Lotus Wiper
சைபர் பாதுகாப்பு ஆய்வாளர்கள், 2025-ஆம் ஆண்டின் பிற்பகுதிக்கும் 2026-ஆம் ஆண்டின் முற்பகுதிக்கும் இடையில் வெனிசுலாவின் எரிசக்தி மற்றும் பயன்பாட்டுத் துறைக்கு எதிரான இலக்குத் தாக்குதல்களில் பயன்படுத்தப்பட்ட, தற்போது 'லோட்டஸ் வைப்பர்' என்று அறியப்படும், இதற்கு முன் ஆவணப்படுத்தப்படாத தரவுகளை அழிக்கும் தீம்பொருளைக் கண்டறிந்துள்ளனர். இந்தத் தீம்பொருள் அதிகபட்ச அழிவை ஏற்படுத்தும் வகையில் வடிவமைக்கப்பட்டுள்ளது, இது பாதிக்கப்பட்ட கணினிகளை முற்றிலும் செயலிழக்கச் செய்கிறது.
பொருளடக்கம்
ஒருங்கிணைந்த தாக்குதல் செயலாக்கம்: பல கட்ட வரிசைப்படுத்தல்
இந்தத் தாக்குதல், கவனமாகத் திட்டமிடப்பட்ட ஒரு செயல்பாட்டை ஒருங்கிணைக்கும் இரண்டு பேட்ச் ஸ்கிரிப்டுகளைச் சார்ந்துள்ளது. இந்த ஸ்கிரிப்டுகள், இறுதிக் கட்டத்தைத் தொடங்குவதற்கு முன்பு, வலையமைப்பு முழுவதும் செயல்பாடுகளை ஒத்திசைத்து, கணினிப் பாதுகாப்புகளை பலவீனப்படுத்தி, இயல்பான செயல்பாடுகளைச் சீர்குலைக்கின்றன. அழிப்பான் கூறினை மீட்டெடுத்து, அதன் தெளிவின்மையை நீக்கி, அதைச் செயல்படுத்துவதன் மூலம், அழிவு கட்டத்திற்கு ஒரு தடையற்ற மாற்றத்தை உறுதி செய்வதே அவற்றின் பங்காகும்.
திட்டமிட்ட அழிவு: தாமரை வைப்பர் செயல்படும் விதம்
செயல்படுத்தப்பட்டவுடன், லோட்டஸ் வைப்பர் ஒரு விரிவான தரவு அழிப்புச் செயல்முறையை மேற்கொள்கிறது, இது கணினியின் செயல்பாடு மற்றும் மீட்பு விருப்பங்கள் இரண்டையும் நீக்குகிறது. அதன் அழிக்கும் திறன்களில் பின்வருவன அடங்கும்:
- மீட்டெடுப்புப் புள்ளிகள் உட்பட, மீட்பு வழிமுறைகளை அகற்றுதல்
- பூஜ்ஜியமாக்கப்பட்ட தரவைக் கொண்டு பௌதீக இயக்ககத் துறைகளை மேலெழுதுதல்
- ஏற்றப்பட்ட அனைத்து தொகுதிகளிலும் உள்ள கோப்புகளை நீக்குதல்
- தொகுதி இதழ்களில் புதுப்பிப்பு வரிசை எண்களை (USN) தெளிவுபடுத்துதல்
இந்த நடவடிக்கைகள் அனைத்தும் ஒன்றுசேர்ந்து, பாதிக்கப்பட்ட அமைப்புகளை வழக்கமான வழிகளில் மீட்டெடுக்கவோ அல்லது புனரமைக்கவோ முடியாது என்பதை உறுதி செய்கின்றன.
நோக்கத்தின் குறிகாட்டிகள்: நிதிசார்ந்த உந்துதல் இல்லை
ரான்சம்வேரைப் போலல்லாமல், லோட்டஸ் வைப்பரில் மிரட்டல் செய்திகளோ அல்லது பணம் செலுத்துவதற்கான வழிமுறைகளோ இல்லை. இந்த இல்லாமை, இந்தத் தாக்குதல் நிதி நோக்கங்களுக்காக அல்ல, மாறாக நாசவேலை அல்லது புவிசார் அரசியல் நோக்கங்களுக்காகவே நடத்தப்படுகிறது என்பதை வலுவாகக் காட்டுகிறது. குறிப்பாக, இந்த மால்வேர் மாதிரியானது, ஜனவரி 2026-ல் அமெரிக்க இராணுவ நடவடிக்கை தொடங்குவதற்குச் சற்று முன்பு, டிசம்பர் 2025-ன் மத்தியில் ஒரு வெனிசுலா கணினி அமைப்பிலிருந்து பொதுவெளியில் பதிவேற்றப்பட்டது. நேரடித் தொடர்பு எதுவும் உறுதிப்படுத்தப்படவில்லை என்றாலும், இதே துறையைக் குறிவைக்கும் இணையச் செயல்பாடுகள் குறித்த அதிகரித்த அறிக்கைகளுடன் இந்த நேரம் ஒத்துப்போகிறது, இது மிகவும் ஒருமுகப்படுத்தப்பட்ட ஒரு நடவடிக்கையைக் குறிக்கிறது.
மரபு அமைப்புகளைக் குறிவைத்தல்: காலாவதியான சூழல்களைச் சுரண்டுதல்
இந்தத் தாக்குதல் சங்கிலி, பல கட்ட செயல்முறையைத் தொடங்கும் ஒரு பேட்ச் ஸ்கிரிப்ட் மூலம் தொடங்குகிறது. அதன் ஆரம்ப நடவடிக்கைகளில் ஒன்று, விண்டோஸ் இன்டராக்டிவ் சர்வீசஸ் டிடெக்ஷன் (UIDetect) சேவையை முடக்க முயற்சிப்பதாகும். விண்டோஸ் 10 பதிப்பு 1803-க்குப் பிறகு நவீன விண்டோஸ் பதிப்புகளில் நீக்கப்பட்ட இந்தச் சேவை, இந்த மால்வேர் குறிப்பாகப் பழைய இயக்க முறைமைகளைக் குறிவைக்க வடிவமைக்கப்பட்டுள்ளது என்பதைக் காட்டுகிறது.
இந்த ஸ்கிரிப்ட், NETLOGON பகிர்வு உள்ளதா என்பதையும் சரிபார்த்து, ஒரு தொலைநிலை XML கோப்பை மீட்டெடுக்கிறது. அது இந்தக் கோப்பை, C:\lotus அல்லது %SystemDrive%\lotus போன்ற கோப்பகங்களில் உள்ளூரில் சேமிக்கப்பட்ட பதிப்புடன் ஒப்பிடுகிறது. இந்தச் செயல்பாடு, கணினி ஒரு Active Directory டொமைனின் பகுதியாக உள்ளதா என்பதைத் தீர்மானிக்கக்கூடும். தொலைநிலை கோப்பு கிடைக்கவில்லை என்றால், ஸ்கிரிப்ட் நிறுத்தப்படும்; இல்லையெனில், இணைப்பை மீண்டும் முயற்சிப்பதற்காக, 20 நிமிடங்கள் வரை சீரற்ற தாமதத்தை ஏற்படுத்தக்கூடும் என்பதால், அது தொடர்ந்து செயல்படும்.
சுற்றுச்சூழல் தயாரிப்பு: அமைப்புகளைச் செயலிழக்கச் செய்தல் மற்றும் சீர்குலைத்தல்
இரண்டாவது தொகுதி ஸ்கிரிப்ட், பாதிக்கப்பட்ட அமைப்பின் செயல்பாட்டு நிலையை முறையாகப் பலவீனப்படுத்துவதன் மூலம், அதை அழிப்பதற்குத் தயார்படுத்துகிறது. அதன் செயல்பாடுகளில் பின்வருவன அடங்கும்:
- உள்ளூர் பயனர் கணக்குகளைப் பட்டியலிடுதல் மற்றும் தற்காலிகமாகச் சேமிக்கப்பட்ட சான்றுகளை முடக்குதல்
- செயலில் உள்ள பயனர் அமர்வுகளிலிருந்து வெளியேறுதல்
- பிணைய இடைமுகங்களை முடக்குதல்
- லாஜிக்கல் டிரைவ்களை அழிப்பதற்காக diskpart clean all கட்டளையைச் செயல்படுத்துதல்
மேலும், இது கோப்புகளை மேலெழுத அல்லது நீக்குவதற்கு robocopy போன்ற விண்டோஸின் உள்ளமைந்த பயன்பாடுகளையும், கிடைக்கக்கூடிய வட்டு இடத்தை முழுவதுமாகப் பயன்படுத்தும் பெரிய கோப்புகளை உருவாக்க fsutil-ஐயும் பயன்படுத்துகிறது, இதன்மூலம் மீட்பு முயற்சிகளைத் திறம்படத் தடுக்கிறது.
இறுதி பேலோட் செயல்படுத்தல்: மீளமுடியாத சேதம்
தயாரிப்புக்குப் பிறகு, லோட்டஸ் வைப்பர் பேலோட் செயல்படுத்தப்படுகிறது. அது மீட்டெடுப்புப் புள்ளிகளை நீக்குதல், பௌதீகத் துறைகளை மேலெழுதுதல், குறிப்பேட்டுப் பதிவுகளை அழித்தல் மற்றும் ஏற்றப்பட்ட தொகுதிகள் முழுவதிலும் உள்ள அனைத்து கணினிக் கோப்புகளையும் அகற்றுதல் ஆகியவற்றின் மூலம் அழிப்புச் செயல்முறையை நிறைவு செய்கிறது. இந்தக் கட்டத்தில், வெளிப்புறக் காப்புப்பிரதிகள் இல்லாமல் மீட்டெடுப்பது கிட்டத்தட்ட சாத்தியமற்றதாகிவிடும்.
பாதுகாப்பு பரிந்துரைகள்: கண்காணிப்பு மற்றும் தணிப்பு
நிறுவனங்கள், குறிப்பாக முக்கிய உள்கட்டமைப்புத் துறைகளில் உள்ளவை, செயலூக்கமான கண்காணிப்பு மற்றும் கண்டறிதல் உத்திகளைக் கையாள வேண்டும். கவனம் செலுத்த வேண்டிய முக்கியப் பகுதிகள் பின்வருமாறு:
NETLOGON பங்குகளில் ஏற்படும் மாற்றங்களைக் கண்காணித்தல்
அடையாளச் சான்றுகளைக் கொட்டுதல் அல்லது சிறப்புரிமைகளை உயர்த்துவதற்கான முயற்சிகளைக் கண்டறிதல்
fsutil, robocopy மற்றும் diskpart போன்ற உள்ளமைந்த கருவிகளின் அசாதாரண பயன்பாட்டைக் கண்காணித்தல்
வியூகப் பார்வை: முந்தைய சமரசத்திற்கான சான்றுகள்
காலாவதியான விண்டோஸ் சூழல்களுக்கு ஏற்றவாறு வடிவமைக்கப்பட்ட செயல்பாடுகள் இருப்பது, முன்கூட்டிய உளவு மற்றும் நீண்ட கால அணுகலைக் குறிக்கிறது. தாக்குதல் நடத்தியவர்களுக்கு இலக்கு வைக்கப்பட்ட உள்கட்டமைப்பு குறித்து விரிவான அறிவு இருந்திருக்கலாம், மேலும் அவர்கள் அழிவுகரமான கட்டத்தைத் தொடங்குவதற்கு முன்பே டொமைன் சூழல்களை ஊடுருவியிருக்கலாம்.
