मुख्य सामग्री पर जाएँ
लेख
1 जून 202614 मिनट में पढ़ें
Threat IntelligenceInvestigationsDark WebIranOptiv

अमेरिकी Infrastructure को निशाना बनाते ईरानी Threat Actors की पहचान

Intrace Team का प्रोफ़ाइल आइकनIntrace Team

जब Intrace ने Water Black के डार्क वेब डेटा में एक Optiv consultant के desktop hostname का पता लगाया, तो जांच में ईरान से जुड़ा infrastructure, parked-domain beaconing, और एक high-value सुरक्षा पेशेवर पर लक्षित बहु-चरणीय compromise सामने आया।

नीली और लाल indicator lights वाले डेटा सेंटर के सर्वर रैक

जुलाई में, Intrace का उपयोग करते हुए, Optiv के एक कर्मचारी को पता चला कि उसका निजी workstation "Water Black" नाम से पहचाने जाने वाले एक malware समूह से जुड़े डार्क वेब डेटा में दिख रहा है। उसके desktop का hostname उन underground डेटा स्रोतों में देखा गया था जिन पर Intrace नज़र रखता है — यह इशारा करते हुए कि मशीन न सिर्फ़ compromised थी, बल्कि उसे एक high-value target के रूप में टैग भी किया गया था। यह वर्गीकरण उसकी भूमिका से मेल खाता था: उसने पहले एक बड़े ransomware मामले में incident response का नेतृत्व किया था, जिसने उसे प्रतिशोध या रक्षात्मक तकनीकों की जानकारी में रुचि रखने वाले threat actors के लिए एक आकर्षक निशाना बना दिया।

डार्क वेब पर खोज और Hostname का Exposure

जांच का शुरुआती सिग्नल सरल लेकिन गंभीर था: Intrace की डार्क वेब मॉनिटरिंग ने Water Black से जुड़े डेटा में consultant के desktop का hostname पकड़ा।

Hostname किसी नेटवर्क पर मशीन का मानव-पठनीय लेबल होता है (उदाहरण के लिए, JOHN-DESKTOP या CORP-LAPTOP-01)। Threat actor की सामग्री में किसी hostname का दिखना आमतौर पर यह दर्शाता है कि हमलावरों को उस device या उसके environment तक कम से कम कुछ स्तर की पहुँच मिल चुकी है। सिर्फ़ generic IP addresses या गुमनाम victim संदर्भों के बजाय किसी विशिष्ट desktop hostname का दिखना इस बात का मज़बूत संकेतक है कि वह device खुद किसी campaign का हिस्सा था — न कि किसी बेतरतीब internet scanner की टक्कर।

Infrastructure से जुड़ाव

शुरुआती triage के दौरान, Intrace ने Water Black के संदर्भ को internet-facing infrastructure से correlate किया। टीम ने internet पर waterblack hostname वाला एक अकेला host पहचाना, जो एक ईरानी-नियंत्रित provider के स्वामित्व वाले Wyoming के datacenter में होस्ट था। इस बिंदु पर:

  • Hosting कंपनी RouterHosting, LLC थी, जिसने बाद में खुद को Cloudsy के रूप में rebrand किया।
  • इसी provider का नाम खुली रिपोर्टिंग में सरकार से जुड़े कई hacking समूहों को समर्थन देने के लिए लिया गया था, जिससे यह संभावना बढ़ गई कि यह कोई बेतरतीब commodity malware infrastructure नहीं, बल्कि ज़्यादा संगठित operations का हिस्सा है।

यह इसलिए मायने रखता है क्योंकि infrastructure attribution intrusion analysis का एक मूल हिस्सा है। जब किसी provider या datacenter का state-समर्थित समूहों से पूर्व संबंध रहा हो, और आपको वहाँ नए संदिग्ध domains या servers दिखें, तो यह भरोसा बढ़ता है कि आपका सामना विशुद्ध अवसरवादी अपराधियों से नहीं, बल्कि किसी advanced, संभवतः सरकार से जुड़े threat actor से है।

DNS और Traffic का पैटर्न

Workstation पर ही Intrace ने outbound connections और DNS resolution के पैटर्न की जांच की। कई हफ़्तों के दौरान वह मशीन बार-बार हाल ही में रजिस्टर हुए, "parked" domains से जुड़ रही थी। उनमें से कई domains उसी hosting provider के infrastructure पर resolve होते थे जो ईरानी स्वामित्व से जुड़ा था।

Parked domain ऐसा domain name है जो रजिस्टर तो है, लेकिन किसी असली वेबसाइट के लिए सक्रिय रूप से इस्तेमाल नहीं हो रहा। उस पर आमतौर पर कोई generic holding page या विज्ञापन दिखते हैं। हमलावरों को parked या लगभग खाली domains इस्तेमाल करना इसलिए पसंद है क्योंकि:

  • वे सस्ते हैं और थोक में रजिस्टर करना आसान है।
  • सरसरी जांच में वे ज़्यादातर हानिरहित दिखते हैं।
  • Blocking से बचने के लिए उन्हें तेज़ी से नए servers की ओर मोड़ा जा सकता है।

बार-बार connection का यह पैटर्न beaconing व्यवहार का संकेत देता था: compromised host निर्देश या अपडेट के लिए नियमित रूप से हमलावर-नियंत्रित infrastructure से संपर्क कर रहा था। यह command-and-control (C2) malware का एक आम डिज़ाइन है, जिसमें संक्रमित मशीन समय-समय पर किसी remote server से check-in करके status भेजती है और commands प्राप्त करती है।

तत्काल रक्षात्मक कदम के रूप में consultant ने network स्तर पर parked domains तक पहुँच block कर दी। विश्लेषण की दृष्टि से यह दिलचस्प है, क्योंकि प्राथमिक C2 चैनल काटने पर malware अक्सर अपने fallback mechanisms, misconfigurations या error व्यवहार उजागर करने को मजबूर हो जाता है — और आगे ठीक यही हुआ।

"MicrosoftSecurityApp.exe" का Crash

Parked domains को block करने के कुछ ही दिनों के भीतर workstation पर MicrosoftSecurityApp.exe नाम की एक process crash हो गई।

यह binary नाम कई कारणों से संदिग्ध है:

  • यह किसी विश्वसनीय-से दिखने वाले Microsoft सुरक्षा component की नक़ल करता है, लेकिन किसी सुप्रसिद्ध, प्रलेखित product से मेल नहीं खाता।
  • Malware आमतौर पर वैध system processes में घुल-मिल जाने के लिए नक़ली या भ्रामक फ़ाइल-नामों का उपयोग करता है (उदाहरण के लिए, नाम में "Microsoft", "Security", "Update" या "Service" जोड़ना)।

Outbound connections block होने के ठीक बाद हुआ crash इस ओर इशारा करता है कि यह process या तो malware का मुख्य agent थी, जो अपने C2 domains तक पहुँचने की कोशिश में विफल हो रही थी, या कोई loader अथवा watchdog थी जो सफल outbound संचार पर निर्भर थी और वह संचार टूटते ही crash हो गई। विश्लेषणात्मक दृष्टि से यह दबाव में व्यवहार का क्लासिक उदाहरण है: C2 block होते ही advanced malware crash हो सकता है, restart हो सकता है, backup चैनलों पर स्विच कर सकता है, या local persistence के तरीक़े और आक्रामकता से आज़मा सकता है।

Local Persistence के सुराग

Crash हुई MicrosoftSecurityApp.exe से निपटने के बाद workstation ने Game Bar लॉन्च करने की कोशिश की — Windows का एक built-in component, जो आमतौर पर gaming overlays और screen capture के लिए इस्तेमाल होता है। Consultant ने संदिग्ध व्यवहार के कारण Game Bar को पहले ही disable कर दिया था, इसलिए इसे दोबारा सक्रिय करने की यह कोशिश उल्लेखनीय थी।

Windows Registry में Game Bar का उल्लेख ऐसी entries के तहत था जो AppX से शुरू होती थीं। अन्य AppX entries FTP और SSH की ओर इशारा करती थीं।

AppX आधुनिक Windows Store apps के लिए Microsoft का packaging format है। Malware कभी-कभी persistence के लिए app container तंत्रों, scheduled tasks या AppX manifests का दुरुपयोग कर सकता है। FTP (File Transfer Protocol) और SSH (Secure Shell) मानक प्रोटोकॉल हैं: FTP फ़ाइल ट्रांसफ़र के लिए इस्तेमाल होता है, अक्सर cleartext में, और SSH एन्क्रिप्टेड remote logins और tunneling के लिए।

ऐसे निजी workstation पर, जिसे server की तरह काम नहीं करना चाहिए, FTP और SSH की ओर इशारा करती AppX entries का दिखना अजीब है। यह इशारा करता है कि malware ने शायद ऐसी app-जैसी entities या scheduled tasks रजिस्टर की हों जो remote FTP/SSH endpoints से संपर्क करती हैं, या parked domain वाले HTTP/HTTPS C2 से अलग, data exfiltration या command प्राप्त करने के वैकल्पिक चैनल तैयार किए हों।

Game Bar को दोबारा enable या trigger करने की कोशिश screen recording या उपयोगकर्ता की जासूसी के लिए Game Bar की overlay और capture क्षमताओं के दुरुपयोग की ओर संकेत कर सकती है, या स्पष्ट रूप से malicious binaries का उपयोग घटाने की living-off-the-land रणनीति के तहत किसी वैध Windows component के इस्तेमाल की ओर।

Network Artifact: TCP 22 और "GhostContainer" से एक कड़ी

इसी अवधि में consultant ने 52.98.240.82 पते पर port 22 का एक TCP connection देखा।

TCP port 22 लगभग सार्वभौमिक रूप से SSH से जुड़ा है। संबंधित IP वैध infrastructure (उदाहरण के लिए, cloud या SaaS providers) से जुड़ा है, लेकिन ऑनलाइन चर्चाओं में उसे "GhostContainer" नाम की किसी चीज़ से जोड़ा गया था। GhostContainer एक backdoor है जो Microsoft Exchange servers को निशाना बनाता है और सुरक्षा शोधकर्ताओं द्वारा प्रलेखित है। यह हमलावरों को Exchange environments में स्थायी, remote पहुँच देता है — जिसमें commands चलाने और laterally move करने की क्षमता भी शामिल है।

हालाँकि consultant की मशीन कोई Exchange server नहीं थी, लेकिन GhostContainer की रिपोर्टिंग से जुड़े पते पर TCP 22 के ज़रिए SSH-जैसे व्यवहार का दिखना — और यह तथ्य कि वह host पहले से state-linked infrastructure से जुड़े संदिग्ध domains को beacon कर रहा था — यह इशारा करता है कि यह workstation शायद उन्हीं actors के व्यापक toolset का हिस्सा रहा हो जो अन्य जगहों पर GhostContainer तैनात करते हैं, या इसे किसी भरोसेमंद endpoint से Exchange-पक्ष के operations की निगरानी या प्रबंधन के लिए staging point अथवा observation node के रूप में इस्तेमाल किया जा रहा हो।

यह high-value target compromise के पैटर्न से मेल खाता है: सिर्फ़ फ़ाइलें चुराने के बजाय हमलावर संभवतः उस environment में एक भरोसेमंद मशीन चाहते थे, जिससे वे pivot कर सकें, incident response की कार्रवाइयों पर नज़र रख सकें, या corporate systems के harden होते जाने के बावजूद पहुँच बनाए रख सकें।

Rogue Root Certificate इंस्टॉल करने की कोशिश

Consultant को एक rogue Root Certificate Authority (CA) इंस्टॉल करने की कोशिश भी याद आई।

यह एक अहम विवरण है। Root CA certificate उन आधारों में से एक है जिनके सहारे operating systems और browsers तय करते हैं कि कोई एन्क्रिप्टेड connection (उदाहरण के लिए, HTTPS) भरोसेमंद है या नहीं। यदि कोई हमलावर किसी system पर अपना malicious root certificate इंस्टॉल करने में कामयाब हो जाए, तो वह:

  • अन्यथा सुरक्षित TLS traffic को intercept और decrypt कर सकता है (उदाहरण के लिए, webmail, dashboards, admin portals)।
  • किसी भी domain के लिए नक़ली certificates प्रस्तुत कर सकता है (उदाहरण के लिए, outlook.com, vpn.company.com) और compromised system को वे मान्य दिखेंगे।

व्यवहार में इससे हमलावर बिना certificate warnings ट्रिगर किए victim के connections पर man-in-the-middle (MITM) हमले कर सकते हैं, और संवेदनशील संचार पढ़ या बदल सकते हैं — जिनमें incident response की ईमेल chains, ticketing systems और अन्य गोपनीय आदान-प्रदान शामिल हैं। Root CA इंस्टॉल करने की कोशिश टिके रहने और निगरानी करने के इरादे का मज़बूत संकेतक है, न कि किसी जल्दबाज़ी वाली लूटपाट का।

इस व्यक्ति को निशाना क्यों बनाया गया

Victim को बेतरतीब नहीं चुना गया था। डार्क वेब के संदर्भों और context की Intrace की समीक्षा से पता चला कि उसे स्पष्ट रूप से high-value target के रूप में लेबल किया गया था। यह दर्जा संभवतः एक बड़े ransomware मामले में उसके पिछले incident response कार्य से आया था।

हमलावर की नज़र से, defenses और response प्रक्रियाओं की गहरी जानकारी रखने वाले किसी व्यक्ति को compromise करना यह इंटेलिजेंस देता है कि defenders कुछ ख़ास intrusions को कैसे पकड़ते और उनका जवाब कैसे देते हैं; उस व्यक्ति के खिलाफ़ संभावित दबाव या प्रतिशोध का ज़रिया, जिसने पहले उनके operations में बाधा डाली थी; और मूल्यवान contact networks और दस्तावेज़ों तक पहुँच — भले ही वे मुख्य रूप से corporate systems पर हों, क्योंकि निजी workstation अक्सर एक side channel की तरह इस्तेमाल होता है।

व्यक्तिगत targeting, ईरान से जुड़े infrastructure, parked domain beaconing, rogue root CA की कोशिशों और backdoor-शैली के व्यवहार का यह संयोजन किसी बेतरतीब drive-by malware के बजाय एक सुनियोजित, बहु-चरणीय intrusion से मेल खाता है।

Intrace ने जांच को कैसे संरचित किया

Intrace की दृष्टि से जांच ने एक स्पष्ट ढाँचे का पालन किया:

डार्क वेब से सिग्नल का intake

  • Water Black से जुड़े डेटा में hostname और high-value वर्गीकरण का पता लगाना।
  • पुष्टि करना कि संदर्भित host एक Optiv consultant का है।

Infrastructure का correlation

  • Wyoming के ईरानी-स्वामित्व वाले datacenter में waterblack host को खोजना।
  • उसी provider पर resolve होते संबंधित parked domains को मैप करना।
  • सरकार से जुड़े समूहों के साथ hosting कंपनी की संलिप्तता की पूर्व रिपोर्टिंग से cross-reference करना।

Host telemetry और व्यवहार

  • कई हफ़्तों के दौरान parked domains की ओर outbound connections की जांच करना।
  • MicrosoftSecurityApp.exe को संदिग्ध process के रूप में पहचानना और network blocking लागू होने के आस-पास उसके व्यवहार का विश्लेषण करना।
  • Registry entries की समीक्षा करना, जिनमें Game Bar, FTP और SSH की ओर इशारा करती AppX entries शामिल हैं।

Network artifacts और बाहरी tool से कड़ियाँ

  • 52.98.240.82 की ओर TCP 22 traffic और GhostContainer की चर्चाओं में उसके उल्लेख को दर्ज करना।
  • आकलन करना कि देखा गया व्यवहार किसी backdoor या lateral-movement पैटर्न में फिट बैठता है या नहीं।

Trust और cryptography की अखंडता

  • Rogue Root CA इंस्टॉल करने की कोशिश की जांच करना।
  • चल रहे एन्क्रिप्टेड traffic के interception के जोखिम का मूल्यांकन करना।

Containment और hardening की सिफ़ारिशें

  • Workstation को संवेदनशील environments से अलग करना।
  • संदिग्ध binaries और registry entries हटाना।
  • Credentials रीसेट करना और multi-factor authentication मज़बूत करना।
  • नए parked domains और संदिग्ध SSH traffic की निगरानी के साथ सख़्त DNS और egress नियंत्रण लागू करना।
  • मशीन पर trusted certificates का audit करना और किसी भी अनधिकृत CA को revoke करना।

परिणाम

डार्क वेब इंटेलिजेंस, infrastructure विश्लेषण, host forensics और network artifacts की सावधान व्याख्या को मिलाकर Intrace compromise के रास्ते का पुनर्निर्माण कर सका और स्पष्ट कर सका कि एक Optiv consultant ईरान से जुड़ी threat गतिविधि का लक्षित शिकार कैसे बना। इस मामले ने रेखांकित किया कि:

  • सुरक्षा पेशेवरों द्वारा इस्तेमाल होने वाले निजी devices रणनीतिक निशाने बन सकते हैं।
  • Parked domains और अनजान hosting providers ख़ामोश C2 infrastructure का काम कर सकते हैं।
  • Rogue root certificates इंस्टॉल करने और Game Bar जैसे built-in Windows components का शोषण करने की कोशिशें शोर नहीं, बल्कि दीर्घकालिक, गुप्त पहुँच के लक्ष्यों से मेल खाती हैं।

Optiv ने इन findings का उपयोग घटना को नियंत्रित करने, consultant के environment को harden करने, और अन्य endpoints व clients में ऐसे ही पैटर्न खोजने के लिए detection logic को समायोजित करने में किया।