नई दिल्ली। साइबर सुरक्षा विशेषज्ञों ने एक अत्यधिक उन्नत और खतरनाक स्पीयर-फिशिंग कैंपेन का खुलासा किया है, जो सरकारी कर्मचारियों को निशाना बनाकर चलाया जा रहा है। इस हमले में फर्जी आधिकारिक ईमेल, डॉक्यूमेंट आधारित मालवेयर और भरोसेमंद क्लाउड सेवाओं का दुरुपयोग करते हुए सुरक्षा सिस्टम को चकमा देने की कोशिश की गई है।
रिपोर्ट के अनुसार यह अभियान पाकिस्तान के पंजाब सेफ सिटीज अथॉरिटी (PSCA) और PPIC3 यूनिट से जुड़े कर्मचारियों को टारगेट कर रहा है। हमलावर खुद को एक आंतरिक सलाहकार (internal consultant) बताकर और “Safe Jail Project” नामक सरकारी योजना का हवाला देकर ईमेल की विश्वसनीयता बढ़ाने की कोशिश कर रहे हैं।
सुरक्षा विश्लेषण में सामने आया है कि इस हमले में एक ही ईमेल के जरिए दो अलग-अलग फाइलें भेजी जा रही हैं। पहली फाइल एक माइक्रोसॉफ्ट वर्ड डॉक्यूमेंट है जिसका नाम “CAD Reprot.doc” रखा गया है, जिसमें जानबूझकर स्पेलिंग की गलती की गई है ताकि यह असली जैसा लगे और सामान्य सुरक्षा फिल्टर से बच सके। दूसरी फाइल “ANPR Reprot.pdf” नाम से एक पीडीएफ है, जो नकली Adobe Reader एरर दिखाकर यूजर को अतिरिक्त फाइल डाउनलोड करने के लिए प्रेरित करती है।
दोनों फाइलें BunnyCDN नामक वैध कंटेंट डिलीवरी नेटवर्क पर होस्ट किए गए इंफ्रास्ट्रक्चर से पेलोड डाउनलोड करती हैं। विशेषज्ञों का कहना है कि हमलावर भरोसेमंद क्लाउड सेवाओं का दुरुपयोग कर रहे हैं, जिससे ट्रैफिक सामान्य जैसा दिखता है और सुरक्षा टूल्स को संदिग्ध गतिविधि पकड़ने में कठिनाई होती है।
सैंडबॉक्स एनालिसिस में पाया गया कि यह वर्ड डॉक्यूमेंट अत्यधिक दुर्भावनापूर्ण व्यवहार करता है और इसका जोखिम स्कोर लगभग अधिकतम स्तर के करीब है। यह पूरा ऑपरेशन मल्टी-स्टेज अटैक के रूप में डिजाइन किया गया है, जिसका उद्देश्य सिस्टम में लंबे समय तक छिपकर एक्सेस बनाए रखना है।
सबसे चिंताजनक बात यह है कि इस हमले में माइक्रोसॉफ्ट के VS Code टनल सर्विस का भी दुरुपयोग किया गया है। जैसे ही पेलोड सिस्टम में चलता है, कमांड और कंट्रोल कम्युनिकेशन को इसी भरोसेमंद इंफ्रास्ट्रक्चर के जरिए रूट किया जाता है, जिससे यह सामान्य डेवलपर ट्रैफिक जैसा दिखता है और पहचानना मुश्किल हो जाता है।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
इसके अलावा हमलावरों ने डिस्कॉर्ड वेबहुक्स का उपयोग एक गुप्त नोटिफिकेशन सिस्टम के रूप में किया है, जिससे उन्हें तुरंत पता चल जाता है कि कौन सा सिस्टम सफलतापूर्वक संक्रमित हुआ है। यह तरीका पारंपरिक नेटवर्क मॉनिटरिंग को आसानी से बायपास कर सकता है।
विशेषज्ञों के अनुसार यह मालवेयर किसी ज्ञात फैमिली से मेल नहीं खाता, जिससे संकेत मिलता है कि यह एक कस्टम-निर्मित टूलकिट है जिसे खास टारगेटेड ऑपरेशंस के लिए विकसित किया गया है। अलग-अलग सुरक्षा लैब्स में इसकी जांच के दौरान लगातार खतरनाक संकेत पाए गए हैं।
तकनीकी रूप से इस हमले का सबसे उन्नत हिस्सा VBA स्टॉम्पिंग तकनीक है, जिसमें वर्ड डॉक्यूमेंट के दिखने वाले मैक्रो कोड को हटा दिया जाता है और केवल छिपा हुआ कंपाइल्ड कोड रह जाता है। इससे सुरक्षा टूल्स को असली गतिविधि का पता नहीं चलता।
जैसे ही यूजर “Enable Content” पर क्लिक करता है, एक छिपा हुआ फंक्शन सक्रिय होकर सिस्टम में COM आधारित HTTP रिक्वेस्ट के जरिए एक एक्सीक्यूटेबल फाइल डाउनलोड करता है और उसे टेम्परेरी फोल्डर में स्टोर कर देता है।
पीडीएफ फाइल भी एक समानांतर रास्ता अपनाती है, जिसमें नकली अपडेट स्क्रीन दिखाकर .NET ClickOnce एप्लिकेशन डाउनलोड कराया जाता है। दोनों रास्ते अंततः एक ही कमांड इंफ्रास्ट्रक्चर से जुड़ते हैं, जिससे हमलावरों को बैकअप एक्सेस मिल जाता है।
साइबर सुरक्षा विशेषज्ञों का कहना है कि यह कैंपेन लेयर्ड रेडंडेंसी, स्टील्थ और पर्सिस्टेंस पर आधारित है, जिससे यह एंटरप्राइज सुरक्षा को आसानी से चुनौती दे सकता है। भरोसेमंद सेवाओं का दुरुपयोग इसे और भी खतरनाक बनाता है।
संस्थानों को सलाह दी गई है कि वे अनऑथराइज्ड CDN डोमेन को ब्लॉक करें, VS Code टनलिंग की असामान्य गतिविधि पर नजर रखें और डिस्कॉर्ड वेबहुक ट्रैफिक की निगरानी करें। साथ ही ईमेल फिल्टरिंग, मैक्रो कंट्रोल और सैंडबॉक्स एनालिसिस को मजबूत करने की जरूरत पर भी जोर दिया गया है।
विशेषज्ञों का निष्कर्ष है कि ऐसे हमले अब पारंपरिक सुरक्षा मॉडल को चुनौती दे रहे हैं, क्योंकि हमलावर अब वैध प्लेटफॉर्म और सोशल इंजीनियरिंग दोनों का एक साथ इस्तेमाल कर रहे हैं, जिससे खतरा और अधिक जटिल हो गया है।
