கோட்ராட் ட்ரோஜன்
சைபர் குற்றவாளிகள் மீண்டும் நிதி நிறுவனங்களை குறிவைத்து வருகின்றனர், வர்த்தக மற்றும் தரகு நிறுவனங்கள் GodRAT எனப்படும் முன்னர் அறியப்படாத ரிமோட் அக்சஸ் ட்ரோஜனை (RAT) வழங்கும் பிரச்சாரத்தின் மையத்தில் உள்ளன. ஸ்கைப் மெசஞ்சர் மூலம் பகிரப்படும் தீங்கிழைக்கும் .SCR கோப்புகள் மூலம் இந்த தாக்குதல் பரவுகிறது.
பொருளடக்கம்
மறைசெய்தியியல் மூலம் மறைக்கப்பட்ட தரவு சுமைகள்
படக் கோப்புகளுக்குள் ஷெல் குறியீட்டை மறைக்க தாக்குதல் நடத்தியவர்கள் ஸ்டிகனோகிராஃபியைப் பயன்படுத்துவதாக சமீபத்திய விசாரணைகள் காட்டுகின்றன. இந்த மறைக்கப்பட்ட வழிமுறைகள் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து GodRAT ஐப் பதிவிறக்கத் தூண்டுகின்றன. செப்டம்பர் 9, 2024 முதல் பிரச்சாரம் நடந்து வருவதாகவும், ஆகஸ்ட் 12, 2025 வரை செயல்பாடு பதிவு செய்யப்பட்டுள்ளதாகவும் சான்றுகள் தெரிவிக்கின்றன. பாதிக்கப்பட்ட பகுதிகளில் ஹாங்காங், ஐக்கிய அரபு எமிரேட்ஸ், லெபனான், மலேசியா மற்றும் ஜோர்டான் ஆகியவை அடங்கும்.
Gh0st RAT இலிருந்து GodRAT வரை
GodRAT என்பது Gh0st RAT இன் நவீன பரிணாம வளர்ச்சியாகக் கருதப்படுகிறது, இது ட்ரோஜான் ஆகும், அதன் மூலக் குறியீடு 2008 இல் கசிந்தது, பின்னர் சீன அச்சுறுத்தல் குழுக்களால் பரவலாக ஏற்றுக்கொள்ளப்பட்டது. 2023 இல் அம்பலப்படுத்தப்பட்ட மற்றொரு Gh0st RAT வழித்தோன்றலான AwesomePuppet உடன் ஒற்றுமைகள் கண்டறியப்பட்டுள்ளன, மேலும் இது பலனளிக்கும் குழுவான Winnti (APT41) க்குக் காரணம் என்று கூறப்படுகிறது.
இந்த தீம்பொருள் ஒரு செருகுநிரல் அடிப்படையிலான கட்டமைப்புடன் வடிவமைக்கப்பட்டுள்ளது, இது முக்கியமான தகவல்களை சேகரிக்கவும் AsyncRAT போன்ற கூடுதல் பேலோடுகளை வரிசைப்படுத்தவும் உதவுகிறது.
தொற்று சங்கிலி மற்றும் தொழில்நுட்ப முறிவு
இந்தத் தாக்குதல் .SCR கோப்புகள் சுயமாகப் பிரித்தெடுக்கும் இயங்குதளங்களாகச் செயல்படுவதிலிருந்து தொடங்குகிறது. இந்தக் கோப்புகளில் பல உட்பொதிக்கப்பட்ட கூறுகள் உள்ளன, அவற்றில் ஒரு சட்டப்பூர்வமான இயங்குதளம் மூலம் பக்கவாட்டில் ஏற்றப்பட்ட தீங்கிழைக்கும் DLL அடங்கும். இந்த DLL ஒரு .JPG படத்தில் மறைந்திருக்கும் ஷெல் குறியீட்டை மீட்டெடுக்கிறது, இது இறுதியில் GodRAT ஐப் பயன்படுத்த உதவுகிறது.
செயல்பட்டவுடன், ட்ரோஜன் அதன் C2 சேவையகத்துடன் TCP வழியாக இணைகிறது, கணினி தரவு மற்றும் நிறுவப்பட்ட வைரஸ் தடுப்பு கருவிகள் பற்றிய விவரங்களை சேகரிக்கிறது. இந்த தகவலை அனுப்பிய பிறகு, C2 சேவையகம் கட்டளைகளை வழங்குகிறது. இந்த வழிமுறைகள் தீம்பொருளை அனுமதிக்கின்றன:
- பெறப்பட்ட செருகுநிரல் DLL ஐ நினைவகத்தில் செலுத்தவும்.
- சாக்கெட்டை மூடிய பிறகு அதன் செயல்முறையை நிறுத்தவும்.
- CreateProcessA API ஐப் பயன்படுத்தி கோப்புகளைப் பதிவிறக்கி இயக்கவும்.
- இன்டர்நெட் எக்ஸ்ப்ளோரர் கட்டளைகள் மூலம் குறிப்பிட்ட URLகளைத் திறக்கவும்.
செருகுநிரல்கள் மூலம் திறன்களை விரிவுபடுத்துதல்
ஒரு குறிப்பிடத்தக்க செருகுநிரலான FileManager DLL, பாதிக்கப்பட்டவரின் கணினியின் மீது தாக்குபவர்களுக்கு பரந்த கட்டுப்பாட்டை வழங்குகிறது. இது கோப்பு தேடல்கள், கையாளுதல் மற்றும் கோப்புறை உலாவலை செயல்படுத்துகிறது, அதே நேரத்தில் இரண்டாம் நிலை தீம்பொருளுக்கான விநியோக கருவியாகவும் செயல்படுகிறது. உறுதிப்படுத்தப்பட்ட பேலோடுகளில் பின்வருவன அடங்கும்:
- Chrome மற்றும் Edge உலாவிகளை குறிவைக்கும் கடவுச்சொல் திருடர்
- மேலும் பயன்படுத்துவதற்கான AsyncRAT ட்ரோஜன்
GodRAT பில்டர் மற்றும் பேலோட் விருப்பங்கள்
ஆராய்ச்சியாளர்கள் GodRAT பில்டர் மற்றும் முழு கிளையன்ட் மூலக் குறியீட்டைக் கண்டுபிடித்தனர், அதன் தகவமைப்புத் திறனை வெளிப்படுத்தினர். பில்டர் தாக்குபவர்கள் இயங்கக்கூடியவை அல்லது DLLகளை உருவாக்க அனுமதிக்கிறது. இயங்கக்கூடிய வழி தேர்ந்தெடுக்கப்பட்டால், பயனர்கள் குறியீடு உட்செலுத்தலுக்கான முறையான பைனரிகளைத் தேர்ந்தெடுக்கலாம், இதில் svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe மற்றும் QQScLauncher.exe ஆகியவை அடங்கும்.
இதன் விளைவாக வரும் பேலோடுகள் .exe, .com, .bat, .scr மற்றும் .pif உள்ளிட்ட பல்வேறு வடிவங்களில் சேமிக்கப்படலாம்.
மரபு குறியீடு, நவீன அச்சுறுத்தல்
GodRAT இன் கண்டுபிடிப்பு, கிட்டத்தட்ட இரண்டு தசாப்தங்களுக்கு முன்பு முதன்முதலில் அறிமுகப்படுத்தப்பட்ட Gh0st RAT போன்ற மரபுவழி உள்வைப்புகள் இன்றும் எவ்வாறு பெரிய ஆபத்துகளை ஏற்படுத்துகின்றன என்பதை எடுத்துக்காட்டுகிறது. நிலையான தழுவல் மற்றும் மறுபயன்பாடு தாக்குதல் நடத்துபவர்கள் இந்த கருவிகளைப் பொருத்தமானதாக வைத்திருக்க அனுமதிக்கிறது, சைபர் பாதுகாப்பு நிலப்பரப்பில் அவர்களின் நீண்டகால உயிர்வாழ்வை உறுதி செய்கிறது. திறமையான எதிரிகளின் கைகளில் வைக்கப்படும்போது பழைய தீம்பொருள் குறியீடு தளங்கள் கூட சக்திவாய்ந்த ஆயுதங்களாகவே இருக்கின்றன என்பதை GodRAT நினைவூட்டுகிறது.
