हैकर समूह कॉर्पोरेट नेटवर्क में सेंध लगाने के लिए सोलारिस जीरो-डे का उपयोग करता है

  • Sep 07, 2023

ऐसा प्रतीत होता है कि ज़ीरो-डे को किसी ब्लैक-मार्केट वेबसाइट से $3,000 में खरीदा गया था।

सोलारिस.jpg

सुरक्षा फर्म फायरआई की जांच इकाई मैंडिएंट ने आज एक नए खतरे वाले अभिनेता के बारे में विवरण प्रकाशित किया है जिसे वह बुलाती है यूएनसी1945 सुरक्षा फर्म का कहना है कि उसने कॉर्पोरेट नेटवर्क में घुसपैठ के हिस्से के रूप में ओरेकल सोलारिस ऑपरेटिंग सिस्टम में शून्य-दिन की भेद्यता का उपयोग किया।

ZDNET की सिफारिश की

सर्वोत्तम लिनक्स फाउंडेशन कक्षाएं

क्या आप एक अच्छी तकनीकी नौकरी चाहते हैं? फिर आपको लिनक्स और ओपन-सोर्स सॉफ्टवेयर को जानना होगा। सीखने का सबसे अच्छा तरीका लिनक्स फाउंडेशन कोर्स है।

अभी पढ़ें

मैंडिएंट टीम ने एक रिपोर्ट में कहा कि UNC1945 हमलों के नियमित लक्ष्यों में दूरसंचार, वित्तीय और परामर्श कंपनियां शामिल थीं। प्रतिवेदन आज प्रकाशित.

पुराना ग्रुप, नया जीरो-डे 

जबकि UNC1945 गतिविधि 2018 तक चली गई, मैंडिएंट ने कहा कि समूह ने इससे पहले ही उनकी नज़र पकड़ ली थी खतरे के एक साल बाद अभिनेता ने ओरेकल सोलारिस संचालन में पहले कभी न देखी गई भेद्यता का उपयोग किया प्रणाली।

के रूप में ट्रैक किया गया सीवीई-2020-14871

शून्य-दिन सोलारिस प्लगेबल ऑथेंटिकेशन मॉड्यूल (PAM) में एक भेद्यता थी जिसने UNC1945 को अनुमति दी थी प्रमाणीकरण प्रक्रियाओं को बायपास करने और इंटरनेट-एक्सपोज़्ड सोलारिस पर SLAPSTICK नामक एक पिछला दरवाजा स्थापित करने के लिए सर्वर.

मैंडिएंट ने कहा कि हैकर्स ने कॉर्पोरेट नेटवर्क के अंदर टोही अभियान शुरू करने और बाद में अन्य प्रणालियों में स्थानांतरित करने के लिए इस पिछले दरवाजे का उपयोग प्रवेश बिंदु के रूप में किया।

मैंडिएंट ने कहा कि पहचान से बचने के लिए समूह ने एक डाउनलोड और इंस्टॉल किया QEMU वर्चुअल मशीन टिनी कोर लिनक्स ओएस का एक संस्करण चला रहा है।

यह कस्टम-निर्मित लिनक्स वीएम कई हैकिंग टूल जैसे नेटवर्क स्कैनर, पासवर्ड डंपर, शोषण और टोही टूलकिट के साथ पहले से इंस्टॉल आया था। UNC1945 को कमजोरियों के लिए कंपनी के आंतरिक नेटवर्क को स्कैन करने और बाद में कई प्रणालियों में स्थानांतरित करने की अनुमति दी गई, भले ही वे विंडोज़ या *एनआईएक्स-आधारित चल रहे हों सिस्टम.

छवि: फायरआई

मैंडिएंट ने कहा कि उसने समूह को ओपन-सोर्स पैठ परीक्षण और सुरक्षा उपकरणों के वर्गीकरण के साथ-साथ कस्टम मैलवेयर स्ट्रेन का भी उपयोग करते हुए देखा।

ओपन-सोर्स टूलकिट में मिमिकात्ज़, पॉवरस्प्लोइट, रिस्पॉन्डर, प्रोकडम्प, जैसे टूलकिट शामिल थे। CrackMapExec, PoshC2, Medusa, और JBoss भेद्यता स्कैनर, सभी प्रसिद्ध हैं साइबर सुरक्षा उद्योग.

लेकिन UNC1945 ने कस्टम मैलवेयर बनाने और संचालित करने की क्षमता भी दिखाई, जिसमें मैंडिएंट ने UNC1945 घुसपैठ को (नए और पुराने) मैलवेयर स्ट्रेन से जोड़ा:

  • ईविल्सन - एक दूरस्थ शोषण उपकरण जो SSH कीबोर्ड-इंटरैक्टिव प्रमाणीकरण द्वारा उजागर भेद्यता (CVE-2020-14871) का उपयोग करके SPARC या i386 आर्किटेक्चर के सोलारिस 10 और 11 सिस्टम तक पहुंच प्राप्त करता है। दूरस्थ शोषण उपकरण कमांड लाइन पर पारित मेजबानों के लिए एसएसएच कनेक्शन बनाता है। डिफ़ॉल्ट पोर्ट सामान्य SSH पोर्ट (22) है, लेकिन इसे ओवरराइड किया जा सकता है। EVILSUN हैंडशेकिंग के भाग के रूप में स्पष्ट पाठ में कनेक्शन पर बैनर स्ट्रिंग SSH-2.0-Sun_SSH_1.1.3 पास करता है।
  • लेमनस्टिक - पिछले दरवाजे की क्षमताओं के साथ एक लिनक्स निष्पादन योग्य कमांड लाइन उपयोगिता। पिछला दरवाजा फाइलों को निष्पादित कर सकता है, फाइलों को स्थानांतरित कर सकता है और कनेक्शन सुरंग बना सकता है। LEMONSTICK को दो अलग-अलग तरीकों से शुरू किया जा सकता है: `-c` कमांड लाइन तर्क को पास करना (वैकल्पिक फ़ाइल के साथ) और 'OCB' पर्यावरण चर सेट करना। जब `-c` कमांड लाइन तर्क के साथ शुरू किया जाता है, तो LEMONSTICK एक इंटरैक्टिव शेल उत्पन्न करता है। OCB मोड में प्रारंभ होने पर, LEMONSTICK STDIN से पढ़ने की अपेक्षा करता है। एसटीडीआईएन डेटा को ब्लोफिश एल्गोरिदम के साथ एन्क्रिप्ट किए जाने की उम्मीद है। डिक्रिप्ट करने के बाद, यह नाम के आधार पर कमांड भेजता है - उदाहरण के लिए: 'टर्मिनल कमांड निष्पादित करता है', 'रिमोट सिस्टम से कनेक्ट करें', 'फ़ाइल भेजें और पुनः प्राप्त करें', 'सॉकेट कनेक्शन बनाएं'।
  • लॉगब्लीच - एक ईएलएफ उपयोगिता जिसमें कमांड लाइन के माध्यम से प्रदान किए गए फ़िल्टर के आधार पर एक निर्दिष्ट लॉग फ़ाइल से लॉग प्रविष्टियों को हटाने की प्राथमिक कार्यक्षमता होती है।
  • ओक्सोलो - एक सार्वजनिक रूप से उपलब्ध पिछला दरवाजा जो एक शेल को एक निर्दिष्ट पोर्ट से बांधता है। इसे पासवर्ड प्रमाणीकरण का समर्थन करने के लिए संकलित किया जा सकता है या रूट शेल में डाला जा सकता है।
  • ओपनशैकल - एक टोही उपकरण जो लॉग-ऑन उपयोगकर्ताओं के बारे में जानकारी एकत्र करता है और इसे एक फ़ाइल में सहेजता है। OPENSHACKLE दृढ़ता प्राप्त करने के लिए Windows इवेंट मैनेजर कॉलबैक पंजीकृत करता है।
  • प्रॉक्सीचेन्स - HTTP (HTTPS) और SOCKS (4/5) प्रॉक्सी सर्वर के पीछे से SSH, TELNET, VNC, FTP और किसी भी अन्य इंटरनेट एप्लिकेशन के उपयोग की अनुमति देता है। यह "प्रॉक्सिफ़ायर" किसी भी एप्लिकेशन को प्रॉक्सी सर्वर समर्थन प्रदान करता है।
  • पुपीरात (उर्फ पिल्ला) - एक खुला स्रोत, मल्टी-प्लेटफ़ॉर्म (विंडोज़, लिनक्स, ओएसएक्स, एंड्रॉइड), मल्टी-फंक्शन आरएटी (रिमोट एडमिनिस्ट्रेशन टूल) और पोस्ट-एक्सप्लॉइटेशन टूल जो मुख्य रूप से पायथन में लिखा गया है। इसमें ऑल-इन-मेमोरी निष्पादन दिशानिर्देश शामिल है और यह बहुत कम पदचिह्न छोड़ता है। यह विभिन्न ट्रांसपोर्ट का उपयोग करके संचार कर सकता है, प्रक्रियाओं (रिफ्लेक्टिव इंजेक्शन) में माइग्रेट कर सकता है, और मेमोरी से रिमोट पायथन कोड, पायथन पैकेज और पायथन सी-एक्सटेंशन को लोड कर सकता है।
  • स्टीलकोर्गी - लिनक्स ईएलएफ प्रोग्राम के लिए एक पैकर जो पेलोड को डिक्रिप्ट करने के लिए निष्पादन वातावरण से मुख्य सामग्री का उपयोग करता है। पहली बार शुरू करते समय, मैलवेयर अधिकतम चार पर्यावरण चर ढूंढने की अपेक्षा करता है जिनमें संख्यात्मक मान होते हैं। मैलवेयर निष्पादित किए जाने वाले अतिरिक्त डेटा को डिक्रिप्ट करने के लिए पर्यावरण चर मानों को एक कुंजी के रूप में उपयोग करता है।
  • तमाशा - एक सोलारिस पीएएम पिछला दरवाजा जो उपयोगकर्ता को एक गुप्त, हार्ड-कोडित पासवर्ड के साथ सिस्टम तक पहुंच प्रदान करता है।
  • टिनिशेल - मानक रिमोट शेल टूल्स (आरलॉगिन, टेलनेट, एसएसएच इत्यादि) का एक हल्का क्लाइंट/सर्वर क्लोन, जो पिछले दरवाजे के रूप में कार्य कर सकता है और रिमोट शेल निष्पादन के साथ-साथ फ़ाइल स्थानांतरण भी प्रदान कर सकता है।

ज़ीरो-डे ने काले बाज़ार से खरीदारी की?

मैंडियंट ने कहा कि उसका मानना ​​है कि UNC1945 ने एक सार्वजनिक हैकिंग फोरम से EVILSUN (वह उपकरण जो उन्हें सोलारिस जीरो-डे का फायदा उठाने और SLAPSTICK बैकडोर प्लांट करने की अनुमति देता है) खरीदा है।

कंपनी ने कहा कि उसने अप्रैल 2020 में एक ब्लैक-मार्केट वेबसाइट पर एक विज्ञापन की पहचान की, जिसने 3,000 डॉलर में "ओरेकल सोलारिस एसएसएचडी रिमोट रूट एक्सप्लॉइट" का प्रचार किया।

मैंडिएंट ने कहा कि जांच के दौरान शोषण के निशान मिलने के बाद उसने इस साल की शुरुआत में ओरेकल को सोलारिस जीरो-डे की सूचना दी थी।

जीरो-डे (CVE-2020-14871) को पिछले महीने Oracle में पैच किया गया था अक्टूबर 2020 सुरक्षा पैच.

मैंडिएंट ने कहा कि जबकि UNC1945 कई वर्षों से सक्रिय है, इसने एक पुष्ट उल्लंघन में सोलारिस जीरो-डे को देखा; हालाँकि, इसका मतलब यह नहीं है कि शून्य-दिवस का अन्य कॉर्पोरेट नेटवर्क के विरुद्ध उपयोग नहीं किया गया।

सुरक्षा फर्म ने कहा कि उसने "डेटा घुसपैठ के सबूत नहीं देखे और अधिकांश घुसपैठों के लिए UNC1945 के मिशन को निर्धारित करने में असमर्थ था [उन्होंने] जांच की।"

एक UNC1945 घुसपैठ में, रैंसमवेयर को अंतिम पेलोड के रूप में तैनात किया गया था, लेकिन मैंडिएंट इसे लिंक नहीं कर सका रैंसमवेयर ने सीधे UNC1945 पर हमला किया, और "संभावना है कि पीड़ित वातावरण तक पहुंच बेची गई थी दूसरा समूह।"

UNC1945 संचालन और घुसपैठ पैटर्न का वर्णन करने वाले समझौते के संकेतक और अन्य तकनीकी विवरण मैंडियंट रिपोर्ट में रक्षकों के लिए उपलब्ध हैं। यहाँ.

दुनिया का सबसे मशहूर और खतरनाक APT (राज्य-विकसित) मैलवेयर

सुरक्षा

अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें
  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें