خلاصہ:
سیکیورٹی محققین نے ستمبر 2025 میں ایک ہدفی جاسوسی مہم دیکھی جسے خطرہ آور گروہ SideWinder چلا رہا تھا۔ اس میں ایک نئے PDF → ClickOnce انفیکشن چین کا استعمال کیا گیا جس نے سفارتی اور حکومتی تنظیموں کو متاثر کیا۔ اس مہم میں معروف مَلویر فیملیز ModuleInstaller (ڈاؤن لوڈر/لوڈر) اور StealerBot (.NET اسٹیلر/ریمورٹ رسائی امپلانٹ) استعمال ہوئیں — جو اپنے ٹولنگ اور ڈیلیوری طریقوں میں تبدیلی کی نشاندہی کرتی ہیں تاکہ دفاع سے بچا جا سکے۔
مجموعی منظرنامہ
SideWinder — جو پہلے مشرق وسطیٰ اور افریقہ میں اعلیٰ پروفائل جاسوسی حملوں سے منسوب رہ چکا ہے — نے مارچ سے ستمبر 2025 کے دوران چار لہرِ فشنگ آپریشنز چلائے، جن میں نئی دہلی میں ایک یورپی ایمبیسی سمیت بھارت، پاکستان، بنگلہ دیش اور سری لنکا کی سفارتی اور سرکاری تنظیمیں نشانہ بنیں۔ اس مرتبہ گروہ نے روایتی مائیکروسافٹ ورڈ ایکسپلائٹ چین کے بجائے PDF + ClickOnce طریقہ اپنایا، جس میں جائز طور پر دستخط شدہ سافٹ ویئر اور ریجن-لاکڈ انفراسٹرکچر کا غلط استعمال شامل تھا تاکہ شناخت مشکل بن جائے۔
کون اور کب
•حملہ آور: SideWinder (پیچیدہ اور مستقل خطرہ ادا کار).
•مشاہدہ کا دورانیہ: مارچ–ستمبر 2025 (چار فشنگ لہریں)، اور 1 ستمبر 2025 کے بعد نئی سرگرمیاں نوٹ کی گئیں۔
•اہم ہدف: سفارتی مشنز (مثلاً نئی دہلی میں ایک ایمبیسی) اور تنظیمیں بھارت، پاکستان، بنگلہ دیش اور سری لنکا میں۔
•لوِرز/بمباری کے عنوانات: دستاویزات کے عنوانات مخصوص ڈپلوماٹک اور پالیسی ملازمین کے لیے بنائے گئے تھے (مثالیں: “Inter-ministerial meeting Credentials.pdf”، “India-Pakistan Conflict – Strategic and Tactical Analysis of the May 2025.docx”). پیغامات ایک سرکاری ڈومین کی نقل کرتے تھے (مثال: mod.gov.bd.pk-mail[.]org)۔
حملہ چین — مرحلہ بہ مرحلہ
1.سپیئر-فشنگ ای میل: خاص طور پر تیار کردہ، علاقائی نوعیت کے پیغامات جن میں پی ڈی ایف یا ورڈ فائل منسلک ہوتی ہے۔
2.ابتدائی دستاویز: پی ڈی ایف صحیح انداز میں دکھائی نہیں دیتی یا اس میں ایک بٹن ہوتا ہے جو متاثرہ کو بتاتا ہے کہ “دستاویز دیکھنے کے لیے تازہ ترین Adobe Reader انسٹال کریں”۔ (کچھ حملوں میں ورڈ ڈاکیومنٹ میں ایکسپلائٹس بھی تھے.)
3.ClickOnce ڈاؤن لوڈ: بٹن پر کلک کرنے سے ایک ClickOnce ایپلیکیشن ڈاؤن لوڈ ہوتی ہے جو ایک ریموٹ سرور (mofa-gov-bd.filenest[.]live جیسے) پر میزبانی ہوتی ہے۔ ClickOnce پیلوڈ ایک جائز MagTek ایگزیکیوٹیبل (ReaderConfiguration.exe) ہوتا ہے جو Adobe Reader کے طور پر ظاہر کیا جاتا ہے اور درست دستخط کے ساتھ آتا ہے۔
4.DLL سائیڈ لوڈنگ: ClickOnce ایپ ایک مخرب DLL (DEVOBJ.dll) کو سائیڈ لوڈ کرتی ہے اور ایک ڈیکی پی ڈی ایف کھول دیتی ہے تاکہ شک کم ہو۔
5.لوڈر کا اجرا: منحوس DLL ModuleInstaller نامی .NET لوڈر کو ڈی کرپٹ اور اجرا کرتا ہے، جو سسٹم کا پروفائل بناتا ہے اور علاقائی طور پر بند C2 سرورز سے مزید پیلوڈز حاصل کرتا ہے۔
6.حتمی پیلوڈ: ModuleInstaller StealerBot نصب کرتا ہے — یہ .NET امپلانٹ ریورس شیل کھول سکتا ہے، مزید مَلویر ڈال سکتا ہے، اور اسکرین شاٹس، کی اسٹروکس، پاس ورڈز اور فائلیں چوری کر کے ایکسفلٹریٹ کر سکتا ہے۔
اہم تکنیکی نکات
•ClickOnce کا غلط استعمال: حریف نے ClickOnce کو اس طرح استحصال کیا کہ ایک دستخط شدہ، جائز نظر آنے والا ایگزیکیوٹیبل فراہم کیا جائے — جس سے یہ عام سافٹ ویئر انسٹالز کی طرح ظاہر ہوتا ہے۔
•صحیح کوڈ سائننگ: ReaderConfiguration.exe کے ساتھ قانونی دستخط تھے، جو بعض سکیورٹی چیکس سے بچاؤ میں مدد دیتے ہیں۔
•ریجن-لاکڈ C2: نیٹ ورک انفراسٹرکچر صرف جنوبی ایشیا سے آنے والی درخواستوں کا جواب دیتا تھا، جس سے بیرونی تجزیہ اور ٹیک ڈاؤن مشکل ہو گیا۔
•ڈائنامک پیلوڈ پاتھز: ڈاؤن لوڈ راستے متحرک طور پر بنائے جاتے تھے، جو سادہ بلاکنگ اور سٹیٹک اینالیسیس کو مشکل بناتے ہیں۔
•دوبارہ استعمال شدہ مَلویر: ModuleInstaller اور StealerBot کو پہلے بھی دستاویزی شکل میں دیکھا جا چکا ہے (Kaspersky نے اکتوبر 2024 میں نوٹ کیا؛ مئی 2025 میں Acronis نے بھی اسی قسم کی سرگرمی رپورٹ کی)۔
اثرات اور نیت
خاص سفارتی لُرز، علاقائی پابندی اور مخصوص مَلویر کے مجموعے سے ظاہر ہوتا ہے کہ یہ مہم جاسوسی مقاصد کے لیے ہے — بالخصوص سفارتی اور حکومتی اثاثوں سے انٹیلی جنس اکٹھا کرنا۔ کی اسٹروکس، اسکرین شاٹس اور کریڈنشل چوری کی صلاحیتیں ہائی ویلیو اہداف (credentials، lateral movement، persistent access) کی نمائندہ ہیں۔
شناخت اور روک تھام (عملی اقدامات)
ای میل اور صارف سطح
•عملے کو تربیت دیں کہ دستاویز میں موجود “اپ ڈیٹ/انسٹال” پرومپٹس کو مشکوک سمجھیں۔ شک شدہ ای میلز کو سیکیورٹی ٹیم کے حوالے کرنے کی ہدایت کریں، لنکس یا بٹنز پر کلک نہ کریں۔
•گیٹ وے پر شبیہہ سازی کرنے والے ڈومینز اور مشکوک ڈومینز (مثلاً mod.gov, *-mail[.]org وغیرہ) کو بلاک/قرنطینہ کریں۔
این پوائنٹ اور ایپ کنٹرول
•ClickOnce ایپلیکیشن کے نفاذ کو ایپ کنٹرول پالیسیز (AppLocker، Microsoft Defender Application Control یا متبادل) کے ذریعے محدود کریں — صرف منظور شدہ پبلشرز اور راستوں کی اجازت دیں۔
•سخت کوڈ-سائننگ پالیسیاں نافذ کریں: صرف مخصوص پبلشر تھمب پرنٹ کی اجازت دیں اور غیر متوقع دستخط شدہ بائنریز کی بلاک لسٹنگ رکھیں۔
•غیر معمولی DLLs (جیسے DEVOBJ.dll) اور .NET پراسیسز جو نیٹ ورک سرگرمی یا چائلڈ پراسیسز شروع کریں، کی نگرانی کریں۔
نیٹ ورک اور ٹیلی میٹری
•مشکوک ڈومینز یا IPs کے لیے نیٹ ورک کی درخواستوں کی نگرانی کریں، خاص طور پر وہ جو صرف جنوبی ایشیائی IP رینجز کو پیلوڈ واپس کرتے ہیں۔
•متحرک پاتھ GET/POST درخواستوں اور غیر معمولی User-Agent سٹرنگز کا سراغ لگائیں جو دستاویز ویوور یا ClickOnce انسٹالز سے نکلتی ہوں۔
•StealerBot سے مماثل ایکسفلٹریشن پیٹرنز (فائل ٹرانسفرز، کریڈنشل-متعلقہ ٹریفک، اسکرین شاٹس) کی تلاش کریں۔
واقعہ جوابی کارروائی
•اگر سمجھا جائے کہ کوئی سسٹم متاثر ہوا ہے تو میموری اور ڈسک امیجز جمع کریں، خصوصاً .NET پراسیسز، لوڈڈ DLLs اور نیٹ ورک کنیکشنز کی فہرست۔
•متاثرہ اکاؤنٹس کے پاس ورڈ تبدیل کریں اور کریڈنشل ری یوز کی دستیابی کے لیے مکمل جانچ کریں۔
•لیٹرل حرکت یا مستقل رسائی کے نشانات تلاش کریں (شیڈیولڈ ٹاسکس، نئے سروسز، مشکوک آٹو رنز)۔
رپورٹ شدہ اشاریئے (مثالی)
نوٹ: ذیل میں صرف رپورٹ میں مذکور IOCs کی مثالیں دی گئی ہیں۔ مکمل اور آپریشنل IOC فہرست (ڈومینز، فائل ہیش، IPs) کے لیے اصل Trellix رپورٹ یا آپ کے تھریٹ انٹیلیجنس فراہم کنندہ سے رجوع کریں۔
•فشنگ بھیجنے والا ڈومین (مثال): mod.gov.bd.pk-mail[.]org
•ClickOnce پیلوڈ ہوسٹ (مثال): mofa-gov-bd.filenest[.]live
•ClickOnce ایگزیکیوٹیبل: ReaderConfiguration.exe (MagTek جائز بائنری بطور کیریئر)
•مخرب DLL: DEVOBJ.dll
•لوڈر: ModuleInstaller (.NET)
•حتمی امپلانٹ: StealerBot (.NET — کی اسٹروکس، اسکرین شاٹس، کریڈنشل چوری، ریورس شیل)
یہ کیوں اہم ہے
SideWinder کا ClickOnce پر مبنی چین اختیار کرنا یہ ظاہر کرتا ہے کہ حملہ آور سافٹ ویئر ڈسٹری بیوشن اور سپلائی چین میکینزمز کو نشانہ بنا کر اپنی ٹیکنیک میں نفاست لا رہا ہے، نہ کہ صرف دستاویزاتی ایکسپلائٹس پر منحصر ہے۔ جائز دستخط شدہ بائنریز اور ریجن-لاکڈ انفراسٹرکچر استعمال کرنے سے آپریشنل چھپاؤ بڑھتا ہے اور عام سگنیچر بیسڈ ڈیٹیکشن کم کارگر ہوتی ہے۔ جنوبی ایشیا میں موجود تنظیموں، خاص طور پر سفارتی مشنز اور حکومتی اداروں کے لیے یہ مہم اس بات کا ثبوت ہے کہ ای میل تربیت، ایپ کنٹرول اور مضبوط ٹیلی میٹری کی ضرورت لازمی ہے۔
سورس
https://thehackernews.com/2025/10/sidewinder-adopts-new-clickonce-based.html?m=1
