APT27
APT27 (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) என்பது சீனாவிலிருந்து தோன்றிய ஹேக்கிங் குழுவின் பெயர் மற்றும் உயர்நிலை இலக்குகளுக்குப் பின் செல்ல முனைகிறது. APT27 ஆனது எமிசரி பாண்டா, லக்கிமவுஸ் மற்றும் ப்ரொன்ஸ் யூனியன் உள்ளிட்ட பல்வேறு மாற்றுப்பெயர்களிலும் அறியப்படுகிறது. APT27 ஆல் மேற்கொள்ளப்பட்ட மிகவும் பிரபலமான பிரச்சாரங்களில், அமெரிக்காவின் பாதுகாப்பு ஒப்பந்தக்காரர்களை குறிவைத்து அவர்கள் நடத்திய தாக்குதல்களும் அடங்கும். APT27 இன் பிற பிரபலமான செயல்பாடுகளில் நிதித் துறையில் செயல்படும் பல நிறுவனங்களுக்கு எதிரான பிரச்சாரமும், மத்திய ஆசியாவில் அமைந்துள்ள ஒரு தரவு மையத்திற்கு எதிரான தாக்குதலும் அடங்கும். APT27 இன் ஆயுதங்களில் உள்ள ஹேக்கிங் கருவிகளில் அச்சுறுத்தல்கள் அடங்கும், அவை உளவு நடவடிக்கைகளை மேற்கொள்ள அனுமதிக்கின்றன, பாதிக்கப்பட்ட ஹோஸ்டிடமிருந்து முக்கியமான கோப்புகளை சேகரிக்கின்றன அல்லது சமரசம் செய்யப்பட்ட அமைப்பைக் கைப்பற்றுகின்றன.
சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் முதன்முதலில் APT27 இன் செயல்பாட்டை 2010 இல் கண்டறிந்தனர், அன்றிலிருந்து அதை உன்னிப்பாகக் கண்காணித்து வருகின்றனர். அவை முதன்முதலில் கண்டுபிடிக்கப்பட்டதிலிருந்து, APT27 பல்வேறு முக்கிய தொழில்களில் செயல்படும் இலக்குகளை சமரசம் செய்ய முடிந்தது:
- அரசாங்கம்.
- பாதுகாப்பு.
- தொழில்நுட்பம்.
- ஆற்றல்.
- உற்பத்தி.
- விண்வெளி.
APT27 இன் ஹேக்கிங் ஆயுதக் களஞ்சியத்தில் அதிகம் பயன்படுத்தப்படும் கருவிகளில் Gh0st RAT , ZXShell மற்றும் HyperBro ஆகியவை அடங்கும் . இருப்பினும், APT27 இலிருந்து இணைய மோசடி செய்பவர்கள் தனிப்பயன் கட்டமைக்கப்பட்ட ஹேக்கிங் கருவிகளை மட்டும் நம்பவில்லை. APT27, பல APTகளைப் போலவே, அவர்களின் மோசமான செயல்பாடுகளுக்கும், பொதுவில் கிடைக்கும் ஹேக்கிங் கருவிகளுக்கும் முறையான சேவைகளைப் பயன்படுத்துகிறது.
APT27 பல்வேறு காரணங்களுக்காக இலக்குகளின் வரம்பைத் தாக்கியுள்ளது, அதிநவீன தொழில்நுட்பங்களின் தரவைத் திருடுவது முதல் பொதுமக்கள் குழுக்கள் மற்றும் அரசாங்கத்துக்காக அதிருப்தியாளர்கள் மீது உளவு பார்ப்பது வரை.
எமிசரி பாண்டா எளிதில் கிடைக்கக்கூடிய கருவிகளான நற்சான்றிதழ்கள், கருவிகள் மற்றும் இலக்குக்குச் சொந்தமான சேவைகள் மற்றும் தாக்குதல்களுக்காக உருவாக்கப்பட்ட தனிப்பயன் தீம்பொருள் போன்றவற்றைப் பயன்படுத்துகிறது. நீண்ட காலத்திற்கு சமரசம் செய்யப்பட்ட அமைப்புகளின் இருப்பை பராமரிப்பதில் குழு கவனம் செலுத்துகிறது.
குழுவானது சமரசம் செய்யப்பட்ட நெட்வொர்க்குகளுக்கு ஒவ்வொரு மூன்று மாதங்களுக்கும் ஒருமுறை திரும்புவதைக் கவனித்து, தங்களுக்கு இன்னும் அணுகல் உள்ளதா என்பதைச் சரிபார்க்கவும், அது தொலைந்து போயிருந்தால் அணுகலைப் புதுப்பிக்கவும் மற்றும் தாக்குதலுக்கு ஆர்வமுள்ள கூடுதல் தரவைக் கண்டறியவும்.
APT27 பழையது மீண்டும் புதியது என்பதை நிரூபிக்கிறது
கடந்த ஆண்டு, குழுவானது தொலைநிலை அணுகல் Trojan (RAT) ZxShell இன் புதுப்பிக்கப்பட்ட பதிப்புகளைப் பயன்படுத்துவதைக் காண முடிந்தது. ZxShell முதன்முதலில் 2006 இல் உருவாக்கப்பட்டது, அடுத்த ஆண்டு 2007 இல் நிரலுக்கான மூலக் குறியீட்டுடன் வெளியிடப்பட்டது. தீம்பொருளானது HTran பாக்கெட் திசைதிருப்பல் உள்ளமைப்பைக் கொண்டுள்ளது மற்றும் Hangzhou Shunwang டெக்னாலஜி கோ.க்கு சொந்தமான டிஜிட்டல் சான்றிதழுடன் கையொப்பமிடப்பட்டது. ஷாங்காய் ஹிண்ட்சாஃப்ட் கோ., லிமிடெட்க்கான டிஜிட்டல் சான்றிதழ்.
APT27 ஆனது 2018 இல் பயன்படுத்தப்பட்ட Gh0st RAT இன் மாற்றியமைக்கப்பட்ட பதிப்பிற்குப் பின்னால் இருக்கலாம். அசல் Gh0st RATக்கான மூலக் குறியீடு ஆன்லைனிலும் கிடைக்கிறது. சமரசம் செய்யப்பட்ட நெட்வொர்க்கில் பல அமைப்புகளுக்கு எதிராக புதுப்பிக்கப்பட்ட பதிப்பு பயன்படுத்தப்பட்டது. ஆராய்ச்சியாளர்களால் கண்டறியப்பட்ட மாதிரியானது TCP போர்ட் 443 இல் தனிப்பயன் பைனரி நெறிமுறை மூலம் தொடர்பு கொள்கிறது, நெட்வொர்க் ட்ராஃபிக் தகவல்தொடர்புகளை சிறப்பாக மறைப்பதற்கு மாற்றியமைக்கப்பட்ட தலைப்புகளுடன்.
ஆன்லைனில் காணப்படும் கருவிகளைப் பயன்படுத்துவதில் திருப்தியடையவில்லை, APT27 அதன் சொந்த தனியுரிம தொலைநிலை அணுகல் கருவிகளை உருவாக்கி பயன்படுத்தியுள்ளது. HyperBro மற்றும் SysUpdate போன்ற இந்த கருவிகள் 2016 முதல் சுற்றி வருகின்றன.
SysUpdate என்பது ஒரு வகையான மல்டி-ஸ்டேஜ் மால்வேர் மற்றும் எமிசரி பாண்டாவால் மட்டுமே பயன்படுத்தப்படுகிறது. தீம்பொருள் டைனமிக் டேட்டா எக்ஸ்சேஞ்ச் (டிடிஇ) பயன்படுத்தி தீங்கிழைக்கும் வேர்ட் ஆவணங்கள், திருடப்பட்ட நற்சான்றிதழ்கள் மூலம் கைமுறையாகப் பயன்படுத்துதல் மற்றும் இணைய வழிமாற்றுகள் மற்றும் மூலோபாய வலை சமரசம் (SWC) போன்ற பல முறைகள் மூலம் வழங்கப்படுகிறது.
APT27 மால்வேர் வரிசைப்படுத்தல் மற்றும் பரவல்
வரிசைப்படுத்தல் எதுவாக இருந்தாலும், SysUpdateக்கான முதல் நிலை பேலோடை நிறுவும் ஒரு சுய-பிரித்தல் (SFX) WinRAR கோப்பு மூலம் முதல் பேலோட் நிறுவப்பட்டது. SysUpdate Main எனப்படும் இரண்டாம்-நிலை பேலோடை நிறுவும் முன் முதல் நிலை கணினியில் நிலைத்தன்மையை அடைகிறது. தீம்பொருள் HTTP மூலம் தொடர்பு கொள்கிறது மற்றும் svchost.exe இல் உட்செலுத்த குறியீட்டைப் பதிவிறக்குகிறது.
SysUpdate Main தாக்குபவர்களுக்கு தொலைநிலை அணுகல் திறன்களை வழங்குகிறது. கணினியில் உள்ள கோப்புகள் மற்றும் செயல்முறைகளை அணுகவும் நிர்வகிக்கவும், வெவ்வேறு சேவைகளுடன் தொடர்பு கொள்ளவும், கட்டளை ஷெல்லைத் தொடங்கவும், ஸ்கிரீன் ஷாட்களை எடுக்கவும் மற்றும் தேவைக்கேற்ப பிற தீம்பொருளைப் பதிவேற்றவும் பதிவிறக்கவும் ஹேக்கர்களை RAT அனுமதிக்கிறது.
SysUpdate என்பது குறிப்பிடத்தக்க நெகிழ்வான தீம்பொருளாகும், இது மற்ற பேலோட் கோப்புகள் மூலம் தேவைக்கேற்ப விரிவாக்கப்படலாம் அல்லது குறைக்கப்படலாம். பாதுகாப்பு ஆராய்ச்சியாளர்களின் கூற்றுப்படி, வைரஸ் இருப்பதை திறம்பட கட்டுப்படுத்தும் திறன் ஹேக்கர்கள் தங்கள் முழு திறன்களையும் மறைக்க அனுமதிக்கிறது.
ஒரு அதிநவீன ஊடுருவலின் போது அச்சுறுத்தல் நடிகர்கள் தங்கள் தனியுரிம கருவிகளைப் பயன்படுத்த முடியும். இந்தக் கருவிகள் கண்டறியும் அபாயத்தைக் குறைக்கும் போது அவர்களுக்கு அதிகக் கட்டுப்பாட்டைக் கொடுக்கின்றன. அச்சுறுத்தல் நடிகர்கள் பரவலாகக் கிடைக்கும் கருவிகளைப் பயன்படுத்தி நெட்வொர்க்குகளுக்கான அணுகலைப் பெறுகின்றனர். அவர்கள் கணினியில் நுழைந்தவுடன், அவர்கள் பாதுகாப்புக் கட்டுப்பாடுகளைத் தவிர்க்கலாம், மேலும் குறிப்பிடத்தக்க சலுகைகள் மற்றும் அனுமதிகளுக்கான அணுகலைப் பெறலாம் மற்றும் நீண்ட காலத்திற்கு அதிக மதிப்புள்ள அமைப்புகளுக்கான அணுகலைப் பராமரிக்கலாம். APT27 ஒரு இலக்கு நெட்வொர்க்கில் எவ்வளவு நேரம் செலவிடுகிறதோ, அவ்வளவு அதிக சேதத்தை அது ஏற்படுத்தும். ஒரு மோசமான சூழ்நிலையில், குழு பல ஆண்டுகளாக ஒரு கணினியில் இருப்பைக் கொண்டிருக்கலாம், ஏராளமான முக்கியமான தகவல்களைச் சேகரித்து அனைத்து வகையான சேதங்களையும் ஏற்படுத்தலாம்.
APT27 ஆல் உருவாக்கப்பட்ட மிகவும் பிரபலமான தனிப்பயனாக்கப்பட்ட ஹேக்கிங் கருவிகளில் ஒன்று SysUpdate அச்சுறுத்தலாகும். இது RAT (ரிமோட் அக்சஸ் ட்ரோஜன்) ஆகும், இது APT27 போலி ஸ்பேம் மின்னஞ்சல்கள் மற்றும் சப்ளை-செயின் தாக்குதல்கள் மூலம் பிரச்சாரம் செய்வதாகத் தோன்றுகிறது. சைபர் மோசடி செய்பவர்களும் SysUpdate RAT ஐ இலக்கு ஹோஸ்ட்களில் கைமுறையாக நிறுவலாம் என்று தீம்பொருள் வல்லுநர்கள் நம்புகிறார்கள், அவர்கள் முன்பு ஊடுருவியிருந்தால். இந்த குறிப்பிட்ட RAT ஒரு மட்டு அமைப்பைக் கொண்டுள்ளது. இதன் பொருள், APT27 ஆனது சமரசம் செய்யப்பட்ட கணினியில் அச்சுறுத்தலின் அடிப்படை நகலை நிறுவலாம், பின்னர் அதில் கூடுதல் அம்சங்களைச் சேர்த்து, RATஐ மேலும் ஆயுதமாக்குகிறது.
APT27 மிகவும் நெகிழ்வான ஹேக்கிங் குழுவாகத் தோன்றுகிறது - அவர்கள் பயன்படுத்தும் பரப்புதல் முறைகள் மற்றும் அவர்கள் பயன்படுத்தும் பல்வேறு வகையான கருவிகள். இது APT27 ஐ அச்சுறுத்தும் இணைய மோசடியாளர்களின் குழுவாக ஆக்குகிறது, அவர்களை குறைத்து மதிப்பிடக்கூடாது.
