லோப்டிக்மோட் தீம்பொருள்
DoNot APT குழுவால் உருவாக்கப்பட்டதாகக் கூறப்படும் ஒரு புதிய பிரச்சாரம் வெளிவந்துள்ளது, இது LoptikMod என்ற திருட்டுத்தனமான மற்றும் தொடர்ச்சியான தீம்பொருள் திரிபு பயன்பாட்டைக் காட்டுகிறது. இந்த கருவி ஐரோப்பிய வெளியுறவு அமைச்சகத்திற்கு எதிரான இலக்கு தாக்குதலில் பயன்படுத்தப்பட்டுள்ளது, இது குழுவின் கவனம் தெற்காசியாவிற்கு அப்பால் மாறுவதை மேலும் குறிக்கிறது.
பொருளடக்கம்
விரிவடையும் எல்லையைக் கொண்ட ஒரு பிரபலமான அச்சுறுத்தல் நடிகர்
இந்தப் பிரச்சாரம், APT-C-35, Mint Tempest, Origami Elephant, SECTOR02, மற்றும் Viceroy Tiger உள்ளிட்ட பல்வேறு மாற்றுப்பெயர்களால் அறியப்படும் ஒரு அதிநவீன மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) குழுவான DoNot Team உடன் இணைக்கப்பட்டுள்ளது. குறைந்தது 2016 ஆம் ஆண்டு முதல் இந்த நடவடிக்கைகள் மேற்கொள்ளப்பட்டு வருகின்றன, குறிப்பாக தெற்காசியா மற்றும் ஐரோப்பாவில் உள்ள அரசு நிறுவனங்கள், வெளியுறவு அமைச்சகங்கள், பாதுகாப்பு நிறுவனங்கள் மற்றும் அரசு சாரா நிறுவனங்களை குறிவைத்ததற்கான ஆவணப்படுத்தப்பட்ட வரலாற்றைக் கொண்டுள்ளது.
வரலாற்று ரீதியாக, DoNot APT தனிப்பயன்-கட்டமைக்கப்பட்ட தீம்பொருளைப் பயன்படுத்தியுள்ளது, குறிப்பாக YTY மற்றும் GEdit, பெரும்பாலும் ஈட்டி-ஃபிஷிங் பிரச்சாரங்கள் மற்றும் தீங்கிழைக்கும் ஆவண இணைப்புகள் மூலம் பயன்படுத்தப்படுகிறது.
இலக்கை ஈர்ப்பது: நுழைவுப் புள்ளியாக ஃபிஷிங்
இந்தத் தாக்குதல், முறையானதாகவும் நம்பகமானதாகவும் தோன்றும் வகையில் வடிவமைக்கப்பட்ட ஒரு ஏமாற்றும் ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகிறது. ஜிமெயில் கணக்கிலிருந்து அனுப்பப்படும் இந்தச் செய்திகள், பாதுகாப்பு அதிகாரிகளைப் போல ஆள்மாறாட்டம் செய்கின்றன, மேலும் இத்தாலிய பாதுகாப்பு இணைப்பாளர் ஒருவர் பங்களாதேஷின் டாக்காவிற்குச் சென்றதைப் பற்றிய தலைப்பு வரிகளைக் கொண்டுள்ளன. குறிப்பிடத்தக்க வகையில், மின்னஞ்சல்கள் 'é' போன்ற சிறப்பு எழுத்துக்களை சரியாக வழங்க UTF-8 குறியாக்கத்துடன் HTML ஐப் பயன்படுத்தி வடிவமைக்கப்பட்டுள்ளன, இது அவற்றின் நம்பகத்தன்மையை அதிகரிக்கிறது.
மின்னஞ்சலில் உட்பொதிக்கப்பட்ட Google Drive இணைப்பு, RAR காப்பகத்தைப் பதிவிறக்க வழிவகுக்கிறது. இந்தக் காப்பகத்தில் PDF கோப்பைப் பிரதிபலிக்கும் வகையில் வடிவமைக்கப்பட்ட ஒரு தீங்கிழைக்கும் இயங்கக்கூடிய கோப்பு உள்ளது. திறக்கப்படும்போது, இயங்கக்கூடிய கோப்பு LoptikMod ஐப் பயன்படுத்தத் தொடங்குகிறது, இது தொலைதூர அணுகல் ட்ரோஜன் (RAT) ஆகும், இது குறைந்தது 2018 முதல் DoNot APT க்கு பிரத்யேகமாக உள்ளது.
LoptikMod மால்வேரின் உள்ளே
செயல்படுத்தப்பட்டதும், LoptikMod, நிலைத்தன்மைக்காக திட்டமிடப்பட்ட பணிகளைப் பயன்படுத்தி ஹோஸ்ட் அமைப்பில் தன்னை உட்பொதித்துக் கொள்கிறது. பின்னர் அது பல்வேறு தீங்கிழைக்கும் செயல்பாடுகளைச் செய்ய தொலை கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகத்துடன் இணைகிறது. இவற்றில் பின்வருவன அடங்கும்:
- தாக்குபவர்களுக்கு கணினித் தகவலைத் திருப்பி அனுப்புதல்
- கூடுதல் கட்டளைகளைப் பெறுதல் மற்றும் செயல்படுத்துதல்
- கூடுதல் தீங்கிழைக்கும் தொகுதிக்கூறுகளைப் பதிவிறக்குகிறது
- முக்கியமான தரவை வெளியேற்றுதல்
கண்டறிதலைத் தவிர்க்கவும் தடயவியல் பகுப்பாய்வைத் தடுக்கவும், LoptikMod ஆன்டி-விஎம் (மெய்நிகர் இயந்திரம்) நுட்பங்களையும் ASCII தெளிவின்மையையும் பயன்படுத்துகிறது, இதனால் பாதுகாப்பு ஆராய்ச்சியாளர்கள் அதன் முழு செயல்பாட்டையும் பிரிப்பது கடினம். கூடுதலாக, இது எந்த நேரத்திலும் ஒரு சாதனத்தில் ஒரே ஒரு நிகழ்வு மட்டுமே இயங்குவதை உறுதிசெய்கிறது, உள் மோதல்களைத் தடுக்கிறது மற்றும் கண்டறிதல் சாத்தியக்கூறுகளைக் குறைக்கிறது.
தற்போதைய பிரச்சார நிலை மற்றும் உள்கட்டமைப்பு
LoptikMod தானே திறமையானதாகவும் நிலையானதாகவும் இருந்தாலும், சமீபத்திய தாக்குதலில் ஈடுபட்ட C2 சேவையகம் தற்போது செயலற்ற நிலையில் உள்ளது. இந்த செயலற்ற தன்மை, உள்கட்டமைப்பு தற்காலிகமாக ஆஃப்லைனில் எடுக்கப்பட்டுள்ளது, நிரந்தரமாக மூடப்பட்டுள்ளது அல்லது புதிய, கண்டுபிடிக்கப்படாத சேவையகத்தால் மாற்றப்பட்டுள்ளது என்பதைக் குறிக்கலாம்.
சேவையகத்தின் செயலற்ற நிலை, பாதிக்கப்பட்ட முனைப்புள்ளிகளுக்கும் தாக்குபவர்களுக்கும் இடையில் பரிமாறிக்கொள்ளப்படும் சரியான கட்டளைகள் மற்றும் தரவை பகுப்பாய்வு செய்யும் ஆராய்ச்சியாளர்களின் திறனைக் கட்டுப்படுத்துகிறது.
மூலோபாய மாற்றத்திற்கான அறிகுறிகள்: ஐரோப்பிய இலக்குகள் கவனம் செலுத்துகின்றன
DoNot APT இன் சமீபத்திய செயல்பாடு பரிணாம வளர்ச்சியின் அறிகுறிகளைக் காட்டுகிறது. இந்தக் குழு பாரம்பரியமாக தெற்காசிய நலன்களில் கவனம் செலுத்தி வந்தாலும், இந்த சமீபத்திய நடவடிக்கை ஐரோப்பிய இராஜதந்திர உளவுத்துறையில், குறிப்பாக தெற்காசியாவுடன் தொடர்புடையவற்றில் வளர்ந்து வரும் ஆர்வத்தைக் காட்டுகிறது.
இந்த மாற்றம் மேம்பட்ட செயல்பாட்டுத் திறன்களையும், அதிக லட்சிய உளவுத்துறை நோக்கங்களையும் குறிக்கிறது. குழுவின் நிர்வாகிகள் மேற்கத்திய இராஜதந்திர உத்திகள், பாதுகாப்புக் கொள்கைகள் மற்றும் தெற்காசியாவுடனான சர்வதேச ஈடுபாடுகள் பற்றிய நுண்ணறிவுகளைத் தேடலாம்.
முக்கிய குறிப்புகள்
இதுபோன்ற தாக்குதல்களைத் திறம்படத் தணிக்க, நிறுவனங்கள் தங்கள் ஊழியர்களுக்கு ஃபிஷிங் முயற்சிகளை அடையாளம் காணக் கற்பிப்பதன் மூலம் தொடங்க வேண்டும், செய்திகள் மிகவும் சட்டப்பூர்வமாகத் தோன்றினாலும் கூட. எதிர்பாராத திட்டமிடப்பட்ட பணிகள் அல்லது அறிமுகமில்லாத சேவையகங்களுக்கான வெளிச்செல்லும் இணைப்புகள் போன்ற எந்தவொரு அசாதாரண நடத்தைக்கும் அமைப்புகளைத் தொடர்ந்து கண்காணிப்பது சமமாக முக்கியம், இது சமரசத்தைக் குறிக்கலாம்.
கூடுதலாக, சாண்ட்பாக்ஸிங் மற்றும் நடத்தை பகுப்பாய்வு கருவிகளை செயல்படுத்துவது, சந்தேகத்திற்கிடமான செயல்படுத்தக்கூடியவை தீங்கு விளைவிப்பதற்கு முன்பு அவற்றைக் கண்டறிந்து நடுநிலையாக்க உதவும். அமைப்புகளை முழுமையாக பேட்ச் செய்து வைத்திருப்பது மற்றும் சமீபத்திய அச்சுறுத்தல் நுண்ணறிவு ஊட்டங்களைச் சேர்ப்பது, அறியப்பட்ட பாதிப்புகள் உடனடியாக நிவர்த்தி செய்யப்படுவதை உறுதி செய்கிறது. இறுதியாக, நெட்வொர்க்கைப் பிரிப்பது, தீம்பொருள் பக்கவாட்டில் பரவும் அபாயத்தைக் கணிசமாகக் குறைக்கும், இதன் மூலம் சாத்தியமான மீறல்களை மிகவும் திறம்படக் கட்டுப்படுத்தும்.
முடிவு: விழிப்புணர்வு அவசியம்
ஐரோப்பிய சைபர் உளவு பிரச்சாரத்தில் டோனாட் ஏபிடி குழு லோப்டிக்மோடைப் பயன்படுத்துவது, வளர்ந்து வரும் அச்சுறுத்தல் நிலப்பரப்பின் தெளிவான நினைவூட்டலாகும். ஏபிடி குழுக்கள் தொடர்ந்து தங்கள் கருவிகளை மேம்படுத்தி, குறிப்பாக அதிக மதிப்புள்ள இராஜதந்திர சொத்துக்களை நோக்கி தங்கள் இலக்கை விரிவுபடுத்துவதால், நிறுவனங்கள் தங்கள் சைபர் பாதுகாப்பு பாதுகாப்பில் விழிப்புடனும், முன்னெச்சரிக்கையுடனும் இருக்க வேண்டும்.
