KamiKakaBot
தென்கிழக்கு ஆசிய நாடுகளில் உள்ள அரசு மற்றும் ராணுவ அமைப்புகளை குறிவைத்து சைபர் தாக்குதல்களின் புதிய அலை கண்டறியப்பட்டுள்ளது. இந்த தாக்குதல்கள் Saaiwc என்றும் அழைக்கப்படும் டார்க் பிங்க் APTA மேம்பட்ட நிரந்தர அச்சுறுத்தல் (மேம்பட்ட நிலையான அச்சுறுத்தல்) குழுவிற்குக் காரணம். டார்க் பிங்க் பயன்படுத்தும் தனிப்பயன் கருவிகளில் TelePowerBot மற்றும் KamiKakaBot ஆகியவை அடங்கும், இது குழுவை தன்னிச்சையான கட்டளைகளை இயக்கவும், பாதிக்கப்பட்ட சாதனங்களிலிருந்து முக்கியமான தரவைத் திருடவும் அனுமதிக்கிறது.
டார்க் பிங்க் ஆசியா-பசிபிக் பிராந்தியத்தில் இருந்து தோன்றியதாக நம்பப்படுகிறது மற்றும் குறைந்தது 2021 ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து செயலில் உள்ளது. இருப்பினும், அதன் செயல்பாடுகள் 2022 மற்றும் 2023 இல் அதிகரித்தன, தென்கிழக்கு ஆசியாவில் அரசு மற்றும் இராணுவ நிறுவனங்கள் மீதான சமீபத்திய தாக்குதல்கள் சாட்சியமளிக்கின்றன. KamiKakaBot போன்ற அதிநவீன தீம்பொருளின் பயன்பாடு குழுவின் திறன்களையும் அதன் நோக்கங்களை அடைவதற்கான உறுதியையும் அடிக்கோடிட்டுக் காட்டுகிறது. இந்தத் தாக்குதல்கள் தேசிய பாதுகாப்புக்கு கடுமையான அச்சுறுத்தலை ஏற்படுத்துகின்றன மற்றும் இணையத் தாக்குதல்களின் அபாயத்தைத் தணிக்க அதிக விழிப்புணர்வு மற்றும் செயலூக்கமான நடவடிக்கைகளின் அவசியத்தை எடுத்துக்காட்டுகின்றன.
ஹேக்கர்கள் ஃபிஷிங் உத்திகள் மற்றும் ஆவணங்களை ஏமாற்றுகின்றனர்
டச்சு இணைய பாதுகாப்பு நிறுவனமான EclecticIQ இன் சமீபத்திய அறிக்கையின்படி, பிப்ரவரி 2023 இல் ஒரு புதிய அலை தாக்குதல்கள் கண்டுபிடிக்கப்பட்டன, இது முந்தைய தாக்குதல்களை ஒத்திருந்தது. இருப்பினும், இந்த பிரச்சாரத்தில் ஒரு குறிப்பிடத்தக்க வேறுபாடு இருந்தது - தீம்பொருள் எதிர்ப்பு நடவடிக்கைகளால் கண்டறிவதைத் தவிர்ப்பதற்காக தீம்பொருளின் தெளிவின்மை வழக்கம் மேம்படுத்தப்பட்டது.
தாக்குதல்கள் ஒரு சமூக பொறியியல் மூலோபாயத்தைப் பின்பற்றுகின்றன, இதில் ஐஎஸ்ஓ படக் கோப்பு இணைப்புகளைக் கொண்ட மின்னஞ்சல் செய்திகளை சந்தேகத்திற்கு இடமில்லாத இலக்குகளுக்கு அனுப்புகிறது. ISO படக் கோப்பில் மூன்று கூறுகள் உள்ளன: ஒரு இயங்கக்கூடிய (Winword.exe), ஒரு ஏற்றி (MSVCR100.dll) மற்றும் ஒரு டெகோய் மைக்ரோசாஃப்ட் வேர்ட் ஆவணம். வேர்ட் ஆவணம் ஒரு கவனச்சிதறல் ஆகும், அதே சமயம் KamiKakaBot தீம்பொருளை ஏற்றுவதற்கு ஏற்றி பொறுப்பு.
பாதுகாப்புப் பாதுகாப்பைத் தவிர்க்க, Winword.exe பைனரியின் நினைவகத்தில் KamiKakaBot ஐ ஏற்றுவதற்கு ஏற்றி DLL பக்க-ஏற்றுதல் முறையைப் பயன்படுத்துகிறது. இந்த முறை மால்வேரைச் செயல்படுத்துவதைத் தடுக்கும் பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்க அனுமதிக்கிறது.
KamiKakaBot மீறப்பட்ட சாதனங்களிலிருந்து முக்கியமான தகவல்களைத் திருட முடியும்
KamiKakaBot என்பது தீங்கிழைக்கும் மென்பொருள் நிரலாகும், இது இணைய உலாவிகளில் ஊடுருவி முக்கியமான தரவைத் திருட வடிவமைக்கப்பட்டுள்ளது. இந்த மால்வேர் கமாண்ட் ப்ராம்ப்ட் (cmd.exe) ஐப் பயன்படுத்தி ரிமோட் குறியீட்டை இயக்கும் திறன் கொண்டது. கண்டறிதலைத் தவிர்ப்பதற்காக, பாதிக்கப்பட்டவரின் சூழலுடன் ஒன்றிணைவதற்கும் கண்டறிதலைத் தவிர்ப்பதற்கும் மால்வேர் அதிநவீன நுட்பங்களை உள்ளடக்கியது.
ஒரு புரவலன் சமரசம் செய்யப்பட்டவுடன், Windows Registry விசையில் தீங்கிழைக்கும் மாற்றங்களைச் செய்ய Winlogon Helper நூலகத்தைத் தவறாகப் பயன்படுத்துவதன் மூலம் தீம்பொருள் நிலைத்தன்மையை நிறுவுகிறது. இது தீம்பொருள் கண்டறியப்படாமல் இருக்கவும், அதன் தீங்கிழைக்கும் செயல்களைத் தொடர்ந்து மேற்கொள்ளவும் அனுமதிக்கிறது. திருடப்பட்ட தரவு பின்னர் ஒரு ஜிப் காப்பகமாக டெலிகிராம் போட்டிற்கு அனுப்பப்படும்.
சைபர் செக்யூரிட்டி நிபுணர்களின் கூற்றுப்படி, டெலிகிராம் போன்ற சட்டப்பூர்வ இணைய சேவைகளை கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகமாக பயன்படுத்துவது அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்படும் பொதுவான தந்திரமாகும். இந்த அணுகுமுறை தீம்பொருளைக் கண்டறிந்து மூடுவதை மிகவும் கடினமாக்குகிறது, ஏனெனில் ட்ராஃபிக் இணையச் சேவையுடன் முறையான தகவல்தொடர்பு என்று தோன்றுகிறது. இந்த தந்திரோபாயங்கள் வழக்கமான சைபர் கிரைமினல்களால் மட்டுமல்ல, மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் நடிகர்களாலும் பயன்படுத்தப்படுகின்றன.
இந்த தாக்குதல்களின் அதிநவீனத்தை கருத்தில் கொண்டு, சைபர் தாக்குதல்களைத் தடுக்க நிறுவனங்கள் முன்னெச்சரிக்கை நடவடிக்கைகளை எடுப்பது மிகவும் முக்கியமானது. தீம்பொருளிலிருந்து பாதுகாப்பதற்கான வலுவான பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்துதல், மென்பொருளைப் புதுப்பித்த நிலையில் வைத்திருப்பது மற்றும் ஃபிஷிங் தாக்குதல்களை எவ்வாறு கண்டறிந்து தவிர்ப்பது என்பது குறித்து ஊழியர்களுக்குக் கற்பித்தல் ஆகியவை இதில் அடங்கும்.
