DownEx Malware
infosec ஆராய்ச்சியாளர்களின் கூற்றுப்படி, மத்திய ஆசியாவில் உள்ள அரசாங்க நிறுவனங்கள் இலக்கு மற்றும் சிக்கலான உளவு பிரச்சாரத்தின் மையமாக மாறியுள்ளன. இந்தச் செயல்பாடு DownEx எனப்படும் புதிய வகை மால்வேரைப் பயன்படுத்துகிறது, இது முன்னர் நிபுணர்களுக்குத் தெரியாது. தாக்குதல்கள் இதுவரை ஒரு குறிப்பிட்ட APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) அல்லது சைபர் கிரைமினல் குழுவிற்குக் காரணம் இல்லை, ஆனால் ஆதாரங்கள் ரஷ்யாவை தளமாகக் கொண்ட நடிகர்களின் ஈடுபாட்டை சுட்டிக்காட்டுகின்றன.
DownEx மால்வேர் சம்பந்தப்பட்ட முதல் சம்பவம் கஜகஸ்தானில் நிகழ்ந்தது, அங்கு 2022 இன் பிற்பகுதியில் வெளிநாட்டு அரசாங்க நிறுவனங்களுக்கு எதிராக அதிக இலக்கு வைக்கப்பட்ட தாக்குதல் நடத்தப்பட்டது. பின்னர் ஆப்கானிஸ்தானில் மற்றொரு தாக்குதல் காணப்பட்டது. பாதிக்கப்பட்டவர்களைக் கவர்ந்திழுக்க இராஜதந்திர கருப்பொருளைக் கொண்ட ஆவணத்தைப் பயன்படுத்துதல் மற்றும் தாக்குபவர்களின் முக்கியத் தரவைச் சேகரிப்பதில் கவனம் செலுத்துவது ஆகியவை அரசு வழங்கும் குழுவின் ஈடுபாட்டை வலுவாகப் பரிந்துரைக்கின்றன. இருப்பினும், ஹேக்கிங் ஆடையின் அடையாளம் இன்னும் உறுதிப்படுத்தப்படவில்லை. செயல்பாடு இன்னும் நடந்து கொண்டிருக்கிறது, மேலும் தாக்குதல்கள் ஏற்படலாம், அச்சுறுத்தல் மற்றும் அதனுடன் தொடர்புடைய தாக்குதல் நடவடிக்கை பற்றிய அறிக்கையை வெளியிட்ட பிட் டிஃபெண்டரின் ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர்.
DownEx Malware அட்டாக் செயின் லூர் மெசேஜ்களுடன் தொடங்குகிறது
உளவுப் பிரச்சாரத்திற்கான ஊடுருவலின் ஆரம்ப வழிமுறையானது, அச்சுறுத்தும் பேலோடைக் கொண்ட ஈட்டி-ஃபிஷிங் மின்னஞ்சலை உள்ளடக்கியதாக சந்தேகிக்கப்படுகிறது. கூறப்பட்ட பேலோட் என்பது மைக்ரோசாஃப்ட் வேர்ட் ஆவணமாக மாறுவேடமிட்டு இயங்கக்கூடிய ஏற்றியாகும். இணைப்பு திறக்கப்பட்டதும், இரண்டு கோப்புகள் பிரித்தெடுக்கப்படுகின்றன, அவற்றில் ஒன்று போலி ஆவணம், இது பாதிக்கப்பட்டவருக்கு ஏமாற்றமாக காட்டப்படும். அதே நேரத்தில், VBScript குறியீட்டைக் கொண்ட தீங்கிழைக்கும் HTML பயன்பாடு (.HTA) கோப்பு பின்னணியில் இயங்குகிறது.
HTA கோப்பு, அடுத்த கட்ட பேலோடைப் பெற ரிமோட் கமாண்ட்-அண்ட்-கண்ட்ரோல் (C2, C&C) சர்வருடன் தொடர்பை ஏற்படுத்த வடிவமைக்கப்பட்டுள்ளது. இந்த தீம்பொருள் கருவியின் சரியான தன்மை இன்னும் வெளியிடப்படவில்லை, ஆனால் இது மீறப்பட்ட கணினியில் நிலைத்தன்மையை நிலைநிறுத்துவதற்கான ஒரு கதவு என்று நம்பப்படுகிறது. வெளிநாட்டு அரசாங்க நிறுவனங்களில் இருந்து தரவுகளை வெளியேற்றுவதை மையமாகக் கொண்டு, மிகவும் ஒழுங்கமைக்கப்பட்ட மற்றும் அதிநவீன அச்சுறுத்தல் நடிகரால் பிரச்சாரம் மேற்கொள்ளப்படுகிறது என்று இது அறிவுறுத்துகிறது.
DownEx மால்வேருடன் கூடுதலாக அச்சுறுத்தும் கருவிகள் பயன்படுத்தப்படுகின்றன
DownEx மால்வேரின் இரண்டு வெவ்வேறு பதிப்புகள் காணப்பட்டன. முதல் மாறுபாடு ஒரு ஜிப் காப்பகத்தின் வடிவத்தில் தொலைநிலை சேவையகத்திற்கு கோப்புகளை சேகரித்து அனுப்ப இடைநிலை VBScript ஐப் பயன்படுத்துகிறது. இரண்டாவது மாறுபாடு slmgr.vibe எனப்படும் VBE ஸ்கிரிப்ட் வழியாக பதிவிறக்கம் செய்யப்படுகிறது மற்றும் C++ க்குப் பதிலாக VBScript ஐப் பயன்படுத்துகிறது. வெவ்வேறு நிரலாக்க மொழிகள் இருந்தபோதிலும், இரண்டாவது பதிப்பு முதல் அதே தீங்கிழைக்கும் திறன்களை வைத்திருக்கிறது.
இரண்டாவது டவுன்எக்ஸ் மால்வேர் மாறுபாடு கோப்பு இல்லாத தாக்குதல் நுட்பத்தைப் பயன்படுத்துகிறது. இதன் பொருள் DownEx ஸ்கிரிப்ட் நினைவகத்தில் மட்டுமே செயல்படுத்தப்படுகிறது மற்றும் பாதிக்கப்பட்ட சாதனத்தின் வட்டை ஒருபோதும் தொடாது. இந்த நுட்பம் நவீன சைபர் தாக்குதல்களின் வளர்ந்து வரும் நுட்பத்தை எடுத்துக்காட்டுகிறது மற்றும் சைபர் குற்றவாளிகள் தங்கள் தாக்குதல்களை மிகவும் பயனுள்ளதாகவும் கண்டறிய கடினமாகவும் மாற்ற புதிய முறைகளை உருவாக்குகிறார்கள் என்பதைக் காட்டுகிறது.
