தீப்டேட்டா மால்வேர்
BrazenBamboo என்ற மாற்றுப்பெயரின் கீழ் செயல்படும் ஒரு அச்சுறுத்தல் நடிகர் VPN நற்சான்றிதழ்களை அறுவடை செய்வதற்காக Fortinet's FortiClient இல் இணைக்கப்படாத பாதிப்பை ஏற்படுத்தினார். இந்த செயல்பாடு DEEPDATA என குறிப்பிடப்படும் அதிநவீன மட்டு கட்டமைப்பின் ஒரு பகுதியாகும்.
இந்த பிரச்சாரத்தை ஆய்வு செய்த ஆராய்ச்சியாளர்கள், ஜூலை 2024 இல் பூஜ்ஜிய-நாள் நற்சான்றிதழ் வெளிப்படுத்தல் பாதிப்பின் சுரண்டலைக் கண்டறிந்தனர். அவர்கள் DEEPDATA, DEEPPOST மற்றும் LightSpy ஆகியவற்றின் வளர்ச்சியை BrazenBamboo விற்குக் காரணம் காட்டியுள்ளனர்.
DEEPDATA மால்வேர் என்றால் என்ன
DEEPDATA என்பது விண்டோஸ் இயங்குதளத்திற்காக வடிவமைக்கப்பட்ட ஒரு மாடுலர் பிந்தைய சுரண்டல் கருவியாகும், இது சமரசம் செய்யப்பட்ட சாதனங்களிலிருந்து விரிவான தகவல்களை சேகரிக்கும் திறன் கொண்டது. சைபர் செக்யூரிட்டி நிபுணர்கள் விண்டோஸ் அடிப்படையிலான கண்காணிப்பு கட்டமைப்பை ஆய்வு செய்தபோது, சீனாவுடன் தொடர்புடைய APT41 அச்சுறுத்தல் நடிகருடன் அதை இணைத்தபோது இது ஆரம்பத்தில் கவனத்திற்கு கொண்டு வரப்பட்டது. WhatsApp, Telegram, Signal, WeChat, LINE, QQ மற்றும் Skype போன்ற தகவல்தொடர்பு தளங்களிலிருந்து தரவைப் பிரித்தெடுக்க DEEPDATA பயன்படுத்தப்படுகிறது, அத்துடன் Microsoft Outlook, DingDing, Feishu, KeePass, பயன்பாட்டுச் சான்றுகள், உலாவி தரவு, Wi-Fi நெட்வொர்க்குகள் மற்றும் நிறுவப்பட்ட மென்பொருள்.
DEEPDATA இன் மையத்தில் data.dll எனப்படும் டைனமிக்-லிங்க் லைப்ரரி (DLL) ஏற்றி உள்ளது, இது frame.dll என்ற ஆர்கெஸ்ட்ரேட்டர் தொகுதி வழியாக 12 வேறுபட்ட செருகுநிரல்களை டிக்ரிப்ட் செய்து வரிசைப்படுத்த வடிவமைக்கப்பட்டுள்ளது. இந்த செருகுநிரல்களில் புதிதாக அடையாளம் காணப்பட்ட FortiClient DLL, VPN சான்றுகளை சேகரிக்கும் திறன் கொண்டது.
விண்டோஸிற்கான ஃபோர்டினெட் விபிஎன் கிளையண்டில் இணைக்கப்படாத பூஜ்ஜிய நாள் பாதிப்பை இந்த செருகுநிரல் பயன்படுத்திக் கொள்கிறது. இந்தக் குறைபாட்டைப் பயன்படுத்திக் கொள்வதன் மூலம், வாடிக்கையாளர் செயல்பாட்டின் நினைவகத்திலிருந்து நேரடியாக பயனர் நற்சான்றிதழ்களைப் பெறுகிறது.
பிற தீங்கு விளைவிக்கும் அச்சுறுத்தல்கள் BrazenBamboo Arsenal பகுதி
2022 இல் லைட்ஸ்பை ஸ்பைவேர் உள்வைப்பை உருவாக்கியதில் இருந்து, தாக்குபவர் தொடர்ந்து மூலோபாய ரீதியாக தகவல் தொடர்பு தளங்களை குறிவைத்தல், திருட்டுத்தனம் மற்றும் நிலையான அணுகலுக்கு முன்னுரிமை அளிப்பதில் கவனம் செலுத்துகிறார். LightSpy இன் விண்டோஸ் பதிப்பு அதன் கட்டமைப்பில் மற்ற OS வகைகளிலிருந்து வேறுபடுகிறது. நினைவகத்தில் ஷெல்கோடை இயக்க நூலகத்தை ஏற்றும் நிறுவி மூலம் இது பயன்படுத்தப்படுகிறது. இந்த ஷெல்கோடு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திலிருந்து ஆர்கெஸ்ட்ரேட்டர் கூறுகளை பதிவிறக்கம் செய்து டிகோட் செய்கிறது. ஆர்கெஸ்ட்ரேட்டர் BH_A006 எனப்படும் ஏற்றி மூலம் செயல்படுத்தப்படுகிறது, இது முன்னர் ரஷ்ய அமைப்புகளை குறிவைப்பதற்காக அறியப்பட்ட சீன அச்சுறுத்தல் குழுவான 'ஸ்பேஸ் பைரேட்ஸ்' உடன் தொடர்புடையது.
BrazenBamboo இன் மால்வேர் ஆயுதக் களஞ்சியத்தில் உள்ள மற்றொரு கருவி DEEPPOST ஆகும், இது சுரண்டலுக்குப் பிந்தைய தரவுகளை வெளியேற்றும் கருவியாகும், இது தொலைநிலை இறுதிப் புள்ளிக்கு கோப்புகளை அனுப்பும் திறன் கொண்டது. ஒன்றாக, DEEPDATA மற்றும் DEEPPOST ஆகியவை அச்சுறுத்தல் நடிகரின் இணைய உளவு திறன்களை கணிசமாக மேம்படுத்துகின்றன, லைட்ஸ்பையுடன் முந்தைய வேலைகளை உருவாக்குகின்றன, இது இப்போது macOS, iOS மற்றும் Windows ஐ குறிவைக்கிறது.
LightSpy மற்றும் DEEPDATA இடையே குறிப்பிடத்தக்க குறியீடு மற்றும் உள்கட்டமைப்பு ஒற்றுமைகள் உள்ளன, இது இரண்டு மால்வேர் குடும்பங்களும் ஒரே தனியார் நிறுவனத்தால் உருவாக்கப்பட்டு, அரசாங்க பயன்பாட்டிற்கான ஹேக்கிங் கருவிகளை உருவாக்க ஒப்பந்தம் செய்யப்படலாம் என்பதைக் குறிக்கிறது.
