मड्डीवॉटर ने नौ देशों के खिलाफ डीएलएल साइड-लोडिंग का इस्तेमाल किया

जासूसी समूह MuddyWater को मध्य पूर्व, एशिया और यूरोप के नौ देशों में सरकारों, सैन्य बलों और दूरसंचार प्रणालियों से समझौता करने वाले एक अभियान में पाया गया है। उपयोग की जाने वाली तकनीक DLL साइड-लोडिंग है, जहां विंडोज की वैध फाइलें जानकारी चुराने और लगातार पहुंच बनाए रखने के लिए दुर्भावनापूर्ण लाइब्रेरी लोड करती हैं। अनधिकृत प्रक्रिया शुरू होने की निगरानी करने की सिफारिश की जाती है।

Windows legitimate executable binary with a malicious DLL file being injected via side-loading technique, process hollowing shown in memory map, network connections spreading to nine country flags across Middle East Asia Europe, government building silhouettes, military satellite dishes, telecom tower icons compromised, red alert monitoring dashboard detecting unauthorized process starts, photorealistic technical cybersecurity illustration, dark blue and red color palette, glowing threat lines connecting components, ultra-detailed system architecture, cinematic dramatic lighting, engineering visualization style

हमले में DLL साइड-लोडिंग कैसे काम करता है 🕵️

MuddyWater विंडोज के हस्ताक्षरित बाइनरी का शोषण करता है जो DLL को असुरक्षित रूप से लोड करते हैं। वे निष्पादन निर्देशिका में अपेक्षित नाम के साथ एक दुर्भावनापूर्ण DLL रखते हैं, और वैध प्रक्रिया इसे बिना किसी संदेह के लोड करती है। एक बार अंदर जाने के बाद, वे डेटा निकालने के लिए ScreenConnect या कस्टम बैकडोर जैसे टूल तैनात करते हैं। निर्धारित कार्यों या रजिस्ट्री में संशोधन के माध्यम से दृढ़ता प्राप्त की जाती है। प्रभावित क्षेत्रों में रक्षा और दूरसंचार शामिल हैं।

विंडोज: अनजाने में सही साथी 🤦

पता चला है कि माइक्रोसॉफ्ट का अपना टूल ही दरवाजा खोलता है। हमलावरों को जटिल शोषण की आवश्यकता नहीं है: बस एक हस्ताक्षरित निष्पादन योग्य और एक नाम बदली गई DLL। यह ऐसा है जैसे भवन का चौकीदार आपको अंदर जाने देता है क्योंकि उसने सही वर्दी पहनी है, भले ही आईडी कार्ड नकली हो। इस बीच, आईटी टीमें कुछ ऐसा खोजने के लिए लॉग की समीक्षा कर रही हैं जो सामान्य विंडोज प्रक्रिया नहीं है। सिस्टम की विडंबना।