ஹைட்டஸ்ஆர்ஏடி

சமரசம் செய்யப்பட்ட திசைவிகளை உள்ளடக்கிய முன்னர் அறியப்படாத தாக்குதல் பிரச்சாரத்தை சைபர் பாதுகாப்பு நிபுணர்கள் கண்டுபிடித்துள்ளனர். 'ஹியாடஸ்' எனப்படும் பிரச்சாரம் சிக்கலானது மற்றும் வணிக தர ரவுட்டர்களை குறிவைக்கிறது. இது 'HiatusRAT' எனப்படும் தொலைநிலை அணுகல் ட்ரோஜன் (RAT) மற்றும் இலக்கு சாதனத்தில் பாக்கெட் பிடிப்பை மேற்கொள்ளக்கூடிய tcpdump இன் மாறுபாடு உட்பட இரண்டு சமரசம் செய்யப்பட்ட பைனரிகளைப் பயன்படுத்துகிறது. அச்சுறுத்தும் பிரச்சாரம் மற்றும் சம்பந்தப்பட்ட மால்வேர் பற்றிய விவரங்கள் பாதுகாப்பு ஆய்வாளரின் அறிக்கையில் வெளியிடப்பட்டுள்ளன

இலக்கு அமைப்புகள் பாதிக்கப்பட்டவுடன், அச்சுறுத்தல் நடிகரை சாதனங்களுடன் தொலைதூரத்தில் தொடர்பு கொள்ள HiatusRAT அனுமதிக்கிறது. சமரசம் செய்யப்பட்ட இயந்திரங்களை அச்சுறுத்தல் நடிகருக்கான ரகசிய ப்ராக்ஸியாக மாற்றுவதற்கு மிகவும் அசாதாரணமான முன் கட்டப்பட்ட செயல்பாட்டை இது பயன்படுத்துகிறது. பாக்கெட்-கேப்சர் பைனரியானது, மின்னஞ்சல் மற்றும் கோப்பு பரிமாற்றத் தகவல்தொடர்புகளுடன் தொடர்புடைய போர்ட்களில் ரூட்டர் போக்குவரத்தைக் கண்காணிக்க அச்சுறுத்தல் நடிகர்களை அனுமதிக்கிறது, மேலும் ரகசியத் தகவலைத் திருடும் திறனை அவர்களுக்கு வழங்குகிறது.

அட்டாக்கர்ஸ் டார்கெட் என்ட் ஆஃப் லைஃப் பிசினஸ் ரூட்டர்கள்

Hiatus எனப்படும் பிரச்சாரமானது, i386 கட்டமைப்பில் இயங்கும் DrayTek Vigor மாடல்கள் 2960 மற்றும் 3900 ஆகியவற்றை இலக்காகக் கொண்டுள்ளது. இருப்பினும், இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் MIPS, i386 மற்றும் ARM-அடிப்படையிலான கட்டமைப்புகளை குறிவைக்கும் முன் கட்டப்பட்ட பைனரிகளையும் அவதானித்துள்ளனர். இந்த திசைவிகள் பொதுவாக நடுத்தர அளவிலான வணிகங்களால் பயன்படுத்தப்படுகின்றன மற்றும் நூற்றுக்கணக்கான தொலைதூர பணியாளர்களுக்கு VPN இணைப்புகளை ஆதரிக்க முடியும்.

பிரச்சாரத்தின் பின்னணியில் உள்ள அச்சுறுத்தல் நடிகர்கள், ஒரு ரகசிய ப்ராக்ஸி நெட்வொர்க்கை நிறுவுவதற்கான வாய்ப்புகளை குறிவைத்து, தரவு சேகரிப்பதற்கான ஆர்வமுள்ள இலக்குகளை பாதிக்கிறார்கள் என்று சந்தேகிக்கப்படுகிறது. பிரச்சாரம் மூன்று முக்கிய கூறுகளைக் கொண்டுள்ளது: சுரண்டலுக்குப் பின் பயன்படுத்தப்பட்ட ஒரு பாஷ் ஸ்கிரிப்ட், பாஷ் ஸ்கிரிப்ட் மூலம் மீட்டெடுக்கப்பட்ட இரண்டு இயங்கக்கூடியவை - HiatusRAT மற்றும் tcpdump இன் மாறுபாடு பாக்கெட் பிடிப்பை செயல்படுத்துகிறது.

பகுப்பாய்வில், HiatusRAT இரண்டு முதன்மை நோக்கங்களுக்கு உதவுகிறது என்று கண்டறியப்பட்டது. முதலாவதாக, பாதிக்கப்பட்ட சாதனத்துடன் தொலைதூரத்தில் தொடர்பு கொள்ள நடிகரை அனுமதிக்கிறது, கோப்புகளைப் பதிவிறக்க அல்லது தன்னிச்சையான கட்டளைகளை இயக்க உதவுகிறது. இரண்டாவதாக, இது ரூட்டரில் SOCKS5 ப்ராக்ஸி சாதனமாக செயல்பட முடியும். வேறு இடங்களில் உள்ள கூடுதல் முகவரிடமிருந்து அதை மழுங்கடிப்பதற்காக, திசைவி மூலம் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) போக்குவரத்தை ப்ராக்ஸி செய்வதை எளிதாக்க இது பயன்படுத்தப்படலாம்.

HiatusRAT இல் காணப்படும் அச்சுறுத்தும் திறன்கள்

RAT மால்வேரைப் பதிவிறக்கி இயக்கும் ஒரு பாஷ் ஸ்கிரிப்டைப் பயன்படுத்துவதன் மூலம் தாக்குதல் தொடங்குகிறது, இது கணினி, நெட்வொர்க், கோப்பு முறைமை மற்றும் சமரசம் செய்யப்பட்ட திசைவியிலிருந்து தரவைச் சேகரிக்க அனுமதிக்கிறது.

HiatusRAT ஒவ்வொரு 8 மணி நேரத்திற்கும் ஒரு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது, மேலும் வெற்றியடைந்தால், பாதிக்கப்பட்ட சாதனத்தை மேற்பார்வையிட தாக்குபவர்களுக்கு தொலைநிலை அணுகலை வழங்குகிறது. பாதிக்கப்பட்ட சாதனங்களில் ரிமோட் ஷெல்களை உருவாக்குதல், C2 சர்வரில் கோப்புகளைப் படித்தல்/நீக்குதல்/வெளியேற்றுதல், C2 சர்வரில் இருந்து கோப்புகளைப் பெறுதல் மற்றும் செயல்படுத்துதல், C2 சர்வரிலிருந்து ஸ்கிரிப்ட்களை இயக்குதல், TCP தரவை அனுப்புதல் உள்ளிட்ட தீம்பொருளின் மிகவும் ஆபத்தான அம்சங்களைத் தலைகீழ் பொறியியல் பகுப்பாய்வு வெளிப்படுத்தியது. மீறப்பட்ட ரவுட்டர்களில் அமைக்கப்பட்டுள்ள SOCKS v5 ப்ராக்ஸிகள் மூலம் இடங்களை பகிர்தலுக்கு அமைக்கிறது. தாக்குபவர்கள் அவ்வாறு செய்ய முடிவெடுத்தால், அச்சுறுத்தலைத் தானே முறித்துக் கொள்ளுமாறு அறிவுறுத்தலாம்.

கூடுதலாக, பாதிக்கப்பட்ட ரூட்டர் மூலம் பிற மீறப்பட்ட சாதனங்களிலிருந்து தரவை நகர்த்த தாக்குபவர்கள் SOCKS v5 ப்ராக்ஸிகளைப் பயன்படுத்துகின்றனர். இது பிணையத் தரவை மறைக்கவும், முறையான செயல்களைப் பின்பற்றவும் உதவுகிறது. நிறுவனங்கள் இந்த அச்சுறுத்தலைப் பற்றி அறிந்திருக்க வேண்டும் மற்றும் அத்தகைய தாக்குதல்களுக்கு எதிராக தங்கள் நெட்வொர்க்குகளைப் பாதுகாக்க நடவடிக்கை எடுக்க வேண்டும்.