उत्तर कोरिया से जुड़ा हैकिंग समूह, स्लो पिसीज़, क्रिप्टोकरेंसी डेवलपर्स को कोडिंग चुनौतियों के रूप में प्रच्छन्न मैलवेयर के ज़रिए निशाना बना रहा है। पालो ऑल्टो नेटवर्क्स यूनिट 42 के शोधकर्ताओं ने इस नए दुर्भावनापूर्ण अभियान के लिए इस ख़तरे वाले व्यक्ति को ज़िम्मेदार ठहराया है, जिसे जेड स्लीट, पुकचोंग, ट्रेडरट्रेटर और यूएनसी4899 भी कहा जाता है। सुरक्षा शोधकर्ता प्रशील पट्टनी ने कहा, “स्लो पिसीज़ ने लिंक्डइन पर क्रिप्टोकरेंसी डेवलपर्स के साथ संपर्क किया, संभावित नियोक्ता बनकर कोडिंग चुनौतियों के रूप में प्रच्छन्न मैलवेयर भेजा।
इन चुनौतियों के लिए डेवलपर्स को एक समझौता किया हुआ प्रोजेक्ट चलाना होता है, जो उनके सिस्टम को मैलवेयर से संक्रमित करता है जिसे हमने आरएन लोडर और आरएन स्टीलर नाम दिया है।
यह अभियान एक बहु-चरणीय हमले श्रृंखला का अनुसरण करता है। सबसे पहले, स्लो पिसीज़ लक्ष्यों को नौकरी विवरण के साथ एक सौम्य पीडीएफ दस्तावेज़ भेजता है। यदि इच्छुक हैं, तो डेवलपर्स को एक कौशल प्रश्नावली with GitHub से एक ट्रोजनकृत पायथन प्रोजेक्ट डाउनलोड करने के निर्देश।
हालाँकि यह प्रोजेक्ट क्रिप्टोकरेंसी की कीमतें देखने में सक्षम प्रतीत होता है, लेकिन वास्तव में इसे एक दूरस्थ सर्वर से संपर्क करके एक अतिरिक्त पेलोड प्राप्त करने के लिए डिज़ाइन किया गया है। स्लो पिसीज़ एक लक्षित दृष्टिकोण अपनाता है, जो दुर्भावनापूर्ण पेलोड को केवल विशिष्ट मानदंडों जैसे कि आईपी एड्रेस, जियोलोकेशन और HTTP रिक्वेस्ट हेडर के आधार पर सत्यापित लक्ष्यों को भेजता है। इस पद्धति ने अभियान को समय के साथ बिना किसी महत्वपूर्ण बदलाव के जारी रहने दिया है।
लिंक्डइन पर लक्षित क्रिप्टोकरेंसी डेवलपर्स
पालो ऑल्टो नेटवर्क्स यूनिट 42 में थ्रेट इंटेलिजेंस के वरिष्ठ निदेशक, एंडी पियाज़ा ने कहा, “बायबिट हैक से पहले, ओपन सोर्स में अभियान के बारे में बहुत कम विस्तृत जागरूकता और रिपोर्टिंग थी। अभियान ने GitHub जैसी साइटों पर अपने OPSEC को लगातार अपडेट किया है, इस्तेमाल किए गए लालच और पेलोड को कैसे निष्पादित किया जा सकता है, इसमें बदलाव किया है।”
मैलवेयर, RN लोडर, कमांड-एंड-कंट्रोल सर्वर को पीड़ित की मशीन और ऑपरेटिंग सिस्टम के बारे में बुनियादी जानकारी भेजता है।
बदले में, उसे एक Base64-एन्कोडेड ब्लॉब प्राप्त होता है जिसमें RN स्टीलर होता है, जो एक सूचना चुराने वाला उपकरण है जो Apple macOS सिस्टम से संवेदनशील डेटा चुराने में सक्षम है। इसमें सिस्टम मेटाडेटा, इंस्टॉल किए गए एप्लिकेशन, iCloud कीचेन, संग्रहीत SSH कुंजियाँ और क्लाउड सेवाओं के लिए कॉन्फ़िगरेशन फ़ाइलें शामिल हैं। पट्टनी ने बताया, “व्यापक फ़िशिंग अभियानों के बजाय, लिंक्डइन के माध्यम से संपर्क किए गए व्यक्तियों पर ध्यान केंद्रित करने से समूह को अभियान के बाद के चरणों को कड़ाई से नियंत्रित करने और केवल संभावित पीड़ितों को ही पेलोड वितरित करने की अनुमति मिलती है।” यह दृष्टिकोण कमांड-एंड-कंट्रोल सर्वर से मनमाने कोड के निष्पादन को छिपाने में मदद करता है।
डेवलपर-उन्मुख अभियानों की पुनरावृत्ति, विशेष रूप से मूल्यवान क्रिप्टोकरेंसी तक पहुँच रखने वालों को लक्षित करते हुए, उनकी प्रभावशीलता को रेखांकित करती है। स्लो पिसीज़ अपनी परिचालन सुरक्षा के लिए विशिष्ट है, जो केवल आवश्यक होने पर ही बाद के चरण के टूल का उपयोग करता है और यह सुनिश्चित करता है कि पेलोड पूरी तरह से सुरक्षित हों और केवल मेमोरी में ही मौजूद रहें। पालो ऑल्टो नेटवर्क्स यूनिट 42 डेवलपर्स, विशेष रूप से क्रिप्टोकरेंसी जैसे उच्च-मूल्य वाले क्षेत्रों में काम करने वालों के बीच जागरूकता और सतर्कता के महत्व पर ज़ोर देता है।
साइबर सुरक्षा समुदाय इन परिष्कृत अभियानों की निगरानी और विश्लेषण जारी रखता है ताकि इनसे जुड़े जोखिमों को कम किया जा सके।
स्रोत: DevX.com / Digpu NewsTex