AtlasCross RAT

நம்பகமான மென்பொருள் பிராண்டுகளைப் போல போலியாக உருவாக்கப்பட்ட, எழுத்துப்பிழைத் திருத்தப்பட்ட டொமைன்கள் மூலம், சீன மொழி பேசும் பயனர்களை ஒரு பெரிய அளவிலான இணையத் தாக்குதல் பிரச்சாரம் தீவிரமாகக் குறிவைத்து வருகிறது. இந்த ஏமாற்றும் வலைத்தளங்கள், அட்லஸ்கிராஸ் RAT (AtlasCross RAT) என்று அழைக்கப்படும், இதற்கு முன் ஆவணப்படுத்தப்படாத ஒரு தொலைநிலை அணுகல் ட்ரோஜனைப் பரப்பும் வகையில் வடிவமைக்கப்பட்டுள்ளன. இந்தப் பிரச்சாரமானது, VPN செயலிகள், மறைகுறியாக்கப்பட்ட செய்திப் பரிமாற்றத் தளங்கள், காணொளிக் கலந்துரையாடல் கருவிகள், கிரிப்டோகரன்சி டிராக்கர்கள் மற்றும் மின்வணிக மென்பொருள் உள்ளிட்ட பரவலாகப் பயன்படுத்தப்படும் செயலிகள் மீது பயனர்கள் வைத்துள்ள நம்பிக்கையைப் பயன்படுத்திக் கொள்கிறது.

இந்தக் கட்டமைப்பில், சர்ஃப்ஷார்க் விபிஎன், சிக்னல், டெலிகிராம், ஜூம் மற்றும் மைக்ரோசாஃப்ட் டீம்ஸ் போன்ற நன்கு அறியப்பட்ட சேவைகளைப் போல் ஆள்மாறாட்டம் செய்யும், உறுதிசெய்யப்பட்ட பதினொரு தீங்கிழைக்கும் டொமைன்கள் அடங்கியுள்ளன. இந்த உத்திசார்ந்த ஆள்மாறாட்டம், பிராண்ட் பரிச்சயத்தைப் பயன்படுத்திக்கொள்வதன் மூலம், வெற்றிகரமான தொற்றுகளுக்கான சாத்தியக்கூறை அதிகரிக்கிறது.

அச்சுறுத்தல் நடிகர் சுயவிவரம்: தி சில்வர் ஃபாக்ஸ் கலெக்டிவ்

இந்தச் செயல்பாடு, சில்வர் ஃபாக்ஸ் என அறியப்படும் ஒரு புகழ்பெற்ற சீன இணையக் குற்றக் குழுவின் மீது சுமத்தப்பட்டுள்ளது. இந்தக் குழு, ஸ்விம்ஸ்னேக், தி கிரேட் தீஃப் ஆஃப் வேலி (வேலி தீஃப்), UTG-Q-1000, மற்றும் வாய்ட் அராக்னே உள்ளிட்ட பல புனைப்பெயர்களில் இயங்குகிறது. பாதுகாப்பு ஆய்வாளர்கள், இந்தக் குழுவை சமீபத்திய ஆண்டுகளில் மிகவும் தீவிரமான இணைய அச்சுறுத்தல்களில் ஒன்றாகக் கருதுகின்றனர்; குறிப்பாக, நிறுவனங்களுக்குள் இருக்கும் நிர்வாக மற்றும் நிதிப் பணியாளர்களை இது தொடர்ந்து குறிவைப்பதே இதற்குக் காரணம்.

சில்வர் ஃபாக்ஸ், செய்திப் பரிமாற்றத் தளங்கள், ஃபிஷிங் மின்னஞ்சல்கள் மற்றும் போலி மென்பொருள் விநியோகத் தளங்கள் போன்ற பல்வேறு தொற்றுப் பரப்பும் முறைகளைப் பயன்படுத்துகிறது. தொலைநிலை அமைப்புக் கட்டுப்பாடு, முக்கியத் தரவுகளைக் கசியவிடுதல் மற்றும் நிதி மோசடி ஆகியவை இந்தக் குழுவின் நோக்கங்களில் அடங்கும்.

தீம்பொருளின் பரிணாம வளர்ச்சி: Gh0st RAT முதல் AtlasCross வரை

அட்லஸ்கிராஸ் RAT-இன் தோற்றம், சில்வர் ஃபாக்ஸின் தீம்பொருள் கருவித்தொகுப்பில் ஒரு குறிப்பிடத்தக்க முன்னேற்றத்தைக் குறிக்கிறது. முந்தைய செயல்பாடுகள், கோஸ்ட் RAT-இலிருந்து பெறப்பட்ட வேலிRAT (வைனோஸ் 4.0 என்றும் அழைக்கப்படுகிறது), கோஸ்ட் கிரிஞ்ச், மற்றும் ஹோல்டிங் ஹேண்ட்ஸ் RAT (கோஸ்ட் பின்ஸ்) உள்ளிட்ட வகைகளை பெரிதும் சார்ந்திருந்தன. அட்லஸ்கிராஸ், மேம்படுத்தப்பட்ட மறைநிலை, செயல்படுத்தல் மற்றும் நீடித்திருக்கும் வழிமுறைகளை உள்ளடக்கிய, மிகவும் நுட்பமான ஒரு பரிணாம வளர்ச்சியைக் குறிக்கிறது.

தொற்றுச் சங்கிலிப் பகுப்பாய்வு: கவர்ச்சியூட்டுவதிலிருந்து செயல்படுத்தல் வரை

பயனர்களை ஏமாற்றி ZIP காப்பகங்களைப் பதிவிறக்கம் செய்ய வைக்கும் மோசடி இணையதளங்களில் இருந்து இந்தத் தாக்குதல் சங்கிலி தொடங்குகிறது. இந்தக் காப்பகங்களில், ஒரு முறையான போலிச் செயலியையும், ட்ரோஜன் தாக்கப்பட்ட ஆட்டோடெஸ்க் பைனரியையும் நிறுவும் இன்ஸ்டாலர்கள் உள்ளன. அந்தத் தீங்கிழைக்கும் இன்ஸ்டாலர், Gh0st RAT-இலிருந்து பெறப்பட்ட உட்பொதிக்கப்பட்ட உள்ளமைவின் மறைகுறியாக்கத்தை நீக்கும் ஒரு ஷெல்கோட் லோடரைத் தொடங்குகிறது.

இந்தச் செயல்முறை, கட்டளை மற்றும் கட்டுப்பாட்டு (C2) விவரங்களைப் பிரித்தெடுத்து, TCP போர்ட் 9899 வழியாக 'bifa668.com' என்ற டொமைனிலிருந்து இரண்டாம் கட்ட பேலோடை மீட்டெடுக்கிறது. இதன் இறுதிக் கட்டம், அட்லஸ்கிராஸ் RAT-ஐ நினைவகத்தில் செயல்படுத்துகிறது, இது பாரம்பரிய பாதுகாப்பு கருவிகளால் கண்டறியப்படுவதை கணிசமாகக் குறைக்கிறது.

தீங்கிழைக்கும் உள்கட்டமைப்பு: ஆயுதமயமாக்கப்பட்ட களங்கள்

இந்தச் செயல்பாடு ஒரு ஒருங்கிணைக்கப்பட்ட உள்கட்டமைப்பு அமைப்பை வெளிப்படுத்துகிறது, இதில் பெரும்பாலான தீங்கிழைக்கும் டொமைன்கள் அக்டோபர் 27, 2025 அன்று பதிவு செய்யப்பட்டுள்ளன, இது ஒரு திட்டமிட்ட திட்டமிடலைக் குறிக்கிறது. தீம்பொருளைப் பரப்புவதற்குப் பயன்படுத்தப்பட்டதாக உறுதிசெய்யப்பட்ட டொமைன்களில் பின்வருவன அடங்கும்:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com

இந்த டொமைன்கள், சந்தேகத்தைத் தவிர்ப்பதற்காக நுட்பமான அச்சுக்கலை வேறுபாடுகளையோ அல்லது பிராந்திய அடையாளங்களையோ அடிக்கடி இணைத்துக்கொண்டு, முறையான சேவைகளைப் போலவே தோற்றமளிக்கின்றன.

நம்பிக்கைத் துரோகம்: திருடப்பட்ட குறியீட்டு-கையொப்பச் சான்றிதழ்கள்

அடையாளம் காணப்பட்ட அனைத்து தீங்கிழைக்கும் இன்ஸ்டாலர்களும், வியட்நாமின் ஹனோயைத் தளமாகக் கொண்ட DUC FABULOUS CO., LTD என்ற நிறுவனத்திற்கு வழங்கப்பட்ட, திருடப்பட்ட அதே நீட்டிக்கப்பட்ட சரிபார்ப்பு (EV) குறியீடு-கையொப்பச் சான்றிதழைப் பயன்படுத்தி கையொப்பமிடப்பட்டுள்ளன. தொடர்பில்லாத பல தீம்பொருள் தாக்குதல்களில் இந்தச் சான்றிதழ் மீண்டும் பயன்படுத்தப்படுவது, இணையக் குற்றவாளிகளின் சூழல் அமைப்பிற்குள் இது பரவலாகப் புழக்கத்தில் இருப்பதைக் காட்டுகிறது. இந்த உத்தி, தீங்கிழைக்கும் பைனரிகளின் நம்பகத்தன்மையை அதிகரிப்பதோடு, பாதுகாப்பு அரண்களைத் தவிர்க்கவும் உதவுகிறது.

மேம்பட்ட திறன்கள்: அட்லஸ்கிராஸ் RAT-இன் உள்ளே

அட்லஸ்கிராஸ் RAT, மறைவாகச் செயல்படுதல், நிலைத்தன்மை மற்றும் கட்டுப்பாடு ஆகியவற்றுக்காக வடிவமைக்கப்பட்ட சக்திவாய்ந்த திறன்களின் தொகுப்பை அறிமுகப்படுத்துகிறது. இது பவர்ஷெல் கட்டமைப்பை ஒருங்கிணைக்கிறது; இது ஒரு நேட்டிவ் C/C++ பவர்ஷெல் செயலாக்க இயந்திரமாகும், இது .NET காமன் லாங்குவேஜ் ரன்டைமை (CLR) தீம்பொருள் செயல்பாட்டில் நேரடியாக உட்பொதிக்கிறது.

கட்டளைகளைச் செயல்படுத்துவதற்கு முன்பு, அந்த மால்வேர் AMSI, ETW, கட்டுப்படுத்தப்பட்ட மொழிப் பயன்முறை (Constrained Language Mode), மற்றும் ஸ்கிரிப்ட்பிளாக் பதிவுசெய்தல் (ScriptBlock logging) போன்ற முக்கியப் பாதுகாப்பு வழிமுறைகளைச் செயலிழக்கச் செய்கிறது. கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்களுடனான தொடர்பு, வன்பொருள் அடிப்படையிலான சீரற்ற எண் உருவாக்கத்தின் மூலம் உருவாக்கப்படும் ஒவ்வொரு பாக்கெட்டுக்குமான சீரற்ற சாவிகளைக் கொண்டு ChaCha20-ஐப் பயன்படுத்தி மறைகுறியாக்கம் செய்யப்படுகிறது.

முக்கிய செயல்பாடுகள் பின்வருமாறு:

• WeChat-இல் இலக்கு வைக்கப்பட்ட DLL ஊடுருவல்
• ரிமோட் டெஸ்க்டாப் புரோட்டோகால் (RDP) அமர்வு கடத்தல்
• 360 Safe, Huorong, Kingsoft, மற்றும் QQ PC Manager போன்ற சீனப் பாதுகாப்புக் கருவிகளிலிருந்து வரும் இணைப்புகளை TCP மட்டத்தில் துண்டித்தல்
• கோப்பு முறைமை கையாளுதல் மற்றும் ஷெல் கட்டளை செயல்படுத்தல்
• திட்டமிடப்பட்ட பணி உருவாக்கத்தின் மூலம் விடாமுயற்சி

செயல்பாட்டு உத்தி: பெரிய அளவிலான ஏமாற்று

நம்பகத்தன்மையைப் பேணுவதற்கும் கண்டறியப்படுவதைத் தவிர்ப்பதற்கும், சில்வர் ஃபாக்ஸ் ஒரு பல அடுக்கு டொமைன் உத்தியைக் கையாளுகிறது. பயனர்களின் சந்தேகத்தைக் குறைப்பதற்காக, இதில் டைப்போஸ்க்வாட்டிங், டொமைன் ஹைஜாக்கிங் மற்றும் டிஎன்எஸ் கையாளுதல் போன்றவை பெரும்பாலும் பிராந்தியத்திற்கேற்ற பெயரிடும் மரபுகளுடன் இணைக்கப்படுகின்றன. சட்டப்பூர்வமான சேவைகளை நம்பும்படியாகப் பிரதிபலிக்கும் இந்தக் குழுவின் திறன், இந்த பிரச்சாரத்தின் செயல்திறனில் ஒரு முக்கியப் பங்கு வகிக்கிறது.

ஆசியா முழுவதும் தாக்குதல் திசையன்கள் விரிவடைதல்

குறைந்தது டிசம்பர் 2025 முதல், இந்தக் குழு ஜப்பான், மலேசியா, பிலிப்பைன்ஸ், தாய்லாந்து, இந்தோனேசியா, சிங்கப்பூர் மற்றும் இந்தியா உள்ளிட்ட பல நாடுகளில் தனது செயல்பாடுகளை விரிவுபடுத்தியுள்ளது. தீங்கிழைக்கும் PDF இணைப்புகளுடன் கூடிய ஃபிஷிங் மின்னஞ்சல்களில் இருந்து, SyncFuture TSM போன்ற முறையான ஆனால் தவறாக உள்ளமைக்கப்பட்ட தொலைநிலை கண்காணிப்பு மற்றும் மேலாண்மைக் கருவிகளைத் தவறாகப் பயன்படுத்துவது வரை, தாக்குதல் முறைகள் காலப்போக்கில் பரிணாம வளர்ச்சி அடைந்துள்ளன.

அதைத் தொடர்ந்த பிரச்சாரங்களிலும், வாட்ஸ்அப் செயலி போல வேடமிட்ட பைதான் அடிப்படையிலான தகவல் திருடன் பயன்படுத்தப்பட்டுள்ளது. ஜனவரி 2026-ல் நடந்த முந்தைய நடவடிக்கைகளில், பிளாக்மூன் மால்வேர் மூலம் இந்தியப் பயனர்களை வரி தொடர்பான கவர்ச்சிகள் மூலம் குறிவைப்பது அடங்கியிருந்தது.

நெகிழ்வான ஆயுதக் கிடங்கு: தகவமைக்கக்கூடிய இணையக் குற்றச் செயல்பாடுகள்

சில்வர் ஃபாக்ஸ், பல்வேறு தீம்பொருள் குடும்பங்களையும் நுட்பங்களையும் ஒன்றிணைப்பதன் மூலம் உயர் அளவிலான செயல்பாட்டு நெகிழ்வுத்தன்மையை வெளிப்படுத்துகிறது. வேலிரேட் (ValleyRAT) உடன் ஆர்எம்எம் (RMM) கருவிகள் மற்றும் தனிப்பயன் பைதான் அடிப்படையிலான ஸ்டீலர்களைப் பயன்படுத்துவது, தொற்றுச் சங்கிலிகளை விரைவாக மாற்றியமைக்க உதவுகிறது. இந்தப் பன்முகத்தன்மை, பெரிய அளவிலான சந்தர்ப்பவாதத் தாக்குதல்கள் மற்றும் இலக்கு வைக்கப்பட்ட, உத்திசார்ந்த தாக்குதல்கள் ஆகிய இரண்டிற்கும் துணைபுரிகிறது.

இந்தக் குழு, பரவலான தாக்குதல்களையும், நீண்ட கால கணினி அமைப்பு அணுகல் மற்றும் ஆழமான பிணைய ஊடுருவலுக்காக வடிவமைக்கப்பட்ட மிகவும் நுட்பமான செயல்பாடுகளையும் சமநிலைப்படுத்தும் ஒரு இரட்டை வழி மாதிரியில் இயங்குகிறது.

ஸ்பியர்-ஃபிஷிங் துல்லியம்: பெருநிறுவனப் பாதிக்கப்பட்டவர்களைக் குறிவைத்தல்

பரந்த அளவிலான பிரச்சாரங்களுக்கு மேலதிகமாக, சில்வர் ஃபாக்ஸ் நிறுவனம் குறிப்பிட்ட தொழில்துறைகளை, குறிப்பாக ஜப்பானிய உற்பத்தியாளர்களை இலக்காகக் கொண்ட ஸ்பியர்-ஃபிஷிங் தாக்குதல்களையும் நடத்துகிறது. இந்தத் தாக்குதல்கள், வரி இணக்கம், சம்பளச் சரிசெய்தல், வேலை மாற்றங்கள் மற்றும் ஊழியர் பங்கு உரிமைத் திட்டங்கள் தொடர்பான மிகவும் நம்பத்தகுந்த கவர்ச்சிகளைப் பயன்படுத்துகின்றன.

ஒருமுறை நிறுவப்பட்டவுடன், ValleyRAT தாக்குதல் நடத்துபவர்களை பின்வருவனவற்றைச் செய்ய அனுமதிக்கிறது:

• பாதிக்கப்பட்ட கணினிகளை முழுமையாக தொலைவிலிருந்து கட்டுப்படுத்துங்கள்
• உணர்திறன் மற்றும் நிதித் தரவுகளைச் சேகரிக்கவும்
• பயனர் செயல்பாட்டை நிகழ்நேரத்தில் கண்காணிக்கவும்
• வலையமைப்பிற்குள் நிலைத்தன்மையைப் பேணுங்கள்

இந்த அளவிலான அணுகல், அச்சுறுத்தல் செய்பவர்கள் தாக்குதல்களைத் தீவிரப்படுத்தவும், இரகசியத் தகவல்களை வெளியேற்றவும், மேலும் பாதிப்புக்குள்ளான சூழல்களில் அடுத்தகட்ட சுரண்டல் நிலைகளுக்குத் தங்களைத் தயார்படுத்திக்கொள்ளவும் அனுமதிக்கிறது.