ஹடூக்கன் மால்வேர்

சைபர் பாதுகாப்பு வல்லுநர்கள் லினக்ஸ் அமைப்புகளை இலக்காகக் கொண்ட புதிய தீம்பொருள் பிரச்சாரத்தைக் கண்டுபிடித்துள்ளனர், இது சட்டவிரோத கிரிப்டோகரன்சி சுரங்கம் மற்றும் பாட்நெட் தீம்பொருளைப் பரப்புவதில் கவனம் செலுத்துகிறது. இந்த பிரச்சாரம் வெளிப்படையாக Oracle Weblogic சேவையகங்களை குறிவைத்து, Hadooken என்ற தீம்பொருள் மாறுபாட்டை வழங்குகிறது. செயல்படுத்தப்பட்டதும், ஹடூக்கன் சுனாமி தீம்பொருளை நிறுவி, கிரிப்டோ மைனரைத் தொடங்குகிறார். ஆரம்ப அணுகலைப் பெறவும், பாதிக்கப்படக்கூடிய நிகழ்வுகளில் தன்னிச்சையான குறியீட்டை இயக்கவும், பலவீனமான நற்சான்றிதழ்கள் போன்ற நன்கு அறியப்பட்ட பாதிப்புகள் மற்றும் கணினி தவறான உள்ளமைவுகளைத் தாக்குதல் பயன்படுத்துகிறது.

ஹடூக்கன் மால்வேரின் தாக்குதல் சங்கிலி

இந்தத் தாக்குதலில் ஏறக்குறைய ஒரே மாதிரியான இரண்டு பேலோடுகளை வரிசைப்படுத்துவது அடங்கும்: ஒன்று பைத்தானில் எழுதப்பட்டது மற்றும் மற்றொன்று ஷெல் ஸ்கிரிப்டாக எழுதப்பட்டது. ரிமோட் சர்வர்களில் ('89.185.85.102' அல்லது '185.174.136.204') Hadooken தீம்பொருளைப் பெறுவதற்கு இருவரும் பொறுப்பு.

ஷெல் ஸ்கிரிப்ட் பதிப்பு கூடுதலாக SSH தரவைக் கொண்ட கோப்பகங்களை ஸ்கேன் செய்கிறது, அதாவது பயனர் நற்சான்றிதழ்கள், ஹோஸ்ட் விவரங்கள் மற்றும் ரகசியங்கள், அறியப்பட்ட சேவையகங்களைக் குறிவைக்க இந்தத் தகவலை மேம்படுத்துகிறது. பின்னர் அது நெட்வொர்க்கிற்குள் அல்லது இணைக்கப்பட்ட சூழல்களுக்குள் பக்கவாட்டாக நகர்ந்து, Hadooken தீம்பொருளை மேலும் பரப்புகிறது.

Hadooken இரண்டு முக்கிய கூறுகளைக் கொண்டுள்ளது: ஒரு கிரிப்டோகரன்சி மைனர் மற்றும் சுனாமி (கெய்டன்) எனப்படும் விநியோகிக்கப்பட்ட மறுப்பு-சேவை (DDoS) பாட்நெட். குபெர்னெட்ஸ் கிளஸ்டர்களில் உள்ள ஜென்கின்ஸ் மற்றும் வெப்லாஜிக் சேவைகளைத் தாக்கும் வரலாற்றை மால்வேர் கொண்டுள்ளது. பல்வேறு இடைவெளிகளில் கிரிப்டோ மைனரை இயக்குவதற்கு கிரான் வேலைகளை உருவாக்குவதன் மூலம் தீம்பொருள் பாதிக்கப்பட்ட ஹோஸ்டில் நிலைத்திருப்பதை உறுதி செய்கிறது.

கண்டறிதலைத் தவிர்ப்பதற்காக, Base64-குறியீடு செய்யப்பட்ட பேலோடுகள், 'பாஷ்' மற்றும் 'ஜாவா' போன்ற தீங்கற்ற பெயர்களைக் கொண்ட மைனர் பேலோடுகளை மறைத்து, முறையான செயல்முறைகளுடன் கலப்பது மற்றும் செயல்பாட்டிற்குப் பிறகு அதன் தீங்கு விளைவிக்கும் செயல்பாட்டின் தடயங்களை மறைப்பதற்கு கலைப்பொருட்களை நீக்குவது உள்ளிட்ட பல யுக்திகளை ஹடூக்கன் பயன்படுத்துகிறது.

சைபர் கிரைம் குழுக்களுக்கான இணைப்புகள்

சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் ஐபி முகவரி 89.185.85.102 ஜெர்மனியில் ஹோஸ்டிங் நிறுவனமான ஏசா இன்டர்நேஷனல் லிமிடெட் (AS210644) இன் கீழ் பதிவு செய்யப்பட்டுள்ளது என அடையாளம் கண்டுள்ளனர். பிப்ரவரி 2024 இல், இந்த IP ஆனது 8220 கும்பலால் கிரிப்டோகரன்சி பிரச்சாரத்துடன் இணைக்கப்பட்டது, இது Apache Log4j மற்றும் Atlassian Confluence Server மற்றும் Data Center ஆகியவற்றில் உள்ள பாதிப்புகளைப் பயன்படுத்திக் கொண்டது.

இரண்டாவது IP முகவரி, 185.174.136.204, தற்போது செயலற்ற நிலையில் இருந்தாலும், Aeza Group Ltd. (AS216246) உடன் தொடர்புடையது. ஜூலை 2024 இல் குறிப்பிட்டுள்ளபடி, Aeza என்பது மாஸ்கோ M9 மற்றும் பிராங்பேர்ட்டில் உள்ள இரண்டு தரவு மையங்களில் செயல்பாடுகளைக் கொண்ட ஒரு குண்டு துளைக்காத ஹோஸ்டிங் வழங்குநராகும். ஏசாவின் விரைவான வளர்ச்சி மற்றும் செயல்பாட்டு மாதிரியானது, சைபர் கிரைமினல் நடவடிக்கைகளுக்கு பாதுகாப்பான புகலிடங்களை வழங்கும் ரஷ்ய குண்டு துளைக்காத ஹோஸ்டிங் சேவைகளுடன் இணைக்கப்பட்ட இளம் டெவலப்பர்களின் ஆட்சேர்ப்புக்குக் காரணம்.