EMPTYSPACE டவுன்லோடர்
UNC4990 என அழைக்கப்படும் நிதி ரீதியாக ஊக்கமளிக்கும் அச்சுறுத்தல் நடிகர், ஆரம்ப தொற்று திசையனாக இத்தாலியில் உள்ள நிறுவனங்களை குறிவைக்க ஆயுதமாக்கப்பட்ட USB சாதனங்களை பயன்படுத்துகிறார். உடல்நலம், போக்குவரத்து, கட்டுமானம் மற்றும் தளவாடங்கள் உள்ளிட்ட பல தொழில்களை குறிவைத்து தாக்குதல்கள் நடத்தப்பட்டதாகத் தெரிகிறது. UNC4990 செயல்பாடுகள் பொதுவாக பரவலான USB தொற்று மற்றும் EMPTYSPACE டவுன்லோடரைப் பயன்படுத்துவதை உள்ளடக்கியது.
இந்த தாக்குதல் நடவடிக்கைகளின் போது, கிட்ஹப், விமியோ போன்ற மூன்றாம் தரப்பு இணையதளங்களை கிளஸ்டர் நம்பியிருக்கிறது, மேலும் குறியாக்கம் செய்யப்பட்ட கூடுதல் நிலைகளை ஹோஸ்ட் செய்ய இது பவர்ஷெல் மூலம் பதிவிறக்கம் செய்து டிகோட் செய்கிறது.
பொருளடக்கம்
UNC4990 அச்சுறுத்தல் நடிகர்கள் பல ஆண்டுகளாக செயலில் உள்ளனர்
UNC4990 ஆனது 2020 ஆம் ஆண்டின் பிற்பகுதியிலிருந்து செயலில் உள்ளது மற்றும் இத்தாலியில் இருந்து செயல்படுவதாக நம்பப்படுகிறது, இது கட்டளை மற்றும் கட்டுப்பாடு (C2) செயல்பாடுகளுக்கு இத்தாலிய உள்கட்டமைப்பை அடிக்கடி பயன்படுத்துவதில் தெளிவாகத் தெரிகிறது. UNC4990 இன் குறிப்பிட்ட பங்கு நிச்சயமற்றதாகவே உள்ளது; குழு மற்ற நடிகர்களுக்கான ஆரம்ப அணுகலை மட்டும்தான் வசதிசெய்கிறதா என்பது தெளிவாக இல்லை. இந்த அச்சுறுத்தல் நடிகரின் இறுதி நோக்கமும் தெளிவற்றது. எவ்வாறாயினும், பல மாதங்களாக செயல்பட்டதைத் தொடர்ந்து, திறந்த மூல கிரிப்டோகரன்சி மைனர் பயன்படுத்தப்படுவதை ஆராய்ச்சியாளர்கள் குறிப்பிட்ட ஒரு நிகழ்வு உள்ளது.
டிசம்பர் 2023 இன் தொடக்கத்தில் பிரச்சாரத்தின் விவரங்களை ஆராய்ச்சியாளர்கள் முன்பு ஆவணப்படுத்தியுள்ளனர், சிலர் அதே எதிரியை நெபுலா புரோக்கர் என்ற பெயரின் கீழ் கண்காணிக்கின்றனர்.
EMPTYSPACE டவுன்லோடரைப் பயன்படுத்தும் தாக்குதல் சங்கிலி
நீக்கக்கூடிய USB சாதனத்தில் தீங்கிழைக்கும் LNK ஷார்ட்கட் கோப்பில் பாதிக்கப்பட்டவர் இருமுறை கிளிக் செய்யும் போது தீம்பொருள் தொற்று தொடங்குகிறது. ரிமோட் சர்வரிலிருந்து EMPTYSPACE (BrokerLoader அல்லது Vetta Loader என்றும் அழைக்கப்படுகிறது) பதிவிறக்குவதற்குப் பொறுப்பான பவர்ஷெல் ஸ்கிரிப்டை செயல்படுத்துவதற்கு இந்தச் செயல் தூண்டுகிறது. விமியோவில் ஹோஸ்ட் செய்யப்பட்ட இடைநிலை பவர்ஷெல் ஸ்கிரிப்ட் மூலம் பதிவிறக்கம் எளிதாக்கப்படுகிறது.
Golang, .NET, Node.js மற்றும் Python ஆகியவற்றில் குறியிடப்பட்ட EMPTYSPACE இன் நான்கு வேறுபட்ட வகைகளை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். முழுமையாக பயன்படுத்தப்பட்டவுடன், இந்த அச்சுறுத்தல் C2 சேவையகத்திலிருந்து HTTP மூலம் அடுத்தடுத்த பேலோடுகளை மீட்டெடுப்பதற்கான ஒரு வழியாக செயல்படுகிறது, இதில் QUIETBOARD என குறிப்பிடப்படும் பின்கதவு உள்ளது.
பாதுகாப்பற்ற பேலோடை ஹோஸ்ட் செய்வதற்கு ஆர்ஸ் டெக்னிகா, கிட்ஹப், கிட்லேப் மற்றும் விமியோ போன்ற பிரபலமான இணையதளங்களைப் பயன்படுத்துவது இந்த கட்டத்தின் குறிப்பிடத்தக்க அம்சமாகும். ஆராய்ச்சி முடிவுகளின்படி, தனிமைப்படுத்தப்பட்ட உள்ளடக்கம் முற்றிலும் தீங்கற்றதாக இருப்பதால், இந்தச் சேவைகளில் வழங்கப்படும் உள்ளடக்கம் அன்றாடப் பயனர்களுக்கு நேரடி ஆபத்தை ஏற்படுத்தாது. கடந்த காலத்தில் இந்த உள்ளடக்கத்துடன் தற்செயலாக தொடர்பு கொண்ட அல்லது பார்த்த நபர்கள் சமரசம் ஆபத்தில் இல்லை.
EMPTYSPACE டவுன்லோடரால் வழங்கப்படும் கூடுதல் அச்சுறுத்தல்கள்
இதற்கு நேர்மாறாக, QUIETBOARD என்பது பைதான் அடிப்படையிலான பின்கதவு ஆகும், இது தன்னிச்சையான கட்டளைகளைச் செயல்படுத்தவும், கிளிப்போர்டுக்கு நகலெடுக்கப்பட்ட கிரிப்டோ வாலட் முகவரிகளைக் கையாளவும், அச்சுறுத்தல் நடிகர்களின் கட்டுப்பாட்டின் கீழ் உள்ள பணப் பரிமாற்றங்களை வாலட்டுகளுக்குத் திருப்பிவிடவும், தீம்பொருளை மாற்றியமைக்கக்கூடிய டிரைவ்களைப் பரப்பவும் உதவுகிறது. , ஸ்கிரீன் ஷாட்களைப் பிடிக்கவும் மற்றும் கணினி தகவலை சேகரிக்கவும்.
மேலும், இந்த பின்கதவு மட்டு விரிவாக்கத்திற்கான திறனை வெளிப்படுத்துகிறது, இது நாணய சுரங்கத் தொழிலாளர்கள் போன்ற சுயாதீன பைதான் தொகுதிகளை இயக்க உதவுகிறது. இது C2 சேவையகத்திலிருந்து பைதான் குறியீட்டை மாறும் வகையில் பெற்று இயக்க முடியும்.
EMPTYSPACE மற்றும் QUIETBOARD இன் பகுப்பாய்வு, அவர்களின் கருவித்தொகுப்பை உருவாக்குவதில் அச்சுறுத்தும் நடிகர்களின் மட்டு அணுகுமுறையை அடிக்கோடிட்டுக் காட்டுகிறது. EMPTYSPACE டவுன்லோடரின் பல்வேறு பதிப்புகளை உருவாக்க பல நிரலாக்க மொழிகளைப் பயன்படுத்துதல் மற்றும் விமியோ வீடியோவை அகற்றப்பட்டபோது URL இன் மாற்றம் ஆகியவை அச்சுறுத்தல் நடிகர்களின் தரப்பில் சோதனை மற்றும் தகவமைப்புத் திறனை வெளிப்படுத்துகின்றன.
