ApolloShadow Malware

ApolloShadow என்பது Secret Blizzard எனப்படும் அச்சுறுத்தல் நடிகரால் நடத்தப்படும் சைபர் உளவு பிரச்சாரங்களில் பயன்படுத்தப்படும் ஒரு அதிநவீன தீம்பொருள் வகையாகும். ரஷ்யாவின் ஃபெடரல் செக்யூரிட்டி சர்வீஸின் (FSB) ஒரு பகுதியாக நம்பப்படும் இந்தக் குழு, ATG26, Blue Python, Snake, Turla, Uroburos, VENOMOUS BEAR, Waterbug மற்றும் Wraith உள்ளிட்ட பல குறியீட்டுப் பெயர்களுடன் தொடர்புடையது. இந்த தீம்பொருள் குறைந்தது 2024 முதல் மாஸ்கோவில் உள்ள உணர்திறன் மிக்க நிறுவனங்களை குறிவைக்கும் நடவடிக்கைகளில் தீவிரமாகப் பயன்படுத்தப்படுகிறது, இந்த பிரச்சாரங்கள் மேலும் விரிவடையும் என்பதற்கான வலுவான அறிகுறிகள் உள்ளன.

ஒரு தனிப்பயனாக்கப்பட்ட அச்சுறுத்தல்: அப்பல்லோ ஷேடோவின் தோற்றம் மற்றும் திறன்கள்

அப்பல்லோஷேடோ என்பது உளவு பார்ப்பதற்காக வடிவமைக்கப்பட்ட ஒரு தனிப்பயன்-கட்டமைக்கப்பட்ட தீங்கிழைக்கும் கருவியாகும். இதன் பயன்பாடு இராஜதந்திர நிறுவனங்கள் மற்றும் பிற உயர் மதிப்பு நிறுவனங்களை, குறிப்பாக ரஷ்ய இணையம் மற்றும் தொலைத்தொடர்பு சேவைகளை நம்பியிருக்கும் நிறுவனங்களை இலக்காகக் கொண்ட பிரச்சாரங்களுடன் இணைக்கப்பட்டுள்ளது. இந்த தீம்பொருள் மேம்பட்ட எதிரி-நடுத்தர (AiTM) நுட்பங்களைப் பயன்படுத்தி பரவுகிறது, அங்கு தாக்குபவர்கள் பாதிக்கப்பட்டவருக்கும் முறையான சேவைகளுக்கும் இடையிலான தொடர்பை இடைமறிக்கின்றனர்.

ApolloShadow-வின் சமீபத்திய பிரச்சாரங்களில், AiTM நுட்பம் இணைய சேவை வழங்குநர் (ISP) மட்டத்தில் செயல்படுத்தப்பட்டது. பாதிக்கப்பட்டவர்கள் முறையான Windows நடத்தையைப் பிரதிபலிக்கும் வகையில் வடிவமைக்கப்பட்ட ஒரு கேப்டிவ் போர்டல் மூலம் திருப்பி விடப்பட்டனர். Windows Test Connectivity Status Indicator தூண்டப்பட்டபோது, நிலையான சரிபார்ப்புப் பக்கத்தை அணுகுவதற்குப் பதிலாக, பயனர் தாக்குபவர்களால் கட்டுப்படுத்தப்படும் ஒரு டொமைனுக்கு அனுப்பப்பட்டார். இந்தத் திருப்பிவிடுதல், தொற்றுச் சங்கிலியைத் தொடங்க, பெரும்பாலும் நற்பெயர் பெற்ற பாதுகாப்பு நிரல்களாக மாறுவேடமிட்டு, ஒரு மோசடியான ரூட் சான்றிதழை நிறுவ பயனரை ஊக்குவிக்கும் ஒரு தூண்டுதலுக்கு வழிவகுத்தது.

பாதுகாப்பை மீறுதல்: அப்பல்லோ ஷேடோ சாதனங்களை எவ்வாறு சமரசம் செய்கிறது

மூலச் சான்றிதழை நிறுவுவதுதான் அப்பல்லோஷேடோவிற்கு கணினிக்கான அணுகலை வழங்கும் முக்கிய தருணமாகும். செயல்பட்டவுடன், அது பல செயல்பாடுகளைச் செய்கிறது:

• ஐபி முகவரிகள் உட்பட சாதனம் மற்றும் நெட்வொர்க் தகவல்களைச் சேகரிக்கிறது.
• போலியான பயனர் கணக்கு கட்டுப்பாடு (UAC) தூண்டுதல் மூலம் நிர்வாக சலுகைகளைப் பெற முயற்சித்தல். கவனிக்கப்பட்ட சந்தர்ப்பங்களில், நிறுவி 'CertificateDB.exe' என்று பெயரிடப்பட்டது.
• சான்றிதழ்கள் நிறுவப்படுவதைக் குறிக்கும் ஏமாற்றும் பாப்-அப்களைக் காட்டுகிறது.

உயர்ந்த சலுகைகளைப் பெற்ற பிறகு, தீம்பொருள் பாதிக்கப்பட்ட சாதனத்தை உள்ளூர் நெட்வொர்க்கில் கண்டறியக்கூடியதாக ஆக்குகிறது. பின்னர் அது ஃபயர்வால் அமைப்புகளை மாற்றுவதன் மூலமும் கோப்பு பகிர்வை இயக்குவதன் மூலமும் கணினியின் பாதுகாப்புகளை பலவீனப்படுத்த முயற்சிக்கிறது. உலாவி பாதுகாப்பைத் தவிர்க்க:

• குரோமியம் சார்ந்த உலாவிகள் தீங்கிழைக்கும் சான்றிதழை தானாகவே நம்புகின்றன.
• இருப்பினும், கண்டறிதலைத் தவிர்க்க, தீம்பொருளால் கூடுதல் உள்ளமைவு மாற்றங்களை Firefox கோருகிறது.

'UpdatusUser' என்ற பெயரில் ஒரு நிலையான நிர்வாக பயனர் கணக்கை உருவாக்குவதன் மூலம் ApolloShadow நீண்டகால அணுகலை உறுதி செய்கிறது, இது கடினக் குறியீடு செய்யப்பட்ட, காலாவதியாகாத கடவுச்சொல்லைப் பயன்படுத்துகிறது.

ஆழமான ஊடுருவல்: அப்பல்லோ நிழல் என்ன செயல்படுத்துகிறது

ApolloShadow TLS/SSL ஸ்ட்ரிப்பிங் தாக்குதல்களை இயக்கும் என்று சந்தேகிக்கப்படுகிறது. இந்த தாக்குதல்கள் உலாவிகளை பாதுகாப்பான குறியாக்கம் இல்லாமல் இணைக்க கட்டாயப்படுத்துகின்றன, இதனால் தீம்பொருள் உலாவல் செயல்பாட்டைக் கண்காணிக்கவும் உள்நுழைவு டோக்கன்கள் மற்றும் சான்றுகள் போன்ற முக்கியமான தகவல்களை சேகரிக்கவும் அனுமதிக்கிறது.

தீம்பொருளின் திருட்டுத்தனமும் நிலைத்தன்மையும் அதை மிகவும் ஆபத்தானதாக ஆக்குகிறது. உளவுத்துறை தகவல்களைச் சேகரிக்கும் போதும், தொலைதூர அணுகலை வழங்கும் போதும், கண்டறியப்படாமல் இருக்கும் அதன் திறன், அரசு ஆதரவு பெற்ற சைபர் செயல்பாடுகளில் அதன் மதிப்பை அடிக்கோடிட்டுக் காட்டுகிறது.

ஏமாற்றும் கருவிகள்: சமூக பொறியியல் மற்றும் தொற்று திசையன்கள்

அப்பல்லோஷேடோ பிரச்சாரங்கள் தொழில்நுட்ப கையாளுதலை சமூக பொறியியலுடன் கலக்கின்றன. பாதிக்கப்பட்டவர்கள் நெட்வொர்க் அளவிலான தாக்குதல்கள் மூலம் திருப்பிவிடப்பட்டு கையாளப்படுவது மட்டுமல்லாமல், நம்பகமான மென்பொருள் என்ற போர்வையில் தீங்கிழைக்கும் சான்றிதழ்களை நிறுவ அவர்களைத் தூண்டும் ஏமாற்றுத் தூண்டுதல்களாலும் குறிவைக்கப்படுகிறார்கள்.

அப்பல்லோஷேடோ பிரச்சாரங்கள் முதன்மையாக ISP-நிலை இடைமறிப்பு மற்றும் சமூக பொறியியலை நம்பியிருந்தாலும், தொற்று திசையன்கள் மிகவும் வழக்கமான தீம்பொருள் விநியோக தந்திரோபாயங்கள் மூலம் விரிவடையக்கூடும்.

பொதுவான தீம்பொருள் விநியோக முறைகள் :

ஏமாற்றும் தந்திரங்கள்:

• ஃபிஷிங் செய்திகள் (மின்னஞ்சல்கள், தனிப்பட்ட செய்திகள், சமூக ஊடக இடுகைகள்).
• தீங்கிழைக்கும் இணைப்புகள் அல்லது இணைப்புகள்.
• மோசடியான மென்பொருள் புதுப்பிப்புகள் அல்லது நிறுவிகள்.

பாதுகாப்பற்ற பதிவிறக்க ஆதாரங்கள்:

• அதிகாரப்பூர்வமற்ற வலைத்தளங்கள்.
• இலவச கோப்பு ஹோஸ்டிங் சேவைகள்.
• பியர்-டு-பியர் (P2P) பகிர்வு தளங்கள்.

கூடுதலாக, அப்பல்லோஷேடோ போன்ற மேம்பட்ட கருவிகள் உட்பட சில தீம்பொருள் வகைகள், உள்ளூர் நெட்வொர்க்குகள் வழியாகப் பரவலாம் அல்லது USB டிரைவ்கள் அல்லது வெளிப்புற ஹார்டு டிஸ்க்குகள் போன்ற நீக்கக்கூடிய சேமிப்பக சாதனங்களைப் பயன்படுத்திப் பரவலாம்.

முடிவு: ஒரு தீவிரமான உளவு அச்சுறுத்தல்

ApolloShadow வலுவான புவிசார் அரசியல் நோக்கங்களுடன் ஒரு தீவிரமான சைபர் உளவு அச்சுறுத்தலைக் குறிக்கிறது. நம்பகமான பிராண்டுகள், ஏமாற்றும் நெட்வொர்க்-நிலை தாக்குதல்கள் மற்றும் தொடர்ச்சியான அணுகல் முறைகளைப் பயன்படுத்துவதன் மூலம், Secret Blizzard உளவுத்துறை சேகரிப்புக்கான ஒரு சக்திவாய்ந்த கருவியை உருவாக்கியுள்ளது. ரஷ்ய செல்வாக்கு உள்ள பகுதிகளில் அல்லது அதற்கு அருகில் செயல்படும் நிறுவனங்கள், குறிப்பாக உள்ளூர் ISP-களை நம்பியிருக்கும் நிறுவனங்கள், இந்த வளர்ந்து வரும் அச்சுறுத்தலுக்கு எதிராக பாதுகாக்க உயர்ந்த பாதுகாப்பு நெறிமுறைகளை ஏற்றுக்கொள்ள வேண்டும்.