EAGERBEE மால்வேர்
EAGERBEE மால்வேர் கட்டமைப்பின் புதிதாகப் புதுப்பிக்கப்பட்ட பதிப்பு இணைய சேவை வழங்குநர்கள் (ISPகள்) மற்றும் மத்திய கிழக்கில் உள்ள அரசாங்க நிறுவனங்களை இலக்காகக் கொண்டது.
தும்டைஸ் என்றும் அழைக்கப்படும் இந்த சமீபத்திய மறு செய்கையானது, கூடுதல் பேலோடுகளை வரிசைப்படுத்தவும், கோப்பு முறைமைகளை ஆராயவும் மற்றும் கட்டளை ஷெல்களை இயக்கவும் உதவும் பல கூறுகளை உள்ளடக்கியது. இந்த மேம்பாடுகள் அதன் திறன்களில் குறிப்பிடத்தக்க முன்னேற்றத்தைக் குறிக்கின்றன.
பொருளடக்கம்
மட்டு வடிவமைப்பு மற்றும் செயல்பாட்டு வகைகள்
பின்கதவு முக்கிய செருகுநிரல்களை நம்பியுள்ளது, அவை அவற்றின் செயல்பாடுகளின் அடிப்படையில் தொகுக்கப்படலாம்: செருகுநிரல் ஆர்கெஸ்ட்ரேட்டர், கோப்பு முறைமை கையாளுதல், தொலைநிலை அணுகல் மேலாளர், செயல்முறை ஆய்வு, நெட்வொர்க் இணைப்பு பட்டியல் மற்றும் சேவை மேலாண்மை. CoughingDown எனப்படும் அச்சுறுத்தல் குழுவுடன் இணைய பாதுகாப்பு ஆராய்ச்சியாளர்கள் EAGERBEE ஐ நடுத்தர நம்பிக்கையுடன் இணைத்துள்ளனர்.
ஆரம்பத்தில், EAGERBEE ஆனது REF5961 என பெயரிடப்பட்ட அரசு நிதியுதவி பெற்ற இணைய-உளவு குழுவுடன் தொடர்புடையது. இந்த பின்கதவு, தொழில்நுட்ப ரீதியாக நேரடியானது என்றாலும், SSL குறியாக்கத்துடன் முன்னோக்கி மற்றும் தலைகீழ் கட்டளை மற்றும் கட்டுப்பாட்டு சேனல்களை ஆதரிக்கிறது. இது முதன்மையாக கணினி உளவு நோக்கத்திற்காகவும், சுரண்டலுக்குப் பிந்தைய செயல்பாடுகளுக்கு கூடுதல் செயல்படுத்தக்கூடியவற்றை வழங்குவதற்கும் வடிவமைக்கப்பட்டுள்ளது.
உளவு செயல்பாடுகள் மற்றும் கிளஸ்டர் ஆல்பாவுடனான இணைப்புகள்
Cluster Alpha எனப்படும் சீன அரசுடன் இணைந்த அச்சுறுத்தல் நடிகருக்குக் காரணமான இணைய உளவுப் பிரச்சாரங்களில் EAGERBEE இன் மாற்றியமைக்கப்பட்ட பதிப்பு பயன்படுத்தப்பட்டது என்று பின்னர் நடத்தப்பட்ட விசாரணைகள் வெளிப்படுத்தின. கிரிம்சன் பேலஸ் என்ற குறியீட்டுப் பெயரிடப்பட்ட இந்த நடவடிக்கையானது, தென்கிழக்கு ஆசியாவில் உள்ள ஒரு உயர்மட்ட அரசு நிறுவனத்திடமிருந்து முக்கியமான அரசியல் மற்றும் இராணுவ உளவுத்துறையைப் பிரித்தெடுப்பதை நோக்கமாகக் கொண்டது.
BackdoorDiplomacy , REF5961, Worok மற்றும் TA428 உள்ளிட்ட பிற இணைய-உளவு குழுக்களுடன் கிளஸ்டர் ஆல்பா மேலெழுகிறது. குறிப்பிடத்தக்க வகையில், BackdoorDiplomacy தந்திரோபாய பண்புகளை CloudComputating உடன் பகிர்ந்து கொள்கிறது (ஃபேக்கிங் டிராகன் என்றும் அழைக்கப்படுகிறது), இது QSC எனப்படும் மாடுலர் மால்வேர் கட்டமைப்புடன் இணைக்கப்பட்ட சீன மொழி பேசும் நிறுவனமாகும். தெற்காசியாவில் தொலைத்தொடர்புத் துறைக்கு எதிரான சைபர் தாக்குதல்களில் இந்த கட்டமைப்பை அவதானிக்க முடிந்தது.
நினைவகத்தில் செயல்படுத்துதல் மற்றும் திருட்டுத்தனமான திறன்கள்
QSC ஒரு மட்டு கட்டமைப்பைப் பின்பற்றுகிறது, இதில் ஆரம்ப ஏற்றி மட்டுமே வட்டில் சேமிக்கப்படுகிறது, அதே நேரத்தில் கோர் மற்றும் நெட்வொர்க் கூறுகள் நினைவகத்தில் இருக்கும். இந்த அணுகுமுறை தாக்குபவர்களை தங்கள் நோக்கங்களின் அடிப்படையில் மாறும் வகையில் செருகுநிரல்களை ஏற்ற அனுமதிக்கிறது.
மிக சமீபத்திய EAGERBEE ஊடுருவல்களில், ஒரு உட்செலுத்தி DLL பின்கதவு தொகுதியை இயக்குகிறது. செயல்படுத்தப்பட்டதும், பின்கதவு கணினி விவரங்களைச் சேகரித்து அவற்றை TCP சாக்கெட் வழியாக தொலை சேவையகத்திற்கு அனுப்புகிறது. இந்த சம்பவங்களில் ஆரம்ப அணுகலைப் பெற பயன்படுத்தப்படும் குறிப்பிட்ட முறை தெளிவாக இல்லை.
தொலை சேவையகம் செருகுநிரல் ஆர்கெஸ்ட்ரேட்டரைப் பயன்படுத்துவதன் மூலம் பதிலளிக்கிறது, இது டொமைன் NetBIOS பெயர்கள், நினைவக பயன்பாட்டு புள்ளிவிவரங்கள் மற்றும் கணினி லோகேல் அமைப்புகள் போன்ற கணினி விவரங்களை மீட்டெடுத்து அறிக்கை செய்கிறது. மேலும் அறிவுறுத்தல்களுக்காக காத்திருக்கும் போது, இயங்கும் செயல்முறைகள் பற்றிய தரவையும் இது சேகரிக்கிறது:
- நினைவகத்தில் செருகுநிரல்களை செலுத்துகிறது
- குறிப்பிட்ட செருகுநிரல்களை இறக்குதல் அல்லது பட்டியலிலிருந்து அனைத்தையும் அழிக்கிறது
- செருகுநிரல் செயலில் உள்ளதா என்பதைச் சரிபார்க்கிறது
ஒவ்வொரு செருகுநிரலும் ஆர்கெஸ்ட்ரேட்டரிடமிருந்து கட்டளைகளை செயல்படுத்துகிறது, கோப்பு மேலாண்மை, செயல்முறை கட்டுப்பாடு, தொலை இணைப்பு, கணினி சேவை மேற்பார்வை மற்றும் பிணைய இணைப்பு கண்காணிப்பு ஆகியவற்றைக் கையாளுகிறது.
பாதிப்புகள் மற்றும் தொடர்ச்சியான அச்சுறுத்தல்களைப் பயன்படுத்துதல்
ப்ராக்ஸிலோகன் பாதிப்புடன் (CVE-2021-26855) குறைந்தபட்சம் இரண்டு மீறல்கள் இணைக்கப்பட்டுள்ளதால், கிழக்கு ஆசியாவில் உள்ள பல நிறுவனங்களில் EAGERBEE நோய்த்தொற்றுகளை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இந்த சந்தர்ப்பங்களில், தாக்குபவர்கள் சமரசம் செய்யப்பட்ட சேவையகங்களில் கட்டளைகளை இயக்க வலை ஷெல்களைப் பயன்படுத்துகின்றனர், இறுதியில் பின்கதவை நிறுவுவதற்கு வழிவகுத்தது.
EAGERBEE முதன்மையாக நினைவக-குடியிருப்பு கட்டமைப்பாக செயல்படுகிறது, இது வழக்கமான பாதுகாப்பு கருவிகள் மூலம் கண்டறிவதைத் தவிர்ப்பதற்கான அதன் திறனை கணிசமாக மேம்படுத்துகிறது. பாதுகாப்பற்ற குறியீட்டை முறையான செயல்முறைகளில் செலுத்துவதன் மூலம், அதன் கட்டளை ஷெல் செயல்பாடுகளை மறைக்கிறது, சாதாரண கணினி செயல்பாடுகளுடன் தடையின்றி கலக்கிறது மற்றும் அதன் நடத்தையைக் கண்டறிந்து பகுப்பாய்வு செய்வதற்கான முயற்சிகளை சிக்கலாக்குகிறது.