रैपिड7 के सुरक्षा शोधकर्ताओं ने एक व्यापक विश्लेषण प्रकाशित किया है जो छह महीने के नोटपैड++ सप्लाई चेन समझौते को लोटस ब्लॉसम से जोड़ता है, जो चीनी सरकार से जुड़ा एक उन्नत लगातार खतरा समूह है, साथ ही लक्षित पीड़ितों के खिलाफ तैनात क्रिसालिस नामक एक परिष्कृत नए बैकडोर की विस्तृत तकनीकी विशिष्टताओं का खुलासा किया है।
सोमवार को मध्यम विश्वास के साथ घोषित यह एट्रिब्यूशन नोटपैड++ मेंटेनर डॉन हो द्वारा यह खुलासा करने के कुछ दिनों बाद आया कि हमलावरों ने जून और दिसंबर 2025 के बीच एप्लिकेशन की होस्टिंग इंफ्रास्ट्रक्चर से समझौता किया था। खतरे के अभिनेताओं ने चुनिंदा रूप से कुछ उपयोगकर्ताओं से अपडेट ट्रैफिक को हमलावर-नियंत्रित सर्वरों पर रीडायरेक्ट किया जो दुर्भावनापूर्ण पेलोड वितरित करते थे, यह सब वास्तविक सोर्स कोड को छुए या किसी डिजिटल हस्ताक्षर को तोड़े बिना।
रैपिड7 की प्रबंधित पहचान और प्रतिक्रिया टीम ने मैलवेयर को तीन घटकों वाले ट्रोजनाइज्ड एनएसआईएस इंस्टॉलर के रूप में पहचाना: ब्लूटूथसर्विस.exe नामक एक पुनर्नामित वैध बिटडिफेंडर सबमिशन विजार्ड एक्जीक्यूटेबल, एक एन्क्रिप्टेड शेलकोड फाइल, और एक दुर्भावनापूर्ण डीएलएल जो वैध एक्जीक्यूटेबल चलने पर साइडलोड हो जाती है। यह तकनीक मैलवेयर को साधारण फाइलनाम-आधारित पहचान उपकरणों से बचने की अनुमति देती है।
क्रिसालिस बैकडोर स्वयं लोटस ब्लॉसम की तकनीकों में एक महत्वपूर्ण विकास का प्रतिनिधित्व करता है। शोधकर्ताओं ने पाया कि यह लोडर और मुख्य मॉड्यूल दोनों में कस्टम एपीआई हैशिंग, ऑब्फस्केशन की कई परतें और कमांड-एंड-कंट्रोल संचार के लिए एक संरचित दृष्टिकोण का उपयोग करता है। बैकडोर इंटरैक्टिव शेल बना सकता है, प्रक्रियाएं बना सकता है, फाइल ऑपरेशन कर सकता है, फाइलें अपलोड और डाउनलोड कर सकता है, और समझौता किए गए सिस्टम से खुद को हटा सकता है।
विशेष रूप से चिंताजनक एक लोडर वेरिएंट की खोज है जो माइक्रोसॉफ्ट वारबर्ड का लाभ उठाता है, जो आमतौर पर माइक्रोसॉफ्ट द्वारा उपयोग किया जाने वाला एक जटिल कोड सुरक्षा ढांचा है। यह लोडर यूजर-मोड हुक और मानक ईडीआर मॉनिटरिंग को बायपास करने के लिए एक अनडॉक्यूमेंटेड क्लास के साथ एनटीक्वेरीसिस्टमइन्फॉर्मेशन सिस्टम कॉल का दुरुपयोग करता है, जो अधिक लचीली स्टील्थ तकनीकों की ओर एक स्पष्ट बदलाव को चिह्नित करता है।
रैपिड7 ने अपने एट्रिब्यूशन को सिमेंटेक के पूर्व शोध के साथ मजबूत ओवरलैप पर आधारित किया, जिसमें डीएलएल साइडलोडिंग के लिए पुनर्नामित बिटडिफेंडर टूल्स का समान उपयोग और पुनर्प्राप्त पेलोड से निकाली गई मेल खाती कोबाल्ट स्ट्राइक सार्वजनिक कुंजी शामिल हैं।
टिप्पणियाँ