டியூட்டர்பியர் RAT
சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள், ஆசியா-பசிபிக் பிராந்தியத்தை இலக்காகக் கொண்ட சமீபத்திய இணைய உளவுப் பிரச்சாரத்தில், சீனாவுடன் இணைக்கப்பட்ட பிளாக்டெக் ஹேக்கிங் குழுவால் பணியமர்த்தப்பட்ட டியூட்டர்பியர், ரிமோட் அக்சஸ் ட்ரோஜன் (RAT) பற்றிய புதிய நுண்ணறிவுகளை வழங்கியுள்ளனர்.
Deuterbear RAT ஆனது வாட்டர்பியர் என அழைக்கப்படும் குழுவால் பயன்படுத்தப்பட்ட ஒரு தீங்கு விளைவிக்கும் கருவியை ஒத்திருக்கிறது. இருப்பினும், ஷெல்கோடு செருகுநிரல்களுக்கான ஆதரவு, கைகுலுக்கல் இல்லாமல் செயல்பாடு மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C&C) தகவல்தொடர்புக்கு HTTPS பயன்பாடு உள்ளிட்ட குறிப்பிடத்தக்க மேம்பாடுகள் இதில் இடம்பெற்றுள்ளன. வாட்டர்பியர் போலல்லாமல், டியூட்டர்பியர் ஒரு ஷெல்கோட் வடிவமைப்பைப் பயன்படுத்துகிறது, நினைவக எதிர்ப்பு ஸ்கேனிங் நுட்பங்களை ஒருங்கிணைக்கிறது மற்றும் அதன் டவுன்லோடருடன் டிராஃபிக் கீயைப் பகிர்ந்து கொள்கிறது.
பொருளடக்கம்
பிளாக்டெக் அதன் அச்சுறுத்தும் கருவிகளின் ஆயுதக் களஞ்சியத்தை புதுப்பித்து வருகிறது
குறைந்தது 2007 ஆம் ஆண்டு முதல் செயலில் உள்ளது, Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn மற்றும் Temp.Overboard உள்ளிட்ட பல்வேறு பெயர்களால் பிளாக்டெக் சைபர் பாதுகாப்பு சமூகத்தில் அறியப்படுகிறது.
ஏறக்குறைய 15 ஆண்டுகளாக, குழு தங்கள் இணைய தாக்குதல்களில் வாட்டர்பியர் மால்வேரை (DBGPRINT என்றும் அழைக்கப்படுகிறது) அடிக்கடி பயன்படுத்துகிறது. இருப்பினும், அக்டோபர் 2022 முதல், அவர்களின் பிரச்சாரங்களில் Deuterbear எனப்படும் இந்த தீம்பொருளின் புதுப்பிக்கப்பட்ட பதிப்பு இடம்பெற்றுள்ளது.
வாட்டர்பியர் மால்வேரின் டெலிவரிக்காக பேக்டெக் பயன்படுத்திய தொற்று சங்கிலி
வாட்டர்பியர் இலக்கிடப்பட்ட சாதனங்களுக்கு இணைக்கப்பட்ட முறையான இயங்கக்கூடியது வழியாக வழங்கப்படுகிறது, இது ஏற்றியைத் தொடங்க DLL பக்க ஏற்றுதலைப் பயன்படுத்துகிறது. இந்த ஏற்றி பின்னர் ஒரு டவுன்லோடரை டிக்ரிப்ட் செய்து செயல்படுத்துகிறது, இது RAT தொகுதியை மீட்டெடுக்க கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகத்தைத் தொடர்பு கொள்கிறது.
சுவாரஸ்யமாக, தாக்குபவர்-கட்டுப்படுத்தப்பட்ட உள்கட்டமைப்பிலிருந்து RAT தொகுதி இரண்டு முறை பெறப்பட்டது. முதல் பெறுதல் வாட்டர்பியர் செருகுநிரலை ஏற்றுகிறது, இது மற்றொரு C&C சேவையகத்திலிருந்து RAT தொகுதியை மீட்டெடுக்க வாட்டர்பியர் டவுன்லோடரின் வேறுபட்ட பதிப்பைத் தொடங்குவதன் மூலம் கணினியை மேலும் சமரசம் செய்கிறது.
வேறு வார்த்தைகளில் கூறுவதானால், ஆரம்ப வாட்டர்பியர் RAT ஒரு செருகுநிரல் பதிவிறக்கியாக செயல்படுகிறது, இரண்டாவது வாட்டர்பியர் RAT ஒரு பின்கதவாக செயல்படுகிறது, 60 கட்டளைகளின் தொகுப்பைப் பயன்படுத்தி சமரசம் செய்யப்பட்ட ஹோஸ்டிடமிருந்து முக்கியமான தகவல்களை சேகரிக்கிறது.
Deuterbear RAT பாதிக்கப்பட்டவர்களின் சாதனங்களை சமரசம் செய்ய மாற்றியமைக்கப்பட்ட தொற்று உத்திகளை நம்பியுள்ளது
டியூட்டர்பியருக்கான நோய்த்தொற்று பாதை வாட்டர்பியரைப் போலவே உள்ளது, இது RAT பின்கதவு கூறுகளை நிறுவ இரண்டு நிலைகளையும் செயல்படுத்துகிறது. இருப்பினும், இது ஓரளவுக்கு மாற்றியமைக்கிறது.
முதல் நிலை, இந்த நிலையில், டவுன்லோடரைத் தொடங்க ஏற்றியைப் பயன்படுத்துகிறது, இது டிஎல்எல் சைட்-லோடிங் வழியாக இரண்டாம்-நிலை ஏற்றி மூலம் நிலைத்தன்மையை நிலைநிறுத்த உதவும் ஒரு இடைத்தரகரான டியூட்டர்பியர் RAT ஐப் பெற C&C சேவையகத்துடன் இணைக்கிறது. டவுன்லோடரை இயக்குவதற்கு இந்த ஏற்றி இறுதியில் பொறுப்பாகும், இது தகவல் திருட்டுக்காக C&C சர்வரிலிருந்து Deuterbear RATஐ மீண்டும் பதிவிறக்குகிறது.
பாதிக்கப்பட்ட பெரும்பாலான அமைப்புகளில், இரண்டாம் நிலை டியூட்டர்பியர் மட்டுமே உள்ளது. முதல் நிலை டியூட்டர்பியரின் அனைத்து கூறுகளும் 'தொடர்ந்து நிறுவுதல்' முடிந்ததும் முற்றிலும் அகற்றப்படும்.
Deuterbear RAT அதன் முன்னோடியிலிருந்து தனித்தனியாக உருவாகி இருக்கலாம்
இந்த மூலோபாயம் தாக்குபவர்களின் தடங்களை திறம்பட மறைக்கிறது மற்றும் அச்சுறுத்தல் ஆராய்ச்சியாளர்களுக்கு டியூட்டர்பியர் தீம்பொருளை பகுப்பாய்வு செய்வதை கடினமாக்குகிறது, குறிப்பாக உருவகப்படுத்தப்பட்ட சூழல்களில், உண்மையான பாதிக்கப்பட்ட அமைப்புகளுக்கு பதிலாக.
Deuterbear RAT ஆனது அதன் முன்னோடியின் மிகவும் நெறிப்படுத்தப்பட்ட பதிப்பாகும், இது கட்டளைகளின் துணைக்குழுவை மட்டுமே தக்கவைத்து அதன் செயல்பாட்டை விரிவுபடுத்த ஒரு செருகுநிரல் அடிப்படையிலான அணுகுமுறையை பின்பற்றுகிறது. வாட்டர்பியர் தொடர்ச்சியான பரிணாமத்திற்கு உட்பட்டுள்ளது, இறுதியில் டியூட்டர்பியர் வளர்ச்சிக்கு வழிவகுத்தது. சுவாரஸ்யமாக, வாட்டர்பியர் மற்றும் டியூட்டர்பியர் இரண்டும் ஒன்றுக்கு பதிலாக மற்றொன்றை மாற்றாமல், சுயாதீனமாக தொடர்ந்து உருவாகி வருகின்றன.
