IDAT ஏற்றி

IDAT லோடர் எனப்படும் தீம்பொருள் ஏற்றி மூலம் எளிதாக்கப்பட்ட Remcos RAT எனப்படும் உக்ரேனிய ட்ரோஜனுக்கு அச்சுறுத்தலாக அடையாளம் காணப்பட்ட தாக்குதல் பிரச்சாரத்தை சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். UAC-0184 (TA544) என்ற அச்சுறுத்தல் நடிகரைக் கண்காணிக்கும் உக்ரைனின் கணினி அவசரநிலைப் பதிலளிப்புக் குழு (CERT-UA), தாக்குதலுக்குக் காரணம் என்று கூறியுள்ளது.

IDAT லோடரைப் பயன்படுத்துவதன் மூலம் செயல்படுத்தப்படும் தாக்குதல், ஸ்டெகானோகிராஃபியை ஒரு நுட்பமாக இணைக்கிறது. ஸ்டெகானோகிராஃபிக் அல்லது 'ஸ்டீகோ' நுட்பங்கள் பரவலாக அங்கீகரிக்கப்பட்டாலும். ஸ்டெகானோகிராஃபிக் நுட்பங்கள், கவனத்தை ஈர்க்காமல் இரகசியத் தொடர்பைச் செயல்படுத்த, படங்கள், ஆடியோ கோப்புகள் அல்லது பிற டிஜிட்டல் உள்ளடக்கங்களுக்குள் தரவை மறைப்பது போன்ற மற்றொரு ஊடகத்திற்குள் தகவலை மறைப்பதை உள்ளடக்கியது. பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதில் அவர்களின் பங்கைப் புரிந்துகொள்வது முக்கியம்.

IDAT லோடர் அடுத்த கட்ட மால்வேர் பேலோடுகளை டெலிவரி செய்ய உதவுகிறது

IDAT லோடர், ஹைஜாக் லோடர் என்ற மற்றொரு லோடர் குடும்பத்துடன் ஒற்றுமையைக் கொண்டுள்ளது, பல மாதங்களாக DanaBot , SystemBC , மற்றும் RedLine Stealer உள்ளிட்ட பல்வேறு பேலோடுகளை தீவிரமாக பயன்படுத்துகிறது. ஃபிஷிங் தாக்குதல்கள் மூலம் Remcos RAT மற்றும் SystemBC ஆகியவற்றைப் பரப்புவதற்கு TA544 என அடையாளம் காணப்பட்ட அச்சுறுத்தல் நடிகரால் இந்த ஏற்றி பயன்படுத்தப்பட்டுள்ளது.

ஃபிஷிங் பிரச்சாரம், ஆரம்பத்தில் ஜனவரி 2024 இல் CERT-UA ஆல் வெளியிடப்பட்டது, தொற்றுச் சங்கிலியைத் தொடங்க போர்-கருப்பொருள் தூண்டில்களைப் பயன்படுத்துகிறது. இந்த சங்கிலி இறுதியில் IDAT லோடரைப் பயன்படுத்துவதற்கு வழிவகுக்கிறது, இது Remcos RAT ஐக் கண்டுபிடித்து பிரித்தெடுக்க உட்பொதிக்கப்பட்ட ஸ்டெகானோகிராஃபிக் PNG ஐப் பயன்படுத்துகிறது.

ரெம்கோஸ் RAT பெரும்பாலும் சைபர் கிரைமினல் பிரச்சாரங்களில் பயன்படுத்தப்படுகிறது

REMCOS RAT ஆனது சைபர் கிரைமினல் மற்றும் உளவு முயற்சிகள் இரண்டிலும் பரவலாகப் பயன்படுத்தப்படும் ரிமோட் அக்சஸ் ட்ரோஜனாக உள்ளது. கணினிகளின் கட்டுப்பாட்டைக் கைப்பற்றும் திறனுக்காகப் புகழ் பெற்ற REMCOS ஆனது விசை அழுத்தங்கள், ஆடியோ, வீடியோ, ஸ்கிரீன்ஷாட்கள் மற்றும் கணினித் தரவுகளைச் சேகரிக்கும் அதே வேளையில் கூடுதல் மால்வேர் பேலோடுகளை வழங்குவதற்கும் உதவுகிறது. பொதுவாக, இந்த தீம்பொருள் தீங்கிழைக்கும் இணைப்புகள் அல்லது இணைப்புகளைக் கொண்ட ஃபிஷிங் மின்னஞ்சல்கள் மூலம் பிரச்சாரம் செய்யப்படுகிறது, இது RAT இன் நிறுவலுக்கு வழிவகுக்கும். மால்வேர் ஏற்றிகள் உட்பட பல்வேறு வழிகளில் REMCOS விநியோகிக்கப்படுவது குறிப்பிடத்தக்கது. 2010களின் நடுப்பகுதியில் இருந்து தீம்பொருள் தீங்கிழைக்கும் வகையில் பயன்படுத்தப்பட்டது.

REMCOS வெற்றிகரமாக செயல்படுத்தப்பட்டவுடன், அச்சுறுத்தல் நடிகர்கள் இலக்கு அமைப்பின் மீது விரிவான கட்டுப்பாடு மற்றும் கண்காணிப்பு திறன்களைப் பெறுகின்றனர். இது நீண்ட காலத்திற்கு முக்கியமான தரவை ரகசியமாக வெளியேற்றுவதற்கு அவர்களுக்கு உதவுகிறது, கண்டறிதலைத் தவிர்க்கும். இலக்கைப் பொறுத்து இத்தகைய முக்கியத் தகவல்களைப் பயன்படுத்தினால், பாதிக்கப்பட்டவர்கள் அச்சுறுத்தலுக்கு ஆளாக நேரிடும் அபாயம், நிறுவனத்தின் தரவு சமரசம் செய்யப்பட்டால் வேலை இழப்பு மற்றும் நிறுவனத் தரவு திருடப்படுதல் ஆகியவற்றைக் கொண்டுள்ளது. இந்தத் திருடப்பட்ட தரவு, பெரிய அளவிலான, அதிநவீன தாக்குதல்களைத் திட்டமிடுவதற்குப் பயன்படுத்தப்படலாம், இதன் விளைவாக பாதிக்கப்பட்ட நிறுவனங்கள் அல்லது தனிநபர்களின் வாழ்வாதாரங்களுக்கு கடுமையான மற்றும் சீர்படுத்த முடியாத தீங்கு விளைவிக்கும்.

ரஷ்யாவுடன் இணைந்த ஹேக்கர் குழுக்களின் சைபர் கிரிமினல் தாக்குதல்களின் இலக்காக உக்ரைன் உள்ளது

CERT-UA உக்ரைனின் ஆயுதப் படைகள் பயன்படுத்தும் கணினி அமைப்புகளை குக்பாக்ஸ் பின்கதவு மூலம் பாதிப்பதை இலக்காகக் கொண்ட சைபர் தாக்குதலையும் எச்சரித்துள்ளது.

CERT-UA இன் படி, அடையாளம் தெரியாத நபர் ஒருவர் '1_ф_5.39-2024.xlsm' என்ற XLS ஆவணத்தை சிக்னல் மெசஞ்சர் மூலம் பல இராணுவப் பணியாளர்களிடையே விநியோகித்துள்ளார். கூறப்பட்ட கோப்பில் கூடுதல் VBA ஸ்கிரிப்ட் உள்ளது, இது 'mob2002.data' என்ற பெயரிடப்பட்ட பவர்ஷெல் ஸ்கிரிப்ட்டின் பதிவிறக்கம் மற்றும் செயல்படுத்தலைத் தூண்டியது.

கிட்ஹப்பில் இருந்து பதிவிறக்கம் செய்யப்பட்ட பவர்ஷெல் ஸ்கிரிப்ட் OS பதிவேட்டில் சில மாற்றங்களைச் செய்கிறது. மேலும் குறிப்பாக, இது 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache' இல் பேஸ்64-குறியீடு செய்யப்பட்ட பேலோடைக் குறைக்கிறது, இது இறுதியில் Cookbox மால்வேரைச் செயல்படுத்துகிறது. குக்பாக்ஸ் என்பது பவர்ஷெல் ஸ்கிரிப்ட் ஆகும், இது பவர்ஷெல் சிஎம்டிலெட்டுகளை பதிவிறக்கம் செய்து இயக்குவதற்கான செயல்பாட்டை செயல்படுத்துகிறது.

டைனமிக் DNS சேவைகள் (gotdns.ch, myftp.biz போன்றவை) மற்றும் Cloudflare பணியாளர்கள் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகங்களின் செயல்பாட்டிற்குப் பயன்படுத்தப்படுகின்றன. ஆராய்ச்சியாளர்கள் வெளிப்படுத்திய தரவுகளின்படி, விவரிக்கப்பட்ட செயல்பாடு, UAC-0149 என கண்காணிக்கப்பட்டது, குறைந்தது 2023 இலையுதிர்காலத்தில் இருந்து நடந்து வருகிறது.