے۔

کاسپرسکی کے محقق سیونگسو پارک نے بدھ کو شائع ہونے والے ایک تجزیے میں کہا، “اس موقع پر، اداکار نے دفاعی ٹھیکیداروں اور سفارتی خدمات سے متعلق ملازمتوں کی تفصیل میں تمام دستاویزات کو تبدیل کر دیا۔”

اپ ڈیٹ شدہ انفیکشن ویکٹرز کے استعمال کے ساتھ ہدف بنانے میں انحراف اپریل 2020 میں ہوا ہے۔ یہ بات قابل غور ہے کہ DeathNote کلسٹر کو monikers Operation Dream Job یا NukeSped کے تحت بھی ٹریک کیا جاتا ہے۔ گوگل کی ملکیت مینڈینٹ نے بھی سرگرمی کا ایک ذیلی سیٹ ایک گروپ سے جوڑ دیا ہے جسے اسے UNC2970 کہتے ہیں۔

 

کرپٹو کاروباروں کے خلاف ہدایت کردہ فشنگ حملوں میں عام طور پر ای میل پیغامات میں بٹ کوائن مائننگ تھیم پر مبنی لالچ کا استعمال شامل ہوتا ہے تاکہ ممکنہ اہداف کو میکرو لیسڈ دستاویزات کھولنے پر آمادہ کیا جا سکے تاکہ سمجھوتہ شدہ مشین پر مینو سکرپٹ (عرف نیوک سپیڈ) کو بیک ڈور چھوڑ دیا جا سکے۔

آٹوموٹو اور اکیڈمک عمودی کو نشانہ بنانا دفاعی صنعت کے خلاف Lazarus گروپ کے وسیع تر حملوں سے منسلک ہے، جیسا کہ اکتوبر 2021 میں روسی سائبر سیکیورٹی فرم نے دستاویز کیا تھا، جس کے نتیجے میں BLINDINGCAN (عرف AIRDRY یا ZetaNile) اور COPPERHEDGE امپلانٹس کی تعیناتی ہوئی۔

ایک متبادل حملے کی زنجیر میں، دھمکی دینے والے اداکار نے اپنے بدنیتی پر مبنی معمول کو شروع کرنے کے لیے ایک جائز PDF ریڈر ایپلیکیشن جس کا نام SumatraPDF Reader ہے کا ایک ٹروجنزیڈ ورژن استعمال کیا۔ Lazarus گروپ کے بدمعاش پی ڈی ایف ریڈر ایپس کے استعمال کا انکشاف پہلے مائیکروسافٹ نے کیا تھا۔

ان حملوں کے اہداف میں لٹویا میں مقیم ایک IT اثاثہ جات کی نگرانی کرنے والا حل فروش اور جنوبی کوریا میں واقع ایک تھنک ٹینک شامل تھا، جن میں سے بعد میں جائز سیکیورٹی سافٹ ویئر کا غلط استعمال شامل تھا جو ملک میں بڑے پیمانے پر پے لوڈز کو انجام دینے کے لیے استعمال ہوتا ہے۔

کاسپرسکی نے اس وقت نوٹ کیا کہ جڑواں حملے “لازارس کی سپلائی چین حملے کی صلاحیتوں کی طرف اشارہ کرتے ہیں۔” اس کے بعد سے مخالف عملے کو سپلائی چین حملے کا ذمہ دار ٹھہرایا گیا ہے جس کا مقصد انٹرپرائز VoIP سروس فراہم کرنے والے 3CX پر ہے جو پچھلے مہینے سامنے آیا تھا۔

کاسپرسکی نے کہا کہ اس نے مارچ 2022 میں ایک اور حملہ دریافت کیا جس نے جنوبی کوریا میں ایک ہی سیکیورٹی سافٹ ویئر کا استعمال کرتے ہوئے متعدد متاثرین کو نشانہ بنایا تاکہ بیک ڈور تقسیم کرنے کے قابل ڈاؤنلوڈر میلویئر کے ساتھ ساتھ کی اسٹروک اور کلپ بورڈ ڈیٹا کی کٹائی کے لیے معلومات چوری کرنے والا بھی ہو۔

پارک نے کہا، “نیا امپلانٹ شدہ بیک ڈور نامی پائپ کمیونیکیشن کے ساتھ بازیافت شدہ پے لوڈ کو انجام دینے کی صلاحیت رکھتا ہے،” پارک نے کہا، یہ “متاثرہ کی معلومات جمع کرنے اور رپورٹ کرنے کے لیے بھی ذمہ دار ہے۔”

تقریباً اسی وقت، اسی بیک ڈور کے بارے میں کہا جاتا ہے کہ لاطینی امریکہ میں ڈی ایل ایل سائیڈ لوڈنگ تکنیک کا استعمال کرتے ہوئے ٹروجنائزڈ پی ڈی ایف ریڈر کا استعمال کرتے ہوئے خصوصی طور پر تیار کردہ پی ڈی ایف فائل کو کھولنے پر دفاعی ٹھیکیدار سے سمجھوتہ کرنے کے لیے اسی بیک ڈور کا استعمال کیا گیا ہے۔

لازارس گروپ کو گزشتہ جولائی میں افریقہ میں ایک اور دفاعی ٹھیکیدار کی کامیاب خلاف ورزی سے بھی منسلک کیا گیا ہے جس میں اسکائپ پر ایک “مشتبہ پی ڈی ایف ایپلی کیشن” بھیجی گئی تھی تاکہ بالآخر بیک ڈور ڈب تھریٹ نیڈل اور فاریسٹ ٹائیگر کے نام سے مشہور ایک اور امپلانٹ ڈیٹا کو نکالنے کے لیے چھوڑا جا سکے۔ .

پارک نے کہا، “لزارس گروپ ایک بدنام اور انتہائی ہنر مند دھمکی آمیز اداکار ہے۔ “جیسا کہ لازارس گروپ اپنے نقطہ نظر کو بہتر بنا رہا ہے، تنظیموں کے لیے چوکنا رہنا اور اپنی بدنیتی پر مبنی سرگرمیوں کے خلاف دفاع کے لیے فعال اقدامات کرنا بہت ضروری ہے۔”

Source:

(The Hacker News)

Related Articles

- Advertisement -spot_img

Latest Articles