Mandiant ने एक ब्लॉग पोस्ट जारी की है जिसमें उत्तरी कोरिया से जुड़े एक संदिग्ध समूह द्वारा किए गए साइबर जासूसी अभियान का विवरण दिया गया है, जिसे UNC2970 के रूप में ट्रैक किया जाता है। यह समूह प्रमुख कंपनियों के लिए एक भर्तीकर्ता के रूप में खुद को छिपाते हुए, नौकरी के अवसरों की आड़ में पीड़ितों को निशाना बनाता है।
मुझे जो बात विशेष रूप से दिलचस्प लगी, वह थी UNC2970 द्वारा ओपन-सोर्स पीडीएफ रीडर SumatraPDF के एक ट्रोजन वाले संस्करण का उपयोग। वे SumatraPDF में किसी भेद्यता का फायदा नहीं उठा रहे हैं, बल्कि अपने मैलवेयर को वितरित करने के लिए कोड को संशोधित कर रहे हैं।
यह तकनीक सॉफ्टवेयर आपूर्ति श्रृंखला द्वारा उत्पन्न बढ़ते खतरे को उजागर करती है। ओपन-सोर्स सॉफ्टवेयर का उपयोग करते समय भी, सावधानी बरतना और सॉफ्टवेयर स्रोत की अखंडता सुनिश्चित करना महत्वपूर्ण है।
मैं संक्रमण श्रृंखला के Mandiant के विस्तृत विश्लेषण से भी प्रभावित था, जिसमें पीड़ित को एक एन्क्रिप्टेड पीडीएफ फाइल के साथ लुभाने से लेकर MISTPEN बैकडोर को तैनात करना शामिल है।
यह विश्लेषण सुरक्षा शोधकर्ताओं और रक्षकों को UNC2970 की रणनीति, तकनीकों और प्रक्रियाओं (TTP) को बेहतर ढंग से समझने और इस समूह के खिलाफ अपने बचाव में सुधार करने के लिए बहुमूल्य अंतर्दृष्टि प्रदान करता है।
मैं पहचान के संकेतक (IOC) और पता लगाने और प्रतिक्रिया के लिए YARA नियमों सहित, पूर्ण विश्लेषण के लिए Mandiant के ब्लॉग पोस्ट को पढ़ने की अत्यधिक अनुशंसा करता हूं।
