அக்ரியஸ் APT

ஒரு புதிய APT (அட்வான்ஸ்டு பெர்சிஸ்டண்ட் த்ரெட்) ஹேக்கர் குழுவின் செயல்பாடுகள் சமீபத்திய அறிக்கையில் வெளிச்சத்திற்கு கொண்டு வரப்பட்டுள்ளன. இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் அச்சுறுத்தல் நடிகர்களுக்கு அக்ரியஸ் என்ற பெயரைக் கொடுத்தனர். கண்டுபிடிப்புகளின்படி, இந்த APT குழு மத்திய கிழக்கில் செயல்படுகிறது மற்றும் முக்கியமாக இஸ்ரேலிய இலக்குகளைத் தாக்குகிறது.

அக்ரூயிஸ் அதன் உண்மையான நோக்கங்களை மறைக்க முயன்றார், தாக்குதல்களை நிதி ரீதியாக தூண்டப்பட்ட ransomware மீறல்களாகத் தோன்றும். எவ்வாறாயினும், பாதிக்கப்பட்டவர்களுக்கு அனுப்பப்பட்ட உண்மையான பேலோடுகளை அதன் அடியில் மறைத்து வைத்திருந்தனர் - சமரசம் செய்யப்பட்ட நிறுவனங்களுக்கு பாரிய இடையூறுகளை ஏற்படுத்தும் வகையில் வடிவமைக்கப்பட்ட பல வைப்பர் மால்வேர் அச்சுறுத்தல்கள். 'அப்போஸ்டல்' என்ற பெயரிடப்பட்ட நாவல் வைப்பர் விகாரங்களில் ஒன்று பின்னர் முழு அளவிலான ransomware ஆக உருவாக்கப்பட்டது. இருப்பினும், மீண்டும், ஆராய்ச்சியாளர்கள் நம்புகிறார்கள், அச்சுறுத்தல் இன்னும் அதன் அழிவு திறன்களுக்காக பயன்படுத்தப்பட்டது மற்றும் நிதி ஆதாயங்களுக்காக அல்ல.

Agrius APT இன் தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள் (TTPs) காட்சியில் ஏற்கனவே நிறுவப்பட்ட ATP குழுக்களில் இருந்து அவற்றை வேறுபடுத்தும் அளவுக்கு வேறுபட்டவை. உறுதியான இணைப்புகள் எதுவும் இல்லை என்றாலும், சென்டினல் லேப்ஸ் மூலம் கண்டுபிடிக்கப்பட்ட சூழ்நிலை ஆதாரங்கள் அக்ரியஸ் ஈரானுடன் இணைந்திருப்பதைச் சுட்டிக்காட்டுகின்றன.

மால்வேர் கருவிகள் Agrius APT ஆல் பயன்படுத்தப்படுகின்றன

இலக்கு வைக்கப்பட்ட நிறுவனங்களில் பயன்படுத்தப்படும் எந்தவொரு பொது-முக பயன்பாடுகளிலும் ஈடுபடும் போது, பெயர் தெரியாத நிலையில் இருக்க, Agriuls ProtonVPN போன்ற VPN சேவைகளை நம்பியுள்ளது. பாதிக்கப்பட்டவரின் நெட்வொர்க்கிற்குள் நுழைந்ததும், அச்சுறுத்தல் நடிகர்கள் ASPXSpy இன் வெப் ஷெல் மாறுபாடுகளை பயன்படுத்துகின்றனர். இந்தக் கட்டத்தில், அக்ரியஸ் இன்னும் கணக்குச் சான்றுகளை அறுவடை செய்வதற்கும் பாதிக்கப்பட்டவரின் நெட்வொர்க்கிற்குள் பக்கவாட்டாக நகர்வதற்கும் பொதுவில் கிடைக்கும் கருவிகளை நம்பியிருக்கிறார்.

ஹேக்கர்கள் இலக்கை தகுதியானவர் என்று கருதினால், அவர்கள் தாக்குதலை அதிகரித்து, தங்கள் சொந்த தீம்பொருள் கருவிகளைப் பயன்படுத்துவார்கள். முதலில், .NETல் எழுதப்பட்ட 'IPsec ஹெல்ப்பர்' என்ற பின்கதவு தொடங்கப்படும். பின்கதவு தன்னை ஒரு சேவையாக பதிவு செய்வதன் மூலம் விடாமுயற்சியைப் பெற முயற்சிக்கும். இந்த அச்சுறுத்தும் கருவியானது தரவுகளை வெளியேற்றுவதற்கும் முக்கியமாக அடுத்த கட்ட பேலோடுகளை வழங்குவதற்கும் பயன்படுத்தப்படுகிறது.

துடைப்பான் அச்சுறுத்தல்களைப் பயன்படுத்துவதே செயல்பாட்டின் உண்மையான குறிக்கோள். முதலாவது மேற்கூறிய 'அப்போஸ்டல்' துடைப்பான். அச்சுறுத்தல் 'IPsec ஹெல்ப்பரை' அடிப்படையாகக் கொண்டது, இரண்டு பங்கு செயல்பாடுகள், பணிகளைச் செயல்படுத்த ஒரே மாதிரியான முறைகளைப் பயன்படுத்துகின்றன மற்றும் .NET இல் எழுதப்படுகின்றன. அப்போஸ்டல் பின்னர் அனைத்து வைப்பர் செயல்பாடுகளையும் அகற்றி அவற்றை ransomware திறன்களுடன் மாற்றியமைக்கப்பட்டது, பெரும்பாலும் மீறப்பட்ட கணினிகளில் இதேபோன்ற அளவிலான இடையூறுகளை ஏற்படுத்தும், அதே நேரத்தில் அக்ரியஸின் நோக்கங்களை சிறப்பாக மறைக்கிறது. ஐக்கிய அரபு எமிரேட்ஸில் உள்ள ஒரு நாட்டிற்கு சொந்தமான வசதிக்கு எதிரான தாக்குதலில் அப்போஸ்தலின் ransomware பதிப்பு பயன்படுத்தப்பட்டது. APT ஆல் பயன்படுத்தப்படும் மற்ற வைப்பர் DEADWOOD என்று பெயரிடப்பட்டது. இந்த தீம்பொருள் அச்சுறுத்தல் முன்பு மத்திய கிழக்கில் நடந்த தாக்குதல்களைத் துடைப்பதன் ஒரு பகுதியாக கண்டறியப்பட்டது.