ஒளிரும் மோத் APT
லுமினஸ்மோத் என்ற புதிய ஏபிடி (மேம்பட்ட பெர்சிஸ்டண்ட் த்ரெட்) குழுவிற்குக் காரணம் என்று பெரிய அளவிலான தாக்குதல் நடவடிக்கையை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். APT தொடர்பான பிரச்சாரங்கள் பொதுவாக சைபர் கிரைமினல்கள் தொற்றுச் சங்கிலியைத் தக்கவைத்துக்கொள்வதோடு, அவர்கள் மீறும் நோக்கத்தில் உள்ள குறிப்பிட்ட நிறுவனத்திற்கு தீம்பொருள் அச்சுறுத்தல்களையும் அதிக அளவில் இலக்காகக் கொண்டுள்ளன. இருப்பினும், LuminousMoth தாக்குதல் வழக்கத்திற்கு மாறாக அதிக எண்ணிக்கையிலான பாதிக்கப்பட்டவர்களை உருவாக்கியுள்ளது - மியான்மரில் சுமார் 100 பேர் மற்றும் பிலிப்பைன்ஸில் 1400 பேர். பிரச்சாரத்தின் உண்மையான இலக்குகள் கண்டறியப்பட்ட பாதிக்கப்பட்டவர்களின் ஒரு சிறிய துணைக்குழுவைக் குறிக்கும் வாய்ப்பு அதிகம். ஹேக்கர்கள் இரு நாடுகளிலிருந்தும் வெளிநாட்டிலிருந்தும் அரசாங்க நிறுவனங்களைப் பின்தொடர்வதாகத் தெரிகிறது.
தொற்று சங்கிலி
ஆரம்ப தொற்று திசையன், சிதைந்த கோப்பிற்கு வழிவகுக்கும் டிராப்பாக்ஸ் பதிவிறக்க இணைப்பைக் கொண்ட ஈட்டி-ஃபிஷிங் மின்னஞ்சலாகத் தோன்றுகிறது. கோப்பு ஒரு வேர்ட் டாகுமெண்ட் போல் பாசாங்கு செய்கிறது ஆனால் இரண்டு சமரசம் செய்யப்பட்ட டிஎல்எல் லைப்ரரிகள் மற்றும் டிஎல்எல்களை சைட்-லோட் செய்யும் இரண்டு முறையான எக்ஸிகியூட்டபிள்களைக் கொண்ட RAR காப்பகமாகும். காப்பகங்கள் 'COVID-19 Case 12-11-2020(MOTC).rar' மற்றும் 'DACU Projects.r01' போன்ற தூண்டில் பெயர்களைப் பயன்படுத்தியுள்ளன. மியான்மரில், MOTC என்பது போக்குவரத்து மற்றும் தகவல் தொடர்பு அமைச்சகத்தைக் குறிக்கிறது, DACU என்பது மேம்பாட்டு உதவி ஒருங்கிணைப்பு அலகு ஆகும்.
கணினியின் ஆரம்ப மீறலுக்குப் பிறகு, பக்கவாட்டிற்கு நகர்த்துவதற்கு LuminousMoth வேறுபட்ட முறையைப் பயன்படுத்துகிறது. யூ.எஸ்.பி டிரைவ்கள் போன்ற நீக்கக்கூடிய மீடியாக்களுக்கு அச்சுறுத்தல் சமரசம் செய்யப்பட்ட சாதனத்தை ஸ்கேன் செய்கிறது. இது தேர்ந்தெடுக்கப்பட்ட கோப்புகளை சேமிக்க மறைக்கப்பட்ட கோப்பகங்களை உருவாக்குகிறது.
பிந்தைய சுரண்டல் கருவிகள்
தேர்ந்தெடுக்கப்பட்ட சில இலக்குகளில், லுமினஸ்மோத் கூடுதல் அச்சுறுத்தும் கருவிகளைப் பயன்படுத்துவதன் மூலம் தாக்குதலை அதிகரித்தது. இன்ஃபோசெக் ஆராய்ச்சியாளர்கள், பிரபல வீடியோ கான்ஃபரன்ஸ் செயலியான ஜூம் ஆள்மாறாட்டம் செய்யும் திருட்டு அச்சுறுத்தலைக் கவனித்தனர். சட்டபூர்வமான தன்மையைச் சேர்க்க, மாறுவேடத்தில் சரியான டிஜிட்டல் கையொப்பம் மற்றும் சான்றிதழ் உள்ளது. தொடங்கப்பட்டதும், திருடுபவர் பாதிக்கப்பட்டவரின் கணினியை குறிப்பிட்ட கோப்பு நீட்டிப்புகளுக்காக ஸ்கேன் செய்து அவற்றை கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திற்கு (C2, C&C) வெளியேற்றுகிறார்.
அச்சுறுத்தல் நடிகர் குறிப்பிட்ட அமைப்புகளுக்கு ஒரு குரோம் குக்கீ திருடனையும் வழங்கினார். கருவிக்கு அதன் பின் தரவைக் கொண்ட இரண்டு கோப்புகளை அணுகுவதற்கு உள்ளூர் பயனர்பெயர் தேவை. சில சோதனைகளை நடத்திய பிறகு, இந்த கருவியின் நோக்கம் இலக்குகளின் ஜிமெயில் அமர்வுகளை கடத்துவது மற்றும் ஆள்மாறாட்டம் செய்வது என்று சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் தீர்மானித்தனர்.
LuminousMoth APT ஆனது ஒரு கோபால்ட் ஸ்ட்ரைக் பீக்கனை ஒரு இறுதி-நிலை பேலோடாக விரிவாகப் பயன்படுத்துகிறது என்பதைக் கவனத்தில் கொள்ள வேண்டும்.
லுமினஸ் மோத் ஒரு புதிய அச்சுறுத்தல் நடிகரா?
ஹனிமைட் (முஸ்டாங் பாண்டா) என்ற பெயரில் ஏற்கனவே நிறுவப்பட்ட சீன தொடர்பான APT ஆல் மேற்கொள்ளப்பட்ட நடவடிக்கைகளுடன் LuminousMoth தாக்குதல் பிரச்சாரம் சில குறிப்பிடத்தக்க ஒற்றுமைகளைக் கொண்டுள்ளது போல் தெரிகிறது. இரு குழுக்களும் ஒரே மாதிரியான இலக்கு அளவுகோல்கள் மற்றும் TTPகளை (தந்திரங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள்) காட்டுகின்றன, இதில் பக்க-ஏற்றுதல் மற்றும் கோபால்ட் ஸ்ட்ரைக் லோடர்களின் வரிசைப்படுத்தல் ஆகியவை அடங்கும். கூடுதலாக, LuminousMoth தாக்குதலில் காணப்பட்ட Chome குக்கீ திருடானது கடந்த HoneyMyte செயல்பாடுகளின் சிதைந்த கூறுகளை ஒத்திருக்கிறது. உள்கட்டமைப்பில் உள்ள மேலெழுதல்கள் குழுக்களிடையே கூடுதல் இணைப்புகளை வழங்குகின்றன. லுமினஸ்மோத் உண்மையில் ஒரு புதிய ஹேக்கர் குழுவா அல்லது தீம்பொருள் கருவிகளின் புதிய ஆயுதக் களஞ்சியத்துடன் கூடிய HoneyMyte இன் புதுப்பிக்கப்பட்ட பதிப்பாக உள்ளதா என்பதை தற்போது உறுதியாகக் கண்டறிய முடியாது.