MuddyWater False Flag Ransomware Attack
ஈரானிய அரசால் ஆதரிக்கப்படும் அச்சுறுத்திக் குழுவான மடிவாட்டர், மேங்கோ சாண்ட்ஸ்டார்ம், சீட்வோர்ம் மற்றும் ஸ்டேடிக் கிட்டன் போன்ற புனைப்பெயர்களிலும் கண்காணிக்கப்படுகிறது. இது, புலனாய்வாளர்கள் ஒரு போலிக் கொடி நடவடிக்கை என்று விவரிக்கும் ஒரு நுட்பமான ரான்சம்வேர் பிரச்சாரத்துடன் தொடர்புபடுத்தப்பட்டுள்ளது. ஆரம்பத்தில் இந்த ஊடுருவல், கேயாஸ் ரான்சம்வேர் பிராண்டைப் பயன்படுத்தும் ஒரு வழக்கமான ரான்சம்வேர்-அஸ்-எ-சர்வீஸ் (RaaS) நடவடிக்கையை ஒத்திருந்தாலும், ஆழமான பகுப்பாய்வில், நிதி ஆதாயத்திற்காக மிரட்டிப் பணம் பறிப்பது போல் மாறுவேடமிட்ட, அரசால் ஆதரிக்கப்படும் ஒரு இலக்கு வைக்கப்பட்ட இணையத் தாக்குதலுடன் ஒத்துப்போகும் பண்புகள் வெளிப்படுத்தப்பட்டன.
2026-ஆம் ஆண்டின் தொடக்கத்தில் அடையாளம் காணப்பட்ட இந்தச் செயல்பாடு, மைக்ரோசாஃப்ட் டீம்ஸ் வழியாக சமூகப் பொறியியலைப் பெரிதும் நம்பியிருந்தது. தாக்குதல் நடத்தியவர்கள், பாதிக்கப்பட்டவர்களுடன் அதிக ஊடாடும் கலந்துரையாடல் அமர்வுகளை நடத்தினர்; திரைப் பகிர்வுச் செயல்பாட்டைப் பயன்படுத்தி, அணுகல் விவரங்களைத் திரட்டவும் பல காரணி அங்கீகாரச் செயல்முறைகளைக் கையாளவும் செய்தனர். அணுகலைப் பெற்ற பிறகு, இந்த அச்சுறுத்தல் செய்பவர்கள், பெரிய அளவிலான கோப்பு மறையாக்கம் போன்ற பாரம்பரிய ரான்சம்வேர் தந்திரங்களைக் கைவிட்டு, அதற்குப் பதிலாகத் தரவுத் திருட்டு, மறைமுகமான நிலைத்தன்மை மற்றும் தொலைநிலை மேலாண்மைப் பயன்பாடுகள் மூலம் நீண்ட காலப் பிணைய அணுகல் ஆகியவற்றில் கவனம் செலுத்தினர்.
பொருளடக்கம்
அரசின் செயல்பாடுகளை மறைக்கப் பயன்படுத்தப்படும் இணையக் குற்ற உத்திகள்
சைபர் குற்றச் சூழல்களில் பொதுவாகக் காணப்படும் கருவிகள் மற்றும் நுட்பங்களைப் பயன்படுத்துவதன் மூலம், குற்றத்தை யார் செய்தார்கள் என்பதைக் கண்டறிவதை மறைப்பதற்காக மடிவாட்டர் நிறுவனம் மேற்கொள்ளும் ஒரு திட்டமிட்ட முயற்சியே இந்தச் செயல்பாடு என ஆராய்ச்சியாளர்கள் நம்புகின்றனர். இந்தக் குழு, கேஸில்ராட் (CastleRAT) மற்றும் சுண்டெரே (Tsundere) போன்ற கருவிகள் உட்பட, வணிகரீதியாகக் கிடைக்கக்கூடிய மறைமுக மால்வேர் மற்றும் தொலைநிலை அணுகல் கட்டமைப்புகளைத் தனது செயல்பாடுகளில் அதிகளவில் ஒருங்கிணைத்து வருகிறது.
இந்த உத்தி, உளவு மற்றும் அழிவுச் செயல்பாடுகளை ரான்சம்வேர் பாணி நடவடிக்கைகளுடன் கலந்த முந்தைய மடிவாட்டர் பிரச்சாரங்களுடன் ஒத்துப்போகிறது. 2020-ல், இந்தக் குழு தானோஸ் ரான்சம்வேரின் அழிவுகரமான ஒரு வகையைப் பரப்புவதற்காக, பவ்கூப் லோடரைப் பயன்படுத்தி முக்கிய இஸ்ரேலிய நிறுவனங்களைக் குறிவைத்தது. 2023-ல், ரான்சம்வேர் சம்பவங்களாக மாறுவேடமிட்ட தாக்குதல்களின் போது, டார்க்பிட் என்ற புனைப்பெயருடன் தொடர்புடைய DEV-1084 என்ற நபருடன் இந்தக் குழுவை மைக்ரோசாப்ட் தொடர்புபடுத்தியது. 2025-ன் பிற்பகுதியில், ஈரானுடன் தொடர்புடைய இயக்குநர்கள் ஒரு இஸ்ரேலிய அரசாங்க மருத்துவமனைக்கு எதிராக கிலின் ரான்சம்வேரைப் பயன்படுத்தியதாகவும் சந்தேகிக்கப்பட்டது.
பரந்த புவிசார் அரசியல் நோக்கங்களைப் பின்தொடரும் அதே வேளையில், நிறுவப்பட்ட இணையக் குற்றக் கட்டமைப்புகள் வழியாகச் செயல்படும் ஈரானுடன் தொடர்புடைய செயல்பாட்டாளர்களையே இந்த சமீபத்திய தாக்குதல் நடவடிக்கை உள்ளடக்கியிருக்கக்கூடும் என்று பாதுகாப்பு ஆய்வாளர்கள் முடிவு செய்துள்ளனர். கிலின் (Qilin) பயன்பாடு மற்றும் ரான்சம்வேர் துணைச் சூழல் அமைப்புகளில் பங்கேற்பது ஆகியவை, தாக்குதல் நடத்தியவர்களுக்கு செயல்பாட்டு மறைப்பு, நம்பத்தகுந்த மறுப்புரிமை மற்றும் முதிர்ந்த தாக்குதல் திறன்களுக்கான அணுகலை வழங்கியதோடு, தீவிரப்படுத்தப்பட்ட இஸ்ரேலிய பாதுகாப்பு கண்காணிப்பிலிருந்து தப்பிக்கவும் உதவியிருக்கலாம்.
கேயாஸ் ராஸ்: வளர்ந்து வரும் மிரட்டிப் பணம் பறிக்கும் சூழலமைப்பு
2025-ஆம் ஆண்டின் தொடக்கத்தில், ஆக்ரோஷமான இரட்டை மிரட்டல் தந்திரங்களுக்குப் பெயர் பெற்ற ஒரு சேவையாக மிரட்டிப் பணம் பறிக்கும் மென்பொருள் (Ransomware-as-a-Service) அமைப்பாக கேயாஸ் (Chaos) உருவெடுத்தது. இந்தக் குழு, RAMP மற்றும் RehubCom போன்ற மறைமுக இணையக் குற்ற மன்றங்களில் தனது இணைப்புத் திட்டத்தை விளம்பரப்படுத்தி, தனது செயல்பாட்டு எல்லையை வேகமாக விரிவுபடுத்தியது.
குழப்பப் பிரச்சாரங்கள் பொதுவாக மின்னஞ்சல் வெள்ளம், குரல் ஃபிஷிங் மற்றும் மைக்ரோசாஃப்ட் டீம்ஸ் ஆள்மாறாட்டத் தாக்குதல்களை ஒன்றிணைக்கின்றன; இவற்றில் அச்சுறுத்தல் செய்பவர்கள் தகவல் தொழில்நுட்ப ஆதரவுப் பணியாளர்களாகத் தங்களைக் காட்டிக்கொள்கின்றனர். பாதிக்கப்பட்டவர்கள் மைக்ரோசாஃப்ட் க்விக் அசிஸ்ட் போன்ற தொலைநிலை அணுகல் பயன்பாடுகளை நிறுவுமாறு கையாளப்படுகிறார்கள். இது, தாக்குதல் நடத்துபவர்கள் பெருநிறுவனச் சூழல்களில் தடம் பதிக்கவும், பின்னர் சிறப்புரிமைகளை அதிகரிக்கவும், பக்கவாட்டாக நகரவும், மற்றும் ரான்சம்வேர் சுமைகளைப் பரப்பவும் உதவுகிறது.
மேலும், அந்தக் குழு பெருகிய முறையில் ஆக்ரோஷமான மிரட்டிப் பணம் பறிக்கும் முறைகளை வெளிப்படுத்தியுள்ளது:
- தரவு திருட்டு மற்றும் பணயக் கோரிக்கைகள் மூலம் இரட்டை மிரட்டல்
- பரவலாக்கப்பட்ட சேவை மறுப்பு (DDoS) தாக்குதல்களின் அச்சுறுத்தல்களை உள்ளடக்கிய மும்முனை மிரட்டல்
- பாதிக்கப்பட்டவர்கள் மீதான அழுத்தத்தைத் தீவிரப்படுத்த, வாடிக்கையாளர்கள், கூட்டாளிகள் அல்லது போட்டியாளர்களைத் தொடர்புகொள்வதாக அச்சுறுத்துவதை உள்ளடக்கிய நான்கு விதமான மிரட்டிப் பறிக்கும் தந்திரங்கள்.
மார்ச் 2026-க்குள், கேயாஸ் தனது கசிவுத் தளத்தில் 36 நிறுவனங்களைப் பாதித்திருந்தது; இதில் பெரும்பாலான நிறுவனங்கள் அமெரிக்காவைச் சேர்ந்தவை. கட்டுமானம், உற்பத்தி மற்றும் வணிகச் சேவைகள் ஆகிய துறைகள் மிகவும் கடுமையாகக் குறிவைக்கப்பட்ட தொழில்களில் அடங்கும் எனத் தெரியவந்தது.
ஊடுருவலின் உடற்கூறியல்
விசாரிக்கப்பட்ட இந்த ஊடுருவலின் போது, தாக்குதல் நடத்தியவர்கள் ஊழியர்களின் நம்பிக்கையைப் பெறுவதற்கும், திரைப் பகிர்வு அமர்வுகளை ஊக்குவிப்பதற்கும் அவர்களுடன் வெளிப்புற மைக்ரோசாஃப்ட் டீம்ஸ் உரையாடல்களைத் தொடங்கினர். பின்னர், ஊடுருவப்பட்ட பயனர் கணக்குகள் உளவு பார்ப்பதற்கும், தொடர்ந்து கண்காணிப்பதற்கும், பக்கவாட்டு நகர்வுகளுக்கும், தரவுகளைக் கசியவிடுவதற்கும் பயன்படுத்தப்பட்டன.
பாதிக்கப்பட்டவர்களின் கணினிகளுடன் இணைந்திருந்தபோது, தாக்குதல் நடத்தியவர்கள் உளவு கட்டளைகளைச் செயல்படுத்தி, VPN தொடர்பான கோப்புகளை அணுகி, உள்ளூரில் உருவாக்கப்பட்ட உரை ஆவணங்களில் பயனர்களை கைமுறையாக உள்நுழைவு விவரங்களை உள்ளிடுமாறு அறிவுறுத்தினர். பல சமயங்களில், தொலைநிலை அணுகல் திறன்களை வலுப்படுத்த AnyDesk நிறுவப்பட்டிருந்தது.
அச்சுறுத்தல் செய்பவர்கள், கூடுதலாக, curl பயன்பாட்டைப் பயன்படுத்தி, 172.86.126.208 என்ற வெளிப்புற சேவையக முகவரியிலிருந்து “ms_upd.exe” என்ற இயங்கு கோப்பைப் பெற ரிமோட் டெஸ்க்டாப் புரோட்டோகாலை (RDP) பயன்படுத்தினர். தொடங்கப்பட்டவுடன், அந்த தீம்பொருள், கூடுதல் தீங்கிழைக்கும் கூறுகளைப் பரப்புவதற்கும், நீடித்த கட்டளை மற்றும் கட்டுப்பாட்டுத் தொடர்புகளை ஏற்படுத்துவதற்கும் வடிவமைக்கப்பட்ட ஒரு பல-கட்ட தொற்றுச் சங்கிலியைத் தொடங்கியது.
இந்த பிரச்சாரத்தின் பின்னணியில் உள்ள தீம்பொருள் ஆயுதக் கிடங்கு
அந்தத் தொற்றுச் சங்கிலியில், நிலைத்தன்மையைப் பேணுவதற்கும் தொலைநிலைக் கட்டளைகளைச் செயல்படுத்துவதற்கும் ஒன்றாகச் செயல்படும் பல தனித்துவமான தீம்பொருள் கூறுகள் அடங்கியிருந்தன:
- 'ms_upd.exe' (Stagecomp) கணினித் தகவல்களைச் சேகரித்து, 'game.exe,' 'WebView2Loader.dll,' மற்றும் 'visualwincomp.txt' உள்ளிட்ட இரண்டாம் நிலை கோப்புகளைப் பதிவிறக்கம் செய்ய ஒரு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்தைத் தொடர்பு கொண்டது.
செயல்படத் தொடங்கியதும், அந்த ரிமோட் ஆக்சஸ் ட்ரோஜன் ஒவ்வொரு 60 வினாடிகளுக்கும் அதன் கமாண்ட் சர்வருடன் தொடர்ந்து தொடர்புகொண்டது. இதன்மூலம், இயக்குபவர்கள் பவர்ஷெல் ஸ்கிரிப்டுகளை இயக்கவும், சிஸ்டம் கட்டளைகளை இயக்கவும், கோப்புகளைக் கையாளவும், மற்றும் ஊடாடும் கமாண்ட்-லைன் அமர்வுகளை உருவாக்கவும் முடிந்தது.
சேற்று நீருடன் இந்த நடவடிக்கையை இணைக்கும் சான்றுகள்
'ms_upd.exe' தீம்பொருள் மாதிரியில் கையொப்பமிடப் பயன்படுத்தப்பட்ட, 'டொனால்ட் கே' என்பவருடன் தொடர்புடைய ஒரு குறியீட்டுக் கையொப்பச் சான்றிதழ் கண்டுபிடிக்கப்பட்டதன் மூலம், மட்டிவாட்டர் மீதான குற்றச்சாட்டு வலுப்படுத்தப்பட்டது. இதே சான்றிதழ், ஃபேக்செட் என அறியப்படும் கேஸில்லோடர் டவுன்லோடர் மாறுபாடு உட்பட, மட்டிவாட்டர் தீம்பொருளுடன் முன்னரே தொடர்புபடுத்தப்பட்டிருந்தது.
அரசு ஆதரவு உளவு நடவடிக்கைகளுக்கும் இணையக் குற்றவாளிகளின் செயல்பாட்டு முறைகளுக்கும் இடையே ஒரு குறிப்பிடத்தக்க ஒருங்கிணைப்பு இருப்பதை இந்த நடவடிக்கை வெளிப்படுத்தியதாக ஆராய்ச்சியாளர்கள் குறிப்பிட்டனர். ரான்சம்வேர் முத்திரை குத்துதல், மிரட்டிப் பணம் பறிக்கும் பேச்சுவார்த்தைகள் மற்றும் வணிகரீதியாகக் கிடைக்கும் தீம்பொருள் கட்டமைப்புகள் ஆகியவற்றின் ஒருங்கிணைப்பு, குற்றத்தை யார் மீது சுமத்துவது என்பதைக் கண்டறியும் முயற்சிகளைச் சிக்கலாக்கியதுடன், தொலைநிலை அணுகல் கருவிகள் மூலம் நிறுவப்பட்ட நீண்டகால நிலைத்தன்மை வழிமுறைகளுக்குப் பதிலாக, உடனடிப் பணயத்தொகை மீட்பு நடவடிக்கைகளின் பக்கம் தற்காப்புக் கவனத்தைத் திசைதிருப்பியது.
அந்தத் தாக்குதல் ஏன் தனித்து நின்றது?
கேயாஸ் ரான்சம்வேர் கூறுகள் பயன்படுத்தப்பட்ட போதிலும், கோப்பு குறியாக்கம் பரவலாக இல்லாதது இந்தத் தாக்குதலின் மிகவும் அசாதாரணமான அம்சங்களில் ஒன்றாகும். வழக்கமான ரான்சம்வேர் செயல்பாட்டிலிருந்து விலகியிருக்கும் இந்தக் காரணி, அந்த ரான்சம்வேர் கூறு முதன்மைப் பணி நோக்கமாகச் செயல்படுவதை விட, முதன்மையாக ஒரு மறைப்பாகவோ அல்லது செயல்பாட்டுத் திசைதிருப்பலாகவோ செயல்பட்டது என்பதை வலுவாக உணர்த்துகிறது.
ஈரானிய அச்சுறுத்தல் சக்திகள், அரசு வழிநடத்தும் செயல்பாடுகளில் இணையக் குற்றக் கருவிகளை இணைத்துக்கொள்ளும் வளர்ந்து வரும் போக்கையும் இந்தப் பிரச்சாரம் எடுத்துக்காட்டுகிறது. ஏற்கனவே உள்ள மறைமுகக் கட்டமைப்புகள் மற்றும் தீம்பொருள் சூழல் அமைப்புகளைப் பயன்படுத்துவதன் மூலம், MuddyWater போன்ற குழுக்கள் அதிக செயல்பாட்டு நெகிழ்வுத்தன்மையைப் பெறுகின்றன, உள்ளக மேம்பாட்டுச் செலவுகளைக் குறைக்கின்றன, மேலும் பாதுகாப்பாளர்கள் மற்றும் உளவுத்துறை ஆய்வாளர்கள் ஆகிய இரு தரப்பினருக்குமான குற்றப் பின்னணியைக் கண்டறியும் முயற்சிகளை கணிசமாகச் சிக்கலாக்குகின்றன.
