DroxiDat மால்வேர்

அடையாளம் தெரியாத மோசடி தொடர்பான நடிகர் ஒருவர் தென்னாப்பிரிக்காவில் அமைந்துள்ள மின் உற்பத்தி நிறுவனம் மீது சைபர் தாக்குதலுடன் தொடர்புடையவர். இந்த தாக்குதல் DroxDat என கண்காணிக்கப்படும் ஒரு புதிய மால்வேர் அச்சுறுத்தலைப் பயன்படுத்தியது. தீம்பொருள் முன்னர் கண்டுபிடிக்கப்பட்ட சிஸ்டம்பிசியின் புதிய மறு செய்கை என உறுதிப்படுத்தப்பட்டுள்ளது மற்றும் எதிர்பார்க்கப்படும் ransomware தாக்குதலுக்கான பூர்வாங்க நடவடிக்கையாக இது பயன்படுத்தப்படலாம்.

DroxiDat, ப்ராக்ஸி திறன்களைக் கொண்ட பின்கதவின் வரிசைப்படுத்தல், முக்கிய உள்கட்டமைப்பிற்குள் கோபால்ட் ஸ்ட்ரைக் பீக்கான்களைப் பயன்படுத்துவதன் மூலம் ஒரே நேரத்தில் நிகழ்ந்தது. இந்த சம்பவம் மார்ச் 2023 இன் பிற்பகுதியில் நடந்ததாக ஆராய்ச்சியாளர்கள் தீர்மானித்துள்ளனர். இந்த நேரத்தில், தாக்குதல் நடவடிக்கை ஆரம்ப கட்டத்தில் இருந்ததாக நம்பப்படுகிறது, இது கணினி விவரக்குறிப்பு மற்றும் கட்டளையுடன் தொடர்பு கொள்ள வசதியாக SOCKS5 நெறிமுறையைப் பயன்படுத்தி ப்ராக்ஸி நெட்வொர்க்கை நிறுவுதல் ஆகியவற்றில் கவனம் செலுத்துகிறது. -மற்றும்-கட்டுப்பாடு (C2) உள்கட்டமைப்பு.

DroxDat உருவாக்கியவர்கள் SystemBC மால்வேரை ஒரு அடிப்படையாகப் பயன்படுத்தினர்

SystemBC என்பது C/C++ இல் குறியிடப்பட்ட ஒரு சரக்கு தீம்பொருள் மற்றும் தொலைநிலை நிர்வாகக் கருவியாகும். இந்த அச்சுறுத்தல் 2019 இல் மீண்டும் தோன்றியது. அதன் முதன்மை செயல்பாடு சமரசம் செய்யப்பட்ட இயந்திரங்களில் SOCKS5 ப்ராக்ஸிகளை நிறுவுவதை உள்ளடக்கியது. இந்த ப்ராக்ஸிகள் மற்ற வகையான தீம்பொருளுடன் இணைக்கப்பட்ட போலி போக்குவரத்திற்கான வழித்தடங்களாக செயல்படுகின்றன. இந்தக் குறிப்பிட்ட தீம்பொருளின் சமீபத்திய மறு செய்கைகள், கூடுதல் அச்சுறுத்தல் பேலோடுகளை மீட்டெடுப்பதற்கும் செயல்படுத்துவதற்கும் உதவும் திறன்களை விரிவாக்கியுள்ளன.

ransomware தாக்குதல்களுக்கான ஒரு வழியாக SystemBCயின் வரலாற்று வரிசைப்படுத்தல் நன்கு ஆவணப்படுத்தப்பட்டுள்ளது. டிசம்பர் 2020 இல், Ryuk மற்றும் Egregor Ransomware நோய்த்தொற்றுகளைச் செயல்படுத்துவதற்கு, ransomware ஆபரேட்டர்கள், சிஸ்டம்பிசியை எளிதாகக் கிடைக்கக்கூடிய டோர் அடிப்படையிலான பின்கதவாக நாடிய நிகழ்வுகளை ஆராய்ச்சியாளர்கள் வெளியிட்டனர்.

சிஸ்டம்பிசியின் முறையீடு அத்தகைய செயல்பாடுகளுக்குள் அதன் செயல்திறனில் உள்ளது, இது தானியங்கு நடைமுறைகள் மூலம் பல இலக்குகளுடன் ஒரே நேரத்தில் ஈடுபட அனுமதிக்கிறது. தாக்குபவர்கள் தகுந்த நற்சான்றிதழ்களைப் பெற முடிந்தால், சொந்த விண்டோஸ் கருவிகள் வழியாக ransomware ஐப் பயன்படுத்துவதற்கு இது உதவுகிறது.

Ransomware தாக்குதல்களின் முன்னோடியாக DroxiDat பயன்படுத்தப்படலாம்

ransomware வரிசைப்படுத்தலுக்கான DroxiDat இன் இணைப்புகள் DroxiDat சம்பந்தப்பட்ட ஒரு உடல்நலம் தொடர்பான நிகழ்விலிருந்து உருவாகின்றன. கோபால்ட் ஸ்ட்ரைக் உடன் இணைந்து நோகோயாவா ரான்சம்வேர் விநியோகிக்கப்பட்டதாக நம்பப்படும் இதே காலக்கட்டத்தில் இந்த நிகழ்வு வெளிப்பட்டது.

இந்த தாக்குதலில் பயன்படுத்தப்படும் தீம்பொருள் அசல் SystemBCக்கு மாறாக ஒரு நெறிப்படுத்தப்பட்ட மற்றும் திறமையான தன்மையைக் கொண்டுள்ளது. அதன் டெவலப்பர்கள் அதன் செயல்பாட்டைக் குறைத்து, சிஸ்டம்பிசியில் காணப்படும் பெரும்பாலான அம்சங்களை நீக்கி, அடிப்படை சிஸ்டம் ப்ரொஃபைலராக அதன் செயல்பாட்டை நிபுணத்துவப்படுத்துகின்றனர். அதன் பங்கு தகவலை பிரித்தெடுத்து தொலை சேவையகத்திற்கு அனுப்புகிறது.

இதன் விளைவாக, கூடுதல் மால்வேர் பேலோடுகளை பதிவிறக்கம் செய்து செயல்படுத்தும் திறன் DroxDat இல் இல்லை. இருப்பினும், இது தொலைநிலை கேட்பவர்களுடன் இணைப்புகளை ஏற்படுத்தலாம், இருதரப்பு தரவு பரிமாற்றத்தை எளிதாக்குகிறது மற்றும் பாதிக்கப்பட்ட சாதனத்தின் கணினி பதிவேட்டை கையாளும் திறன் கொண்டது.

தாக்குதல்களுக்கு காரணமான அச்சுறுத்தல் நடிகர்களின் அடையாளம் தெரியவில்லை. ஆயினும்கூட, தற்போதுள்ள அறிகுறிகள் ரஷ்ய ஹேக்கர் குழுக்களின் சாத்தியமான ஈடுபாட்டை வலுவாக பரிந்துரைக்கின்றன, குறிப்பாக FIN12 (பிஸ்தா டெம்பஸ்ட் என்றும் அழைக்கப்படுகிறது). இந்த குழு ransomware ஐ வழங்குவதற்கான அவர்களின் உத்தியின் ஒரு பகுதியாக கோபால்ட் ஸ்ட்ரைக் பீக்கான்களுடன் சிஸ்டம்பிசியை பயன்படுத்துவதற்கு அறியப்படுகிறது.