கர்கீப் பின்கதவு
CurKeep Backdoor எனப்படும் தனிப்பயன் மால்வேர் அச்சுறுத்தல், 'Stayin' Alive எனப்படும் சைபர் தாக்குதல் பிரச்சாரத்தின் முக்கிய அங்கமாக அடையாளம் காணப்பட்டுள்ளது. 2021 இல் தொடங்கிய இந்த தற்போதைய பிரச்சாரம், பல்வேறு ஆசிய நாடுகளில் உள்ள அரசு நிறுவனங்கள் மற்றும் தொலைத்தொடர்பு சேவை வழங்குநர்கள் மீது குறிப்பாக கவனம் செலுத்துகிறது. இந்த பிரச்சாரத்தின் பின்னணியில் உள்ள தாக்குபவர்கள் கண்டறிதலைத் தவிர்ப்பதற்காக பலவிதமான 'டிஸ்போசபிள்' மால்வேரைப் பயன்படுத்துகின்றனர்.
கஜகஸ்தான், உஸ்பெகிஸ்தான், பாகிஸ்தான் மற்றும் வியட்நாம் போன்ற நாடுகளில் பிரச்சாரத்தின் இலக்குகளில் கணிசமான பகுதி அமைந்திருப்பதை பாதுகாப்பு ஆய்வாளர்கள் அவதானித்துள்ளனர். 'ஸ்டேயின்' அலைவ்' பிரச்சாரம் இன்னும் செயலில் உள்ளது மற்றும் தொடர்ந்து அச்சுறுத்தலாக உள்ளது.
இந்த பிரச்சாரத்துடன் தொடர்புடைய சைபர் தாக்குதல்கள் 'ToddyCat' என குறிப்பிடப்படும் சீன உளவு குழுவிற்குக் காரணம். இந்தக் குழுவானது ஸ்பியர்-ஃபிஷிங் செய்திகளைப் பயன்படுத்துகிறது, அவை அச்சுறுத்தும் இணைப்புகளைக் கொண்டுள்ளன, அவை பல்வேறு தீம்பொருள் ஏற்றிகள் மற்றும் பின்கதவுகளை வழங்கப் பயன்படுகின்றன.
கர்கீப் பின்கதவு ஸ்பியர்-ஃபிஷிங் உத்திகள் மூலம் பயன்படுத்தப்படுகிறது
அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்படும் தனிப்பயன் கருவிகளின் பரந்த வரிசையை ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர், அவை கண்டறிதலை முறியடிப்பதற்கும் பல்வேறு தாக்குதல்களின் இணைப்பைத் தடுப்பதற்கும் செலவழிக்கக்கூடியதாக வடிவமைக்கப்பட்டுள்ளன என்று அவர்கள் நம்புகிறார்கள்.
தாக்குதல் ஒரு ஈட்டி-ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகிறது, முக்கியமான நிறுவனங்களுக்குள் குறிப்பிட்ட நபர்களை குறிவைக்க கவனமாக வடிவமைக்கப்பட்டுள்ளது, இணைக்கப்பட்ட ZIP கோப்பை திறக்க அவர்களை வலியுறுத்துகிறது. காப்பகத்திற்குள், டிஜிட்டல் கையொப்பமிடப்பட்ட இயங்கக்கூடியது உள்ளது, மின்னஞ்சலின் சூழலுடன் சீரமைக்க கவனமாக பெயரிடப்பட்டது. ஆடினேட்டின் டான்டே டிஸ்கவரி மென்பொருளில் உள்ள பாதிப்பை (CVE-2022-23748) பயன்படுத்திக் கொள்ளும் சிதைந்த DLLயும் இதில் உள்ளது, இதன் மூலம் சமரசம் செய்யப்பட்ட கணினியில் CurKeep மால்வேரை பக்கவாட்டில் ஏற்றுவதற்கு இது உதவுகிறது.
கர்கீப், ஒரு இலகுரக 10kb பின்கதவு, மீறப்பட்ட சாதனத்தில் நிலைத்தன்மையை நிறுவுவதற்கு பொறுப்பாகும். இது கணினி தகவலை கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு அனுப்புகிறது, பின்னர் மேலும் வழிமுறைகளுக்கு காத்திருக்கிறது. இந்த பின்கதவு பாதிக்கப்பட்டவரின் நிரல் கோப்புகளிலிருந்து கோப்பகப் பட்டியலை வெளியேற்றும் திறனைக் கொண்டுள்ளது, இது கணினியில் நிறுவப்பட்ட மென்பொருளைப் பற்றிய நுண்ணறிவுகளை வழங்குகிறது. இது கட்டளைகளை இயக்கலாம் மற்றும் வெளியீட்டை C2 சேவையகத்திற்கு ரிலே செய்யலாம், அத்துடன் அதன் ஆபரேட்டர்களின் உத்தரவுகளின்படி கோப்பு அடிப்படையிலான பணிகளைச் செய்யலாம்.
CurKeep ஐத் தவிர, பிரச்சாரம் மற்ற கருவிகளைப் பயன்படுத்துகிறது, முதன்மையாக ஏற்றிகள், இதே போன்ற DLL பக்க-ஏற்றுதல் முறைகள் மூலம் செயல்படுத்தப்படுகிறது. அவற்றில் குறிப்பிடத்தக்கவை CurLu loader, CurCore மற்றும் CurLog ஏற்றி, ஒவ்வொன்றும் தனித்துவமான செயல்பாடுகள் மற்றும் தொற்று வழிமுறைகளைக் கொண்டுள்ளன.
'ஸ்டேயின்' அலைவ்' சைபர் கிரைம் ஆபரேஷன் குறிப்பிட்ட இலக்குகளுக்கு ஏற்ப வடிவமைக்கப்பட்டுள்ளது.
மொழி, கோப்புப் பெயர்கள் மற்றும் கருப்பொருள் கூறுகள் உள்ளிட்ட குறிப்பிட்ட பிராந்திய இலக்குகளுக்கு ஏற்றவாறு அடிக்கடி தனிப்பயனாக்கப்படும் இந்த ஏற்றிகள் மற்றும் பேலோடுகளின் பல்வேறு மாதிரிகள் மற்றும் பதிப்புகளை 'ஸ்டேயின்' அலைவ்' பயன்படுத்துகிறது. இணைய பாதுகாப்பு வல்லுநர்கள், சமீபத்தில் கண்டுபிடிக்கப்பட்ட கிளஸ்டர், கூடுதல் வெளிப்படுத்தப்படாத கருவிகள் மற்றும் தாக்குதல் நுட்பங்களை உள்ளடக்கிய ஒரு பெரிய பிரச்சாரத்தின் ஒரு பகுதியாக இருக்கலாம் என்று நம்புகின்றனர்.
இந்தத் தாக்குதல்களில் பயன்படுத்தப்பட்ட தனித்துவமான கருவிகளின் விரிவான வகைப்படுத்தல் மற்றும் அவற்றின் உயர் மட்ட தனிப்பயனாக்கம் ஆகியவற்றின் அடிப்படையில், அவை எளிதில் நிராகரிக்கப்படும் வகையில் வடிவமைக்கப்பட்டுள்ளன என்பது தெளிவாகிறது. இந்தக் கருவிகளின் குறியீட்டில் வேறுபாடுகள் இருந்தபோதிலும், அவை அனைத்தும் ஒரே உள்கட்டமைப்புடன் தொடர்புகளை ஏற்படுத்துகின்றன, இது முன்பு சீன இணைய உளவுக் குழுவான ToddyCat உடன் தொடர்புடையது.
