NSPX30 ஸ்பைவேர்
சீனாவுடன் தொடர்புடைய ஒரு அடையாளம் தெரியாத அச்சுறுத்தல் நடிகர் வெளிப்பட்டு, பல எதிரி-இன்-த-மிடில் (AitM) தாக்குதல்களில் ஈடுபட்டுள்ளார். இந்த தாக்குதல்கள் NSPX30 எனப்படும் அதிநவீன உள்வைப்பை வழங்கும் நோக்கத்துடன் முறையான மென்பொருளிலிருந்து புதுப்பிப்பு கோரிக்கைகளை கடத்துவதை உள்ளடக்கியது. ஆராய்ச்சியாளர்கள் இந்த மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) குழுவைக் கண்காணித்து, அதை 'பிளாக்வுட்' என்று அடையாளப்படுத்துகின்றனர். இந்த சைபர் கிரைம் குழு குறைந்தபட்சம் 2018 முதல் செயல்பட்டு வருவதாக கண்டுபிடிப்புகள் தெரிவிக்கின்றன.
டென்சென்ட் க்யூக்யூ, டபிள்யூபிஎஸ் ஆபிஸ் மற்றும் சோகோ பின்யின் உள்ளிட்ட நன்கு அறியப்பட்ட மென்பொருளின் புதுப்பிப்பு வழிமுறைகள் மூலம் பயன்படுத்தப்பட்ட நிகழ்வுகளில் NSPX30 உள்வைப்பு கண்டறியப்பட்டது. இந்த தாக்குதல்களின் இலக்குகள் சீனா மற்றும் ஜப்பானில் உற்பத்தி, வர்த்தகம் மற்றும் பொறியியலில் ஈடுபட்டுள்ள நிறுவனங்கள் ஆகும். கூடுதலாக, சீனா, ஜப்பான் மற்றும் இங்கிலாந்தில் உள்ள தனிநபர்களும் இந்த AitM தாக்குதல்களால் பாதிக்கப்பட்டுள்ளனர்.
பொருளடக்கம்
NSPX30 ஸ்பைவேர் என்பது பல கூறு அச்சுறுத்தலாகும்
NSPX30 என்பது ஒரு துளிசொட்டி, நிறுவி, ஏற்றிகள், ஆர்கெஸ்ட்ரேட்டர் மற்றும் பின்கதவு உள்ளிட்ட பல்வேறு கூறுகளை உள்ளடக்கிய ஒரு அதிநவீன பலநிலை உள்வைப்பைக் குறிக்கிறது. பின்கதவு மற்றும் ஆர்கெஸ்ட்ரேட்டர் ஒவ்வொன்றும் தனித்தனியான செருகுநிரல்களைக் கொண்டுள்ளன. இம்ப்லான்ட்டின் கட்டமைப்பு, பாக்கெட் இடைமறிப்பு திறன்களை மேம்படுத்துவதற்காக மூலோபாயமாக வடிவமைக்கப்பட்டது, NSPX30 ஆபரேட்டர்கள் தங்கள் உள்கட்டமைப்பை திறம்பட மறைக்க அனுமதிக்கிறது.
பின்கதவின் தோற்றம், பல சீன மால்வேர் எதிர்ப்பு தீர்வுகளை சுய-அனுமதி பட்டியல் மூலம் தவிர்க்கும் கூடுதல் திறனைக் கொண்டுள்ளது, இது ஜனவரி 2005 இல் அறிமுகப்படுத்தப்பட்ட ப்ராஜெக்ட் வூட் எனப்படும் முந்தைய மால்வேரில் இருந்து அறியப்படுகிறது. ப்ராஜெக்ட் வூட் அமைப்பைச் சேகரிக்க வடிவமைக்கப்பட்டது. மற்றும் நெட்வொர்க் தகவல், விசை அழுத்தங்களைப் பிடிக்கவும் மற்றும் பாதிக்கப்பட்ட அமைப்புகளின் ஸ்கிரீன்ஷாட்களை எடுக்கவும்.
ப்ராஜெக்ட் வூட்டின் கோட்பேஸ் பல்வேறு உள்வைப்புகளுக்கு அடித்தளமாக செயல்பட்டது, 2008 இல் DCM (டார்க் ஸ்பெக்டர் என்றும் அழைக்கப்படுகிறது) போன்ற வழித்தோன்றல்களுக்கு வழிவகுத்தது. அதைத் தொடர்ந்து, ஹாங்காங் மற்றும் கிரேட்டரில் ஆர்வமுள்ள நபர்களுக்கு எதிரான இலக்கு தாக்குதல்களில் இந்த மால்வேர் பயன்படுத்தப்பட்டது. 2012 மற்றும் 2014 இரண்டிலும் சீனா பகுதி.
NSPX30 ஸ்பைவேரின் வரிசைப்படுத்தலுக்கான தாக்குதல் சங்கிலி
NSPX30 முறையான சேவையகங்களிலிருந்து (மறைகுறியாக்கப்படாத) HTTP நெறிமுறை வழியாக மென்பொருள் புதுப்பிப்புகளைப் பதிவிறக்க முயற்சிக்கும் அமைப்புகளின் சமரசத்தின் மூலம் அறிமுகப்படுத்தப்பட்டது. இந்த சமரசம் டிராப்பர் DLL கோப்பைப் பயன்படுத்த உதவுகிறது.
சமரசம் செய்யப்பட்ட அப்டேட் செயல்பாட்டின் போது தொடங்கப்பட்ட புண்படுத்தும் துளிசொட்டி, வட்டில் பல கோப்புகளை உருவாக்கி, வைரஸ் தடுப்பு மென்பொருளுடன் தொடர்புடைய பைனரியான 'RSStub.exe' ஐ செயல்படுத்துகிறது. இந்தப் படியானது, 'comx3.dll.' இன் துவக்கத்தை செயல்படுத்துவதன் மூலம், DLL பக்க-ஏற்றுதலுக்கான முந்தைய பாதிப்பை பயன்படுத்திக் கொள்கிறது.
பின்னர், 'comx3.dll' ஒரு ஏற்றியாகச் செயல்படுகிறது, 'comx3.dll.txt' என்ற பெயரிடப்பட்ட மூன்றாவது கோப்பைச் செயல்படுத்துகிறது. இந்தக் கோப்பு ஒரு நிறுவி நூலகமாகச் செயல்படுகிறது, தாக்குதல் சங்கிலியின் அடுத்த கட்டத்தைத் தூண்டுகிறது, இறுதியில் ஆர்கெஸ்ட்ரேட்டர் கூறு ('WIN.cfg') செயல்படுத்தப்படுவதற்கு வழிவகுக்கிறது.
அச்சுறுத்தல் நடிகர்கள் துளிசொட்டியை போலியான புதுப்பிப்புகளின் வடிவத்தில் வழங்கும் குறிப்பிட்ட முறை தெரியவில்லை. இருப்பினும், பிளாக்டெக் , எவேசிவ் பாண்டா, ஜட்ஜ்மென்ட் பாண்டா மற்றும் முஸ்டாங் பாண்டா போன்ற சீன அச்சுறுத்தல் நடிகர்கள், தீம்பொருளுக்கான விநியோக சேனலாக சமரசம் செய்யப்பட்ட ரவுட்டர்களைப் பயன்படுத்தியதாக வரலாற்று வடிவங்கள் குறிப்பிடுகின்றன. தாக்குபவர்கள் பாதிக்கப்பட்டவர்களின் நெட்வொர்க்குகளுக்குள் நெட்வொர்க் உள்வைப்பைப் பயன்படுத்துவதற்கான சாத்தியக்கூறுகளை ஆராய்ச்சியாளர்கள் பரிந்துரைக்கின்றனர், இது திசைவிகள் அல்லது நுழைவாயில்கள் போன்ற பாதிக்கப்படக்கூடிய நெட்வொர்க் உபகரணங்களை குறிவைக்கும்.
NSPX30 ஸ்பைவேர் C2 கட்டளைகளின் அடிப்படையில் குறிப்பிட்ட செயல்களைச் செய்ய முடியும்
ஆர்கெஸ்ட்ரேட்டர் இரண்டு த்ரெட்களை உருவாக்கத் தொடங்குகிறார்: ஒன்று பின்கதவை ('msfmtkl.dat') பெறுவதற்கு அர்ப்பணிக்கப்பட்டது, மற்றொன்று அதன் செருகுநிரல்களை ஏற்றுவதில் கவனம் செலுத்துகிறது மற்றும் லோடர் DLLகள் மூலம் சீன மால்வேர் எதிர்ப்பு தீர்வுகளை புறக்கணிப்பதை செயல்படுத்துவதற்கு விலக்குகளை உள்ளடக்கியது.
பின்கதவைப் பதிவிறக்க, பைடுவுக்குச் சொந்தமான முறையான சீன தேடுபொறியான www.baidu[.]com க்கு HTTP கோரிக்கை விடுக்கப்பட்டது. இந்தக் கோரிக்கையானது, விண்டோஸ் 98 இல் இன்டர்நெட் எக்ஸ்புளோரரைப் பிரதிபலிக்கும் வழக்கத்திற்கு மாறான பயனர் முகவர் சரத்தைப் பயன்படுத்துகிறது. சேவையகத்தின் பதில் ஒரு கோப்பில் சேமிக்கப்படுகிறது, பின் கதவு கூறு பிரித்தெடுக்கப்பட்டு கணினியின் நினைவகத்தில் ஏற்றப்படும்.
அதன் துவக்கச் செயல்பாட்டின் ஒரு பகுதியாக, NSPX30 ஆனது கட்டுப்படுத்தியிலிருந்து கட்டளைகளைப் பெறுவதற்கும் தரவு வெளியேற்றத்தை எளிதாக்குவதற்கும் வடிவமைக்கப்பட்ட ஒரு செயலற்ற UDP கேட்கும் சாக்கெட்டை நிறுவுகிறது. DNS வினவல் பாக்கெட்டுகளை அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) உள்கட்டமைப்பை அநாமதேயமாக்குவதற்கு இடைமறிப்பது இதில் அடங்கும்.
பின்கதவுக்கு வழங்கப்பட்ட வழிமுறைகள், தலைகீழ் ஷெல் உருவாக்குதல், கோப்புத் தகவலைச் சேகரித்தல், குறிப்பிட்ட செயல்முறைகளை நிறுத்துதல், ஸ்கிரீன் ஷாட்களைப் பதிவு செய்தல், விசை அழுத்தங்களை பதிவு செய்தல் மற்றும் பாதிக்கப்பட்ட கணினியிலிருந்து தன்னை நிறுவல் நீக்குதல் உள்ளிட்ட பல்வேறு செயல்பாடுகளைச் செயல்படுத்துகின்றன.
