டெத்ஸ்டாக்கர் APT

டெத்ஸ்டால்கர் என்பது, கூலிப்படையாக செயல்படுவதாக அல்லது ஹேக்-க்கு-ஹைர் சேவைகளை வழங்குவதாக ஆராய்ச்சியாளர்கள் நம்பும் ஹேக்கர்களின் மேம்பட்ட பெர்சிஸ்டண்ட் த்ரெட் (APT) குழுவிற்கு வழங்கப்பட்ட பெயர். இந்த பகுப்பாய்வின் அடிப்படையானது குழுவிற்குக் கூறப்படும் செயல்பாடுகளில் காட்டப்படும் குறிப்பிட்ட பண்புகள் ஆகும். வழக்கமான சைபர் கிரிமினல் நடத்தையாகக் கருதப்படுவதைப் போலன்றி, DeathStalker அவர்களின் பாதிக்கப்பட்டவர்களை ransomware மூலம் பாதிக்காது மற்றும் வங்கி அல்லது கிரெடிட்/டெபிட் கார்டு நற்சான்றிதழ்களை சேகரிக்காது, ஹேக்கர்கள் பாதிக்கப்பட்டவர்களிடமிருந்து நிதி ஆதாயம் தேடவில்லை என்பதற்கான தெளிவான அறிகுறிகள். மாறாக, DeathStalker பாதிக்கப்பட்டவர்களின் மிகக் குறுகிய வரிசையிலிருந்து தரவுகளை வெளியேற்றுவதில் நிபுணத்துவம் பெற்றதாகத் தோன்றுகிறது. ஒரு தூதரக நிறுவனத்தைத் தாக்குவது போன்ற சில தனி விதிவிலக்குகளைத் தவிர, குழுவானது நிதித் துறையில் செயல்படும் தனியார் நிறுவனங்களான ஆலோசனை நிறுவனங்கள், தொழில்நுட்ப நிறுவனங்கள், சட்ட நிறுவனங்கள் போன்றவற்றைத் தொடர்ந்து பின்தொடர்கிறது. புவியியல் பரவலைப் பொறுத்தவரை, டெத்ஸ்டாக்கரின் முக்கிய கருவிகளில் ஒன்றால் உருவாக்கப்பட்ட போக்குவரத்தைக் கண்காணிப்பதன் மூலம் - பவர்சிங் எனப்படும் தீம்பொருள் அச்சுறுத்தல், டெத்ஸ்டாக்கரால் பாதிக்கப்பட்டவர்கள் சீனா, சைப்ரஸ், இஸ்ரேல், அர்ஜென்டினா, லெபனான், சுவிட்சர்லாந்து, துருக்கி, தைவான், யுனைடெட் கிங்டம் மற்றும் ஐக்கிய அரபு எமிரேட்ஸ்.

ஸ்பியர்-ஃபிஷிங் மற்றும் டெட் டிராப் ரிசோல்வர்கள்

DeathStalker APT இன் தாக்குதல் சங்கிலியை உன்னிப்பாகப் பார்த்தால், ஹேக்கர்கள் தங்கள் முக்கிய கருவியை ஈட்டி-ஃபிஷிங் மின்னஞ்சல்கள் மூலம் சமரசம் செய்யப்பட்ட இணைப்புகளைக் கொண்டு வழங்குகிறார்கள் என்பதை வெளிப்படுத்துகிறது. இணைக்கப்பட்ட கோப்புகள் எக்ஸ்ப்ளோரர் ஆவணங்கள் அல்லது காப்பகங்களாக மாறுவேடத்தில் உள்ளன, மாறாக, சிதைந்த LNK கோப்பை எடுத்துச் செல்கின்றன. சந்தேகத்திற்கு இடமில்லாத பயனர் அவற்றைச் செயல்படுத்தும்போது, அது சுருண்ட பல-நிலை சங்கிலியைத் தொடங்குகிறது. ஆரம்ப கட்டத்தில், பின்னணியில் நடக்கும் அனைத்து செயல்பாடுகளையும் மறைத்து, முடிந்தவரை சிறிய சந்தேகத்தை எழுப்பும் முயற்சியில், ஒரு டிகோய் ஆவணம் பயனருக்குக் காட்டப்படும். விபிஇ ஸ்டார்ட்அப் ஸ்கிரிப்டை இயக்கும் விண்டோஸ் ஸ்டார்ட்அப் கோப்புறையில் குறுக்குவழியை உருவாக்குவதன் மூலம் ஒரு நிலைத்தன்மை பொறிமுறை நிறுவப்பட்டது. உண்மையான மால்வேர் பேலோட் தாக்குதலின் இரண்டாம் கட்டத்தில் கைவிடப்பட்டது. உண்மையான கட்டளை மற்றும் கட்டுப்பாடு (C&C, C2) சேவையக முகவரியைப் பெற இது ஒரு டெட் டிராப் ரிசல்வருடன் இணைக்கிறது. தகவல்தொடர்பு நிறுவப்பட்டதும், Powersing இரண்டு விஷயங்களுக்கு மட்டுமே பொறுப்பாகும் - கணினியின் ஸ்கிரீன் ஷாட்களை எடுத்து, அவற்றை உடனடியாக C2 சேவையகத்திற்கு அனுப்பவும் மற்றும் செயல்படுத்துவதற்கு C2 வழங்கும் பவர்ஷெல் ஸ்கிரிப்ட்களுக்காக காத்திருக்கவும்.

Powersing அதன் C2 முகவரிக்கு வரும் விசித்திரமான வழி மிகவும் தனித்துவமானது. இடுகைகள், கருத்துகள், மதிப்புரைகள், பயனர் சுயவிவரங்கள் போன்ற பல்வேறு பொதுச் சேவைகளில் ஆரம்பத் தரவுகளைக் கொண்ட சரங்களை ஹேக்கர்கள் விட்டுச் செல்கிறார்கள். Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress மற்றும் Imgur இல் இத்தகைய செய்திகளை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இத்தகைய நன்கு அறியப்பட்ட பொதுச் சேவைகளைப் பயன்படுத்துவது ஆரம்ப தகவல்தொடர்புகளின் வெற்றிக்கு கிட்டத்தட்ட உத்தரவாதம் அளிக்கிறது, ஏனெனில் போக்குவரத்து சாதாரணமாக உருவாக்கப்படும் போக்குவரத்துடன் எளிதாகக் கலக்கிறது மற்றும் தளங்களை தடுப்புப்பட்டியலில் சேர்க்க முடிவு செய்தால் நிறுவனங்கள் எதிர்கொள்ளும் சிரமம். ஹேக்கர்களுக்கு ஒரு குறைபாடு உள்ளது, இருப்பினும், அவர்களின் தடயங்களை அகற்றுவது கிட்டத்தட்ட சாத்தியமற்றது. இதன் விளைவாக, பவர்சிங் செயல்பாட்டின் முதல் அறிகுறிகள் 2017 இல் தோன்றின என்பதை ஆராய்ச்சியாளர்கள் தீர்மானிக்க முடிந்தது.

பவர்சிங் மற்றும் பிற மால்வேர் குடும்பங்களுக்கு இடையே உள்ள இணைப்புகள்

பவர்சிங் பொதுவானதாக இல்லாத சில விசித்திரமான பண்புகளைக் கொண்டுள்ளது. மற்றொரு தீம்பொருள் குடும்பம் ஏறக்குறைய ஒரே மாதிரியான பண்புக்கூறுகளைக் கொண்டிருப்பதாகக் கண்டறியப்பட்டால், அவை ஒரே ஹேக்கர் குழுவால் உருவாக்கப்பட்டவை அல்லது அச்சுறுத்தும் நடிகர்கள் நிச்சயமாக நெருக்கமாக இணைந்து செயல்படுகிறார்கள் என்ற நம்பத்தகுந்த கருதுகோளை உருவாக்குகிறது. இருப்பினும், Powersing என்று வரும்போது, அதற்கும் Janicab மற்றும் Evilnum எனப்படும் இரண்டு தீம்பொருள் குடும்பங்களுக்கும் இடையே ஒற்றுமைகள் கண்டறியப்பட்டுள்ளன.

ஈட்டி-ஃபிஷிங் மின்னஞ்சல்கள் மூலம் பரப்பப்படும் இணைப்புகளில் மறைத்து வைக்கப்பட்டுள்ள LNK கோப்புகள் மூலம் இவை மூன்றும் வழங்கப்படுகின்றன என்பதில் இருந்து ஆரம்பிக்கலாம். ஒப்புக்கொண்டபடி, இது மிகவும் பொதுவான தந்திரோபாயமாகும், ஆனால் மூவரும் தங்கள் C2 முகவரிகளை வழக்கமான வெளிப்பாடுகள் மற்றும் கடின குறியிடப்பட்ட வாக்கியங்களுடன் டெட் டிராப் ரிசல்வர்ஸ் மூலம் பெறுகிறார்கள். இறுதியாக, இந்த தீம்பொருள் அச்சுறுத்தல்களுக்கு இடையே குறியீடு ஒன்றுடன் ஒன்று உள்ளது, வெவ்வேறு குறியீட்டு மொழிகளில் எழுதப்பட்டிருந்தாலும் சில மாறிகள் மற்றும் செயல்பாடுகளுக்கு ஒரே மாதிரியான பெயர்கள் போன்றவை.