ஏர்ஸ்டாக் தீம்பொருள்

சந்தேகிக்கப்படும் தேசிய-மாநிலக் குழுவுடன் (CL-STA-1009 என நியமிக்கப்பட்டது) தொடர்புடைய புதிதாகக் கண்டறியப்பட்ட தீம்பொருள் குடும்பம், விநியோகச் சங்கிலி ஊடுருவலுடன் ஒத்துப்போகும் வகையில் விநியோகிக்கப்படுகிறது. ஏர்ஸ்டாக் எனப் பெயரிடப்பட்ட இந்த உள்வைப்பு, கட்டளை மற்றும் கட்டுப்பாடு (C2) போக்குவரத்தை மறைக்கவும், உலாவி கலைப்பொருட்கள் மற்றும் பிற முக்கியத் தரவை சமரசம் செய்யப்பட்ட ஹோஸ்ட்களிலிருந்து வெளியேற்றவும் நிறுவன மொபைல் சாதன மேலாண்மை (MDM) உள்கட்டமைப்பைப் பயன்படுத்துகிறது.

அச்சுறுத்தல் எப்படி வெளிப்படையான பார்வையில் மறைந்திருக்கிறது

Airstalk அதன் ரகசிய C2 சேனலாக AirWatch API (இப்போது Workspace ONE Unified Endpoint Management) ஐ மீண்டும் பயன்படுத்துகிறது. முறையான சாதன நிர்வாகத்திற்கு API ஐப் பயன்படுத்துவதற்குப் பதிலாக, தீம்பொருள் அதன் ஆபரேட்டர்களுடன் செய்திகளைப் பரிமாறிக் கொள்ள தனிப்பயன் சாதன பண்புக்கூறுகள் மற்றும் கோப்பு-பதிவேற்ற (blob) அம்சங்களைப் பயன்படுத்துகிறது, இது MDM எண்ட்பாயிண்டை தாக்குபவர் தொடர்புகள் மற்றும் பெரிய தரவு பதிவேற்றங்களுக்கான டெட்-ட்ராப் ரிசால்வராக திறம்பட மாற்றுகிறது.

இரண்டு செயல்படுத்தல்கள்: பவர்ஷெல் vs. .NET

இரண்டு தனித்துவமான கட்டமைப்புகள் காணப்படுகின்றன: ஒரு பவர்ஷெல் பின்புற கதவு மற்றும் அதிக அம்சம் நிறைந்த .NET மாறுபாடு. இரண்டும் பல-திரிக்கப்பட்ட C2 நெறிமுறையை செயல்படுத்துகின்றன மற்றும் ஸ்கிரீன் ஷாட்களைப் பிடிப்பது மற்றும் குக்கீகளை அறுவடை செய்தல், உலாவல் வரலாறு மற்றும் புக்மார்க்குகள் போன்ற தரவு திருட்டு செயல்பாடுகளை ஆதரிக்கின்றன. சில கலைப்பொருட்கள் திருடப்பட்டிருக்கலாம் என்று ஆராய்ச்சியாளர்கள் கருதும் சான்றிதழுடன் கையொப்பமிடப்பட்டதாக சான்றுகள் தெரிவிக்கின்றன.

பவர்ஷெல் மாறுபாடு: C2 நடத்தை மற்றும் திறன்கள்

பவர்ஷெல் இம்ப்லாண்ட் /api/mdm/devices/ எண்ட்பாயிண்ட் வழியாக தொடர்பு கொள்கிறது. தொடங்கப்பட்டதும், இது ஒரு எளிய CONNECT/CONNECTED ஹேண்ட்ஷேக் மூலம் தொடர்பை ஏற்படுத்துகிறது, 'ACTIONS' செய்திகளாக தொகுக்கப்பட்ட பணிகளைப் பெறுகிறது, அவற்றை செயல்படுத்துகிறது மற்றும் 'RESULT' செய்திகளைப் பயன்படுத்தி முடிவுகளை வழங்குகிறது. ஒரு பணி பெரிய வெளியீட்டை உருவாக்கும்போது, ஏர்ஸ்டாக் MDM API இன் ப்ளாப் அம்சத்தைப் பயன்படுத்தி தரவைப் பதிவேற்றுகிறது.

பவர்ஷெல் பின்புறத்தால் ஆதரிக்கப்படும் கவனிக்கப்பட்ட செயல்களில் பின்வருவன அடங்கும்:

• ஸ்கிரீன்ஷாட் எடுக்கவும்.
• Google Chrome இலிருந்து குக்கீகளை மீட்டெடுக்கவும்.
• அனைத்து பயனர் Chrome சுயவிவரங்களையும் பட்டியலிடுங்கள்.
• குறிப்பிட்ட Chrome சுயவிவரத்திற்கான புக்மார்க்குகளைப் பெறுங்கள்.
• குறிப்பிட்ட Chrome சுயவிவரத்திற்கான உலாவல் வரலாற்றைச் சேகரிக்கவும்.
• பயனர் கோப்பகத்தின் கீழ் உள்ள அனைத்து கோப்புகளையும் கணக்கிடுங்கள்.
• தன்னை நிறுவல் நீக்கவும்.

.NET மாறுபாடு: மேம்படுத்தப்பட்ட இலக்குகள் மற்றும் திறன்கள்

.NET கட்டமைப்பு அதன் நோக்கத்தையும் நுட்பத்தையும் விரிவுபடுத்துகிறது. இது கூடுதல் நிறுவன உலாவிகளை (மைக்ரோசாஃப்ட் எட்ஜ் மற்றும் ஐலேண்ட்) குறிவைக்கிறது, ஏர்வாட்ச் உதவியாளர் இயங்கக்கூடியதாக (AirwatchHelper.exe) மாறுவேடமிட முயற்சிக்கிறது, மேலும் பதிப்பு பொருந்தாத அறிவிப்புகள், பிழைத்திருத்த வெளியீடு மற்றும் பீக்கனிங் ஆகியவற்றிற்குப் பயன்படுத்தப்படும் மூன்று கூடுதல் செய்தி வகைகளைச் சேர்க்கிறது.

.NET மாறுபாட்டின் முக்கிய வேறுபாடுகள் மற்றும் கூடுதல் நடத்தைகள்:

C2 பணிகளைக் கையாளவும், பிழைத்திருத்தப் பதிவுகளை வடிகட்டவும், C2 க்கு அவ்வப்போது பீக்கான்களைச் செய்யவும் மூன்று பிரத்யேக செயல்படுத்தல் நூல்களைப் பயன்படுத்துகிறது.

குறிப்பிட்ட உலாவி சுயவிவரங்களை டம்ப் செய்தல், கோப்புகளைப் பதிவேற்றுதல், URLகளைத் திறத்தல், கோப்பக உள்ளடக்கங்களைப் பட்டியலிடுதல் மற்றும் பலவற்றை உள்ளடக்கிய இலக்கு வெளியேற்றம் மற்றும் ரிமோட் கண்ட்ரோலுக்கான பரந்த கட்டளைத் தொகுப்பை ஆதரிக்கிறது.

சில .NET மாதிரிகள் 'Aoteng Industrial Automation (Langfang) Co., Ltd)' நிறுவனத்திற்குச் சொந்தமான சான்றிதழுடன் கையொப்பமிடப்பட்டுள்ளன, இது திருடப்பட்டிருக்கலாம் என்று ஆய்வாளர்கள் நம்புகின்றனர்; ஆரம்பகால மாதிரிகளில் ஜூன் 28, 2024 தேதியிட்ட தொகுப்பு நேர முத்திரை உள்ளது.

பவர்ஷெல் பதிப்பைப் போலன்றி, பகுப்பாய்வு செய்யப்பட்ட .NET மாறுபாடு மாதிரிகள் நிலைத்தன்மைக்கான திட்டமிடப்பட்ட பணியை தொடர்ந்து உருவாக்குவதில்லை.

.NET மாதிரிகளில் காணப்பட்ட விரிவாக்கப்பட்ட கட்டளைத் தொகுப்பில் பின்வருவன அடங்கும்:

• திரைக்காட்சி
• புதுப்பிப்பு Chrome (குறிப்பிட்ட Chrome சுயவிவரத்தை வெளியேற்று)
• கோப்புவரைபடம் (ஒரு கோப்பகத்தின் உள்ளடக்கங்களைப் பட்டியலிடு)
• RunUtility (கவனிக்கப்பட்ட மாதிரிகளில் இன்னும் செயல்படுத்தப்படவில்லை)
• EnterpriseChromeProfiles (Chrome சுயவிவரங்களைக் கணக்கிடு)
• பதிவேற்ற கோப்பு (கோப்புகள்/கலைப்பொருட்கள் மற்றும் சான்றுகளை வெளியேற்று)
• OpenURL (Chrome இல் ஒரு URL ஐத் தொடங்கவும்)
• நிறுவல் நீக்கு
• EnterpriseChromeBookmarks (Chrome சுயவிவரத்திலிருந்து புக்மார்க்குகளை மீட்டெடுக்கவும்)
• EnterpriseIslandProfiles (தீவு உலாவி சுயவிவரங்களைக் கணக்கிடு)
• UpdateIsland (குறிப்பிட்ட தீவு சுயவிவரத்தை வெளியேற்றவும்)
• ExfilAlreadyOpenChrome (தற்போதைய Chrome சுயவிவரத்திலிருந்து குக்கீகளை அழி)

பரவல் மற்றும் தாக்கம்

யார் குறிவைக்கப்பட்டனர் என்பதற்கான பண்புக்கூறு மற்றும் சரியான விநியோக முறை தெளிவாகத் தெரியவில்லை. இருப்பினும், MDM APIகளை C2 ஆகப் பயன்படுத்துவதும், நிறுவன உலாவிகளில், குறிப்பாக நிறுவனப் பயன்பாடுகளை இலக்காகக் கொண்ட தீவு, வெளிப்படையான கவனம் செலுத்துவதும், வணிக செயல்முறை அவுட்சோர்சிங் (BPO) நிறுவனங்களை இலக்காகக் கொண்ட விநியோகச் சங்கிலி அல்லது மூன்றாம் தரப்பு விற்பனையாளர் சமரசத்தை வலுவாகக் குறிக்கிறது. திருடப்பட்ட உலாவி அமர்வு குக்கீகள் மற்றும் சுயவிவர கலைப்பொருட்கள் தாக்குபவர்களுக்கு ஏராளமான கீழ்நிலை கிளையன்ட் சூழல்களுக்கு அணுகலை வழங்கக்கூடும் என்பதால், BPO வழங்குநர்கள் கவர்ச்சிகரமான இலக்குகளாக உள்ளனர்; விற்பனையாளரின் உள்கட்டமைப்பு மூலம் தொடர்ச்சியான அணுகல் தாக்கத்தை அதிகரிக்கிறது.

முடிவுரை

ஏர்ஸ்டாக் ஒரு கவலைக்குரிய போக்கைக் காட்டுகிறது: தீங்கிழைக்கும் போக்குவரத்தை முறையான நிர்வாக டெலிமெட்ரியுடன் கலக்க நம்பகமான மேலாண்மை தளங்களை தாக்குபவர்கள் தவறாகப் பயன்படுத்துகின்றனர். மூன்றாம் தரப்பு விற்பனையாளர்கள் அல்லது BPO சேவைகளை நம்பியிருக்கும் நிறுவனங்களுக்கு, இந்த நுட்பம் பல வாடிக்கையாளர் சூழல்களில் ஒற்றை சமரசம் ஏற்படும் அபாயத்தை கணிசமாக அதிகரிக்கிறது. இந்த வகை அச்சுறுத்தலைக் கண்டறிந்து கட்டுப்படுத்த MDM செயல்பாடு, சான்றிதழ் ஆதாரம் மற்றும் விற்பனையாளர் கருவிச் சங்கிலிகளின் ஒருமைப்பாடு ஆகியவற்றைச் சுற்றியுள்ள விழிப்புணர்வு அவசியம்.