Threat Database Advanced Persistent Threat (APT) நோபிலியம் APT

நோபிலியம் APT

SolarWinds என்ற மென்பொருள் உருவாக்குநருக்கு எதிராக முன்னர் அறியப்படாத ஹேக்கர் குழு ஒரு பெரிய விநியோகச் சங்கிலித் தாக்குதலை நடத்தியபோது, கடந்த ஆண்டு சைபர்-உளவு நிலப்பரப்பில் நோபிலியம் APT ஒரு முக்கியப் பங்காளராக மாறியது. அந்த நேரத்தில், மைக்ரோசாப்ட் சோலாரிகேட் என்ற பெயரை ஹேக்கர் கூட்டுக்கு வழங்கியது, ஆனால் பின்னர் அதை நோபிலியம் என மாற்றியது. சைபர் செக்யூரிட்டி நிறுவனமான FireEye, UNC2542 பதவியின் கீழ் குழுவின் செயல்பாட்டைக் கண்காணிக்கிறது.

SolarWinds தாக்குதல்

 சோலார் விண்ட்ஸுக்கு எதிரான ஹேக், நோபெலியம் நான்கு வெவ்வேறு மால்வேர் விகாரங்களை வரிசைப்படுத்தியது, அவை விநியோகச் சங்கிலி தாக்குதலைத் திட்டமிட உதவியது. முதலாவதாக, சோலார்விண்ட்ஸின் நெட்வொர்க்கின் மீறல் ஏற்பட்ட உடனேயே ஹேக்கர்கள் சன்ஸ்பாட் மால்வேரை ஒரு பில்ட் சர்வரில் இறக்கிவிட்டனர். சோலார்விண்ட்ஸின் முக்கிய தயாரிப்புகளில் ஒன்றான ஐடி வளங்களை கண்காணிக்கும் தளமான ஓரியன் பில்ட் கட்டளையைக் கண்டறியும் வரை பில்ட் சர்வரில் காத்திருப்பதற்காக மால்வேர் ஸ்ட்ரெய்ன் ஒரு தனி நோக்கத்துடன் வடிவமைக்கப்பட்டுள்ளது. அந்த நேரத்தில் 33,000 க்கும் மேற்பட்ட வாடிக்கையாளர்கள் Orion ஐப் பயன்படுத்தினர். சன்ஸ்பாட் செயல்படுத்துவதற்கான சரியான சூழ்நிலைகளை அடையாளம் காணும்போது, அடுத்த கட்ட பேலோடை ஏற்றுவதற்கு பொறுப்பான சிதைந்த சில மூலக் குறியீடு கோப்புகளை திருட்டுத்தனமாக மாற்றும் - Sunburst மால்வேர். இதன் விளைவாக, இப்போது ட்ரோஜனேற்றப்பட்ட ஓரியன் பதிப்பு நிறுவனத்தின் வாடிக்கையாளர்களுக்கு விநியோகிக்கப்பட்டது, அவர்கள் அதைச் செயல்படுத்தும்போது அவர்களின் உள் நெட்வொர்க்குகளை பாதித்தனர்.

 சன்பர்ஸ்ட் ஒரு உளவு கருவியாக செயல்பட்டது, அது சமரசம் செய்யப்பட்ட அமைப்பின் அமைப்புகளிலிருந்து தரவைச் சேகரித்து பின்னர் அதை ஹேக்கர்களுக்கு அனுப்பியது. சேகரிக்கப்பட்ட தகவல் நோபிலியத்தால் தாக்குதலின் தீவிரத்தை அதிகரிக்கும் வகையில் குறிப்பிட்ட பாதிக்கப்பட்டவர் முக்கியமா என்பதை தீர்மானிக்க பயன்படுத்தப்பட்டது. ஆபத்திற்கு மதிப்புள்ளதாகக் கருதப்பட்டவர்கள் தாக்குதலின் இறுதிக் கட்டத்திற்கு உட்படுத்தப்பட்டனர், இதில் அதிக சக்தி வாய்ந்த டீர்ட்ராப் பின்கதவு பயன்படுத்தப்பட்டது. டியர் டிராப் வழங்கப்படுவதோடு, சமரசம் செய்யப்பட்ட அமைப்பில் தாக்குபவர்களின் தடயத்தைக் குறைக்க சன்பர்ஸ்ட் தன்னை நீக்கிக்கொள்ள அறிவுறுத்தப்பட்டது. தேர்ந்தெடுக்கப்பட்ட சில பாதிக்கப்பட்டவர்களுக்கு, ஹேக்கர்கள் தீம்பொருள் விகாரத்தை வழங்கினர், அது டியர்ட்ராப்பை செயல்பாட்டு ரீதியாக பிரதிபலிக்கிறது, ஆனால் அதன் அடிப்படைக் குறியீட்டில் கடுமையாக வேறுபடுகிறது. கால்ட் மளைத்துைி , இந்த தீம்பொருள் அச்சுறுத்தல் ஆராய்ச்சியாளர்கள் அவர்கள் அதன் நுழைவு புள்ளி தீர்மானிக்க முடியவில்லை என, குழப்பி கண்ணீர்துளி போலல்லாமல் முந்தைய கட்ட சூரியரம்மியம் தீம்பொருள் மூலம் நேரடியாக கைவிடப்பட்டது. கோல்ட்மேக்ஸ்

 புதிய நோபிலியம் தொடர்பான மால்வேர் விகாரங்களை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர்

 மைக்ரோசாப்ட் மற்றும் ஃபயர் ஐ பாதுகாப்பு நிறுவனத்தால் வெளியிடப்பட்ட நோபிலியம் ஹேக்கர்கள் தங்கள் செயல்பாடுகளை குறைக்கவில்லை. சைபர் கிரைமினல்களின் ஆயுதக் களஞ்சியத்தில் சேர்க்கப்பட்டுள்ள பல புதிய தனிப்பயன் உருவாக்க மால்வேர் விகாரங்களை ஆராய்ச்சியாளர்கள் கண்டுள்ளனர். இவற்றில் அடங்கும்: 

  • GoldMax /Sunshuttle மால்வேர் - ஒரு அதிநவீன பின்கதவு அச்சுறுத்தல். Google.com, Facebook.com, Yahoo.com மற்றும் Bing.com போன்றவற்றை உள்ளடக்கிய முறையான இணையதள URLகளின் பட்டியலிலிருந்து பரிந்துரையாளர்களைத் தேர்ந்தெடுப்பதன் மூலம் C2 சேவையகங்களுடனான அதன் தொடர்புகளால் ஏற்படும் போக்குவரத்தை ஒருங்கிணைக்கும் திறன் இதன் முக்கிய அம்சமாகும்.
  •  சிபோட் மால்வேர் - இரண்டாம் நிலை துளிசொட்டி, இது நிலைத்தன்மையை அடைவதோடு, அடுத்த கட்ட பேலோடை C2 சேவையகங்களிலிருந்து பெற்று செயல்படுத்துகிறது. அதன் அச்சுறுத்தும் விபிஸ்கிரிப்ட் கோப்பு முறையான விண்டோஸ் பணியைப் போன்ற பெயரைப் பெறுகிறது, பின்னர் பதிவேட்டில் அல்லது மீறப்பட்ட கணினியின் வட்டில் ஒரு தெளிவற்ற வடிவத்தில் சேமிக்கப்படும்.
  •  கோல்ட்ஃபைண்டர் மால்வேர் - HTTP ட்ரேசர் கருவியாகச் செயல்படும் மிகவும் சிறப்பு வாய்ந்த மால்வேர் திரிபு. C2 சேவையகங்களுக்கு பாக்கெட்டுகள் செல்லும் பாதையை அச்சுறுத்தல் வரைபடமாக்குகிறது. கோல்ட்ஃபைண்டர் எந்த HTTP ப்ராக்ஸி சேவையகங்களின் நோபிலியம் ஹேக்கர்களை அல்லது சமரசம் செய்யப்பட்ட நிறுவனத்தால் பயன்படுத்தப்படும் பிணைய பாதுகாப்பு சாதனங்களால் ஏற்படும் பிற திசைதிருப்பல்களை எச்சரிக்க முடியும்.

 நோபெலியம் அவர்களின் அச்சுறுத்தும் இலக்குகளை சிறப்பாக அடைய உதவும் தனிப்பயனாக்கப்பட்ட கருவிகளை தொடர்ந்து கட்டவிழ்த்து வருகிறது. சோலார் விண்ட்ஸின் 18,000 வாடிக்கையாளர்களை ஹேக்கர்கள் ஏற்கனவே சமரசம் செய்து கொண்டனர். பாதிக்கப்பட்டவர்களில் பிரபல தொழில்நுட்ப நிறுவனங்கள் மற்றும் அமெரிக்க அரசு நிறுவனங்களும் அடங்கும்.

டிரெண்டிங்

அதிகம் பார்க்கப்பட்டது

ஏற்றுகிறது...