பிளாக்மூன் வங்கி ட்ரோஜன்

சைபர் பாதுகாப்பு ஆய்வாளர்கள் இந்திய தனிநபர்கள் மற்றும் அமைப்புகளை இலக்காகக் கொண்ட பல கட்ட ஊடுருவல் பிரச்சாரத்தை கண்டுபிடித்துள்ளனர். இந்த நடவடிக்கை இயற்கையில் சைபர்-உளவு பார்ப்பதாகத் தெரிகிறது மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு நீண்டகால, ரகசிய அணுகலைப் பெறுவதற்கு ஒரு அடுக்கு பின்புற கட்டமைப்பை நம்பியுள்ளது.

ஆரம்ப தொற்று திசையனாக ஃபிஷிங்

இந்திய வருமான வரித் துறையின் அதிகாரப்பூர்வ கடிதப் போக்குவரத்து போல போலியாகக் காட்டப்படும் ஃபிஷிங் மின்னஞ்சல்களுடன் பிரச்சாரம் தொடங்குகிறது. இந்தச் செய்திகள், வரி அபராத அறிவிப்புகள் என்ற போர்வையில் ஒரு ZIP காப்பகத்தைப் பதிவிறக்கம் செய்ய பெறுநர்களை ஈர்க்கின்றன. திறந்தவுடன், காப்பகம் தொற்றுச் சங்கிலியைத் தொடங்குகிறது, இது இறுதியில் தொடர்ச்சியான கண்காணிப்பு மற்றும் தரவு திருட்டை செயல்படுத்துகிறது.

ஆயுதமயமாக்கப்பட்ட காப்பகம் மற்றும் திருட்டுத்தனமான மரணதண்டனை

வழங்கப்பட்ட ZIP கோப்பில் ஐந்து கூறுகள் உள்ளன, 'Inspection Document Review.exe' என்ற பெயரிடப்பட்ட ஒரு டிகோய் எக்ஸிகியூட்டபிள் தவிர மற்ற அனைத்தும் மறைக்கப்பட்டுள்ளன. காப்பகத்தில் உட்பொதிக்கப்பட்ட ஒரு தீங்கிழைக்கும் டைனமிக்-லிங்க் நூலகத்தை ஓரங்கட்ட இந்தக் கோப்பு தவறாகப் பயன்படுத்தப்படுகிறது. முரட்டு DLL பிழைத்திருத்தி-ஏய்ப்பு சோதனைகளைச் செய்து, அடுத்த கட்ட பேலோடை மீட்டெடுக்க தொலை கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பு கொள்கிறது.

சிறப்புரிமை அதிகரிப்பு மற்றும் செயல்முறை மறைத்தல்

பதிவிறக்கம் செய்யப்பட்ட ஷெல்குறியீடு, பயனர் கணக்கு கட்டுப்பாட்டை (UAC) கடந்து செல்ல COM-அடிப்படையிலான நுட்பத்தைப் பயன்படுத்துகிறது, இது உயர்ந்த சலுகைகளை வழங்குகிறது. பின்னர் அது முறையான Windows explorer.exe செயல்முறையைப் போல ஆள்மாறாட்டம் செய்ய அதன் சொந்த செயல்முறை சூழல் தொகுதியை (PEB) மாற்றுகிறது, பாதுகாப்பு கருவிகள் மற்றும் ஆய்வாளர்களால் கண்டறியப்படும் வாய்ப்பைக் குறைக்கிறது.

தகவமைப்பு பேலோட் டெலிவரி

'180.exe' என்ற அடுத்த கட்டம், eaxwwyr[.]cn டொமைனில் இருந்து பெறப்படுகிறது. இந்தக் கோப்பு 32-பிட் Inno Setup நிறுவியாகும், இது பாதிக்கப்பட்ட ஹோஸ்டில் குறிப்பிட்ட பாதுகாப்பு மென்பொருள் உள்ளதா என்பதைப் பொறுத்து அதன் செயல்பாட்டு ஓட்டத்தை மாற்றியமைக்கிறது, இது தீம்பொருளை அதன் ஏய்ப்பு தந்திரங்களை மாறும் வகையில் சரிசெய்ய அனுமதிக்கிறது.

பாதுகாப்பு மென்பொருள் ஏய்ப்பு மற்றும் பிளாக்மூன் இணைப்பு

தற்காப்பு மென்பொருள் கண்டறியப்படும்போது, தீம்பொருள் நேரடி செயலிழப்புகளைத் தவிர்க்கிறது. அதற்கு பதிலாக, இது பாதுகாப்பு இடைமுகத்தை வழிநடத்தவும், விலக்கு பட்டியலில் தீங்கிழைக்கும் கூறுகளை அமைதியாகச் சேர்க்கவும் மவுஸ் அசைவுகளை உருவகப்படுத்துகிறது. இந்தச் செயல்பாடு பிளாக்மூன் (KRBanker) தீம்பொருள் குடும்பத்தின் மாறுபாடாக மதிப்பிடப்பட்ட DLL ஆல் எளிதாக்கப்படுகிறது, இது வரலாற்று ரீதியாக தென் கொரியா, அமெரிக்கா மற்றும் கனடாவில் 2015 இல் தோன்றியதிலிருந்து வணிகங்கள் மீதான தாக்குதல்களுடன் தொடர்புடையது.

ஒரு சட்டபூர்வமான நிறுவன கருவியின் துஷ்பிரயோகம்

விலக்கு பட்டியலில் சேர்க்கப்பட்ட கோப்புகளில் ஒன்று 'Setup.exe' ஆகும், இது SyncFutureTec Company Limited இன் ஒரு சட்டப்பூர்வ பயன்பாடாகும். இந்த நிரல் 'mysetup.exe' ஐ கைவிடுகிறது, இது SyncFuture TSM (டெர்மினல் செக்யூரிட்டி மேனேஜ்மென்ட்) என அடையாளம் காணப்படுகிறது, இது நான்ஜிங் சோங்கே ஹுவாசாய் டெக்னாலஜி கோ., லிமிடெட் உருவாக்கிய வணிக தொலைதூர கண்காணிப்பு மற்றும் மேலாண்மை தீர்வாகும். நிறுவன நிர்வாகத்திற்காக வடிவமைக்கப்பட்டிருந்தாலும், இந்த பிரச்சாரத்தில் இது ஒரு விரிவான உளவு தளமாக மீண்டும் பயன்படுத்தப்படுகிறது.

துணை கூறுகள் மற்றும் அமைப்பு கையாளுதல்

பயன்படுத்தப்பட்டதைத் தொடர்ந்து, சூழலைத் தயாரிக்கவும் கட்டுப்படுத்தவும் கூடுதல் கூறுகள் நிறுவப்படுகின்றன:

• தனிப்பயன் கோப்பகங்களை உருவாக்கும், அணுகல் கட்டுப்பாட்டு பட்டியல்களை மாற்றியமைக்கும், டெஸ்க்டாப் அனுமதிகளை மாற்றும் மற்றும் சுத்தம் செய்தல் மற்றும் மீட்டமைத்தல் பணிகளைச் செய்யும் தொகுதி ஸ்கிரிப்ட்கள்.
• 'MANC.exe' என்ற ஒரு இசைக்குழு செயல்படுத்தக்கூடியது, இது சேவைகளை ஒருங்கிணைத்து விரிவான செயல்பாட்டு பதிவை செயல்படுத்துகிறது.

செயல்பாட்டு தாக்கம் மற்றும் மூலோபாய முக்கியத்துவம்

தனிப்பயன் தீம்பொருளுடன் ஒரு முறையான நிறுவன கருவியை துஷ்பிரயோகம் செய்வதன் மூலம், ஆபரேட்டர்கள் பாதிக்கப்பட்ட இறுதிப் புள்ளிகள் மீது ரிமோட் கண்ட்ரோல், பயனர் செயல்பாட்டில் தொடர்ச்சியான தெரிவுநிலை மற்றும் உணர்திறன் தரவு வெளியேற்றத்திற்கான மையப்படுத்தப்பட்ட வழிமுறையைப் பெறுகிறார்கள். DLL பக்க ஏற்றுதல், சலுகை அதிகரிப்பு, வணிக-கருவி மறுபயன்பாடு, பகுப்பாய்வு எதிர்ப்பு நடவடிக்கைகள் மற்றும் பாதுகாப்பு-மென்பொருள் ஏய்ப்பு ஆகியவற்றின் ஒருங்கிணைந்த பயன்பாடு அதிக அளவிலான தொழில்நுட்ப முதிர்ச்சியையும், சமரசம் செய்யப்பட்ட அமைப்புகளின் மீது தொடர்ச்சியான, துல்லியமான கட்டுப்பாட்டைப் பராமரிக்கும் தெளிவான நோக்கத்தையும் பிரதிபலிக்கிறது.