2023 में साइबर हमला

अगस्त 2023 में व्यवसायों को प्रभावित करने वाले साइबर सुरक्षा के खतरे

हम हजारों के लिए सुरक्षा को सरल और परेशानी से मुक्त बनाते हैं
दुनिया भर में वेबसाइटों और व्यवसायों की.

हाल के साइबर हमले – 2023

निवेदिता जेम्स

निवेदिता एस्ट्रा के साथ एक तकनीकी लेखक है, जिसे ज्ञान के लिए एक गहरा प्यार है और प्रकृति में उत्सुक सभी चीजें हैं. दिल से एक शौकीन चावला पाठक उसने एसईओ, रोबोटिक्स और वर्तमान में साइबर सुरक्षा के बारे में अपने कॉलिंग को लिखा पाया.

यह साइट स्पैम को कम करने के लिए Akismet का उपयोग करती है. जानें कि आपकी टिप्पणी डेटा कैसे संसाधित होता है.

शून्य टिप्पणियां
इनलाइन फीडबैक
सभी टिप्पणियां देखें

अगस्त 2023 में व्यवसायों को प्रभावित करने वाले साइबर सुरक्षा के खतरे

साइबर सुरक्षा और डिजिटल फोरेंसिक

साइबर सुरक्षा के खतरे तेजी से बढ़ रहे हैं. नतीजतन, कंपनी के नेताओं को अपनी समग्र साइबर सुरक्षा रणनीति में संभावित कमियों के बारे में अधिक जागरूक होने की आवश्यकता है. मार्कुम टेक्नोलॉजी की एसओसी सेवाओं के हिस्से के रूप में पेश किए जाने वाले खतरे के शिकार क्वेरी, एक संगठन के वातावरण में संभावित खतरों की पहचान करने के लिए महत्वपूर्ण हैं.

नीचे शीर्ष चार खतरे हैं जो पिछले एक महीने में उभरे हैं.

ब्लैकबाइट 2.0

रैंसमवेयर हमले दुनिया भर में संगठनों के लिए एक बढ़ती समस्या है, दोनों गुंजाइश और गंभीरता में. Microsoft की घटना प्रतिक्रिया टीम ने हाल ही में ब्लैकबाइट 2 की जांच की.0 रैंसमवेयर हमले, इन साइबर स्ट्राइक की खतरनाक गति और विनाशकारी प्रकृति का खुलासा करना. निष्कर्षों से संकेत मिलता है कि हैकर्स पूरी हमले की प्रक्रिया को निष्पादित कर सकते हैं, प्रारंभिक पहुंच प्राप्त करने से लेकर केवल पांच दिनों में महत्वपूर्ण क्षति का कारण बन सकते हैं. वे तेजी से सिस्टम में घुसपैठ करते हैं, महत्वपूर्ण डेटा को एन्क्रिप्ट करते हैं, और इसकी रिहाई के लिए फिरौती की मांग करते हैं. यह संघनित समयरेखा इन दुर्भावनापूर्ण कार्यों के खिलाफ बचाव करने के लिए प्रयास करने वाले संगठनों के लिए एक महत्वपूर्ण चुनौती है.

ब्लैकबाइट रैंसमवेयर हमले के अंतिम चरण में कार्यरत है, डेटा एन्क्रिप्ट करने के लिए 8-अंकीय संख्या कुंजी का उपयोग करते हुए. हमलावर उपकरणों और तकनीकों के एक शक्तिशाली संयोजन का उपयोग करते हैं, जो कि अपनी दुर्भावनापूर्ण गतिविधियों के लिए ग्राउंडवर्क प्राप्त करने और रखने के लिए अप्रकाशित Microsoft एक्सचेंज सर्वर का लाभ उठाते हैं. प्रक्रिया खोखला, एंटीवायरस चोरी की रणनीतियों, रिमोट एक्सेस के लिए वेब शेल, और कमांड-एंड-कंट्रोल संचालन के लिए कोबाल्ट स्ट्राइक बीकन अपनी क्षमताओं को और बढ़ाते हैं, जिससे संगठनों के लिए उनके खिलाफ बचाव करना कठिन हो जाता है. इसके अतिरिक्त, साइबर क्रिमिनल अपनी गतिविधियों को छलावरण करने और पता लगाने से बचने के लिए “लिविंग-ऑफ-द-लैंड” उपकरणों को नियुक्त करते हैं. वे सिस्टम पुनर्स्थापना बिंदुओं के माध्यम से डेटा रिकवरी को रोकने के लिए संक्रमित मशीनों पर वॉल्यूम छाया प्रतियों को संशोधित करते हैं और प्रारंभिक समझौता के बाद भी लगातार पहुंच के लिए कस्टम बैकडोर को तैनात करते हैं.

चूंकि रैंसमवेयर हमले अधिक लगातार और परिष्कृत हो जाते हैं, इसलिए खतरे के अभिनेता व्यवसाय संचालन को जल्दी से बाधित कर सकते हैं यदि संगठन पर्याप्त रूप से तैयार नहीं हैं. इन हमलों की गंभीरता दुनिया भर में संगठनों से तत्काल कार्रवाई की आवश्यकता है, और इन निष्कर्षों के जवाब में, Microsoft व्यावहारिक सिफारिशें प्रदान करता है. यह महत्वपूर्ण सुरक्षा अपडेट को जल्दी लागू करने के लिए मजबूत पैच प्रबंधन प्रक्रियाओं के कार्यान्वयन को प्रोत्साहित करता है. छेड़छाड़ संरक्षण को सक्षम करना भी महत्वपूर्ण है क्योंकि यह उन्हें अक्षम करने या बायपास करने के दुर्भावनापूर्ण प्रयासों के खिलाफ सुरक्षा समाधानों को मजबूत करता है. सर्वोत्तम प्रथाओं का पालन करके, जैसे कि अप-टू-डेट सिस्टम को बनाए रखना और प्रशासनिक विशेषाधिकारों को प्रतिबंधित करना, संगठन ब्लैकबाइट रैंसमवेयर हमलों और इसी तरह के अन्य खतरों के जोखिम को काफी कम कर सकते हैं.

C2 के लिए DLL साइड-लोडिंग का लाभ उठाते हुए नाइट्रोजन अभियान

हाल ही के एक अभियान में, “नाइट्रोजन” डब किया गया, डीएलएल साइड-लोडिंग को सी 2 संचार के लिए लीवरेज किया जा रहा था. फ़िशिंग के सामान्य वेक्टर के बजाय, हमला एक समझौता वर्डप्रेस वेबसाइट से ड्राइव-बाय डाउनलोड के साथ शुरू हुआ. फ़ाइल, एक आईएसओ छवि, में एक इंस्टॉल फ़ाइल होती है जिसे अंतिम-उपयोगकर्ता द्वारा मैन्युअल रूप से निष्पादित किया जाना चाहिए. इंस्टॉलर तब एमएसआई को लोड करने के लिए आगे बढ़ता है.DLL फ़ाइल और साथ में डेटा फ़ाइल को डिक्रिप्ट करता है. एक एम्बेडेड पायथन वितरण और DLL को उपयोगकर्ता के C: \ Users \ Public \ Music \ Python Path में साइडलोड किए जाने के लिए गिरा दिया जाता है.

मैलवेयर तब एक अनुसूचित कार्य बनाता है: “ONEDRIVE SECURATIVE TASK-S-1-5-21-5678566754-9123742832-2638705499-2003“, जो पायथनव चलाता है.प्रोग्राम फ़ाइल. यह मैलवेयर दृढ़ता को अनुदान देता है. टास्क शेड्यूल सिस्टम स्टार्टअप पर ट्रिगर करने के लिए, और आधी रात को 1 दिसंबर 2029 को समाप्त करता है.

दृढ़ता स्थापित होने के साथ, मैलवेयर अपने कर्तव्यों का पालन कर सकता है. यह C2 सर्वर के साथ लगातार संबंध बनाए रखने के लिए DLL Sideloading को नियोजित करते देखा गया है, और संपीड़ित/एन्कोडेड डेटा को पुनः प्राप्त करने के लिए और फिर इसे स्थानीय रूप से निष्पादित करने के लिए इतनी दूर चला जाता है.

कोबाल्ट स्ट्राइक को एक बिंदु पर एक चुने हुए पेलोड के रूप में देखा गया था, और ऐसा प्रतीत होता है कि दूसरों को भी लागू किया जा सकता है. इस मैलवेयर में निश्चित रूप से बहुत नुकसान पहुंचाने की क्षमता है, लेकिन इस अभियान में सांत्वना यह है कि उपयोगकर्ता को एक समझौता वेबसाइट से ड्राइव-बाय डाउनलोड के माध्यम से डाउनलोड की गई फ़ाइल को मैन्युअल रूप से निष्पादित करना होगा. हालांकि, यह हमेशा फ़िशिंग के माध्यम से दिया जा सकता है जो इसकी आसानी और प्रभावशीलता के कारण सबसे आम वैक्टर में से एक है.

अद्यतन लाजर मैलवेयर वितरण

शोधकर्ताओं ने पता लगाया है कि एक राष्ट्रीय स्तर पर वित्त पोषित समूह, लाजर, विंडोज इंटरनेट सूचना सेवा (IIS) वेब सर्वर पर हमला कर रहा है और मैलवेयर फैलाने के लिए उनका उपयोग कर रहा है. समूह को प्रारंभिक पहुंच प्राप्त करने के लिए पानी की छेद तकनीकों का उपयोग करने के लिए जाना जाता है. जब एक स्कैन एक कमजोर संस्करण के साथ एक सर्वर का पता लगाता है, तो वे एक वेबशेल को स्थापित करने, फ़ाइलों को डाउनलोड करने या कमांड निष्पादित करने के लिए संस्करण के लिए उपयुक्त भेद्यता का उपयोग करते हैं. हाल ही में पहचाने गए हमले से पता चला है कि लाजर थ्रेट ग्रुप के मैलवेयर स्ट्रेन W3WP द्वारा उत्पन्न किए गए थे.exe, एक IIS वेब सर्वर प्रक्रिया. W3WP द्वारा उत्पन्न मैलवेयर.exe प्रक्रिया usopriv है.exe, एक juicypotato मैलवेयर थीमिडा के साथ पैक किया गया.

आलू मैलवेयर उपभेद विशेषाधिकार वृद्धि के लिए जिम्मेदार हैं. कई प्रकार के लीवरेज किए जाते हैं, जिनमें Juicypotato, Rottonpotato और SweetPotato शामिल हैं, विशेषाधिकार वृद्धि विधि के आधार पर. आलू के उपभेदों ने कुछ विशेषाधिकारों के साथ प्रक्रियाओं का दुरुपयोग करके विशेषाधिकार को बढ़ाया है. बाद में, खतरा अभिनेता ऊंचा विशेषाधिकार का उपयोग करके दुर्भावनापूर्ण कार्रवाई कर सकता है. WHOAMI कमांड का उपयोग यह जांचने के लिए किया गया था कि क्या विशेषाधिकार प्राप्ति प्राप्त की गई थी. एक लॉग भी पाया गया कि एक लोडर मैलवेयर जो वास्तविक दुर्भावनापूर्ण व्यवहार के लिए जिम्मेदार है, निष्पादित किया गया था. लोडर DLL प्रारूप में है, इसलिए इसे निष्पादित करने के लिए Rundll32 का उपयोग किया गया था. लोडर उपयोग किए जाने वाले डेटा के फ़ाइल नाम को डिक्रिप्ट करता है और एक स्ट्रिंग प्राप्त करता है. यह स्ट्रिंग उस डेटा फ़ाइल का नाम है जिसे कुल तीन रास्तों में खोजा जाता है. लोडर मैलवेयर तब एन्क्रिप्टेड डेटा फ़ाइलों को डिक्रिप्ट करता है और उन्हें मेमोरी क्षेत्र में निष्पादित करता है.

लाजर समूह को प्रारंभिक पहुंच के लिए विभिन्न अन्य हमले वैक्टर का उपयोग करते हुए भी देखा गया है जैसे कि संयुक्त प्रमाणपत्र भेद्यता और 3CX आपूर्ति श्रृंखला हमले. यह वर्तमान में काम करने वाले सबसे खतरनाक खतरे वाले समूहों में से एक है और विश्व स्तर पर अत्यधिक सक्रिय है. वे लगातार बिना सिस्टम तक पहुंच प्राप्त करने के लिए भेद्यता हमलों का उपयोग करते हैं. यदि किसी सिस्टम में एक कमजोर उत्पाद का नवीनतम संस्करण स्थापित नहीं है, तो नवीनतम अपडेट को तुरंत लागू किया जाना चाहिए.

माइक्रोसॉफ्ट भेद्यता

अपडेट के नवीनतम दौर में, Microsoft ने दो शून्य-दिन की कमजोरियों को संबोधित किया है, अर्थात् CVE-2023-36884 और CVE-2023-38180. इन कमजोरियों का खतरा अभिनेताओं द्वारा सक्रिय रूप से शोषण किया गया है और Microsoft से तेज कार्रवाई को प्रेरित किया है. इस महीने के अपडेट में 87 अन्य कमजोरियों के लिए सुधार शामिल हैं, जो संभावित साइबर खतरों के खिलाफ सतर्क रहने के महत्व को रेखांकित करते हैं.

CVE-2023-36884, एक दूरस्थ कोड निष्पादन भेद्यता, का उपयोग रूसी धमकी अभिनेता तूफान -0978/ROMCOM द्वारा किया गया था. इस दोष ने हमलावरों को चतुराई से Microsoft Office दस्तावेज़ों को वेब (MOTW) जैसे सुरक्षा तंत्रों से बचने के लिए चतुराई से हेरफेर करने की अनुमति दी, जिससे उन्हें दूरस्थ रूप से कोड निष्पादित करने में सक्षम बनाया जा सके।. Microsoft ने इस जोखिम को कम करने के लिए गहराई से अपडेट में एक कार्यालय की रक्षा के साथ जवाब दिया है. स्टॉर्म -0978/रोमकॉम, जो पहले औद्योगिक जासूसी रैनसमवेयर को तैनात करने में शामिल था, ने हाल ही में ’भूमिगत’ के रूप में फिर से तैयार किया है और रैंसमवेयर जबरन वसूली को शामिल करने के लिए अपनी गतिविधियों का विस्तार किया है.

एक और चिंताजनक भेद्यता, CVE-2023-38180, ने भी इस अपडेट में ध्यान दिया. हालांकि Microsoft ने अपने शोषण या खोजकर्ता की पहचान के बारे में विशिष्ट विवरणों का खुलासा नहीं किया है, इस भेद्यता का सक्रिय रूप से दुर्व्यवहार किया गया है और संभवतः सेवा (DDOS) के हमलों से इनकार कर सकता है। .शुद्ध अनुप्रयोग और दृश्य स्टूडियो. विशेष रूप से, इस दोष को हमलावर को लक्ष्य प्रणाली पर उपयोगकर्ता विशेषाधिकार रखने की आवश्यकता नहीं है, जिससे यह अधिक गंभीर चिंता का विषय है.

सुरक्षा विशेषज्ञ संगठनों को सलाह देते हैं कि अनुशंसित सुरक्षा उपायों को लागू करके और प्रदान किए गए पैच को लागू करके तेजी से कार्रवाई करें. ये अपडेट कभी-कभी मौजूद साइबर खतरों की याद दिलाता है, जिसमें सिस्टम और संभावित उल्लंघनों से डेटा की सुरक्षा के लिए लगातार प्रयासों की आवश्यकता होती है.

यदि आप साइबर सुरक्षा खतरों, उल्लंघनों और बुरे अभिनेताओं से संबंधित चुनौतियों का सामना कर रहे हैं, या अपने संगठन के लिए संभावित खतरों की पहचान करने के बारे में अधिक जानने में रुचि रखते हैं,.

2023 में साइबर हमला

अगस्त 2023 में व्यवसायों को प्रभावित करने वाले साइबर सुरक्षा के खतरे

हाल के साइबर हमले – 2023

संबंधित आलेख

अरे! नमस्ते. हम एस्ट्रा हैं.

पेंटेस्ट

वेबसाइट संरक्षण

कंपनी

संसाधन

अगस्त 2023 में व्यवसायों को प्रभावित करने वाले साइबर सुरक्षा के खतरे

ब्लैकबाइट 2.0

C2 के लिए DLL साइड-लोडिंग का लाभ उठाते हुए नाइट्रोजन अभियान

अद्यतन लाजर मैलवेयर वितरण

माइक्रोसॉफ्ट भेद्यता