GHOSTFORM RAT

GHOSTFORM என்பது பல தீங்கிழைக்கும் திறன்களை ஒரு ஒற்றை இயங்கக்கூடிய பைனரியாக இணைக்க வடிவமைக்கப்பட்ட .NET-அடிப்படையிலான தொலைநிலை அணுகல் ட்ரோஜன் (RAT) ஆகும். தீம்பொருள் பவர்ஷெல் ஸ்கிரிப்ட்களை நேரடியாக நினைவகத்தில் செயல்படுத்துகிறது, இது பாரம்பரிய பாதுகாப்பு கருவிகளால் கண்டறியும் வாய்ப்பைக் குறைக்கிறது. பாதுகாப்பு வழிமுறைகளை மேலும் தவிர்க்க, இது கண்ணுக்குத் தெரியாத விண்டோஸ் படிவங்கள் மற்றும் தாமதமான செயல்படுத்தல் டைமர்கள் போன்ற நுட்பங்களைப் பயன்படுத்துகிறது. அதன் திருட்டுத்தனமான நடத்தை மற்றும் விரிவான திறன்கள் காரணமாக, GHOSTFORM இன் எந்தவொரு கண்டறிதலும் உடனடியாக அகற்றுதல் மற்றும் சம்பவ மறுமொழி நடைமுறைகளைத் தூண்ட வேண்டும்.

தாக்குதல் சங்கிலி ஒன்று: பல-நிலை தீம்பொருள் பயன்பாடு

முதல் தாக்குதல் சங்கிலி, WinRAR ஐப் போலவே வடிவமைக்கப்பட்ட ஒரு போலி பயன்பாட்டைக் கொண்ட கடவுச்சொல் பாதுகாக்கப்பட்ட RAR காப்பகத்தை வழங்குவதன் மூலம் தொடங்குகிறது. பாதிக்கப்பட்டவர் காப்பகத்தைத் திறக்கும்போது, SPLITDROP எனப்படும் ஒரு டிராப்பர் செயல்படுத்தப்படுகிறது. இந்த டிராப்பர் இரண்டு கூடுதல் தீம்பொருள் கூறுகளை நிறுவுகிறது: TWINTASK மற்றும் TWINTALK.

மறைக்கப்பட்ட காப்பகத்தைப் பிரித்தெடுப்பதற்காக SPLITDROP ஆரம்பத்தில் பாதிக்கப்பட்டவரிடமிருந்து கடவுச்சொல்லைக் கோருகிறது. காப்பகம் ஏற்கனவே கணினியில் இருந்தால், செயல்படுத்தல் நிறுத்தப்படும். இல்லையெனில், டிராப்பர் பயனருக்கு ஏமாற்றும் பிழைச் செய்தியைக் காண்பிக்கும் அதே வேளையில் பின்னணியில் உட்பொதிக்கப்பட்ட பேலோடை மறைகுறியாக்குகிறது. மறைகுறியாக்கப்பட்ட உள்ளடக்கம் 'C:\ProgramData\PolGuid' கோப்பகத்தில் சேமிக்கப்படுகிறது, அதன் பிறகு தாக்குதலை முன்னெடுக்க VLC.exe என்ற முறையான செயல்படுத்தக்கூடிய கோப்பு தொடங்கப்படுகிறது.

செயல்படுத்தப்பட்டதும், VLC.exe ஆனது DLL பக்க ஏற்றுதல் மூலம் TWINTASK எனப்படும் தீங்கிழைக்கும் டைனமிக் இணைப்பு நூலகத்தை ஏற்றுகிறது. இந்த கூறு தாக்குபவரின் வழிமுறைகளுக்காகக் காத்திருந்து அவற்றை PowerShell ஐப் பயன்படுத்தி செயல்படுத்துகிறது. கணினியில் நிலைத்தன்மையை நிறுவவும், சமரசத்தின் அடுத்த கட்டத்தைத் தொடங்கவும் பல கட்டளைகள் குறிப்பாகப் பயன்படுத்தப்படுகின்றன. இந்தச் செயல்முறையின் ஒரு பகுதியாக, ஒரு ஸ்கிரிப்ட் WingetUI.exe ஐத் துவக்கி, கணினி மறுதொடக்கம் செய்யும் போதெல்லாம் VLC.exe மற்றும் WingetUI.exe இரண்டும் தானாகவே இயங்குவதை உறுதிசெய்யும் பதிவேட்டில் உள்ளீடுகளை உருவாக்குகிறது.

ட்வின்டாக் மற்றும் ட்வின்டாஸ்க்: ஒருங்கிணைந்த கட்டளை செயல்படுத்தல்

WingetUI.exe செயல்படுத்தப்படும்போது, அது TWINTALK எனப்படும் மற்றொரு தீங்கிழைக்கும் தொகுதியை ஏற்றுகிறது. இந்த கூறு தாக்குபவரின் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் இணைக்கப்பட்டு வழிமுறைகளை மீட்டெடுக்கிறது. TWINTALK, TWINTASK உடன் இணைந்து செயல்பட்டு, சமரசம் செய்யப்பட்ட கணினியில் கட்டளைகளை இயக்குகிறது.

TWINTALK மூன்று முதன்மை கட்டளை வகைகளை ஆதரிக்கிறது:

• பாதிக்கப்பட்ட சாதனத்தில் கட்டளை செயல்படுத்தல்
• தாக்குபவரின் உள்கட்டமைப்பிலிருந்து கோப்பு பதிவிறக்கம்
• பாதிக்கப்பட்ட கணினியிலிருந்து தாக்குபவருக்கு கோப்பு பதிவேற்றம்.

இந்த திறன்கள் மூலம், தாக்குபவர்கள் பாதிக்கப்பட்ட சூழலின் மீது விரிவான கட்டுப்பாட்டைப் பெறுகிறார்கள்.

தாக்குதல் சங்கிலி இரண்டு: நேரடி GHOSTFORM செயல்படுத்தல்

இரண்டாவது தாக்குதல் சங்கிலி, முதல் சங்கிலியில் பல கூறுகளால் கையாளப்படும் அனைத்து செயல்பாடுகளையும் செய்ய GHOSTFORM ஐப் பயன்படுத்துகிறது. பல கோப்புகளைப் பயன்படுத்துவதற்குப் பதிலாக அல்லது DLL பக்க ஏற்றுதலை நம்புவதற்குப் பதிலாக, இந்த மாறுபாடு பவர்ஷெல் கட்டளைகளை நேரடியாக நினைவகத்தில் செயல்படுத்துகிறது.

கண்டறியப்படாமல் இருக்க, தீம்பொருள் ஒரு கண்ணுக்குத் தெரியாத விண்டோஸ் படிவத்தை உருவாக்குகிறது, இது பேலோட் இயங்குவதற்கு முன்பு செயல்படுத்தலை தாமதப்படுத்துகிறது. கூடுதலாக, பாதிக்கப்பட்டவர்களை தீங்கிழைக்கும் செயலைத் தொடங்க ஊக்குவிக்க, சமூக பொறியியல் கவர்ச்சியின் ஒரு பகுதியாக கூகிள் படிவங்களைப் பிரச்சாரம் பயன்படுத்துகிறது.

ஏய்ப்பு மற்றும் விடாமுயற்சி நுட்பங்கள்

GHOSTFORM ஆனது கண்டறிதலைக் குறைப்பதற்கும், சமரசம் செய்யப்பட்ட அமைப்புகளுக்கான நீண்டகால அணுகலைப் பராமரிப்பதற்கும் வடிவமைக்கப்பட்ட பல வழிமுறைகளை உள்ளடக்கியது. தீம்பொருள் வேண்டுமென்றே அதன் செயல்பாட்டை தாமதப்படுத்துகிறது, இது கிட்டத்தட்ட கண்ணுக்குத் தெரியாத விண்டோஸ் படிவத்தை உருவாக்குகிறது, இது செயல்படுத்தலைத் தொடர்வதற்கு முன் சீரற்ற முறையில் தீர்மானிக்கப்பட்ட தாமதத்துடன் டைமரை இயக்குகிறது.

இது ஒரு மியூடெக்ஸை உருவாக்கி, கணினியில் ஒரே ஒரு தீம்பொருள் மட்டுமே இயங்குவதை உறுதிசெய்து, பாதிக்கப்பட்ட இயந்திரங்களைக் கண்காணிப்பதற்கான தனித்துவமான பாட் அடையாளங்காட்டியை உருவாக்குகிறது. இந்த வகையான தொலைநிலை அணுகல் ட்ரோஜான்கள் பொதுவாக கூடுதல் பேலோடுகளைப் பயன்படுத்த, முக்கியமான தரவு மற்றும் கோப்புகளைத் திருட அல்லது பாதிக்கப்பட்ட சூழலுக்குள் பிற தீங்கிழைக்கும் செயல்பாடுகளைச் செய்யப் பயன்படுத்தப்படுகின்றன.

பிரச்சாரத்துடன் பொதுவாக தொடர்புடைய முக்கிய திறன்கள் பின்வருமாறு:

• கூடுதல் தீம்பொருள் தரவு சுமைகளைப் பயன்படுத்துதல்
• பாதிக்கப்பட்ட சாதனங்களிலிருந்து தகவல் மற்றும் கோப்புகளைத் திருடுதல்
• பவர்ஷெல் வழியாக தொலை கட்டளை செயல்படுத்தல்
• சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் நீண்டகால நிலைத்தன்மை

கிளிக்ஃபிக்ஸ் சமூகப் பொறியியல்: மனிதனை மையமாகக் கொண்ட தொற்று திசையன்

இந்த பிரச்சாரம் தீம்பொருள் விநியோகத்தை மட்டுமே நம்பியிருக்கவில்லை. இது அமைப்புகளை சமரசம் செய்ய கிளிக்ஃபிக்ஸ் எனப்படும் சமூக பொறியியல் நுட்பத்தையும் உள்ளடக்கியது. தீங்கிழைக்கும் கட்டளைகளை செயல்படுத்த பயனர்களை கையாள வடிவமைக்கப்பட்ட நம்பகமான போலி வலைப்பக்கங்களை தாக்குபவர்கள் உருவாக்குகிறார்கள்.

எடுத்துக்காட்டுகளில் ஏமாற்றப்பட்ட Cisco Webex சந்திப்பு அழைப்பிதழ்கள் அல்லது முறையானதாகத் தோன்றும் மோசடியான வலைப் படிவங்கள் அடங்கும். பாதிக்கப்பட்டவர்கள் தானாக தீம்பொருளைப் பதிவிறக்கி செயல்படுத்தும் கட்டளைகளை இயக்க அறிவுறுத்தப்படுகிறார்கள், இது அவர்களுக்குத் தெரியாமல் சமரசத்தைத் தொடங்குகிறது.

தீம்பொருள் மற்றும் ஏமாற்றுதலை கலத்தல்

இந்த பிரச்சாரம் தொழில்நுட்ப தீம்பொருள் பயன்பாட்டை உளவியல் கையாளுதலுடன் இணைக்கும் ஒருங்கிணைந்த அணுகுமுறையை நிரூபிக்கிறது. WinRAR பயன்பாடுகளை ஒத்த தீங்கிழைக்காத நிரல்களாக மாறுவேடமிட்டு தீங்கிழைக்கும் கோப்புகளை தாக்குபவர்கள் விநியோகிக்கிறார்கள். திறக்கப்படும்போது, கோப்புகள் மறைக்கப்பட்ட தீம்பொருள் கூறுகளை இயக்க முறைமையில் செலுத்துகின்றன.

நிறுவப்பட்டதும், கூறுகளில் ஒன்று பின்னணியில் அமைதியாக இயங்கும், அவ்வப்போது தாக்குபவரின் சேவையகத்தில் மறைகுறியாக்கப்பட்ட வழிமுறைகளுக்காகச் சரிபார்த்து, அவற்றை PowerShell மூலம் செயல்படுத்துகிறது. இணையாக, ClickFix-பாணி தாக்குதல்கள் போலியான ஆய்வுகள், ஏமாற்றும் சந்திப்பு அழைப்புகள் அல்லது மோசடியான ஆன்லைன் படிவங்களைச் சார்ந்து, தீம்பொருள் பதிவிறக்கங்களைத் தூண்டும் கட்டளைகளைச் செயல்படுத்த பயனர்களை வற்புறுத்துகின்றன.

TWINTASK, TWINTALK மற்றும் GHOSTFORM போன்ற மேம்பட்ட தீம்பொருள் கருவிகளை கவனமாக வடிவமைக்கப்பட்ட சமூக பொறியியல் நுட்பங்களுடன் இணைப்பதன் மூலம், அச்சுறுத்தல் நடிகர்கள் கணினி சமரசத்தின் வெற்றி விகிதத்தை கணிசமாக அதிகரிக்கின்றனர் மற்றும் பாதிக்கப்பட்ட சாதனங்களில் தொடர்ச்சியான ரிமோட் கட்டுப்பாட்டைப் பராமரிக்கின்றனர்.